Andariel 공격 그룹이 활용하는 RID Hijacking 공격 기법
Contents
Andariel 공격 그룹이 활용하는 RID Hijacking 공격 기법
ASEC(AhnLab SEcurity intelligence Center)은 Andariel 공격 그룹이 침해 과정에서 악성 파일을 이용해 RID Hijacking 공격을 수행하는 것을 확인했다.
RID Hijacking은 일반 사용자나 게스트 계정과 같이 제한된 권한을 가진 계정의 RID(상대 식별자)값을 관리자와 같이 높은 권한을 가진 계정의 RID 값으로 변조하는 공격 기법이다. 한국인터넷진흥원에서 공개한 “TTPs #11: Operation An Octopus – 중앙 집중형 관리 솔루션을 노리는 공격전략 분석” 에서도 Andariel 공격 그룹이 운영체제 내 백도어 계정을 생성할 때 RID Hijacking 기법을 사용한다고 언급했다. RID Hijacking 공격은 숨김 계정을 생성하고 해당 계정의 RID 값을 수정하기 때문에 피해 기업에서 행위를 탐지하기 어렵다.
본 블로그에서는 RID Hijacking 공격 과정과 침해 사고에서 활용된 기법에 대해 설명한다.
1. RID Hijacking 개념
RID Hijacking이란, 일반 사용자 또는 게스트 계정 등 낮은 권한의 계정 RID 값을 상위 권한(관리자)을 가지고 있는 계정의 RID 값으로 변조하는 공격 기법이다. 공격자는 RID 값을 변조함으로써 해당 계정이 관리자 권한을 가진 것처럼 시스템을 속일 수 있다. RID Hijacking을 수행할 때 공격자는 …
ASEC(AhnLab SEcurity intelligence Center)은 Andariel 공격 그룹이 침해 과정에서 악성 파일을 이용해 RID Hijacking 공격을 수행하는 것을 확인했다.
RID Hijacking은 일반 사용자나 게스트 계정과 같이 제한된 권한을 가진 계정의 RID(상대 식별자)값을 관리자와 같이 높은 권한을 가진 계정의 RID 값으로 변조하는 공격 기법이다. 한국인터넷진흥원에서 공개한 “TTPs #11: Operation An Octopus – 중앙 집중형 관리 솔루션을 노리는 공격전략 분석” 에서도 Andariel 공격 그룹이 운영체제 내 백도어 계정을 생성할 때 RID Hijacking 기법을 사용한다고 언급했다. RID Hijacking 공격은 숨김 계정을 생성하고 해당 계정의 RID 값을 수정하기 때문에 피해 기업에서 행위를 탐지하기 어렵다.
본 블로그에서는 RID Hijacking 공격 과정과 침해 사고에서 활용된 기법에 대해 설명한다.
1. RID Hijacking 개념
RID Hijacking이란, 일반 사용자 또는 게스트 계정 등 낮은 권한의 계정 RID 값을 상위 권한(관리자)을 가지고 있는 계정의 RID 값으로 변조하는 공격 기법이다. 공격자는 RID 값을 변조함으로써 해당 계정이 관리자 권한을 가진 것처럼 시스템을 속일 수 있다. RID Hijacking을 수행할 때 공격자는 …