모의해킹 기초

모의해킹 기초

모의해킹

- 침투 테스트 - pentest(penetration testing)

- 기업 서비스 및 시스템에 대해 합법적인 점검 승인을 취득

- 해커의 관점으로 침투 테스트를 하는 행위

- 공격에 대한 방어 체계를 테스트 하는 행위

- 침투 과정에서 발견한 취약점을 보고하고 대응책을 제시

모의해커
보안 컨설턴트
- 기업에 침투 테스트를 수행하고 보안 자문을 해주는 직업

기업 보안 담당자
- 기업의 기술적 보안을 담당

레드팀(Red Team)
- 기업 조직 내부에서 침투 테스트 등 공격적인 보안을 담당

버그 헌터
- 서비스 버그바운티를 운영하는 기업에 취약점 신고하고 보상을 받는 직업

모의해킹 VS 취약점 진단
모의해킹
- 목표 : 기업 주요 시스템 침투
- 특징 : 시나리오를 가지고 기업 중요 자산에 접근할 수 있는지 점검, 침투 과정에서 발견되는 취약점을 보고하고 문제점 해결

취약점 진단
- 목표 : 다수의 취약점 발견
- 특징 : 중요도를 고려하지 않고 사소한 취약점까지 모두 보고 

모의해킹 테스트 종류
Black Box testing : IP, URL만 가지고 모의해킹을 수행 

White Box testing : 담당자 인터뷰, 네트워크 구성도 등 정보들을 제공받아 시나리오 구축 (최근에는 IP만으로 해킹이 어려워 White box testing을 많이 사용)

테스트 유형
- 웹 기반 모의침투 테스팅(Web based Pentesting) : 웹 취약점 점검 항목을 기반으로 내부 시스템으로 침투하는 점검

- 내부 네트워크 모의침투 테스팅(Internal Network Pentesting) : 사내가 침투되었을 가정하에 사내망에서 중요 서버 및 데이터에 접근이 가능한지에 대한 점검 

- 목표 기반 모의침투 테스팅(Goal oriented Pentesting) : 기업 중요 자산에 대한 침투 시나리오를 수립하여 목표를 설정하고 목표를 달성하기 위해 다양한 침투 시도를 수행하는 점검

목표기반 모의침투 테스팅
Background : IT 환경은 각각 다양한 목적을 가진 네트워크로 구성되어 있으며, 여러가지 컨텐츠와 서비스가 생산, 서비스에 따라 시나리오가 달라지게 된다.

컨텐츠 및 서비스의 사용 목적 및 대상에 따라 상반된 목표 - 기업의 목표 : 사용자를 위한 서비스의 지속적인 확장, 다양한 접근성 제공, 잘 알려진 위치에 많은 보안 시스템 설치
- Attacker의 목표 : 기업 내의 핵심 자산 및 가치, 핵심 가치에 접근하기 위한 여러가지 경로 분석, 잘 알려져 있지 않거나 상대적으로 보안이 허술한 위치 선호 

모의 해커가 가장 중요하게 생각하는 것들 : 목표, 시나리오, 경로, 이용 취약점, 행위, 최신 동향

모의해킹 과정
1. 기업의 핵심 가치 분석
 - Real world에서 공격자에게 가치 중심
 - 대부분 핵심가치는 기업에서 제공 및 보관되는 Contents류가 대상
  * 데이터베이스에 저장된 정보
  * 고객 신용카드 정보 등
 - 일부는 서비스 지속성이 목표
 - 핵심 가치 예
  * 금융 회사 : 금융 거래
  * 통신회사 : 통신 서비스 제공 인프라
  * 전력 회사 : SCADA 시스템, 서비스 지속성
  * 쇼핑몰 : 가격정보, 고객정보, 서비스 지속성
  * 공기업, 대기업 : 내부 기밀정보

2. 목표 설정
 - 핵심 가치를 기준으로 모의침투의 대상과 범위 결정
 - 서비스 구조도를 통해 보호 대상 식별 및 세부적인 목표 선정
 - 고객과의 협의를 거쳐 진행하거나, 자체적으로 목표 설정 진행
 - 보통 퀄리티 높은 결과를 제시하기 위해 자체적인 목표 설정이 다수

3. 침투 시나리오 예측
 - 목표에 대한 여러가지 가능성을 열어놓고 시나리오 작성

 - 기업 네트워크에 대한 Big picture 중요

 - 시나리오는 큰 범주로 분류된 후 세분화 시키는 방식 사용

 - 시나리오 예제
  * 여러가지 클라이언트 기기를 통한 내부 네트워크 침투
  * 스캐닝 및 도청을 통해 내부 네트워크 정보 수집
  * 중요 데이터 정보 획득

 - 점검 대상과 경로가 지정된 경우와 지정되지 않은 경우로 구분

 - 시나리오의 기준은 외부에서 접근 가능한 장비가 1차 타겟

 - 홈페이지 취약점 이용 침투 시나리오가 가장 일반적인 형태
  * 일반적으로 알려진 웹 취약점을 이용
  * 홈페이지(DMZ)를 통해 내부 시스템(DB, SCADA, 가입자 서버 등) 접근
  * 홈페이지를 통해 서버 내의 저장된 중요 정보 접근

 - 네트워크 특성에 따라 외부에 공개된 타겟 선정
  * 서비스 장비 기기의 에뮬레이터를 이용한 시나리오
  * PC에 설치되는 기업용 프로그램을 이용한 시나리오
  * 단말기를 통해 서비스 제공 인프라 장비를 점검하는 시나리오
  * 무선 네트워크를 통해 내부 네트워크를 점검하는 시나리오

점검 절차 (2 case)
case 1
1. 점검 대상 선정 
- 모의해킹 대상에 대하여 협의

2. 정보 수집(가장 중요)
- 점검 대상에 대한 정보 수집
- 기초 테스트 실시

3. 시나리오 설정
- 점검 대상에 대한 시나리오 설정 

4. 요소 기술 조사 및 도구 제작
- 요소 기술 연구 및 습득
- 필요 시 도구/프로그램 제작

5. 점검IP 등록, 시나리오별 취약점 점검
- 점검 서비스를 고려한 시나리오에 적용되는 취약점 적용
- Web 취약점(OWASP)
- 시스템, 네트워크 취약점
- 국가정보원 보안 가이드 항목 등

6. 취약점 발견 
- 긴급시 긴급 조치 의뢰

7. 모의 해킹 결과 취합 및 대응 방안 수립

8. 보고서 작성 보안성 강화방안 수립
- 모의해킹 결과 보고서 작성
- 취약점 대응 방안 제시

case 2
Phase 1
1. 기업 핵심 가치 분석 
2. 목표 설정
3. 침투 시나리오 작성
4. 정보 수집 

Phase 2
5. 점검 IP 등록, 모의 침투
6. 목표 완료

Phase 3 
7. 취약점 및 취약 경로 리포팅
8. 대응책 제시