What is Cyber kill chain

Cyber kill chain
사이버 킬 체인

Kill Chain is a preemptive attack strategy proposed to defend Iraqi missiles in the Gulf War (1991).
킬 체인은 걸프전(1991)에서 이라크군의 미사일을 방어하기 위해 제시된 선제 공격형 방어 전략이다.

The term is generally means to detect missile launch signs and strike missile launcher in advance.
일반적으로는 발사 징후를 탐지하여 사전에 미사일 시설을 타격한다는 의미로 사용된다.

This is because it is technically easier than shooting down missiles that have already been launched.
이는 이미 발사된 미사일을 격추하는 것보다 기술적으로 수월하기 때문이다.

The key of this strategy is the concept of blocking an attack by breaking(kill) the intermediate process(chain) of enemy activity leading to an attack.
이 전략의 핵심은 적의 활동이 공격으로 이어지는 중간 과정을(chain) 끊어버림으로써(kill) 공격을 차단한다는 개념이다.

The first use of the word cyber kill chain was weapon company Lockheed Martin(2011).
사이버 킬 체인이란 단어를 최초 사용한 곳은 방위산업체 록히드 마틴(2011)이다.

Cyber Kill Chain is a defense strategy against cyber attacks and suggests each countermeasure according to the 7 stages of enemy APT attacks.
사이버 킬 체인은 사이버 공격에 대한 방어 전략이며, 적의 APT 공격의 7단계에 따른 각각의 대응 방법을 제시한다.

The key here is to prevent the final attack by taking appropriate steps at each stage.
여기에서의 핵심은 각 단계별 적절한 대응을 통해 최종적인 공격을 예방하는 것이다.

This does not include the meaning of preemptive strikes against attackers as in the kill chains used by the military.
이는 군에서 사용하는 킬 체인에서처럼 공격 주체에 대한 선제 타격의 의미는 포함되어 있지는 않다.

However, they have something in common in terms of proactive attack prevention.
그러나 사전 대응을 통한 공격 차단이라는 측면에서는 공통점이 있다.

The reason this strategy can defended is in the property of the attack.
이러한 전략으로 방어가 가능한 이유는 공격의 특성에 있다.

There are many steps in the attack, and the previous stage is required to move on to the next stage.
공격에는 단계가 있으며 이전 단계는 다음 단계로 진행하기 위해 필수적으로 요구되기 때문이다.

For example, in order to launch a missile, there are steps to enter the target's coordinates.
예를 들어 미사일을 발사하기 위해서는 목표물의 좌표를 입력해야 하는 단계가 있다.

When this process takes place, disturbing the enemy's information system causes malfunctions such as entering wrong coordinates, the attack can be fails.
이 과정이 이루어지는 시점에 적의 정보 체계를 교란하면 잘못된 좌표를 기입하게되는 등의 오작동이 유발되어 결국 공격에 실패하게 된다는 원리이다.

This strategy is more active than traditional action that only after an attack occurs, since the concept of "prevention" is included.
이러한 전략은 "예방"이라는 개념이 포함되기에 비로소 공격이 발생한 이후에야 급히 대응하는 전통적인 대응 방식보다 적극적이다.

Lockheed Martin's cyber kill chain concept presents seven steps leading up to an attack. If you interrupt any of the intermediate steps, the attack will fail.
록히드 마틴의 사이버 킬 체인 개념은 공격으로 귀결되기까지의 단계를 7가지로 제시하였으며 다음과 같다. 중간 과정 중 하나라도 끊으면 공격은 실패하게 된다.

1. Reconnaissance: Identify, investigate, and select attack targets.
정찰: 공격 목표 식별, 조사, 선정.
2. Weaponization: Select and prepare cyber weapons for intrusion.
무기화: 침투용 사이버 웨폰 선정, 준비.
3. Delivery: Deploy cyber weapon.
운반: 사이버 웨폰 배치.
4. Exploitation: Intrude the system through the use of cyber weapons.
취약점 공격: 사이버 웨폰 사용을 통한 시스템 침투.
5. Installation: Install malicious code on intruded systems.
설치: 침투한 시스템에 악성 코드 설치.
6. C&C(command & control): Build a remote control environment with the malicious code.
지휘통제: 악성 코드로 원격 제어 환경 구축.
7. Actions on objectives: Achieve goals such as information leakage and system destruction.
공격 전개: 정보 유출, 시스템 파괴 등의 목표 달성.

See the links below for how to respond to each step.
각 단계에 대한 대응 방법은 아래 링크를 참조한다.
https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/Gaining_the_Advantage_Cyber_Kill_Chain.pdf

What is Browser fingerprinting #1

How to track activity by identifying users via a browser.
브라우저를 매개로 사용자를 식별하여 활동을 추적하는 방법.

In many cases, cookie is used to track user activity, but browser fingerprinting can be used to track users without cookies.
많은 경우 쿠키를 통해 사용자 활동을 추적하지만, 브라우저 핑거프린팅을 이용하면 쿠키 없이도 추적할 수 있다.

Information can be collected includes:
수집 가능하다고 알려진 정보로는 아래와 같은 것들이 있다.

Language, location, operating system, browser type/version, resolution, search keyword, voice, web cam image, time zone, plugins, keyboard/mouse gestures, available fonts, GPU information, sites visited, etc.
사용 언어, 위치, 운영 체제, 브라우저 종류/버전, 해상도, 검색어, 목소리, 웹 캠 영상, 타임 존, 사용하는 플러그인, 키보드/마우스 동작, 가용한 폰트, GPU 정보, 방문했던 사이트 등

The collected information can be combined to identify each individual.
수집된 정보들을 조합하면 각 개인을 식별할 수 있다.

Browser fingerprinting information is rarely the same. There was a claim that one in every 280,000 was the same.
브라우저 핑거프린팅 정보가 동일한 경우는 드물다. 28만명당 1명꼴로 동일하다는 주장도 있었다.
https://panopticlick.eff.org/static/browser-uniqueness.pdf

Browser fingerprinting is typically used for the purpose of targeting advertising.
브라우저 핑거프린팅은 타게팅 광고를 목적으로 사용되는 것이 대표적이다.

One YouTuber did an experiment. When he launched a Chrome browser and mentioned a certain keyword several times, the related advertisements appeared.
어느 유튜버가 관련된 실험을 하기도 했었다. 크롬 브라우저를 띄운 상태에서 자연스럽게 특정 키워드를 여러 번 언급했더니 관련 광고가 나오더라는 것이다.
https://youtu.be/zBnDWSvaQ1I

It can be a little creepy for someone to intercept personal information, but it's usually harmless. But if someone has a bad heart, it can be misused, so be careful.
개인정보를 누군가 감청한다는 것이 조금 크리피할 수는 있지만 대체로 무해하다. 하지만 누군가 나쁜 마음을 먹으면 악용될 소지가 있으므로 주의가 요구된다.

What is the credential stuffing

크리덴셜 스터핑(Credential stuffing)

- 크리덴셜(Credential): Encrypted authentication information.
암호화된 인증 정보.

- 스터핑(Stuffing): Fill it up. Push. → Large amount of attempt.
채워 넣기. 밀어 넣기. → 다량의 시도.

크리덴셜 스터핑(Credential stuffing)
Submitting a large amount of credentials to the certification system. Mass login attempt. Brute Force.
인증 시스템에 크리덴셜을 다량으로 제출하는 것. 다량 로그인 시도. 브루트 포스.


[Process] 발생 과정
1. Inappropriate security habits of individuals: Use the same password on multiple sites, or reuse old passwords on other sites.
1. 개인의 부적절한 보안 습관: 여러 사이트에서 동일한 비밀번호를 사용하거나, 과거 사용하던 비밀번호를 다른 사이트에서 재활용한다.

2. Security issue occurs: Due to security vulnerabilities, personal information (credentials) of certain institutions are leaked and distributed on the black market.
2. 보안 이슈 발생: 보안 취약점으로 인해 특정 기관의 개인정보(크리덴셜)가 유출되며 암시장에서 유통된다.

3. Inappropriate security response of institution: Failure to detect credential stuffing attacks or lack of capability or manpower may be limited timely response.
3. 기관의 부적절한 보안 대응: 크리덴셜 스터핑 공격을 탐지하지 못하거나, 능력이나 인력 부족 등으로 적시 적절한 대응이 제한될 수 있다.

4. Account hijacked by credential stuffing attack:
Although the success rate is low, it is reported that hijacking hundreds of thousands of accounts is possible if attempted at various sites using tens of millions of credentials. There is also a popular attack tool for this.
4. 크리덴션 스터핑 공격으로 계정 탈취: 성공률은 낮지만, 수백-수천만 개의 크리덴셜로 다양한 사이트에서 시도하다 보면 수십만 개의 계정을 탈취하는 것이 확률상 불가능하지 않은 것으로 보고되고 있다. 이를 위한 유명한 공격 툴도 존재한다
* SentryMBA, Vertex Cracker, Account Hitman etc.

5. Damages: Various threats such as public threats to social media, account deletion, account sales, opening of fake accounts, theft of photos, and withdrawal of funds can occur.
5. 피해 발생: SNS 등에 공개 협박을 받거나, 계정 삭제, 계정 판매, 대포통장 개설, 사진 도용, 자금 인출 등의 다양한 피해가 발생할 수 있다.

What is Kill switch

킬 스위치(Kill switch)

Switch that can disable certain functions.
특정 기능을 중지시킬 수 있는 스위치.

The expression "kill switch is enabled" is used.
"킬 스위치를 활성화한다"는 표현을 사용한다.

If it is enabled, all or part of its functions are stopped. It becomes froze up.
활성화 시 전체 또는 일부 기능이 중지된다. 먹통이 된다.

Kill switches can be applied in a variety of cases.
킬 스위치는 다양한 경우에 적용될 수 있다.

When applied to a smartphone, it means that the function is remotely locked to prevent using from others if lost.
스마트폰에 적용되는 경우, 분실 시 타인이 사용하지 못하도록, 원격으로 기능을 잠근다는 것을 의미한다.

Even if a thief steals someone else's smartphone, the thief will not be able to resell it. So, there is theft prevention effect.
타인의 스마트폰을 탈취하여도 재 판매할 수 없게 되므로, 도난 방지 효과가 생긴다.

When applied to malware, it means disabling its spread or infection functions.
악성코드에 적용되는 경우, 확산이나 감염 기능을 중지시킨다는 것을 의미한다.

The hacker may have planted to stop the attack at the point it wants, but it could be exploited.
해커가 원하는 시점에 공격을 종료하고자 심어 두었겠지만 역 이용될 수도 있다.

When applied to a VPN, at the time when the VPN is disconnected due to deterioration of the network situation, it means to disconnect all current communication(stop the communication function).
VPN에 적용되는 경우, 네트워크 상황 악화 등으로 부득이 VPN 연결이 해제되는 시점에, 현재 통신 중인 모든 연결을 해제(통신 기능을 중지)하는 것을 의미한다.

Disconnecting a VPN at an unwanted time means that personal privacy can be revealed, so it's automatically disconnected to prevent this.
원치 않는 시점에 VPN 연결이 해제된다는 것은, 개인의 사생활이 드러날 수 있다는 것을 의미하기에, 이를 방지하고자 자동으로 연결을 해제하는 것이다.

So, there is the effect of enhancing privacy.
이를 통해, 개인정보보호가 강화되는 효과가 생긴다.

Recently, it was a opinion that network equipment provided in certain countries are equipped with kill switches.
최근엔 특정 국가에서 제공하는 네트워크 장비에 킬 스위치가 장착되어 유통된다는 설도 있었다.

If it is true, a country's network may be paralyzed in case of emergency.
사실이라면 유사시 어느 한 국가의 네트워크를 마비시킬 수도 있을 것이다.

Popular LotL attack tools for hackers

해커에게 인기 있는 LotL 공격 툴

LotL 공격 개요

LotL Attack Overview

An attack technique that bypasses various defense systems using normal tools rather than the inherent tools that leave a unique trace.

특유의 흔적이 남는 고유의 툴보다, 정상 툴을 이용하여 다양한 방어 시스템을 우회하는 공격 기법.


메타스플로잇(Metasploit) / 코발트 스트라이크(Cobalt strike)

It is a popular penetration testing platform used by the security teams of each company.

각 기업의 보안 팀에서 사용되는, 유명한 모의해킹 목적의 플랫폼이다.

It is used disguising a penetration testing but is exploited by real attacks.

모의해킹을 가장하여 실제 공격에 악용된다.


파워쉘(PowerShell)

Command interpreter such as CMD or shell.

CMD나 쉘과 같은 명령어 인터프리터.

It has the advantage of being able to run on Windows as well as Linux (installation required).

윈도우 뿐만 아니라, 리눅스에서도 실행될 수 있다는(설치 필요) 장점이 있다.

There is a PowerSploit, which is a collection of tools developed solely with PowerShell.

파워쉘로만 개발된 툴을 모아놓은 파워스플로잇(PowerSploit)이 존재할 정도이다.


윈도우 시스인터널(Windows Sysinternal)

It is a toolkit for Windows based utilities.

윈도우 기본 유틸리티들을 모아놓은 툴킷.

Remote commands as well as network status and process control can be performed.

네트워크 현황이나 프로세스 제어뿐만 아니라 원격 명령도 수행 가능하다.


VNC(Virtual Network Computing)

RFB protocol based remote access tool.

RFB 프로토콜 기반의 원격 접속 툴.

There is Hidden Virtual Network Computing (HVNC), which is equipped with additional functions such as executing commands with the privileges of the system user while remote accessing, but it is classified as RAT malicious code.

원격 접속 간 시스템 사용자의 권한으로 명령어를 실행 시키는 등의 추가 기능이 탑재된, HVNC(Hidden Virtual Network Computing)라는 것도 있는데, 이는 RAT 악성코드로 분류되기도 한다.


팀뷰어(TeamViewer)

Famous remote access tool.

유명한 원격 접속 툴.

Like any remote access tool, it is used for purpose of dominating system.

어느 원격 접속 툴과 마찬가지로 시스템 장악 목적으로 사용된다.

In general, the TeamViewer account is stolen via brute force.

일반적으로 브루트 포스를 통해 팀뷰어 계정이 탈취된다.

System ports such as 80 or 443 can also be used, and damage cases such as being abused as a backdoor frequently occur.

80이나 443 같은 시스템 포트도 사용할 수 있으며, 백도어로 악용되는 등의 피해사례가 자주 발생한다.


LOLBAS(Living Off the Land Binaries and Scripts)

A project initiated by security experts to identify the normal tools that can be exploited for LotL attacks.

보안 전문가들에 의해 시작된, LotL 공격에 악용될 수 있는 정상 툴을 식별하는 프로젝트.

It includes tools that include functions such as code execution, compilation, download/upload, log collection and security system bypass.

코드 실행, 컴파일, 다운로드/업로드, 로그 등의 정보 수집, 보안 시스템 우회 등의 기능이 포함된 툴을 대상으로 한다.

It is also a certified tool from Microsoft or a downloadable tool.

또한 MS로부터 인증된 툴이거나 다운로드 받을 수 있는 툴이라는 특징이 있다.

What is LotL(Living-off-the Land) attack

LotL(Living-off-the Land) attack
자급자족식 공격.

Attack tactics that utilize software owned by the victim.

희생자가 보유한 소프트웨어를 활용하는 공격 전술.

Although it is a recently highlighted attack way, the concept has existed for about 20 years.

최근 부각되고 있는 공격 방식이지만, 개념은 약 20여 년 전부터 존재했다.

As the protection level of security solutions is improved, attacks using software that can pass through monitoring or are not monitored are attracting attention.

보안 솔루션의 보호 능력이 향상됨에 따라, 감시를 통과할 수 있거나 감시 대상이 아닌 소프트웨어를 이용한 공격 방식이 주목받고 있는 것이다.

Even if the Windows operating system installed, hundreds of legitimate tools also are installed, including CMD and PowerShell.

윈도우 운영체제만 설치해도, CMD, 파워쉘을 포함하여 크고 작은 수백개의 합법적 툴이 존재한다.

Alternatively, there may be software installed by the user but with vulnerability.

또는, 사용자가 설치하였지만 취약점이 심어져 있는 소프트웨어가 존재할 가능성이 있다.

Utilization of normal tools falls into the normal activity category of the system.

정상적인 툴을 활용하는 것은 시스템의 정상 활동 범주에 속하게 된다.

As a result, it has several advantages that are lacking in previous attack methods.

이에 따라, 기존의 공격 방식에서는 결여된, 몇 가지 이점을 갖추게 된다.

1. Using normal tools increases the chances of bypassing various protection measures.

1. 정상 툴을 이용하므로 다양한 보호 대책을 우회할 가능성이 증가한다.

2. The probability of identifying attacker is decreased.

2. 공격자가 누구인지 식별될 확률이 감소한다.

In contrast to the use of the tool itself. the specific behavior pattern of the tool remains in the system.

자체적인 툴 사용 시, 해당 툴 특유의 동작 패턴이 시스템에 남는 것과는 대조적이다.

3. The attack preparation time is shortened.

3. 공격 준비 시간이 단축된다.

This is because there is less or no time for identifying and exploit the vulnerability.

취약점 식별 및 활용에 소요되는 시간이 없거나 감소하기 때문이다.

What is APT attack

APT attack.
APT 공격.

Advanced Persistent Threat.
지능형 지속 위협.

Systematic cyber attacks based on strategy / tactics rather than repetitive or event-based attacks.

반복이나 이벤트식의 각개 공격이 아닌, 전략/전술 기반의 체계적인 사이버 공격.

In order to achieve an effective goal, the contents of each step are distinguished. It is similar to an offensive military operation.

효과적인 목표 달성을 위하여 각 단계별 수행 내용이 구분되며, 공세적 군사 작전과 유사하다.

The lifecycle of APT Attack.
APT 공격의 라이프사이클

Target Analysis → Securing access road → Attack → Evaluate/supplement
표적 분석 → 접근로 확보 → 공격 → 평가/보완

Target Analysis
Plan what attacks will be performed on which target and step.

표적 분석
어떤 표적을 대상으로 어떤 단계에 어떤 공격을 수행할지 계획한다.

Securing access road
Secure and maintain an access road for penetratation.

접근로 확보
침투를 위한 접근로를 확보하며 이를 유지한다.

Attack.
Penetrate through secured access road and carry out a full-out cyber attack to achieve the goal.

공격
확보한 접근로를 통해 침투하여 목표 달성을 위한 본격적인 사이버 공격을 수행한다.

Evaluate/supplement
Evaluate the process and results and supplement the defects, for the more effective APT attacks in the future.

평가/보완
향후 더욱 효과적인 APT 공격을 위해 과정과 결과를 평가하고 미비점을 보완한다.

An attacker generally secures an access road in such a way as to take control of individual systems such as PC or IoT devices exposed to the outside, rather than directly penetrating server-centric centralized and layered defense systems.

공격자는 일반적으로, 서버 중심의 중앙화 및 계층화된 방어 시스템을 직접 침투하는 것보다는, 외부에 노출된 PC나 IOT 기기 등의 각개 시스템을 장악하는 방식으로 접근로를 확보한다.

The access road is sometimes secured through direct hacking, but the way of distributing malicious e-mail or spam messages is often used. It becomes more tricky by impersonating government agencies etc.

접근로 확보는 직접적인 해킹을 통해 달성하는 경우도 있으나, 악성 메일이나 스팸 메시지 등을 유포하는 방식이 자주 사용되는데, 정부기관을 사칭하는 등 그 방법이 점점 교묘해지고 있다.

For example, if employee A responds to an email asking for opening an attachment related the business, this would infect the PC with malicious code, and an attacker who penetrated the central server via that PC would spill out the privacy information. These scenarios are now too clichéd.

예를 들어, 직원 A는 업무와 관련하여 첨부 파일 열람을 요구하는 이메일에 응했을 뿐이지만, 이로 인해 PC가 악성코드에 감염되고, 해당 PC를 통해 중앙 서버에 침투한 공격자가 3개월 뒤 고객정보를 유출하는 시나리오는 이제는 너무 진부하다.