본문 바로가기

보안/포렌식

침해사고


출처 : http://forensic-proof.com/  (김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.)


1      침해사고 유형


1.1       웹을 통한 감염


1.1.1    악성 ActiveX 설치 유도


ž   · 동영상 플레이어, 보안 프로그램 등으로 위장하여 설치 유도


1.1.2    웹 애플리케이션 취약점


ž   · 웹 키보드 보안 모듈, 공인인증서 모듈 등의 취약점 이용


1.1.3    악성 파일 다운로드 실행


ž   · 동영상, 토렌트 파일의 확장자 변조 (.avi.exe, .torrent.exe)

ž   · 애플리케이션(동영상 플레이어, 한글, 오피스 등) 취약점 활용


1.2       웹하드를 통한 감염


1.2.1    웹하드 다운로드 관리자 감염


ž   · 7.7 DDoS, 3.4 DDoS, 6.25 사이버테러의 원인

ž   · 웹하드 서버를 공격하여다운로드 관리자프로그램 감염


1.2.2    웹하드 불법저작물/음란물에 포함된 악성코드에 감염


ž   · 관심도가 높은 파일에 악성코드를 포함시켜 업로드

     - 무료 추가 다운로드.exe
 -
무료 다운로드 방법.html

ž   · 자체 압축 풀림(self-extracting archive, SFX)으로 배포

     - SFX로 배포하는 정상 파일인지, 악성코드인지 인지하기 어려움

ž   · 애플리케이션 취약점 활용

     - 동영상 플레이어의 취약점을 악용하는 파일 배포


1.3       이메일을 통한 감염


1.3.1    무작위 스팸 vs. 사회적 관심사(올림픽,사고 등) 이용 vs. 특정 조직 대상(스피어피싱)


1.3.2    악성사이트 접속 유도


ž   · 정상 이메일처럼 사용자를 다른 사이트로 접속 유도

ž  · 금융 정보, 휴대폰 요금, 동창회/교우회 등 조직 사칭 등


1.3.3    악성 첨부파일 실행 유도


ž   · 무작위 스팸, 사회적 관심사(올림픽, 테러 등) 이용, 특정 조직을 대상

ž   · 한글, 워드, 엑셀 등의 문서 애플리케이션 취약점을 이용

ž   · 어도비 플래시/리더 취약점 이용


1.4       외장저장장치를 통한 감염


1.4.1    감염된 외장저장장치(USB) -> 연결 시 자동 실행


ž   · 국가 기간망(스턱스넷, 듀크, 플레임)과 같이 폐쇄망을 타겟

ž   · 농협 전산망 마비와 같이 내부 시스템 감염을 위해 사용


1.4.2    MS 보안 업데이트


ž   · MS 보안 업데이트자동 실행 기능을 비활성화 방법

ž   · http://support.microsoft.com/kb/967715/ko


1.5       업데이트/관리 서버를 통한 감염


1.5.1    업데이트 서버


ž   · 대형 개인정보 유출사고와 기밀 유출 사고의 원인

ž   · 주로 애플리케이션 개발사에서 운용 최근 자체적으로 내부 업데이트 서버를 유지

ž   · 기업 내부로 침투할 수 있는 가장 효과적인 방법

ž   · 업데이트 서버의 설정을 조작하여 특정 기업만 침투하기도 함

ž   · 대상 기업의 보안성 >> 업데이트 서버의 보안성


1.5.2    관리 서버


ž   · 3.20 사이버테러의 확산 원인

ž   · 기업 내부에 침투한 후 감염을 확장시키기 위한 용도로 사용

ž   · 초기 설치 이후 제대로 관리되지 않음



2      악성코드


· 대부분의 침해사고는 악성코드에서 시작하여 악성코드로 끝남
· 특정 목적을 이룰 때까지 지속적으로 사용됨


2.1       악성코드 동향


2.1.1    부팅방해


ž· MBR, VBR 영역 손상


2.1.2    데이터 영역 삭제


ž  · 데이터 영역의 일정 영역을 특정 문자열 혹은 랜덤 데이터로 덮어쓰기


2.1.3    파일 삭제


ž   · 확장자 기반의 주요 사용자 데이터 파일을 특정 문자열 혹은 랜덤 데이터로 덮어쓰기


2.1.4    MBR, VBR 손상


ž   · 100퍼센트 복원가능


2.1.5    특정 영역 혹은 파일 덮어쓰기


ž   · 덮어쓴 파일은 복원 불가


2.2       악성코드 유형


2.2.1    다운로드/드로퍼


ž   · 추가적인 악성코드 설치


2.2.2    백도어


ž   · 원격 접속 기능 필요


2.2.3    스틸러/스파이웨어


ž   · 정보를 빼내감


2.2.4    보안 소프트웨어 위장


ž   · 감염된 것처럼 위장해 결제 유도


2.2.5    시스템 자원 사용


ž   · 감염 시스템 자원을 다른 공격에 사용 (DDoS, email relay, VPN )


2.2.6    접근 차단


ž   · 특정 자원을 접근하지 못하도록 막은 후 결제 유도 (랜섬웨어, 암호화 등)


2.2.7    데이터 파괴


ž   · 시스템 중요 데이터를 파괴 (MBR 파괴, 특정 문서 삭제 등)


2.3       대응방안


2.3.1    주요 포렌식 데이터 복원


ž   · 파일시스템 메타데이터, 레지스트리, 프리패치, 바로가기 파일, 로그 파일 등


2.3.2    주요 데이터 로깅 강화


ž   · 분석에 필요한 포렌식 데이터를 수시로 중앙 로깅


2.3.3    신속한 대응 절차 마련


ž   · 대응 절차 마련과 모의 훈련을 통한 숙달 필요



3      침해사고 대응


3.1       현장대응 : 클라이언트


3.1.1    라이브 데이터 수집


ž   · 활성 데이터 : 프로세스 정보, 네트워크 정보, 로그온 정보

ž   · 비활성 중요데이터 : 파일시스템 메타데이터, 레지스트리, 이벤트로그

ž   · 물리메모리, 패킷


3.1.2    시스템 종료


ž   · 본체 뒤 케이블 분리 혹은 전원 공급기 차단


3.1.3    원인 분석


ž   · (해당부서) 분석팀에게 저장매체만 전달

ž   · (인프라팀) 표준 환경 재설치(고스트 등 이용)

   · (분석팀) 저장매체 압축 이미징 -> 정밀분석


3.2       현장대응 : 서버


3.2.1    라이브 데이터 수집


ž   · 활성데이터 : 프로세스 정보, 네트워크 정보, 로그온 정보

ž   · 비활성중요데이터 : 파일시스템 메타데이터, 레지스트리, 이벤트로그 등

ž   · 물리메모리, 패킷


3.2.2    시스템 종료 vs 라이브 대응


ž   · 시스템 종료에 따른 영향 평가 후 종료가 가능하다면 정상 종료 절차


3.2.3    원인분석


ž   · (분석팀) 라이브 혹은 로컬/원격 이미징

ž   · (인프라팀) 백업 시스템을 이용해 재설치

ž   · (분석팀) 이미지 정밀 분석


3.3       침해지표 관리


3.3.1    IOC


ž   · 침해 혹은 감염을 확인할 수 있는 포렌식 아티팩트


3.3.2    정통적인 침해 지표


ž   · IP 주소, 악성코드의 해시 및 체크섬, C2 URL


3.3.3    향상된 침해 지표


ž   · 악성코드 실행으로 생성되는 시스템 상의 모든 흔적


3.3.4    침해 지표의 활용


ž   · 특정 조직 내의 추가적인 침해시스템 탐지

ž   · 유사한 유형의 침해 흔적을 다른 조직에 적용할 때

ž   · 침해사고 외에 안티포렌식 탐지 등으로 확장 적용 가능



4      침해사고 절차


4.1       사전준비


ž   · 신규 취약점 흔적 연구

ž   · 침해사고 가상 케이스 분석

ž   · 침해지표 관리

ž   · 모의해킹 로그 분석

ž   · 수집 및 분석 도구 테스트

ž   · 조사 및 분석 방법론 정비

ž   · 사본 및 아카이빙 저장용 저장장치 준비


4.2       사고 식별


4.2.1    의심


ž   · IT 보안 장비/솔루션 모니터링 -> 의심 이벤트/트래픽

ž   · 관리자 점검 -> 비정상로그, 권한설정변경, 시스템 자원 불법 사용

ž   · 장비/솔루션 오작동

ž   · 사용자 인지


4.2.2    확인


ž   · IT 보안 장비/솔루션 모니터링 -> 악성 이벤트/트래픽

ž   · 비정상 서비스 -> 웹페이지 변조, 게임머니 상승, 저장장치 파괴, 랜섬웨어 등

ž   · 관리자 점검 -> 웹셀 탐지, 악성로그 확인등

ž   · 공격자 노출 -> 유출 정보 노출, 협박, 조롱


4.2.3    인터뷰


ž   · 대상 시스템 사용자와의 면담

ž   · 이벤트 발생 전후, 최근행위 조사


4.2.4    조사 및 분석 범위 결정


ž   · 시스템 전체 구성도 확인

ž   · 증거가치가 있는 대상 시스템 및 장치 식별


4.3       증거수집


4.3.1    활성(라이브) 데이터 수집


ž   · 시스템 스크립트(윈도우 배치 스크립트, 리눅스/유닉스 : 셀 스크립트)

ž   · 수집 순서는 휘발성 정도에 따라 혹은 중요도에 따라

ž   · 물리메모리 덤프, 네트워크 패킷

ž   · 네트워크 연결, 프로세스 정보, 로그인 사용자, 서비스 목록, 클립보드

ž   · 시스템 정보, 네트워크 인터페이스 정보, 작업목록, 자동실행정보, 감사 정책 정보


4.3.2    비활성 중요 데이터 수집


ž   · MBR, 파일시스템 메타데이터($MFT), 레지스트리 파일, 프리패치, 웹 브라우저 흔적, 로그 등


4.4       조사분석


4.4.1    저장장치 이미징


ž   · 전문 포렌식 이미지 장비 사용

ž   · 라이브 CD, 쓰기 방지 장치, 네트워크 케이블


4.4.2    사전 분석


ž   · 저장장치 이미징 과정과 병행하여 분석 진행

ž   · 수집한 활성, 비활성 데이터로 침해 흔적/타임라인 분석

ž   · 사전분석을 통해 침해 경로, 시점, 정밀 분석 대상 선별


4.4.3    악성 분석


ž   · 이미징 완료 후 사전분석 결과를 토대로 초기 분석 수행

ž   · 침해지표확인(IOC) 확인, 해시 분석, 다양한 AV 탐지, 악성 URL 분석


4.4.4    정밀 분석


ž   · 통합 타임라인 분석, 악성코드 분석, 파일시스템 분석, 로그 분석

ž   · 가상환경 분석, 파일 포맷 분석


4.5       보고 및 발표


ž   · 보고 대상에 맞춘 수준별 보고서 및 발표 준비


4.5.1    보고서 작성


ž   · 일일 보고서

ž   · 최종 보고서


4.6       증거 보존


ž   · 상황에 따라 수집한 증거를 압축 보관

ž   · 케이스 식별부터 보고에 이르는 전 과정의 문서 포함


정리된 문서 :  


디지털포렌식_침해사고_americanoJH.pdf