네트워크 공격

#type/study #context/studies #theme/cs #status/completed

네트워크 공격

DoS, APT, 스피어피싱, 익스플로잇 킷, 스팸

DoS / DDoS (서비스 거부 공격)

CPU·메모리·대역폭 등의 자원을 소진시켜 정상 사용자 접근을 봉쇄

전통적 DoS 공격 유형

공격 원리
Ping Flooding 대량 ICMP echo request로 네트워크 대역폭 점유
SYN 스푸핑 가짜 소스로 SYN 전송 → TCP 테이블 오버플로우
UDP 플러드 대상 포트로 대량 UDP 패킷 전송
소스 주소 스푸핑 위조 소스 주소 사용 → 공격 출처 식별 어려움

SYN 스푸핑 원리

공격자 (가짜 소스) → SYN → 피해 서버 (TCP 테이블에 저장)
                         → SYN-ACK → 존재하지 않는 주소 (응답 없음)
→ TCP 테이블 꽉 참 → 합법적 연결 거부

기존 Flooding 한계 → DDoS 등장

방식 설명
DDoS 봇넷(좀비 시스템)으로 분산 공격, 추적 어려움
Reflector 공격 중간 서버를 통해 스푸핑 소스로 반사
Amplifier 공격 브로드캐스트로 1→N 응답 유발
DNS 증폭 60byte 요청 → 512byte 응답
HTTP Flood / Slowloris 애플리케이션 레벨 공격, IDS 우회

DDoS 방어 4단계

1. 공격 예방 및 선점 (공격 전)
   → 스푸핑 소스 차단, Anti-spoofing 필터링

2. 공격 탐지 및 필터링 (공격 중)
   → IDS/IPS, Rate Limiting 필터

3. 공격 소스 역추적·식별 (공격 중/후)
   → 라우터 경로 분석

4. 공격 대응 (공격 후)
   → 업스트림 ISP에서 비정상 트래픽 필터링

APT (Advanced Persistent Threat)

지능형 지속 위협 — 특정 대상을 장기간 은밀히 공격

7단계 수행 프로세스

1. 표적 시스템 인식 → 포트 스캔, 소셜 엔지니어링으로 정보 수집
2. 초기 침투 → 스피어피싱 이메일, 악성 첨부파일
3. 백도어 생성 → C&C 서버와 암호화 통신
4. 내부 인식 → 내부 네트워크 스캔, 신뢰 관계 이용
5. 전이 (Metastasis) → End-Point로 악성코드 확산
6. 임무 완료 → 기밀 탈취 (암호화·압축·분할)
7. 숨김 → Rootkit으로 악성코드 은닉

특징

특성 설명
Low and Slow 탐지 회피를 위해 장기간 은밀히 활동
Zero Day Attack 알려지지 않은 취약점 이용
사회공학적 방법 내부 담당자 타겟 (스피어피싱 등)
목적 시스템 파괴 또는 기밀 정보 유출

주요 APT 사례

사례 특징
Stuxnet 이란 원자로 PLC 공격, USB로 망분리 환경 침투, Rootkit 은닉
IceFog 한국·일본 방위산업체 타겟, 스피어피싱 이용
Net Traveler 항공우주·에너지 데이터 탈취, MS Office/PDF 취약점
Duqu 정보 수집 목적, C&C 서버 통신, 패스워드 탈취

대응

- 네트워크 분리 (망 분리)
- 내부 시스템 인증 강화
- Zero Day Attack 탐지·제거
- C&C 서버 접근 트래픽 차단

스피어피싱 (Spear Phishing)

익스플로잇 킷 (Exploit Kit)

취약점 공격 도구 소프트웨어 모음 — 비용: $500~$10,000

특징
MPack 러시아산, 키로깅, 160,000대 이상 감염
Blackhole Java 취약점 이용, 스팸·악성 링크로 확산
RIG kit 2014~, 30% 이상 성공률, 국내 인터넷 뱅킹 타겟
Angler 랜섬웨어·트로이 목마 유포, 악성 광고 경유

공격 킷 (Attack Kit) / 크라임웨어

스팸 전자메일

관련 개념