이기는 싸움을 위한 사이버위협분석 및...
Transcript of 이기는 싸움을 위한 사이버위협분석 및...
이기는 싸움을 위한사이버위협분석 및 정보공유
2016.7.11
사이버침해대응본부 종합분석팀한승원 책임연구원
INTERNET
INDUSTRY
GLOBALSECURITY
Content
사이버 위협분석 전략Ⅱ
정보공유 방안Ⅲ
결론Ⅳ
최근 사이버 위협 현황Ⅰ
최근 사이버 보안 위협Ⅰ
1.1 사고 현황
1.2 분석 현황
1.3 종합
Ⅰ. 최근 사이버 보안 위협
사고 현황1
OO 해커조직에 의해 국내 보안업체 내부망이 해킹되고, 코드서명인증서가 유출되어 악용(악성코드 유포)된 사건(5.31, 검찰수사결과 발표)
외부에 노출된 (1차)웹서버가 해킹되어 (2차)사내 개발자PC 악성코드에 감염,
(3차)정보유출방지 솔루션의 인증 취약점으로 인해 내부망 이용자 악성코드 전파
Ⅰ. 최근 사이버 보안 위협
사고 현황1
OO 해커조직에 의해 국내 대기업 내부망이 해킹되고, 방산관련주요 자료가 유출된 사건 (6.13, 경찰수사결과 발표)
(1차)거래처 등 사칭 이메일 통해 침투, (2차)PC 자산관리 제품의 인증취약점을 이용하여 국내 대기업 내부망에 침투 후 방산 관련 정보 유출
(문제점) 보안업체, 대기업 등 내부PC 악성코드(RAT) 유포 후
중앙관리 S/W의 취약점을 악용하여 기업 전체 시스템 감염
* 중앙관리형S/W : 자산관리시스템, 패치관리시스템, 백신, 그룹웨어, 메신저 등
Ⅰ. 최근 사이버 보안 위협
분석 현황2
출처 : 시만텍, 인터넷보안위협보고서 ISTR(16.04)
Ⅰ. 최근 사이버 보안 위협
분석 현황2
침해사고의 53%가 외부로부터 인지되며,
발견시점은 내부에서 발견하는 경우 약 2달, 외부인 경우 약 1년 소요
출처 : Mandiant (‘16.3)
Ⅰ. 최근 사이버 보안 위협
분석 현황2
출처 : Encapsula ‘15.12
Ⅰ. 최근 사이버 보안 위협
분석 현황2
-IP 및 Port 스캔 (SSH, RDP, VNC..)
-웹 서비스 (WP, XE, ooo board ..)
O 취약한 웹사이트 스캔 및 해킹 사례
※ 파일명 규칙 : [년월일시분초].[asp, jpg, asp;(1).jpg]
3일
1,000여개 웹셸
O 내부 동일 취약점을 통한 내부 전파 사례
100여개 웹서버
O 개발자, 관리자가 사용하는 서버가 침해를 당한다면…
네트워크 구성도, 네트워크 주소, ID, PWD,
내부 업무자료, 기밀자료 등등
O xDedic 사이버 블랙마켓, 70,624개 서버 판매 중(Kaspersky, ‘16. 6.15)
RDP BF
* 사이버부대 美 8만명, 中 18만명, 北도 6000명인데, 한국은 500명(조선일보, 15.7.24)
전체 통신의 약 30%는 공격
약 80%의 웹사이트는 취약
이미 수 천만대의 서버는 좀비화
제로데이 매주에 1건씩 발생
PC 1대 감염시 내부망 전체 확산
침해사고 인지까지 대략 2달에서 1년
사이버 위협 현황 종합3
사이버 위협분석 전략Ⅱ
2.1 분석 전략
2.2 분석 도구
분석전략 (1)1
지형을 이용하면 열세한 병력으로도 적을 대파 할 수 있다.- 손자병법 -
Ⅱ. 사이버 위협분석 전략
Ⅱ. 사이버 위협분석 전략
업무망 서비스망
DB
관리자콘솔
업무용 PC
ETC PMS File Server
WEB
Web Web Web
File Server DB Mail
분석전략 (1)1
System Vul
Service Vul
Program Vul
취약점 점검 침해사고
Known Vul
Zeroday Vul
Infected...
[아웃바운드 사이버 위협 분석 체계]
o 침해사고 탐지 및 사전대응 침해사고 분석 및 대응 컨셉
o Cyber Kill Chain 중에서 ‘Control’, ‘Execute’, ‘Maintain’은 아웃바운드
분석전략 (2)1
Ⅱ. 사이버 위협분석 전략
2
(1) 전수 데이터
(2) 추출 데이터
(3) 세션 데이터
(4) 트랜잭션 데이터
(5) 통계 데이터
(6) 메타 데이터
(7) 경보 데이터
분석 도구
Ⅱ. 사이버 위협분석 전략
Bro, What Can It Do?
2 분석 도구
Ⅱ. 사이버 위협분석 전략
2 분석 도구
Ⅱ. 사이버 위협분석 전략
Network Protocols Log
로그 이름 로그 설명
conn.log TCP,UDP,ICMP 연결 정보
dhcp.log DHCP 리스 정보
dns.log DNS 활동 정보
ftp.log FTP 활동 정보
http.log HTTP 요청 및 응답 정보
irc.log IRC 명령 및 응답 정보
kerberos.log 케르베로스 정보
mysql.log MySQL 정보
radius.log RADIUS 인증 시도 정보
rdp.log RDP 정보
smtp.log SMTP 트랜젝션 정보
snmp.log SNMP 메시지 정보
socks.log SOCKS 프록시 요청 정보
ssh.log SSH 연결 정보
ssl.log SSL/TLS 핸드쉐이크 정보
syslog.log Syslog 메시지 정보
tunnel.log Tunneling 프로토콜 이벤트 정보
시간별 Pkts량 (TCP)
시간별 bytes량 (TCP)
2 분석 도구
Ⅱ. 사이버 위협분석 전략
2 분석 도구
Ⅱ. 사이버 위협분석 전략
Ⅲ. 위협분석 사례
출처:http://www.networkworld.com/article/2886283/security0/top-10-dns-attacks-likely-to-infiltrate-your-network.html#slide9
1. Distributed Reflectoin Dos Attack 2. Cache Poisoning 3. TCP Syn Floodings ..
2 분석 도구
SSH
1461181851.740942 - - - - - - - - - SSH::Password_Guessing 59.45.79.xx appears to be guessing SSH passwords (seen in 37 connections). Sampled servers: x.x.x.181, x.x.x.179, x.x.x.183 - - - eth3-9 Notice::ACTION_LOG 3600.000000 F - - - - -
HTTP
1461181395.762759 - - - - - - - - - HTTP::SQL_Injection_Attacker An SQL injection attacker was discovered! – xx.xxx.240.39 - - - eth2-6 Notice::ACTION_LOG 3600.000000 F - - - - -
2 분석 도구
Ⅱ. 사이버 위협분석 전략
2 분석 도구
Ⅱ. 사이버 위협분석 전략
2 분석 도구
Ⅱ. 사이버 위협분석 전략
OO 네트워크 위협분석 결과, 100여개 침해사고 및 감염서버 (15년.11월)
사고발생 및 확산
(10.29~)
침해사고 인지 및
조치 (11.1~)
2 분석 도구
Ⅱ. 사이버 위협분석 전략
15대 위협 잔존
정보공유 방안Ⅲ
3.1 위협정보 생산
3.2 위협정보 공유
GhostRAT 계열 좀비 서버 68개(4.7)
zxShell 계열 좀비 서버 42개(4.7) Adore 계열 좀비 서버 30개(4.7)
1 위협정보 생산
Ⅲ. 정보공유 방안
Ⅲ. 정보공유 방안
위협정보 생산1
공격IP(웹셸, MSTS,
SSH 접속 IP 등)
공격도구(스캔도구, 웹셸,
루트킷, 악성코드 등)
명령제어리소스(IP, 도메인,
포트)
공격 방식(로그인, 특정게시판, 서비스
취약점 등)
유포지 및경유지
(도메인, IP 등)
악성코드(코드 유사성)
설정(파일명, 위치,
자동실행 방식, 아파치 모듈 등)
Ⅲ. 정보공유 방안
위협정보 생산1
공격IP중국, 대만,
국내 등 웹셸및 원격제어IP 약 100개
공격도구A.NG-RK,
웹셸관리도구 및
게시판취약점
스캐너, 웹셸등 00종
명령제어리소스
중국 리셀링, 해킹서버30여대 등
공격 방식관리자 RAT, 동일ID/PW, CDN 서비스원격취약점,
특정게시판등00개유형
악성코드원격제어, 파밍, APK
악성코드 등00종
설정lib, var 위치루트킷 및키로그
파일명, rc.d등부팅시
실행, 등 00종
유포지 및경유지
OOOIDC, OOO호스팅, OO소프트 등
500여대
Ⅲ. 정보공유 방안
위협정보 생산1
위협정보수집
위협정보분석
Ⅲ. 정보공유 방안
위협정보 공유2
Ⅲ. 정보공유 방안
위협정보 공유2
Ⅲ. 정보공유 방안
위협정보 공유2
C-TAS E-Mail
[업무 및 프로세스화][운영 네트워크 현황] [사이버 위협분석 환경 구축] [사이버 위협분석]
…
결론Ⅳ
Ⅳ. 결론
INTERNET
INDUSTRY
GLOBAL
SECURITY
감사합니다