사이버공격 - 정보수집

정보수집(정찰) 개념

※ 풋프린팅(Footprinting): 공격 대상의 일반적인 정보(취약점 등) 수집

    - 구글링

    - 시스템 정보 수집(whois, nslookup, traceroute, ping, social engineering)

    - 네트워크 정보 수집(nmap과 같은 스캐닝 도구)

    - 네트워크 토폴로지(네트워크 망 구성 정보)

    - 오픈 네트워크 및 서비스 프로토콜 정보

    - 네트워크 보안 장비(IDS/IPS) 상황

※ 핑거프린팅(Fingerprinting): 네트워크 (시스템 OS) 특징적인 정보 수집

    - 특별히 제작된 패킷을 주입하여 기기의 반응을 통해 정보 수집(스캐닝 도구 활용)

    - OS 종류, 서비스 종류, 버전 정보, 사용 여부 등 정보 수집

※ 침투목적 정보 수집

    - 사용자 계정 정보

    - 보안조치 현황

    - 보안 취약점 정보(CVE 정보)

 

 

정보수집 방법

※ 다크웹 이용

   - 보안 목적으로 만든 익명 네트워크(여러 프록시 서버를 거쳐서 IP 은닉화)

   - 전용 브라우저 또는 전용 프로그램(Tor)을 이용하여 접속 가능

   - 사이버 범죄 관련 정보 유통

 

※ 사회공학적 기법(Social Engineering)

   - 특정인 or 특정조직 대상 표적 공격에 활용

   - 계정 정보, 조직 구성도, 중요 서버 및 파일 위치 등 수집

   - 타깃 설정 → 신뢰관계 형성 → 공격 실행 → 흔적 제거  (이메일, SNS, 구글링 이용)

 

※ APT 공격

  ① 침투: 공격자가 취약한 시스템(USB, Email, 웹사이트 등)을 악성코드로 감염시켜 네트워크 내부로 침투

  ② 탐색: 침투한 시스템의 Network 정보, 시스템 정보, 계정정보 및 DB/시스템 구조 정보 탐색

  ③ 수집/공격: 목표로 한 데이터 수집 및 시스템 공격

  ④ 유출: 분석 및 추가 공격. 금전적 이익을 취하기 위해 정보 유출  

 

※ Whois 서버(외부 공개 정보 활용)

   - 도메인 정보

   - 사이트의 네트워크 주소 및 IP주소

   - 등록자, 관리자, 기술 관리자 정보

   - 주/보조 DNS 서버

   - IP주소의 위치 정보

 

※ hosts 파일: 시스템에 저장된 파일(보통 비어 있음)

   - 사용 목적: DNS 서버가 작동하지 않을 때. 자체적으로 네트워크를 구성하여 사용할 때

   - 공격: hosts 파일 변조로 피싱사이트 접속 유인

   - 파일 위치: 윈도우 계열(\Windows\system32\drivers\etc\hosts) / 리눅스 계열(/etc/hosts)

hosts 파일

   

※ DNS(Domain Name System) 서버

   - IP주소를 도메인 이름으로 매칭 시켜주는 시스템

   - Domain Name Space: DNS 저장, 관리하는 계층적 구조

     도메인: Domain Name Space의 서브트리 구성

     네임서버(Name Server): Domain Name Space 정보를 가진 서버

   - DNS 계층 구조

DNS 계층 구조

 

   - DNS 서버의 도메인 질의 순서

     ① hosts 파일 확인

     ② Cache 파일 확인

     ③ 로컬 DNS 서버에 질의

     ④ 루트 DNS 서버에 질의

     ⑤ com DNS 서버에 질의

     ⑥ wishfree.com DNS 서버에 질의

     ⑦ IP주소 얻고, 클라이언트에 전달

 

※ IP 주소 추적

   - IP 추적 프로그램(https://www.ip-tracker.org) 활용

   - 이메일: 여러 메일 서버를 거쳐 최종 목적지 도달

               Received-SPF(주요 메일 서버와 IP를 등록. 메일이 전송된 서버의 IP와 메일 주소 확인을 통해 신뢰도 판단

   - traceroute: 패킷이 목적지에 도달하는 동안 거쳐가는 라우터의 IP 확인 툴

                    매번 경로가 다르게 형성되다가 하나로 고정된다면 역추적을 당하고 있을 가능성 있음

 

 

DNS 관련 공격

※ 피싱(Phishing)

   - 불특정 다수가 위장된 홈페이지에 정보를 입력하도록 메일 등으로 유도하여 개인정보, 금융정보 등을 빼내는 기법

   - 기법: 보이스(전화) 피싱. 메신저 피싱. 스미싱(문자) 등

 

※ 파밍(Pharming)

   - DNS서버를 직접 공격

   - hosts파일을 변조시켜 인터넷 브라우저 홈페이지 주소를 제대로 입력하더라도 피싱사이트로 연결하는 공격

   - 기법: DNS 서버 변조. hosts파일 변조. 브라우저 단에서 주소 변조

   - 공격 절차

     ① 도메인 주소 입력

     ② DNS 서버로의 IP 주소 요청을 갈취하고, 공격자의 웹 서버 IP 주소로 대신 응답

     ③ 공격자 웹 서버에 연결

     ④ 악의적인 목적으로 제작된 웹페이지 전송

     ⑤ 웹페이지 화면에 표현

   - 공격 가능 구간

파밍 공격 가능 구간

 

공부하면서 학습 목적으로 작성한 포스팅이므로 내용이 완전하지 않습니다ㅠ 
계속해서 학습 후 지식이 좀 더 쌓이면 수시로 수정해나갈 예정입니다! 
틀린 내용은 둥글게 댓글 달아주시면 빠른 확인 후 수정하겠습니다. :)

---

참고

* blogger.pe.kr/297

* ethan-ncs.tistory.com/31

* initech.com/html/sub/solu/solu_pham.html