사이버 표적 공격 역추적 (Advanced Persistent Threat Traceback)

* 사이버 표적 공격 역추적 : 공격 시스템 외의 실제 공격 근원지(해커 위치)를 실시간으로 분석, 추적하는 기술

 

 

 

* Advanced Persistent Threat Traceback 방식

방식	내용	예시	세부 분류
IP 기반 역추적	비연결 지향성 통신 방식으로 공격 로그를 분석, 공격자 위치를 추적	확률적 마킹, iTrace, Hop-by-Hop, Overlay 기반 등	전향적 방식 (사전에 역추적 정보를 생성, 패킷에 삽입하여 전달)
			대응적 방식 (피해 시스템에서 해킹 트래픽이 연결된 경로Hop 단계를 추적)
TCP 연결 기반 역추적	연결 지향성 통신 방식으로 역추적	Timing-Based, Thumb Printing, Caller-ID 등	네트워크 연결 추적 (분산 설치된 트래픽 모니터링 장비를 이용)
			호스트 연결 추적 (경유지로 이용되는 호스트를 직접 역추적에 참여시킴)
애플리케이션 기반 역추적	CPU, 메모리 로그 등을 이용하여 주로 침해 대응에 많이 사용	메일 추적기, RAT 도구 탐지, Volatility, Ida 분석, 액티브엑스 분석 등	Non-Plugin (웹 브라우저, PC ㅍ,로세스, 메모리 악성코드를 분석)
			Plugin (웹 브라우저, OS 등에 부가적으로 동작하는 부분 분석)

 

 

 

* 확률적 마킹 : 라우터가 전달하는 패킷의 변경 가능 필드에, 주소 정보를 마킹하여 전달

 

 

 

* Timing-Based 기법 : 양방향 트래픽의 특별한 타이밍 분석을 통해 추적

 

 

 

* RAT 도구 탐지 : 다양한 원격 관리 도구에 대한 실시간 탐지로 역추적