Introduction
2006년, United States Air Force (USAF) 분석가들은 Advanced PErsistent Threat 용어를 만들어냈다.
Bejtlich는 해당 용어에 대한 설명을 아래와 같이 하고 있다.
- Advanced의 뜻은 공격자는 능숙하게 컴퓨터 공격 툴과 기술들을 다룰 줄 알고 일반적인 exploit을 개발 가능하다는 것을 의미한다. 즉, 다시 이야기하자면 Advanced 의 단어 그대로 고급, 진화된 어떤 기술을 의미하는 것으로 생각된다. 최근을 기준으로 다시 이야기하자면 은밀하게 시스템들을 장악할 수 있는 Zero-Day 취약점들과 새로운 형태의 악성코드 제작을 뜻할 수 있다.
- Persistent의 뜻은 특정 임무를 달성하기 위한 공격자라고 설명할 수 있다. 공격자들은 특정 목표를 위해 지시와 일을 받게된다. 그리고 공격을 하는 조직에서 원하는 목적이 달성될 때까지 지속적으로 끊임없이 새로운 기술들을 사용해 공격한다는 의미이다.
- Threat의 뜻은 '위협'이다. 어디로부터의 윟위협? 조직화된, 투자된, 동기부여된 공격자로부터의 위협이다. 악성코드의 위협, 취약점의 위협 등 사회 공학적 다양한 위협을 뜻할 수 있다.
The anatomy of an Advanced Persistent Threat [Cutler, 2010] 에서는 전형적인 APT 전략을 아래와 같이 기술하고 있다.
- 공격자는 사회공학적 기법과 malware를 통하여 피해 시스템의 foothold를 얻는다.
- 공격자는 감염 PC의 시스템이 Network Driver와 연결됐는지 확인하기 위해 Shell Prompt를 Open 한다.
- Prompting 공격자에 의해 감염 시스템은 Network Drive에 연결되고 Port Scan을 한다.
- 공격자는 사용가능한 Prot들과 서비스들을 찾게되고, Network Segment 들을 확인한다.
- 공격자의 수중에 들어간 Network 지도는 고가치 자산을 가진 VIP 피해자를 Targeting 하게 된다.