Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Wird geladen in …3
×
1 von 109

(FICON2015) #3 어떻게 들어왔는가?

16

Teilen

Herunterladen, um offline zu lesen

FICON (FORENSIC INSIGHT CONFERENCE) 2015
#3 - 어떻게 들어왔는가?
: 안랩 보안위협분석팀 오정훈 연구원

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Ähnliche Hörbücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

(FICON2015) #3 어떻게 들어왔는가?

  1. 1. 어떻게 들어왔는가? 안랩 A-FIRST 오정훈 Jh.oh@ahnlab.com
  2. 2. forensicinsight.org Page 2 Who am I ??  이름 : 오정훈(jh.oh@ahnlab.com)  소속 : 안랩 A-FIRST  업무 : 침해 사고 분석  경력 • 고려대 정보보호대학원 디지털포렌식연구센터(2010.01 ~ 2011.12) • 안랩 A-FIRST(2012.01 ~ 현재) • DFRWS 2011 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity • 2012 미국방성 Digital Forensic Challenge : Overall Civilian Winner • WISA 2012 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity • FIRST 2014 Speaker : A Forensic Analysis of APT Lateral Movement in Windows Environment • 2014 Forensic Insight 공개 세미나 Speaker : APT 내부망 감염 기법 분석  도구 : NTFS Log Tracker, RP Log Tracker ( https://sites.google.com/site/forensicnote/ )
  3. 3. forensicinsight.org Page 3 목차 1. 왜? 어떻게 들어왔는지 알아야 하나? 2. 일반적인 APT 공격 과정 3. 최초 유입 경로 분석 4. 다시 한번…
  4. 4. forensicinsight.org Page 4 왜? 어떻게 들어왔는지 알아야 하나?
  5. 5. forensicinsight.org Page 5 왜? 어떻게 들어왔는지 알아야 하나? 시스템에서 악성코드를 발견하였다면… Oh My God~!!
  6. 6. forensicinsight.org Page 6 왜? 어떻게 들어왔는지 알아야 하나? 시스템에서 악성코드를 발견하였다면… 어떻게 하시나요??
  7. 7. forensicinsight.org Page 7 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응… 백신 치료 or 수동 삭제
  8. 8. forensicinsight.org Page 8 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응… 포멧 or 시스템 교체
  9. 9. forensicinsight.org Page 9 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응… 상황 종료??
  10. 10. forensicinsight.org Page 10 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응…
  11. 11. forensicinsight.org Page 11 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  12. 12. forensicinsight.org Page 12 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  13. 13. forensicinsight.org Page 13 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  14. 14. forensicinsight.org Page 14 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  15. 15. forensicinsight.org Page 15 Introduction 공격자 vs 관리자 ?? 감염 vs 치료
  16. 16. forensicinsight.org Page 16 Introduction 공격자 vs 관리자 ??
  17. 17. forensicinsight.org Page 17 Introduction 공격자 vs 관리자 ??
  18. 18. forensicinsight.org Page 18 Introduction 공격자 vs 관리자 ??
  19. 19. forensicinsight.org Page 19 Introduction 어떤 CEO 께서는… 우리가 모든 시스템과 하드웨어를 가지고 있다. 우리가 이긴다 ~!!
  20. 20. forensicinsight.org Page 20 Introduction
  21. 21. forensicinsight.org Page 21 Introduction 모든 시스템 재설치…
  22. 22. forensicinsight.org Page 22 Introduction 재감염…;;
  23. 23. forensicinsight.org Page 23 Introduction 왜 계속 감염되지 ??
  24. 24. forensicinsight.org Page 24 Introduction File Server 왜 계속 감염되지 ?? 감염된 NVIDIA 드라이버 설치 파일
  25. 25. forensicinsight.org Page 25 Introduction File Server 왜 계속 감염되지 ?? 감염된 NVIDIA 드라이버 설치 파일
  26. 26. forensicinsight.org Page 26 Introduction File Server 왜 계속 감염되지 ?? 감염된 NVIDIA 드라이버 설치 파일
  27. 27. forensicinsight.org Page 27 왜? 어떻게 들어왔는지 알아야 하나? 만약 최초 유입 경로를 찾지 못했다면… What the f…!!
  28. 28. forensicinsight.org Page 28 왜? 어떻게 들어왔는지 알아야 하나? 따라서 … No Initial Breach Point, No Win …
  29. 29. forensicinsight.org Page 29 일반적인 APT 공격 과정
  30. 30. forensicinsight.org Page 30 일반적인 APT 공격 과정
  31. 31. forensicinsight.org Page 31 일반적인 APT 공격 과정
  32. 32. forensicinsight.org Page 32 일반적인 APT 공격 과정 ① Spear Phishing Drive By Download Update Vulnerability 시나리오 1
  33. 33. forensicinsight.org Page 33 일반적인 APT 공격 과정 ② Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 업무망 연결 가능 시스템 Active Directory 시나리오 1
  34. 34. forensicinsight.org Page 34 일반적인 APT 공격 과정 업무망 연결 가능 시스템 ③ RDP/VPN 시나리오 1
  35. 35. forensicinsight.org Page 35 일반적인 APT 공격 과정 업무망 연결 가능 시스템 ④ Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability DB 관리자 시스템 시나리오 1
  36. 36. forensicinsight.org Page 36 일반적인 APT 공격 과정 업무망 연결 가능 시스템 DB 관리자 시스템 ⑤ Connect 시나리오 1
  37. 37. forensicinsight.org Page 37 일반적인 APT 공격 과정 Lateral Movement 시나리오 1
  38. 38. forensicinsight.org Page 38 일반적인 APT 공격 과정 ① Spear Phishing Drive By Download Update Vulnerability 시나리오 2
  39. 39. forensicinsight.org Page 39 일반적인 APT 공격 과정 서버 관리자 시스템 ② Keylogging Sniffing SAM Cracking System Vulnerability 시나리오 2
  40. 40. forensicinsight.org Page 40 일반적인 APT 공격 과정 서버 관리자 시스템 ④ Administrator Account System Vulnerability 시나리오 2
  41. 41. forensicinsight.org Page 41 일반적인 APT 공격 과정 서버 관리자 시스템 ⑤ Patch/File Distribution 업무망 연결 가능 시스템 시나리오 2
  42. 42. forensicinsight.org Page 42 일반적인 APT 공격 과정 서버 관리자 시스템 업무망 연결 가능 시스템 ⑤ File Download 시나리오 2
  43. 43. forensicinsight.org Page 43 일반적인 APT 공격 과정 ① Spear Fishing Drive By Download Update Vulnerability 시나리오 3
  44. 44. forensicinsight.org Page 44 일반적인 APT 공격 과정 정보 수집 시나리오 3
  45. 45. forensicinsight.org Page 45 일반적인 APT 공격 과정 ② Spear Phishing 업무망 연결 가능 시스템 시나리오 3
  46. 46. forensicinsight.org Page 46 일반적인 APT 공격 과정 업무망 연결 가능 시스템 시나리오 3
  47. 47. forensicinsight.org Page 47 일반적인 APT 공격 과정 ① Web App Vulnerability System Vulnerability 시나리오 4-1
  48. 48. forensicinsight.org Page 48 일반적인 APT 공격 과정 ① Web App Vulnerability System Vulnerability ② Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 시나리오 4-1
  49. 49. forensicinsight.org Page 49 일반적인 APT 공격 과정 ③ Patch/File Distribution 업무망 연결 가능 시스템 시나리오 4-1
  50. 50. forensicinsight.org Page 50 일반적인 APT 공격 과정 ③ File Download 업무망 연결 가능 시스템 시나리오 4-1
  51. 51. forensicinsight.org Page 51 일반적인 APT 공격 과정 ③ Drive by Download 서버 관리자 시스템 시나리오 4-2
  52. 52. forensicinsight.org Page 52 일반적인 APT 공격 과정 업무망 연결 가능 시스템 ④ Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 서버 관리자 시스템 시나리오 4-2
  53. 53. forensicinsight.org Page 53 일반적인 APT 공격 과정  Keylogging  Sniffing Passwords(ARP Hijack/MIM)  Dump Passwords(LSA Secret, Protected Storage2 & Credential Manger)  SAM Cracking(Brute Force, Rainbow Crack)  Pass the Hash  Pass the Pass  Patch/File Server  Spear Phishing  System Vulnerability  … Lateral Movement 기법
  54. 54. forensicinsight.org Page 54 일반적인 APT 공격 과정  Keylogging  Sniffing Passwords(ARP Hijack/MIM)  Dump Passwords(LSA Secret, Protected Storage2 & Credential Manger)  SAM Cracking(Brute Force, Rainbow Crack)  Pass the Hash  Pass the Pass  Patch/File Server  Spear Phishing  System Vulnerability  … Lateral Movement 기법
  55. 55. forensicinsight.org Page 55 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 도메인 관리자 계정 사용 정상 시스템
  56. 56. forensicinsight.org Page 56 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정의 NTLM Credentials 이 메모리에 저장됨 (Msv1_0.dll) 도메인 관리자 계정 사용
  57. 57. forensicinsight.org Page 57 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정의 암호화된 ID/PW 가 메모리에 저장됨 (Kerberos.dll, Wdigest.dll, tspkg.dll) 도메인 관리자 계정 사용
  58. 58. forensicinsight.org Page 58 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정 사용 메모리로부터 도메인 관리자 계정 의 복호화된 ID/PW or NTLM Credentials 을 획득
  59. 59. forensicinsight.org Page 59 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정 사용
  60. 60. forensicinsight.org Page 60 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정 사용 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 도메인 관리자 계정의 NTLM Credentials or ID/PW 를 사용
  61. 61. forensicinsight.org Page 61 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 도메인 관리자 계정 사용 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 도메인 관리자 계정의 NTLM Credentials or ID/PW 를 사용 감염 시스템
  62. 62. forensicinsight.org Page 62 일반적인 APT 공격 과정 Active Directory 환경에서 Pass the Hash 공격이 위험한 이유 A Domain B Domain DC DC
  63. 63. forensicinsight.org Page 63 일반적인 APT 공격 과정 Active Directory 환경에서 Pass the Hash 공격이 위험한 이유 A Domain B Domain DC DCDC
  64. 64. forensicinsight.org Page 64 일반적인 APT 공격 과정 Active Directory 환경에서 Pass the Hash 공격이 위험한 이유 A Domain B Domain DC DC Trust Relationship DC DC
  65. 65. forensicinsight.org Page 65 일반적인 APT 공격 과정 In Mind of Administrator…
  66. 66. forensicinsight.org Page 66 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 정상 시스템 모든 시스템이 동일한 로컬 관리자 계정을 사용
  67. 67. forensicinsight.org Page 67 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 정상 시스템 메모리로부터 로컬 관리자 계정의 복호화된 ID/PW 와 NTLM Credentials 을 획득
  68. 68. forensicinsight.org Page 68 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 정상 시스템 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 로컬 관리자 계정의 NTLM Credentials or ID/PW 를 사용
  69. 69. forensicinsight.org Page 69 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 로컬 관리자 계정의 NTLM Credentials or ID/PW 를 사용 감염 시스템
  70. 70. forensicinsight.org Page 70 최초 유입 경로 분석
  71. 71. forensicinsight.org Page 71 최초 유입 경로 분석  네트워크 구성 파악 가장 먼저 수행해야 할 작업은??
  72. 72. forensicinsight.org Page 72 최초 유입 경로 분석 네트워크 구성 파악을 안하고 시작하면…
  73. 73. forensicinsight.org Page 73 최초 유입 경로 분석  이상 징후가 발견된 시스템부터… • 악성코드 • 공격 흔적 • 비정상적인 시스템 접근 • …  전혀 알 수 없을 경우… • 유출된 정보를 저장하고 있는 시스템 • 위 시스템에 접근할 수 있는 시스템 • 보안 솔루션 로그의 이상 징후 • … 분석 시작 시스템 지정~!! ?
  74. 74. forensicinsight.org Page 74 최초 유입 경로 분석  상세 분석 • 아무 단서가 없는 상황에서 시스템 전체를 분석 • 의심스러운 악성코드/흔적을 찾아 공격 시간대를 알아내는 것이 목적 • 타임라인 분석 기법 사용 • Lateral Movement 기법 파악, 유입 경로 파악 • 비할당 영역 분석을 위해 디스크 이미징이 필요함 • 추후 분석에 사용할 수 있도록 최대한 많은 정보를 모아야 함  포인트 분석 • 이미 공격 시간대와 악성 코드 및 여러 정보를 확보한 상태의 분석 • 특정 시간대의 특정 아티팩트만을 분석 • 디스크 이미징이 필요 없음 • 스크립트 혹은 수집 Agent 를 통해 주요 아티펙트들만 수집 시스템 분석 유형
  75. 75. forensicinsight.org Page 75 최초 유입 경로 분석  STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기 • 의심스러운 파일 실행 흔적 • 의심스러운 Reloading Point • 파일 시스템 내 숨겨진 악성코드 • 의심스러운 다운로드 흔적 • … 시스템 상세 분석
  76. 76. forensicinsight.org Page 76 최초 유입 경로 분석  STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기 시스템 상세 분석
  77. 77. forensicinsight.org Page 77 최초 유입 경로 분석  STEP 2. 타임라인 분석 • 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합 시스템 상세 분석 Timeline Registry Web Browser Event Log File System Restore Point Prefetch LNK Log DB etc
  78. 78. forensicinsight.org Page 78 최초 유입 경로 분석  STEP 2. 타임라인 분석 • 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합 시스템 상세 분석
  79. 79. forensicinsight.org Page 79 최초 유입 경로 분석  STEP 2. 타임라인 분석 시스템 상세 분석 타임라인만 보면 되는거 아닌가??
  80. 80. forensicinsight.org Page 80 최초 유입 경로 분석  STEP 2. 타임라인 분석 시스템 상세 분석 타임라인 분석 = 사전 찾기
  81. 81. forensicinsight.org Page 81 최초 유입 경로 분석  STEP 2. 타임라인 분석 시스템 상세 분석 의심스러운 이벤트 시간 = 색인
  82. 82. forensicinsight.org Page 82 최초 유입 경로 분석  STEP 2. 타임라인 분석 • 분석 도구 : Plaso( http://plaso.kiddaland.net ) 시스템 상세 분석
  83. 83. forensicinsight.org Page 83 최초 유입 경로 분석 두 가지 분석 목표~!! 1. 최초 침입 시스템 찾기 2. 침입 포인트 찾기
  84. 84. forensicinsight.org Page 84 최초 유입 경로 분석 1. 모든 시스템을 상세 분석할 순 없음 • 상세 분석 대상 시스템 지정  최초로 공격이 탐지된 시스템, 주요 데이터가 저장된 시스템  최초 침입 시스템  주요 관리자/게이트웨이 시스템  분석이 막혔을 때…. 2. 최대한 많은 시스템의 아티팩트 및 정보 수집이 필요 • 앞으로 어떤 시스템을 분석하게 될지 모름 • 포인트 분석에 사용 : 주로 Lateral Movement 역추적이 목적 • 수집 도구 : FPLive_win v1.1, OpenIOC Editor/Finder 3. 절대 중간에 분석을 멈추면 안됨 • 분석 중간에 전혀 다른 시스템에서 악성코드 및 공격 징후가 발생할 수 있음 • 타 팀 혹은 상급자가 해당 이벤트를 긴급하게 요청;; • 악성코드 치료 및 대응은 일단 유입 경로 파악 및 제거 후 수행함 분석 전략
  85. 85. forensicinsight.org Page 85 최초 유입 경로 분석 ① Spear Fishing Drive By Download Update Vulnerability ② Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 업무망 연결 가능 시스템 ③ RDP/VPN ④ Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability DB 관리자 시스템 ⑤ Connect : 상세 분석 : 포인트 분석 분석 예
  86. 86. forensicinsight.org Page 86 최초 유입 경로 분석 1 2 3 4 5 6 6 4 5 5 6 3 4 5 6 6 3 4 5 4 5 6 5 2 3 4 4 5 6 3 4 4 5 5 6 7 6 6 2 3 4 5 4 3 4 3 4 5 6 6 65 5 2 3 4 4 5 6 6 3 4 5 5 6 모든 시스템이 감염된 상황이라면~!!?
  87. 87. forensicinsight.org Page 87 최초 유입 경로 분석 1 2 3 4 5 6 6 4 5 5 6 3 4 5 6 6 3 4 5 4 5 6 5 2 3 4 4 5 6 3 4 4 5 5 6 7 6 6 2 3 4 5 4 3 4 3 4 5 6 6 65 5 2 3 4 4 5 6 6 3 4 5 5 6 모든 시스템이 감염된 상황이라면~!!?
  88. 88. forensicinsight.org Page 88 최초 유입 경로 분석 1 2 3 4 5 6 6 4 5 5 6 3 4 5 6 6 3 4 5 4 5 6 5 2 3 4 4 5 6 3 4 4 5 5 6 7 6 6 2 3 4 5 4 3 4 3 4 5 6 6 65 5 2 3 4 4 5 6 6 3 4 5 5 6 모든 시스템이 감염된 상황이라면~!!? : 상세 분석 : 포인트 분석 최초 공격이 탐지된 시스템
  89. 89. forensicinsight.org Page 89 최초 유입 경로 분석 1. 아티팩트의 용량 • Windows Event Log 의 Default Size 는 512KB(XP), 20MB(Win7)… • 장시간의 로그가 저장되어 있지 않음 • 오래된 로그를 덮어써버림 • 대응 : 포렌식 준비도 관점에서 용량 재설정 및 백업 2. 공격자의 Anti Forensic 행위 • 공격자가 자신의 흔적을 지우려는 행위(로그 삭제, 파일 완전 삭제, 파일 시스템 파괴…) • 대응 : 비할당영역에서 삭제 데이터 복구, 파일 완전 삭제 흔적 추적($LogFile, $UsnJrnl), 파일 시스템 구조 복구… 현실적 어려움
  90. 90. forensicinsight.org Page 90 최초 유입 경로 분석  공격 시점이 너무 오래된 흔적이 남아 있지 않음  초기 대응 미숙으로 인한 흔적 삭제  삭제된 데이터 복구 실패  분석 실패?!! 아무런 흔적이 없음… ㅡㅡ;;
  91. 91. forensicinsight.org Page 91 최초 유입 경로 분석  대응 1 ( Lateral Movement 역추적에 실패한 경우) • IOC(Indicator of Compromise) 를 통한 최초 감염 시스템 추적  감염 시기가 가장 빠른 시스템을 파악  해당 시스템에 대한 상세 분석 및 또 다른 IOC 획득을 통한 분석 포인트 재획득  도구(OpenIOC) • IOC Editor( http://www.mandiant.com/resources/download/ioc-editor/ ) • IOC Finder( http://www.mandiant.com/resources/download/ioc-finder/ ) 아무런 흔적이 없음…
  92. 92. forensicinsight.org Page 92 최초 유입 경로 분석  대응 2 ( 유입 경로 찾기에 실패한 경우 ) • 외부 공격자와의 연결 지점은 반드시 있음  일반적으로 백도어 Proxy 기능을 통한 쉘 연결 유지  어딘가 외부와 연결이 가능한 시스템에 백도어가 설치되어 있음  현재 연결을 다 차단함으로써 재침투 유도…  유입 경로 재분석 • 발견된 모든 백도어의 동시 삭제 • AV 의 실시간 차단 기능 사용 아무런 흔적이 없음… 드루와~ 드루와~
  93. 93. forensicinsight.org Page 93 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 게임머니 업데이트!! File Server
  94. 94. forensicinsight.org Page 94 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 이벤트 로그 복구를 통한 역추적~!! File Server : Back Tracking
  95. 95. forensicinsight.org Page 95 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 이벤트 로그 복구 실패;; File Server : Back Tracking
  96. 96. forensicinsight.org Page 96 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB IOC 를 통한 최초 감염 시스템 찾기 수행 File Server : Back Tracking
  97. 97. forensicinsight.org Page 97 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 업부망과 연결된 게이트웨이 서버 IOC 를 통한 최초 감염 시스템 찾기 수행 최초 감염 시스템 File Server : Back Tracking
  98. 98. forensicinsight.org Page 98 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 File Server : Back Tracking
  99. 99. forensicinsight.org Page 99 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 Keylogging File Server : Back Tracking
  100. 100. forensicinsight.org Page 100 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 Keylogging File Server : Back Tracking
  101. 101. forensicinsight.org Page 101 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 File Server 감염된 NVIDIA 드라이버 설치 프로그램 다운로드 : Back Tracking
  102. 102. forensicinsight.org Page 102 다시 한번…
  103. 103. forensicinsight.org Page 103 Conclusion 왜? 유입 경로를 파악해야 하는가?
  104. 104. forensicinsight.org Page 104 Conclusion I’m Sick… ㅠ ㅠ
  105. 105. forensicinsight.org Page 105 Conclusion 님하… 그만… ㅠ.ㅠ
  106. 106. forensicinsight.org Page 106 Conclusion
  107. 107. forensicinsight.org Page 107 Conclusion No Initial Breach Point, No Win …
  108. 108. forensicinsight.org Page 108 Question and Answer
  109. 109. forensicinsight.org Page 109 Go to Lunch 점심하러 가시죠?~^^

×