실 사례를 통해 본 네트워크 분석/포렌식의 범위와 효용

joonkim@narusec.com

• 경찰청 사이버범죄 전문가그룹 위원• 국군사이버사령부 자문위원• 정보통신망 침해사고 민관합동조사단 전문가• 국방부 침해사고분석 지원 및 자문위원• (주)나루씨큐리티 대표이사• 한국인터넷 진흥원 침해사고대응센터 연구원• 알버타 주립대학교 PINT 연구소 연구원• 2008 FIRST Security Best Practice 수상• 고려대학교 사이버국방학과 해킹방어 이론과 실습 강의• 네트워크 보안 모니터링 외 2권 번역

발표자 소개

발표내용(Case Study)

BGP ANALYSIS

2014.12.23 AS131279 현황분석

PHARMING NETWORK

PHARMING NETWORK ANALYSIS

A Week in a ISP DNS

Weekly QPS(Bird View)

Attack Under The Radar

0.0

200.0

400.0

600.0

800.0

0

100,000

200,000

300,000

400,000

001lv.com immunet.com lm990.com ptbet.cn ysc888.com

query counts avg qps

116.743119.74

1.1351.3391.03178.242

118.752115.172111.863

1.0427.117

703.301

217.133217.133

703.301

7.1171.042

111.863115.172118.75278.242

1.0311.3391.135

119.74116.743

Slow Drip Detection Matrix

attacked domain unique IP total query unique sub domain dup ratio001lv.com 4679 183912 157362 14.4%game8118.com 5596 389629 309083 20.7%ibm.com 1 259570 90971 65.0%immunet.com 118 6756 4917 27.2%kouangel.com 1 67677 59786 11.7%lgopp.com 1 44226 44209 0.0%lm990.com 1 121958 121942 0.0%p57.co 3 97802 97341 0.5%pizzahut.co.kr 8 40426 8060 80.1%ptbet.cn 3 8066 7551 6.4%skbroadband.com 1637 10104 4946 51.0%yidu55.com 1 94475 94475 0.0%ysc888.com 1 83471 17407 20.9%

Attack Patterns

HOW SLOW DRIP WORKS

ISP A

ISP B

PC/HOME ROUTER Target DNSISP Cache DNS Clean IP

Unprotected Infrastructure

Well Protected Attacker

Global Anycast DNS Service DDoS Sheltering History

DDoS As a Service Frequent DDoS Targets

내부망 보안분석

INTERNAL NETWORK ANALYSIS

Overall Binary Downloading Trends

Geographical Distribution of Beacon Callback

Beacon Callback Trends

Long Connection Trends in TMON

Persistent Connection Status

PUP/PUA Program

Overall Lateral Movements

Internal Traffics

Significant Lateral Movements

내부망 장기지속통신현황 변화추적

신뢰도 기반 지속통신 분류 및 변화추적

사이버 킬체인 기반 사고추적

내부망 수평이동 변화추적

지속적 정보유출 징후탐지

외부인텔리전스 반영(C-TAS)

SNS Analysis

메시지전송네트워크 조감도 -A

메시지전송네트워크 조감도 -B

적은자원에서�다수의�메시지�전송

다수의�자원에서�소수의�메시지�전송

다수의�자원에서�소수의�메시지�전송