APT 공격 시나리오

1. 공격 기본 정보

공격 대상 : R&B손해보험
공격 이유
: 회사에 등록된 개인 또는 여러 회사들의 중요 정보를 랜섬웨어로 잠그고 돈을 요구하기 위해서 공격
공격 계획
: R&B손해보험에서 주최하는 디지털 취약 계층 서비스 아이디어 공모전에 참가 신청서 및 제출보고서를 이용하여 메일로 침투하는 스피어피싱을 계획

2. 시나리오 등장 인물

3. 토플로지 구성 및 세부 사항

4. 시나리오 타임라인

5. 공격에 사용할 취약점 및 랜섬웨어

사용할 취약점 : CVE-2021-40444
- Microsoft MSHTML Remote Code Execution Vulnerability
  : Microsoft Office 365 및 Office 2019에 영향을 미치는 원격 코드 실행 취약점
사용할 랜섬웨어 : Ransom.py 참고

6. 공격 시현

공격 시현 영상(Youtube)
[01단계] R&B손해보험 공식 블로그에서 참가신청서 다운로드

[02단계] Git에서 공격 코드를 다운 받아 Reverse Shell 생성

[03단계] 문서에 Reverse Shell을 추가하여 악성 문서 파일 제작

[04단계] 공격자(최길동)가 참가신청서와 제출보고서를 김홍보의 외부 메일로 전송

[05단계] 김홍보 내부 PC에서 외부 메일로 로그인한 후 파일 저장

[06단계] 아래의 사진에서 편집 사용을 누르면 악성코드가 실행

[07단계] 김홍보가 편집 사용을 누르면 공격자 PC에서 연결되었음을 확인

[08단계] 안전한 프로세스로 이주한 후, 피해자의 PC가 재부팅된 이후에도
미터프리터가 수행될 수 있도록 에이전트 삽입

[09단계] run vnc 명령어를 통해 피해자 PC 화면을 실시간으로 공격자 PC에서 보기 위한 작업을 수행

[10단계] 공격자는 keyscan을 통해 김홍보의 내부 메일 계정 획득

[11단계] 받은 메일함을 확인하여 보상팀의 최기밀에게 메일이 왔음을 확인하고
지켜보던 공격자가 이를 이용

[12단계] 내부 메일 계정에 접속하기 위해 내부 DNS 서버 IP 검색
- mail.rnb.com의 DNS 주소를 검색해보니 2개의 IP가 나옴
- mail이 붙어 있는 DNS 주소는 메일 서버로 판단하여 위의 IP 주소를
  DNS 주소로 판단하여 사용하기로 결정

[13단계] DNS 주소 설정 후 알아낸 정보들로 공격자 PC에서 김홍보 내부 메일 계정으로 로그인

[14단계] 악성코드가 포함된 문서를 제목을 알맞게 변경한 후 첨부하여
보상팀의 최기밀이 보낸 메일에 답장

[15단계] 최기밀 PC에서 공격자가 보낸 메일이 도착한 것을 확인하고, 저장 후 파일 열고,
편집 사용을 누르면 공격자 PC와 연결됨

[16단계] 랜섬웨어 파일을 최기밀 PC에 업로드 후 실행

[17단계] 파일들이 잠긴 것을 확인

Name		Name	Last commit message	Last commit date
Latest commit History 13 Commits
0. 자료조사		0. 자료조사
1. 공격 준비		1. 공격 준비
2. 공격 시나리오		2. 공격 시나리오
README.md		README.md

K-Shield-Jr/APT

Folders and files

Latest commit

History

Repository files navigation

APT 공격 시나리오

1. 공격 기본 정보

공격 대상 : R&B손해보험

공격 이유 : 회사에 등록된 개인 또는 여러 회사들의 중요 정보를 랜섬웨어로 잠그고 돈을 요구하기 위해서 공격

공격 계획 : R&B손해보험에서 주최하는 디지털 취약 계층 서비스 아이디어 공모전에 참가 신청서 및 제출보고서를 이용하여 메일로 침투하는 스피어피싱을 계획

2. 시나리오 등장 인물

3. 토플로지 구성 및 세부 사항

4. 시나리오 타임라인

5. 공격에 사용할 취약점 및 랜섬웨어

사용할 취약점 : CVE-2021-40444

Microsoft MSHTML Remote Code Execution Vulnerability : Microsoft Office 365 및 Office 2019에 영향을 미치는 원격 코드 실행 취약점

사용할 랜섬웨어 : Ransom.py 참고

6. 공격 시현

[01단계] R&B손해보험 공식 블로그에서 참가신청서 다운로드

[02단계] Git에서 공격 코드를 다운 받아 Reverse Shell 생성

[03단계] 문서에 Reverse Shell을 추가하여 악성 문서 파일 제작

[04단계] 공격자(최길동)가 참가신청서와 제출보고서를 김홍보의 외부 메일로 전송

[05단계] 김홍보 내부 PC에서 외부 메일로 로그인한 후 파일 저장

[06단계] 아래의 사진에서 편집 사용을 누르면 악성코드가 실행

[07단계] 김홍보가 편집 사용을 누르면 공격자 PC에서 연결되었음을 확인

[08단계] 안전한 프로세스로 이주한 후, 피해자의 PC가 재부팅된 이후에도 미터프리터가 수행될 수 있도록 에이전트 삽입

[09단계] run vnc 명령어를 통해 피해자 PC 화면을 실시간으로 공격자 PC에서 보기 위한 작업을 수행

[10단계] 공격자는 keyscan을 통해 김홍보의 내부 메일 계정 획득

[11단계] 받은 메일함을 확인하여 보상팀의 최기밀에게 메일이 왔음을 확인하고 지켜보던 공격자가 이를 이용

[12단계] 내부 메일 계정에 접속하기 위해 내부 DNS 서버 IP 검색

mail.rnb.com의 DNS 주소를 검색해보니 2개의 IP가 나옴

mail이 붙어 있는 DNS 주소는 메일 서버로 판단하여 위의 IP 주소를 DNS 주소로 판단하여 사용하기로 결정

[13단계] DNS 주소 설정 후 알아낸 정보들로 공격자 PC에서 김홍보 내부 메일 계정으로 로그인

[14단계] 악성코드가 포함된 문서를 제목을 알맞게 변경한 후 첨부하여 보상팀의 최기밀이 보낸 메일에 답장

[15단계] 최기밀 PC에서 공격자가 보낸 메일이 도착한 것을 확인하고, 저장 후 파일 열고, 편집 사용을 누르면 공격자 PC와 연결됨

[16단계] 랜섬웨어 파일을 최기밀 PC에 업로드 후 실행

[17단계] 파일들이 잠긴 것을 확인

About

Resources

Stars

Watchers

Forks

Languages

공격 이유
: 회사에 등록된 개인 또는 여러 회사들의 중요 정보를 랜섬웨어로 잠그고 돈을 요구하기 위해서 공격

공격 계획
: R&B손해보험에서 주최하는 디지털 취약 계층 서비스 아이디어 공모전에 참가 신청서 및 제출보고서를 이용하여 메일로 침투하는 스피어피싱을 계획

Microsoft MSHTML Remote Code Execution Vulnerability
: Microsoft Office 365 및 Office 2019에 영향을 미치는 원격 코드 실행 취약점

[08단계] 안전한 프로세스로 이주한 후, 피해자의 PC가 재부팅된 이후에도
미터프리터가 수행될 수 있도록 에이전트 삽입

[11단계] 받은 메일함을 확인하여 보상팀의 최기밀에게 메일이 왔음을 확인하고
지켜보던 공격자가 이를 이용

mail이 붙어 있는 DNS 주소는 메일 서버로 판단하여 위의 IP 주소를
DNS 주소로 판단하여 사용하기로 결정

[14단계] 악성코드가 포함된 문서를 제목을 알맞게 변경한 후 첨부하여
보상팀의 최기밀이 보낸 메일에 답장

[15단계] 최기밀 PC에서 공격자가 보낸 메일이 도착한 것을 확인하고, 저장 후 파일 열고,
편집 사용을 누르면 공격자 PC와 연결됨