정보보안 스터디 - 23주차 1일 - 인프라 작전보안

☞ 레드팀 인프라 작전보안(OPSEC)

 

☞ 목적은

1) 고객사의 데이터 문서를 주고받을 때 

레드팀(보안업체)을 공격하는 공격자가 있을 수 있기 때문에

파일을 암호화를 하지 않으면 데이터를 뺏깁니다.

그 공격자는 보안업체를 공격하려고 하는 악성해커가 될 수도있고 블루팀이 찾아보는 것일 수도 있습니다.

 

2) 블루팀

보통 블루팀이 레드팀서비스 진행을 모르는 상태에서 공격자가 들어오는 것을 인지하면 

즉 공격자의 domain, server, infra를 찾게되면 신고하고 takedown 차단합니다. 

 

이걸 늦추기 위해서 티나지 않게 작전을 수행하는 것이 중요합니다.

 

3) 작전 성공률

작전보안을 지킬 경우 성공률이 높아집니다. 그 말은 실제 공격자와 비슷하게 시뮬레이션 했다는 의미가 됩니다.

물론 최대한 비슷하게는 하지만 대포통장 등은 사용하지 않습니다.

 

 

☞ Domain

1) 작전용 domain을 살 때 domain privacy가 적용안된 경우

실명, 전화번호, 회사, 주소 등이 털리게 됩니다. 

보통 buyer를 실명으로 쓰기 때문에 whois, CTS 등에 가면 바로 보입니다. 

2) domain age

~ 2주 된 도메인은 누가 봐도 수상합니다. 그래서 10~20개의 도메인을 사서 묵히거나, 원래 있던 걸 사거나, 만료된 도메인을 쓰는 방법이 있습니다.

3) domain catagorization

도메인에는 언론/커뮤니티/게임 등으로 분류되면 신뢰가 올라갑니다. 

안되는 상태 uncatagorized면 많이 수상합니다.

그래서 최대한 맞추려고 초반에 컨셉을 잡는 경우도 있습니다.

 

 

☞ email security 

블루팀은 SMTP서버를 열어두고 메일을 받습니다.

사내 인프라에서 운영하기 위해?

하지만 만약 수상한 이메일 DNS가 왔을 때 화이트리스트에 레코드가 없으면 바로 신고가 되며 블랙리스트에 오릅니다. 

SPF, DKIM, DMARC 등 이메일 인증 프로토콜을 이용해서 스푸핑 방지 및 스팸방지가 작동되기 때문이죠.

따라서 도메인 레코드된 DNS를 사용합니다.

 

 

 

email header 

mail서버(SMTP서버)에서 메일을 보내고 relay서버를 거쳐 타겟으로 가게됩니다.

이 때 originating 헤더를 제거하지 않으면 이메일 서버의 IP가 바로 헤더에 있기 때문에 바로 찾아 신고할 수 있습니다.

relay서버를 사용하는 이유는 한 번 연결되면 다른 relay를 이어 사용할 수 있기 때문입니다.

 

 

☞ C2 framework

cobaltstrike, havoc, nighthawk 같이 C2프레임워크를 사용할 때도 조심해야합니다.

1) C2 서버를 인터넷에 direct로 공개한 경우

인터넷에 바로 공개적으로 올리는 경우는 실력이좋지 않거나, 귀찮아서거나인데 작전보안상 매우 위험합니다. 

 

2) C2 management port를 direct로 공개한 경우

공개되어있으면 shodan, crimminalip 등으로 스캔 후 port30000이 열려있으니 C2인것을 확인합니다. 배너그래빙 등을 통해 확인하고 신고합니다.

 

 

☞ 웹서버 

피싱 웹서버, 페이로드 다운로드서버나, 소셜엔지니어링 서버가 따로 존재할 수 있습니다.

악성공격자가 레드팀 해당 서버에 방문해서 공격할수가 있습니다.

 

레드팀이 실수해서 

apache서버를 돌리고 있을 때 open directory 즉 디렉토리 리스팅이 가능한 상태라면 

파일들을 보고 C2서버 정보, 고객사 정보들이 남겨져 있고 확인이 가능합니다.

 

이 때 grey 존에서 IP filetering이나 방화벽이 제대로 쳐지지 않았을 때는

인터넷에 웹서버를 올리긴 해야하는데 

ip filtering으로 원하는 사람만 접속할 수 있게 세워둬야합니다.

요즘은 재택근무가 많아져서 user-agent 기반으로 구분합니다.

쇼단, python, curl, attack service management 등으로 방문할 때 다 특정 user-agent가 있습니다. 

그래서 이런 것들을 차단하면됩니다.

 

http 등 relay 서버들이 있다면  

특정 relay서버 하나를 제로데이 취약점을 이용해서 감염시킬 수 있습니다.

원래는 서로 보안상 분리시켜서 하나가 공격당했을 때 감염안되서 버리고 새로 만들 수 있도록 해야합니다.

하지만 우리가 공격자라는 이유로 공격안오겠지 안일하게 생각해서 network 방화벽을 안한다면 다른 서버까지 장악해서 보안업체 본사까지 크게 당할 수 있습니다. 

 

따라서 

쓸 때 없는 포트가 열려있지 않은지,

패치는 주기적으로 하는지,

인프라내의 서버들을 모니터링 제대로 하고 있는지(안하는 경우도 많음)

점검 해야합니다.

 

물론 회사입장에서는 공격자를 공격하는 일은 없지만 APT그룹, 랜섬웨어 갱단 등 악성해커들끼리는 원구조가 될 수도 있습니다.

 

 

☞ SNMP(simple network management protocol)

는 네트워크 장비의 정보를 수집하고 관리, 저장하는 프로토콜입니다.
모니터링 서버가 있고 다른 메일서버나 방화벽, 라우터 등을 이어 정보를 전달합니다. 

이 때 manager-agent 관계에서 모니터링(manager) 서버를 NMS(network management system) 이라고 하며 관제역할 합니다.