이기는 싸움을 위한 사이버위협분석 및...

이기는 싸움을 위한사이버위협분석 및 정보공유

2016.7.11

사이버침해대응본부 종합분석팀한승원 책임연구원

INTERNET

INDUSTRY

GLOBALSECURITY

Content

사이버 위협분석 전략Ⅱ

정보공유 방안Ⅲ

결론Ⅳ

최근 사이버 위협 현황Ⅰ

최근 사이버 보안 위협Ⅰ

1.1 사고 현황

1.2 분석 현황

1.3 종합

Ⅰ. 최근 사이버 보안 위협

사고 현황1

OO 해커조직에 의해 국내 보안업체 내부망이 해킹되고, 코드서명인증서가 유출되어 악용(악성코드 유포)된 사건(5.31, 검찰수사결과 발표)

외부에 노출된 (1차)웹서버가 해킹되어 (2차)사내 개발자PC 악성코드에 감염,

(3차)정보유출방지 솔루션의 인증 취약점으로 인해 내부망 이용자 악성코드 전파


사고 현황1

OO 해커조직에 의해 국내 대기업 내부망이 해킹되고, 방산관련주요 자료가 유출된 사건 (6.13, 경찰수사결과 발표)

(1차)거래처 등 사칭 이메일 통해 침투, (2차)PC 자산관리 제품의 인증취약점을 이용하여 국내 대기업 내부망에 침투 후 방산 관련 정보 유출

(문제점) 보안업체, 대기업 등 내부PC 악성코드(RAT) 유포 후

중앙관리 S/W의 취약점을 악용하여 기업 전체 시스템 감염

* 중앙관리형S/W : 자산관리시스템, 패치관리시스템, 백신, 그룹웨어, 메신저 등


분석 현황2

출처 : 시만텍, 인터넷보안위협보고서 ISTR(16.04)


분석 현황2

침해사고의 53%가 외부로부터 인지되며,

발견시점은 내부에서 발견하는 경우 약 2달, 외부인 경우 약 1년 소요

출처 : Mandiant (‘16.3)


분석 현황2

출처 : Encapsula ‘15.12


분석 현황2

-IP 및 Port 스캔 (SSH, RDP, VNC..)

-웹 서비스 (WP, XE, ooo board ..)

O 취약한 웹사이트 스캔 및 해킹 사례

※ 파일명 규칙 : [년월일시분초].[asp, jpg, asp;(1).jpg]

3일

1,000여개 웹셸

O 내부 동일 취약점을 통한 내부 전파 사례

100여개 웹서버

O 개발자, 관리자가 사용하는 서버가 침해를 당한다면…

네트워크 구성도, 네트워크 주소, ID, PWD,

내부 업무자료, 기밀자료 등등

O xDedic 사이버 블랙마켓, 70,624개 서버 판매 중(Kaspersky, ‘16. 6.15)

RDP BF

* 사이버부대 美 8만명, 中 18만명, 北도 6000명인데, 한국은 500명(조선일보, 15.7.24)

전체 통신의 약 30%는 공격

약 80%의 웹사이트는 취약

이미 수 천만대의 서버는 좀비화

제로데이 매주에 1건씩 발생

PC 1대 감염시 내부망 전체 확산

침해사고 인지까지 대략 2달에서 1년

사이버 위협 현황 종합3

사이버 위협분석 전략Ⅱ

2.1 분석 전략

2.2 분석 도구

분석전략 (1)1

지형을 이용하면 열세한 병력으로도 적을 대파 할 수 있다.- 손자병법 -

Ⅱ. 사이버 위협분석 전략


업무망 서비스망

DB

관리자콘솔

업무용 PC

ETC PMS File Server

WEB

Web Web Web

File Server DB Mail

분석전략 (1)1

System Vul

Service Vul

Program Vul

취약점 점검 침해사고

Known Vul

Zeroday Vul

Infected...

[아웃바운드 사이버 위협 분석 체계]

o 침해사고 탐지 및 사전대응 침해사고 분석 및 대응 컨셉

o Cyber Kill Chain 중에서 ‘Control’, ‘Execute’, ‘Maintain’은 아웃바운드

분석전략 (2)1


2

(1) 전수 데이터

(2) 추출 데이터

(3) 세션 데이터

(4) 트랜잭션 데이터

(5) 통계 데이터

(6) 메타 데이터

(7) 경보 데이터

분석 도구


Bro, What Can It Do?

2 분석 도구


2 분석 도구


Network Protocols Log

로그 이름 로그 설명

conn.log TCP,UDP,ICMP 연결 정보

dhcp.log DHCP 리스 정보

dns.log DNS 활동 정보

ftp.log FTP 활동 정보

http.log HTTP 요청 및 응답 정보

irc.log IRC 명령 및 응답 정보

kerberos.log 케르베로스 정보

mysql.log MySQL 정보

radius.log RADIUS 인증 시도 정보

rdp.log RDP 정보

smtp.log SMTP 트랜젝션 정보

snmp.log SNMP 메시지 정보

socks.log SOCKS 프록시 요청 정보

ssh.log SSH 연결 정보

ssl.log SSL/TLS 핸드쉐이크 정보

syslog.log Syslog 메시지 정보

tunnel.log Tunneling 프로토콜 이벤트 정보

시간별 Pkts량 (TCP)

시간별 bytes량 (TCP)

2 분석 도구


2 분석 도구


Ⅲ. 위협분석 사례

출처:http://www.networkworld.com/article/2886283/security0/top-10-dns-attacks-likely-to-infiltrate-your-network.html#slide9

1. Distributed Reflectoin Dos Attack 2. Cache Poisoning 3. TCP Syn Floodings ..

2 분석 도구

SSH

1461181851.740942 - - - - - - - - - SSH::Password_Guessing 59.45.79.xx appears to be guessing SSH passwords (seen in 37 connections). Sampled servers: x.x.x.181, x.x.x.179, x.x.x.183 - - - eth3-9 Notice::ACTION_LOG 3600.000000 F - - - - -

HTTP

1461181395.762759 - - - - - - - - - HTTP::SQL_Injection_Attacker An SQL injection attacker was discovered! – xx.xxx.240.39 - - - eth2-6 Notice::ACTION_LOG 3600.000000 F - - - - -

2 분석 도구


2 분석 도구


2 분석 도구


OO 네트워크 위협분석 결과, 100여개 침해사고 및 감염서버 (15년.11월)

사고발생 및 확산

(10.29~)

침해사고 인지 및

조치 (11.1~)

2 분석 도구


15대 위협 잔존

정보공유 방안Ⅲ

3.1 위협정보 생산

3.2 위협정보 공유

GhostRAT 계열 좀비 서버 68개(4.7)

zxShell 계열 좀비 서버 42개(4.7) Adore 계열 좀비 서버 30개(4.7)

1 위협정보 생산

Ⅲ. 정보공유 방안


위협정보 생산1

공격IP(웹셸, MSTS,

SSH 접속 IP 등)

공격도구(스캔도구, 웹셸,

루트킷, 악성코드 등)

명령제어리소스(IP, 도메인,

포트)

공격 방식(로그인, 특정게시판, 서비스

취약점 등)

유포지 및경유지

(도메인, IP 등)

악성코드(코드 유사성)

설정(파일명, 위치,

자동실행 방식, 아파치 모듈 등)



공격IP중국, 대만,

국내 등 웹셸및 원격제어IP 약 100개

공격도구A.NG-RK,

웹셸관리도구 및

게시판취약점

스캐너, 웹셸등 00종

명령제어리소스

중국 리셀링, 해킹서버30여대 등

공격 방식관리자 RAT, 동일ID/PW, CDN 서비스원격취약점,

특정게시판등00개유형

악성코드원격제어, 파밍, APK

악성코드 등00종

설정lib, var 위치루트킷 및키로그

파일명, rc.d등부팅시

실행, 등 00종

유포지 및경유지

OOOIDC, OOO호스팅, OO소프트 등

500여대



위협정보수집

위협정보분석


위협정보 공유2



C-TAS E-Mail

[업무 및 프로세스화][운영 네트워크 현황] [사이버 위협분석 환경 구축] [사이버 위협분석]

…

결론Ⅳ

Ⅳ. 결론

INTERNET

INDUSTRY

GLOBAL

SECURITY

감사합니다

이기는 싸움을 위한 사이버위협분석 및...

Documents

Transcript of 이기는 싸움을 위한 사이버위협분석 및...