10·11주

Source: Dev.to

접근 유지: 사후 활용 기초 (세션 10 요약)

이 요약은 구조화된 보안 평가 인프라 내에서 접근 유지에 관한 세션 10의 주요 이론적 개념과 정의를 다룹니다.

초기 목표 네트워크에 대한 접근이 확보되면, 지속적인 거점을 구축하는 이유는 다음과 같습니다.

• 효율성: 초기 악용 단계를 반복할 필요가 없으며(“바퀴를 다시 만들 필요 없음”)
• 구성 복원력: 원래 진입 벡터나 취약점이 관리자에 의해 패치되거나 수정되어도 연속성을 보장
• 시스템 강화 조정: 기본 경계 방화벽이나 필터가 업데이트되어도 분석가가 테스트를 계속 진행 가능
• 운영 고려 사항: 장기 침투 테스트 수행 시 상당한 자원 시간을 절감하면서도 항상 법적·윤리적 한계 내에 머무름

보안 테스트 아키텍처는 지속성 메커니즘을 OS 백도어, 프로토콜 터널링, 웹 기반 백도어의 세 가지 주요 방법으로 분류합니다.

OS 백도어

OS 백도어는 표준 인증 경로를 완전히 우회하여 호스트 환경에 접근할 수 있는 방법을 제공합니다.

• 프로세스 인젝션 (Cymothoa): 기존의 합법적인 실행 중인 시스템 프로세스(예: 시스템 데몬)의 메모리 공간에 쉘코드를 직접 주입하도록 설계된 유틸리티입니다. 실행 중인 프로세스 ID(PID)에 연결함으로써 백도어 실행은 해당 애플리케이션의 권한 컨텍스트를 안전하게 상속받으며, 눈에 띄는 독립 프로세스를 생성하지 않습니다.
• 고급 프레임워크: Meterpreter, Intersect와 같은 플랫폼을 사용해 로컬 환경 지속성을 자동으로 관리합니다.

프로토콜 터널링

터널링은 한 네트워크 프로토콜을 다른 네트워크 프로토콜 안에 캡슐화하여 경계 방어를 안전하게 우회하는 방식을 말합니다.

• 목적: 대상