2015년 8월 6일자 보안뉴스의 “해킹의 진화 : 저렴하고 강력한 Man-in-the-cloud 발견!”이라는 기사가 눈길을 끌었습니다.
Man-in-the-cloud는 클라우드기반의 서버를 공략하여 동기화한 후 피해자 시스템의 레지스트리에서 가짜 토큰을 지워내고 사용자의 진짜 토큰을 다시 삽입해 넣기때문에 로그파일을 한줄 한줄 꼼꼼히 살펴보지 않는 한 알아채기 힘든 공략 방식입니다.
1. 공격자는 피해자에게 사회공학적 해킹 방법을 사용하여 드라이브 응용프로그램의 싱크 토큰을 공격합니다.
2. 처음 스위치가 완료되면 싱크 폴더에 원래의 싱크 토큰을 복사합니다.
3. 공격자의 계정으로 드라이브 응용프로그램을 동기화합니다.
4. 공격자는 피해자의 싱크 토큰을 소유하게 됩니다.
5. 공격자는 훔친 싱크 토큰을 사용하여 피해자의 동기화 계정에 연결합니다.
6. 스위치 도구를 실행하여 피해자의 컴퓨터에 원래의 싱크 토큰을 복원합니다.
이런 깨끗한 공격방식으로 피해자의 드라이브 응용프로그램의 상태는 공격전과 동일합니다.
하지만 Plura는 Man-in-the-cloud도 탐지가 가능합니다.
예를 들면 주요 개체(***.exe)를 통한 DLL 인젝션 공격을 탐지하기 위해 ‘개체 감사 ‘설정 후 ‘PluraService의 필터’를 사용하여 실시간으로 탐지 된 결과는 이미 확인 된바 있습니다.
이와 마찬가지로 주요 레지스트리에 ‘개체 감사’설정 후 ‘PluraService의 필터’를 등록하기만 하면 Man-in-the-cloud가 실행될때 Plura에서 그리 어렵지 않게 실시간으로 탐지된 결과를 확인하실 수 있습니다.
[출처] http://www.boannews.com/media/view.asp?idx=47321
임퍼바 http://www.imperva.com/docs/imperva_Hacker_Intelligence_Initiative_No22_Jul2015_v1d.pdf
2015년 8월 6일자 보안뉴스의 “해킹의 진화 : 저렴하고 강력한 Man-in-the-cloud 발견!”이라는 기사가 눈길을 끌었습니다.
Man-in-the-cloud는 클라우드기반의 서버를 공략하여 동기화한 후 피해자 시스템의 레지스트리에서 가짜 토큰을 지워내고 사용자의 진짜 토큰을 다시 삽입해 넣기때문에 로그파일을 한줄 한줄 꼼꼼히 살펴보지 않는 한 알아채기 힘든 공략 방식입니다.
1. 공격자는 피해자에게 사회공학적 해킹 방법을 사용하여 드라이브 응용프로그램의 싱크 토큰을 공격합니다.
2. 처음 스위치가 완료되면 싱크 폴더에 원래의 싱크 토큰을 복사합니다.
3. 공격자의 계정으로 드라이브 응용프로그램을 동기화합니다.
4. 공격자는 피해자의 싱크 토큰을 소유하게 됩니다.
5. 공격자는 훔친 싱크 토큰을 사용하여 피해자의 동기화 계정에 연결합니다.
6. 스위치 도구를 실행하여 피해자의 컴퓨터에 원래의 싱크 토큰을 복원합니다.
이런 깨끗한 공격방식으로 피해자의 드라이브 응용프로그램의 상태는 공격전과 동일합니다.
하지만 Plura는 Man-in-the-cloud도 탐지가 가능합니다.
예를 들면 주요 개체(***.exe)를 통한 DLL 인젝션 공격을 탐지하기 위해 ‘개체 감사 ‘설정 후 ‘PluraService의 필터’를 사용하여 실시간으로 탐지 된 결과는 이미 확인 된바 있습니다.
이와 마찬가지로 주요 레지스트리에 ‘개체 감사’설정 후 ‘PluraService의 필터’를 등록하기만 하면 Man-in-the-cloud가 실행될때 Plura에서 그리 어렵지 않게 실시간으로 탐지된 결과를 확인하실 수 있습니다.
[출처] http://www.boannews.com/media/view.asp?idx=47321임퍼바 http://www.imperva.com/docs/imperva_Hacker_Intelligence_Initiative_No22_Jul2015_v1d.pdf
