스킬캠퍼스
18강 · 포스트 익스플로잇
강의

오늘 끝나면

포스트 익스플로잇

  • 포스트 익스플로잇의 핵심 문제를 한 문장으로 설명한다
  • 오른쪽 실습에서 포스트이 어떻게 움직이는지 관찰한다
  • 다음 강의와 이어지는 한계를 말할 수 있다

실습 미션

들어간 뒤 — 지속성·측면 이동 이 문장이 실제로 무슨 뜻인지 실습에서 한 번 손으로 확인한다.

성공 조건

  • 실습의 기본값을 먼저 관찰
  • 입력값이나 모드를 한 번 이상 바꿔 결과 비교
  • 왜 결과가 바뀌었는지 한 문장으로 설명

화이트해킹 · 18

포스트
익스플로잇

한 대 뚫는 건 시작일 뿐임.
공격자는 그 발판을 지키고 · 옆으로 번지고 · 흔적을 지움.
방어는 망 분할 · 로그 · EDR로 그 모든 단계를 보이게 만드는 것임.

P.01화이트해킹 · 18

들어간 다음이 진짜 시작

영화는 비번 뚫는 데서 끝남. 실제 공격은 거기서부터 시작임.

한 대를 뚫어 발판을 얻은 뒤의 모든 활동을 포스트 익스플로잇이라 부름.
첫 호스트는 대개 별 값어치 없는 끝단임 / 인턴 PC · 노출된 웹서버 같은 것.
공격자가 노리는 진짜 표적은 그 안쪽 — 계정 정보 · DB · 도메인 컨트롤러임.

그래서 침투 직후 네 가지를 함.
발판 유지(지속성) · 옆으로 이동(측면 이동) · 권한 키우기 · 흔적 지우기.
이 강은 그 네 동작과 · 각각을 막는 방어를 한 칸씩 봄.

침투 = 끝이 아니라 1단계
침투 이후의 4단계
1. 침투끝단 한 대 뚫음
2. 지속성다시 들어올 뒷문
3. 측면 이동옆 호스트로 번짐
4. 권한·흔적권한 키우고 자국 지움

비번 뚫기는 1단계 / 진짜는 2~4단계에서 일어남

P.02화이트해킹 · 18

지속성 — 다시 들어올 뒷문

처음 들어온 통로는 언제 막힐지 모름. 그래서 공격자는 따로 뒷문을 심음.

이걸 지속성(persistence)이라 함 / 핵심은 다시 들어올 길을 확보하는 것임.
재부팅·패치·비번 변경에도 살아남게 부팅 항목·예약 작업·서비스에 끼워 둠.
개념만 보면 “시스템이 켜질 때 내 통로도 같이 켜져라”를 등록하는 것임.

방어는 정상 상태와 다른 점을 찾는 것임.
새로 생긴 자동 실행 항목 · 낯선 예약 작업 · 처음 보는 서비스를 표시하면 드러남.
EDR이 부팅 항목 변경을 기록·경보하면 심어둔 뒷문이 곧 보임.

재부팅돼도 살아남는 통로
뒷문이 숨는 자리 — 방어가 표시함
!

부팅 자동 실행

켜질 때 같이 실행

신규 = 의심
!

예약 작업

정해진 시각마다 실행

신규 = 의심
!

서비스 등록

백그라운드 상주

신규 = 의심
방어새로 생긴 자동 실행 항목을 기록·경보
P.03화이트해킹 · 18

측면 이동 — 옆으로 번지기

뚫은 한 대로는 부족함. 공격자는 거기서 옆 호스트로, 또 그 옆으로 번짐.
이걸 측면 이동(lateral movement)이라 함.

오른쪽에서 직접 해봄.
파랑은 점령한 호스트 / 테두리만 파란 노드는 다음 표적임.
한 발 번지기를 누르면 인접한 호스트가 차례로 넘어가고, 결국 도메인 컨트롤러(DC)까지 닿음.

핵심은 인접성임 / 같은 망에서 서로 닿을 수 있으면 한 줄로 이어짐.
그래서 방어 스위치도 같이 있음 — 망 분리를 켜면 분리선 너머 통로가 끊김.
엣지가 뚫려도 코어로 못 넘어가고, 번짐이 한 칸에 갇힘.

Q. 측면 이동이란? (권한을 더 높이기 · 한 시스템에서 다른 시스템으로 침투 확장 · 흔적을 지우기 · 다시 들어올 뒷문 심기)정답은 한 시스템에서 다른 시스템으로 침투를 확장하는 것임.
뚫은 발판을 발판 삼아 인접한 호스트로 옆걸음 치며 표적에 다가감.
권한 키우기·흔적 삭제·뒷문 심기는 포스트 익스플로잇의 다른 동작임.
측면 이동은 그중 “옆으로 번지는” 단계임.
한 대 → 인접 호스트로 확산
측면 이동 시뮬 · 한 칸씩 번짐
점령한 호스트
1/ 6
확산 중
가상 네트워크 — 점령(파랑) → 인접 표적으로 번짐
웹서버PC-1PC-2파일서버DBDCDC
점령다음 표적아직 안전
방어 — 망 분리한 망

엣지와 코어가 한 망에 섞임. 한 대만 뚫리면 DC까지 한 줄로 이어짐.

다음 한 발이면 PC-1로 번짐. 인접한 호스트가 차례로 표적이 됨.

P.04화이트해킹 · 18

권한 유지 · 흔적 삭제

번지는 동안 두 가지를 같이 함 — 더 센 권한을 쥐고 · 다닌 자국을 지움.

끝단 PC는 보통 일반 사용자 권한임 / 그걸로는 깊은 데를 못 봄.
그래서 관리자·시스템 권한으로 올라서려 함(권한 상승) / 한 번 올라서면 그 망에서 못 할 게 줄어듦.
높은 권한은 더 많은 호스트로 번질 열쇠도 됨.

동시에 흔적을 지움 / 로그인 기록·실행 이력·로그 항목을 지우거나 흐림.
방어는 로그를 한곳에 모으는 것임 — 공격자가 닿을 수 없는 별도 서버로 즉시 보냄.
현장 로그는 지워도 · 멀리 보낸 사본은 남아 침입의 경로가 그대로 드러남.

더 높은 권한 + 지워지는 로그
권한 상승 + 흔적 삭제
권한 — 위로 올라설수록 넓어짐
일반 사용자관리자시스템 / 도메인목표 ↑
로그 — 현장은 지워도 사본은 남음

현장 로그

지워짐

원격 사본

그대로 남음

방어로그를 닿을 수 없는 별도 서버로 즉시 전송
P.05화이트해킹 · 18

방어 — 분할 · 로그 · EDR

포스트 익스플로잇은 “들어온 다음 조용히 번지기”임. 방어는 그 조용함을 깨는 것임.

망 분할은 번짐을 끊음 / 망을 조각으로 나눠 한 조각이 뚫려도 옆 조각으로 못 넘어가게 함.
로그는 흔적을 남김 / 누가 · 언제 · 어디서 무엇을 했는지 별도 서버에 모아 지울 수 없게 함.
EDR은 호스트의 행동을 봄 / 낯선 자동 실행·권한 상승·옆 호스트 접속을 실시간으로 경보함.

세 겹이 함께 돌면 공격자는 번질 길이 막히고 · 움직일 때마다 자국을 남기고 · 그 자국이 곧 경보가 됨.
한 대 뚫리는 건 막기 어려워도 · 그게 도메인 전체로 번지는 건 막을 수 있음.
포스트 익스플로잇 방어의 목표는 “침투 0”이 아니라 “번짐 0 · 발각 빠름”임.

Q. 한 대가 뚫려도 망 전체로 번지는 걸 가장 직접 막는 방어는? (백신 설치 · 망 분할 · 비번 길게 · 화면 잠금)정답은 망 분할임.
측면 이동은 인접성으로 번짐 / 망을 조각으로 나누면 분리선 너머로 못 넘어감.
백신·긴 비번·화면 잠금은 첫 침투를 줄이는 데 도움이 되지만 · 이미 들어온 뒤의 확산을 끊지는 못함.
여기에 로그·EDR을 더하면 번짐을 끊고 · 남은 움직임까지 보이게 됨.
번짐을 끊고 · 보이게 만드는 세 겹
포스트 익스플로잇 방어 세 겹
1
망 분할번짐을 끊음

조각으로 나눠 옆 칸 차단

2
로그 집중흔적을 남김

별도 서버에 모아 지울 수 없게

3
EDR행동을 봄

낯선 실행·이동을 실시간 경보

목표는 침투 0이 아니라 — 번짐 0 · 발각 빠름

3줄 요약

  1. 1들어간 뒤 — 지속성·측면 이동
  2. 2포스트 익스플로잇은 기초·정찰 → 웹 취약점 → 시스템 침투 → 네트워크·IoT → 레드팀·AI 흐름 안의 한 칸이다.
  3. 3개념을 외우는 것보다 입력을 바꾸면 무엇이 달라지는지 보는 것이 우선이다.

완료 전 점검

복습 카드

포스트

들어간 뒤 — 지속성·측면 이동

취약점

공격에 악용될 수 있는 시스템의 약점

익스플로잇

취약점을 실제로 이용하는 코드나 기법