[Rookies 보안 28기] 모의해킹 프로젝트 4주차 멘토링 | 생성형 AI를 활용한 사이버보안 전문인력 양성과정

4주차 멘토링 전 시나리오 3개가 아래와 같이 최종 결정되었습니다.

 

1. Web

- 챗봇을 이용한 프롬프트 인젝션

- 정보 탈취 및 관리자 계정 획득

- 획득한 관리자 계정으로 랜섬웨어 배포

 

2. Mobile

- 악성 APK 제작

- 기존 APK를 분석하여 루팅 우회 등 진행

- XSS를 통해 사용자에게 악성 APK 설치 유도

- 사용자 기기 탈취

 

3. Infra

- 회원가입 페이지 SSTI를 통해 backdoor 설치

- WAS Shell을 획득하여 IMDSv2 토큰 획득 및 IAM 권한 획득

- AWS 서비스 무단 조회 및 RDS 접속

- Bastion 접속 후 내부망 VPN 정보 확인

- VPN 연결 후 내부망 접속

- 내부망 크리덴셜 탈취 후 EMR 침투

 

위 시나리오 수행 후 보고서를 작성하였고, 보고서에 대한 피드백을 받았습니다.

 

---

 

1. 취약점 진단 보고서

- 금지 활동 항목 삭제

 

2. 수행계획서

- 일정, 담당자 등 정의

- 점검 기준표가 포함되어야 함

 

3. 중요도 기준

- 기준에 대한 출처 작성 및 상중하 명시

- 중요도와 영향도 구분 필요, 수행 결과에 대한 것은 영향도로 표시

- 공격 가능성 관련

   - 퍼블릭 도메인보다 프라이빗 도메인이 공격 가능성이 낮음 (VPN 필수 접속 등 조건)

   - 그러나 진단 수행 전에는 대상이 퍼블릭인지 프라이빗인지 알 수 없기에 기준 수립 과정에서 공격 가능성을 정의할 수 없음

 

4. 보고서 작성 원칙

- 보는 사람이 보기 편하게 작성

- 취약점 상세 영역에 취약점 위치와 공격 구문 항목 추가

 

---

다음번이 마지막 멘토링입니다. 5회차 때는 보고서 및 시연 영상을 다듬고 발표자료를 제작하여 발표 연습을 해보기로 하였습니다.