| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- Rat
- svn update
- idapro
- 포인터 매핑
- javascript
- hex-rays
- error fix
- pytest
- error
- idapython
- NumPy Unicode Error
- h5py.File
- idb2pat
- Ransomware
- open office xml
- Injection
- MySQL
- commandline
- TensorFlow
- ida pro
- data distribution
- why error
- mock.patch
- Analysis
- Python
- ecma
- x64
- malware
- ida
- debugging
- Today
- Total
13 Security Lab
Drive by Download, Spear Fishing, Watering Hole 본문
Drive by Download, Spear Fishing, Watering Hole
Maj0r Tom 2013. 10. 27. 23:29intro
일반적인 해커들의 경우 불특정 다수를 대상으로 방문자가 웹사이트만 방문해도 감염되는 드라이브 바이 다운로드(Drive by Download) 방식을 많이 활용
고도의 해커조직은 특정 타깃을 대상으로 스피어 피싱(Spear Fishing) 또는 워터링 홀(Watering Hole) 공격을 주로 사용
Drive by Download : 단순히 특정 웹사이트에 접속하여 사이트내 삽입된 악성스크립트에 의해 사용자 pc 감염
위키피디아 참고
Drive-by download means two things, each concerning the unintended download of computer software from the Internet:
1 Downloads which a person authorized but without understanding the consequences
(e.g. downloads which install an unknown or counterfeit executable program, ActiveX component, or Java applet).
2 Any download that happens without a person's knowledge, often a computer virus, spyware, malware, or crimeware.[1]
역: 드라이브-바이 다운로드는 두가지의 의미를 가진다 각각은 인터넷으로 부터 의도하지않은 소프트웨어 다운로드를 의미한다
1. 인지하고 다운로드 했지만 무슨 결과를 가져올지 이해하지 못했다.
2. 바이러스 스파이웨어 말웨어(악성코드) crimeware(마찬가지로 범죄를 일으키는 소프트웨어)를 발생시키는 모든 다운로드
Spear Phishing : 특정 타겟을 목표로 한다는점에서 일반적인 피싱에 상대되는 개념.
공격 특징으로는 해당 타겟이 느끼는 '친숙함'을 노리는 사회공학적기법
예를 들면 타겟이 자주쓰는 서비스, 메일, 문서작업도구(한글 또는 워드) 등을 미리알아내어 악성코드 실행을 유도, 나아가 평판이있는 합법적 도메인 또는 해당 타겟이 속해있는 그룹의 사람중 한명의 이메일 계정을 탈취, 타겟에게 url을 유도하거나 탈취한 이메일로 메일을 보내 악성코드 실행 등을 유도
참고자료 : 보안뉴스 ( http://www.boannews.com/media/view.asp?idx=36089 )
Watering Hole :사자가 마치 먹이를 습격하기 위해 물 웅덩이(Watering hole) 근처에서 매복하고 있는 모습에서 유래한 말로서, 타겟 그룹 사용자가 덫에 걸리기만을 기다리고 있는 것을 의미한다.
위키피디아 정의에 따르면 다음과 같다
The attacker wants to attack a particular group (organization, industry, or region). The attack consists of three phases:[1]
- Guess (or observe) which websites the group often uses.
- Infect one or more of these websites with malware.
- Eventually, some member of the targeted group will get infected.
Relying on websites the group trusts makes this strategy efficient even with groups that are resistant to spear phishing and other forms of phishing.
공격자는 특정그룹을 공격하길 원하고, 공격은 세가지 단계를 포함한다.
1. 그 그룹이 어떤 웹사이트를 자주쓰는지 추측
2. 하나 또는 그 이상의 웹사이트를 감염시킨다.
3. 결국에, 일부 멤버가 감염된다. (그 특정 그룹에 속해있는)
그 특정 그룹이 어떤 사이트에 신뢰하는 것은 그 전략(워터링홀)을 더욱 효과적으로 만든다 혹, 그 그룹이 스피어 피싱이나 기타 피싱공격에 대응하는 능력이나 환경을 갖추었더라도
