Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
어떻게 들어왔는가?
안랩 A-FIRST
오정훈
Jh.oh@ahnlab.com
forensicinsight.org Page 2
Who am I ??
 이름 : 오정훈(jh.oh@ahnlab.com)
 소속 : 안랩 A-FIRST
 업무 : 침해 사고 분석
 경력
• 고려대 정보보호대학원 디...
forensicinsight.org Page 3
목차
1. 왜? 어떻게 들어왔는지 알아야 하나?
2. 일반적인 APT 공격 과정
3. 최초 유입 경로 분석
4. 다시 한번…
forensicinsight.org Page 4
왜? 어떻게 들어왔는지 알아야 하나?
forensicinsight.org Page 5
왜? 어떻게 들어왔는지 알아야 하나?
시스템에서 악성코드를 발견하였다면…
Oh My God~!!
forensicinsight.org Page 6
왜? 어떻게 들어왔는지 알아야 하나?
시스템에서 악성코드를 발견하였다면…
어떻게 하시나요??
forensicinsight.org Page 7
왜? 어떻게 들어왔는지 알아야 하나?
일반적인 대응…
백신 치료 or 수동 삭제
forensicinsight.org Page 8
왜? 어떻게 들어왔는지 알아야 하나?
일반적인 대응…
포멧 or 시스템 교체
forensicinsight.org Page 9
왜? 어떻게 들어왔는지 알아야 하나?
일반적인 대응…
상황 종료??
forensicinsight.org Page 10
왜? 어떻게 들어왔는지 알아야 하나?
일반적인 대응…
forensicinsight.org Page 11
왜? 어떻게 들어왔는지 알아야 하나?
실제 상황 …
forensicinsight.org Page 12
왜? 어떻게 들어왔는지 알아야 하나?
실제 상황 …
forensicinsight.org Page 13
왜? 어떻게 들어왔는지 알아야 하나?
실제 상황 …
forensicinsight.org Page 14
왜? 어떻게 들어왔는지 알아야 하나?
실제 상황 …
forensicinsight.org Page 15
Introduction
공격자 vs 관리자 ??
감염 vs 치료
forensicinsight.org Page 16
Introduction
공격자 vs 관리자 ??
forensicinsight.org Page 17
Introduction
공격자 vs 관리자 ??
forensicinsight.org Page 18
Introduction
공격자 vs 관리자 ??
forensicinsight.org Page 19
Introduction
어떤 CEO 께서는…
우리가 모든 시스템과
하드웨어를 가지고 있다.
우리가 이긴다 ~!!
forensicinsight.org Page 20
Introduction
forensicinsight.org Page 21
Introduction
모든 시스템 재설치…
forensicinsight.org Page 22
Introduction
재감염…;;
forensicinsight.org Page 23
Introduction
왜 계속 감염되지 ??
forensicinsight.org Page 24
Introduction
File Server
왜 계속 감염되지 ??
감염된 NVIDIA
드라이버 설치 파일
forensicinsight.org Page 25
Introduction
File Server
왜 계속 감염되지 ??
감염된 NVIDIA
드라이버 설치 파일
forensicinsight.org Page 26
Introduction
File Server
왜 계속 감염되지 ??
감염된 NVIDIA
드라이버 설치 파일
forensicinsight.org Page 27
왜? 어떻게 들어왔는지 알아야 하나?
만약 최초 유입 경로를 찾지 못했다면…
What the f…!!
forensicinsight.org Page 28
왜? 어떻게 들어왔는지 알아야 하나?
따라서 …
No Initial Breach Point, No Win …
forensicinsight.org Page 29
일반적인 APT 공격 과정
forensicinsight.org Page 30
일반적인 APT 공격 과정
forensicinsight.org Page 31
일반적인 APT 공격 과정
forensicinsight.org Page 32
일반적인 APT 공격 과정
① Spear Phishing
Drive By Download
Update Vulnerability
시나리오 1
forensicinsight.org Page 33
일반적인 APT 공격 과정
② Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerability
업무망 연결
가능...
forensicinsight.org Page 34
일반적인 APT 공격 과정
업무망 연결
가능 시스템
③ RDP/VPN
시나리오 1
forensicinsight.org Page 35
일반적인 APT 공격 과정
업무망 연결
가능 시스템
④ Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerabi...
forensicinsight.org Page 36
일반적인 APT 공격 과정
업무망 연결
가능 시스템
DB 관리자
시스템
⑤ Connect
시나리오 1
forensicinsight.org Page 37
일반적인 APT 공격 과정
Lateral Movement
시나리오 1
forensicinsight.org Page 38
일반적인 APT 공격 과정
① Spear Phishing
Drive By Download
Update Vulnerability
시나리오 2
forensicinsight.org Page 39
일반적인 APT 공격 과정
서버 관리자
시스템
② Keylogging
Sniffing
SAM Cracking
System Vulnerability
시나리오 2
forensicinsight.org Page 40
일반적인 APT 공격 과정
서버 관리자
시스템
④ Administrator Account
System Vulnerability
시나리오 2
forensicinsight.org Page 41
일반적인 APT 공격 과정
서버 관리자
시스템
⑤ Patch/File Distribution
업무망 연결
가능 시스템
시나리오 2
forensicinsight.org Page 42
일반적인 APT 공격 과정
서버 관리자
시스템
업무망 연결
가능 시스템
⑤ File Download
시나리오 2
forensicinsight.org Page 43
일반적인 APT 공격 과정
① Spear Fishing
Drive By Download
Update Vulnerability
시나리오 3
forensicinsight.org Page 44
일반적인 APT 공격 과정
정보 수집
시나리오 3
forensicinsight.org Page 45
일반적인 APT 공격 과정
② Spear Phishing
업무망 연결
가능 시스템
시나리오 3
forensicinsight.org Page 46
일반적인 APT 공격 과정
업무망 연결
가능 시스템
시나리오 3
forensicinsight.org Page 47
일반적인 APT 공격 과정
① Web App Vulnerability
System Vulnerability
시나리오 4-1
forensicinsight.org Page 48
일반적인 APT 공격 과정
① Web App Vulnerability
System Vulnerability
② Pass the Hash
Keylogging
Sniffin...
forensicinsight.org Page 49
일반적인 APT 공격 과정
③ Patch/File Distribution
업무망 연결
가능 시스템
시나리오 4-1
forensicinsight.org Page 50
일반적인 APT 공격 과정
③ File Download
업무망 연결
가능 시스템
시나리오 4-1
forensicinsight.org Page 51
일반적인 APT 공격 과정
③ Drive by Download
서버 관리자
시스템
시나리오 4-2
forensicinsight.org Page 52
일반적인 APT 공격 과정
업무망 연결
가능 시스템
④ Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerabi...
forensicinsight.org Page 53
일반적인 APT 공격 과정
 Keylogging
 Sniffing Passwords(ARP Hijack/MIM)
 Dump Passwords(LSA Secret, ...
forensicinsight.org Page 54
일반적인 APT 공격 과정
 Keylogging
 Sniffing Passwords(ARP Hijack/MIM)
 Dump Passwords(LSA Secret, ...
forensicinsight.org Page 55
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
도메인 관리자
계정 사...
forensicinsight.org Page 56
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관...
forensicinsight.org Page 57
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관...
forensicinsight.org Page 58
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관...
forensicinsight.org Page 59
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관...
forensicinsight.org Page 60
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관...
forensicinsight.org Page 61
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
도메인 관리자
계정 사...
forensicinsight.org Page 62
일반적인 APT 공격 과정
Active Directory 환경에서 Pass the Hash 공격이 위험한 이유
A Domain B Domain
DC DC
forensicinsight.org Page 63
일반적인 APT 공격 과정
Active Directory 환경에서 Pass the Hash 공격이 위험한 이유
A Domain B Domain
DC DCDC
forensicinsight.org Page 64
일반적인 APT 공격 과정
Active Directory 환경에서 Pass the Hash 공격이 위험한 이유
A Domain B Domain
DC DC
Trust Re...
forensicinsight.org Page 65
일반적인 APT 공격 과정
In Mind of Administrator…
forensicinsight.org Page 66
일반적인 APT 공격 과정
Non-Active Directory 환경에서의 Pass the Hash 공격
감염 시스템 정상 시스템
모든 시스템이 동일한
로컬 관리자 계정...
forensicinsight.org Page 67
일반적인 APT 공격 과정
Non-Active Directory 환경에서의 Pass the Hash 공격
감염 시스템 정상 시스템
메모리로부터 로컬 관리자 계정의 복호화...
forensicinsight.org Page 68
일반적인 APT 공격 과정
Non-Active Directory 환경에서의 Pass the Hash 공격
감염 시스템 정상 시스템
Backdoor 설치 프로그램 복사
B...
forensicinsight.org Page 69
일반적인 APT 공격 과정
Non-Active Directory 환경에서의 Pass the Hash 공격
감염 시스템
Backdoor 설치 프로그램 복사
Backdoor...
forensicinsight.org Page 70
최초 유입 경로 분석
forensicinsight.org Page 71
최초 유입 경로 분석
 네트워크 구성 파악
가장 먼저 수행해야 할 작업은??
forensicinsight.org Page 72
최초 유입 경로 분석
네트워크 구성 파악을 안하고 시작하면…
forensicinsight.org Page 73
최초 유입 경로 분석
 이상 징후가 발견된 시스템부터…
• 악성코드
• 공격 흔적
• 비정상적인 시스템 접근
• …
 전혀 알 수 없을 경우…
• 유출된 정보를 저장...
forensicinsight.org Page 74
최초 유입 경로 분석
 상세 분석
• 아무 단서가 없는 상황에서 시스템 전체를 분석
• 의심스러운 악성코드/흔적을 찾아 공격 시간대를 알아내는 것이 목적
• 타임라인 ...
forensicinsight.org Page 75
최초 유입 경로 분석
 STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기
• 의심스러운 파일 실행 흔적
• 의심스러운 Reloading Point
• 파일 시스템...
forensicinsight.org Page 76
최초 유입 경로 분석
 STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기
시스템 상세 분석
forensicinsight.org Page 77
최초 유입 경로 분석
 STEP 2. 타임라인 분석
• 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합
시스템 상세 분석
Timeline
Registry...
forensicinsight.org Page 78
최초 유입 경로 분석
 STEP 2. 타임라인 분석
• 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합
시스템 상세 분석
forensicinsight.org Page 79
최초 유입 경로 분석
 STEP 2. 타임라인 분석
시스템 상세 분석
타임라인만 보면 되는거 아닌가??
forensicinsight.org Page 80
최초 유입 경로 분석
 STEP 2. 타임라인 분석
시스템 상세 분석
타임라인 분석 = 사전 찾기
forensicinsight.org Page 81
최초 유입 경로 분석
 STEP 2. 타임라인 분석
시스템 상세 분석
의심스러운 이벤트 시간 = 색인
forensicinsight.org Page 82
최초 유입 경로 분석
 STEP 2. 타임라인 분석
• 분석 도구 : Plaso( http://plaso.kiddaland.net )
시스템 상세 분석
forensicinsight.org Page 83
최초 유입 경로 분석
두 가지 분석 목표~!!
1. 최초 침입 시스템 찾기
2. 침입 포인트 찾기
forensicinsight.org Page 84
최초 유입 경로 분석
1. 모든 시스템을 상세 분석할 순 없음
• 상세 분석 대상 시스템 지정
 최초로 공격이 탐지된 시스템, 주요 데이터가 저장된 시스템
 최초 침...
forensicinsight.org Page 85
최초 유입 경로 분석
① Spear Fishing
Drive By Download
Update Vulnerability
② Pass the Hash
Keylogging
...
forensicinsight.org Page 86
최초 유입 경로 분석
1
2
3
4 5
6
6
4
5
5 6
3 4 5
6
6
3
4 5
4
5 6
5
2
3
4
4 5 6
3
4
4
5
5
6 7
6
6
2
3
4 ...
forensicinsight.org Page 87
최초 유입 경로 분석
1
2
3
4 5
6
6
4
5
5 6
3 4 5
6
6
3
4 5
4
5 6
5
2
3
4
4 5 6
3
4
4
5
5
6 7
6
6
2
3
4 ...
forensicinsight.org Page 88
최초 유입 경로 분석
1
2
3
4 5
6
6
4
5
5 6
3 4 5
6
6
3
4 5
4
5 6
5
2
3
4
4 5 6
3
4
4
5
5
6 7
6
6
2
3
4 ...
forensicinsight.org Page 89
최초 유입 경로 분석
1. 아티팩트의 용량
• Windows Event Log 의 Default Size 는 512KB(XP), 20MB(Win7)…
• 장시간의 로그가...
forensicinsight.org Page 90
최초 유입 경로 분석
 공격 시점이 너무 오래된 흔적이 남아 있지 않음
 초기 대응 미숙으로 인한 흔적 삭제
 삭제된 데이터 복구 실패
 분석 실패?!!
아무런 ...
forensicinsight.org Page 91
최초 유입 경로 분석
 대응 1 ( Lateral Movement 역추적에 실패한 경우)
• IOC(Indicator of Compromise) 를 통한 최초 감염 시...
forensicinsight.org Page 92
최초 유입 경로 분석
 대응 2 ( 유입 경로 찾기에 실패한 경우 )
• 외부 공격자와의 연결 지점은 반드시 있음
 일반적으로 백도어 Proxy 기능을 통한 쉘 연결...
forensicinsight.org Page 93
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
게임머니
업데이트!!
File
Server
forensicinsight.org Page 94
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
이벤트 로그
복구를 통한
역추적~!!
File
S...
forensicinsight.org Page 95
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
이벤트 로그
복구 실패;;
File
Server
...
forensicinsight.org Page 96
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
IOC 를 통한 최초 감염
시스템 찾기 수행
Fi...
forensicinsight.org Page 97
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
업부망과 연결된
게이트웨이 서버
IOC 를 통한 ...
forensicinsight.org Page 98
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way VPN 전용선
DB
업부망과 연결된
게이트웨이 서버
F...
forensicinsight.org Page 99
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way VPN 전용선
DB
업부망과 연결된
게이트웨이 서버
K...
forensicinsight.org Page 100
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way VPN 전용선
DB
업부망과 연결된
게이트웨이 서버
...
forensicinsight.org Page 101
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way VPN 전용선
DB
업부망과 연결된
게이트웨이 서버
...
forensicinsight.org Page 102
다시 한번…
forensicinsight.org Page 103
Conclusion
왜? 유입 경로를 파악해야 하는가?
forensicinsight.org Page 104
Conclusion
I’m Sick…
ㅠ ㅠ
forensicinsight.org Page 105
Conclusion
님하… 그만… ㅠ.ㅠ
forensicinsight.org Page 106
Conclusion
forensicinsight.org Page 107
Conclusion
No Initial Breach Point, No Win …
forensicinsight.org Page 108
Question and Answer
forensicinsight.org Page 109
Go to Lunch
점심하러 가시죠?~^^
Prochain SlideShare
Chargement dans…5
×

sur

(FICON2015) #3 어떻게 들어왔는가? Slide 1 (FICON2015) #3 어떻게 들어왔는가? Slide 2 (FICON2015) #3 어떻게 들어왔는가? Slide 3 (FICON2015) #3 어떻게 들어왔는가? Slide 4 (FICON2015) #3 어떻게 들어왔는가? Slide 5 (FICON2015) #3 어떻게 들어왔는가? Slide 6 (FICON2015) #3 어떻게 들어왔는가? Slide 7 (FICON2015) #3 어떻게 들어왔는가? Slide 8 (FICON2015) #3 어떻게 들어왔는가? Slide 9 (FICON2015) #3 어떻게 들어왔는가? Slide 10 (FICON2015) #3 어떻게 들어왔는가? Slide 11 (FICON2015) #3 어떻게 들어왔는가? Slide 12 (FICON2015) #3 어떻게 들어왔는가? Slide 13 (FICON2015) #3 어떻게 들어왔는가? Slide 14 (FICON2015) #3 어떻게 들어왔는가? Slide 15 (FICON2015) #3 어떻게 들어왔는가? Slide 16 (FICON2015) #3 어떻게 들어왔는가? Slide 17 (FICON2015) #3 어떻게 들어왔는가? Slide 18 (FICON2015) #3 어떻게 들어왔는가? Slide 19 (FICON2015) #3 어떻게 들어왔는가? Slide 20 (FICON2015) #3 어떻게 들어왔는가? Slide 21 (FICON2015) #3 어떻게 들어왔는가? Slide 22 (FICON2015) #3 어떻게 들어왔는가? Slide 23 (FICON2015) #3 어떻게 들어왔는가? Slide 24 (FICON2015) #3 어떻게 들어왔는가? Slide 25 (FICON2015) #3 어떻게 들어왔는가? Slide 26 (FICON2015) #3 어떻게 들어왔는가? Slide 27 (FICON2015) #3 어떻게 들어왔는가? Slide 28 (FICON2015) #3 어떻게 들어왔는가? Slide 29 (FICON2015) #3 어떻게 들어왔는가? Slide 30 (FICON2015) #3 어떻게 들어왔는가? Slide 31 (FICON2015) #3 어떻게 들어왔는가? Slide 32 (FICON2015) #3 어떻게 들어왔는가? Slide 33 (FICON2015) #3 어떻게 들어왔는가? Slide 34 (FICON2015) #3 어떻게 들어왔는가? Slide 35 (FICON2015) #3 어떻게 들어왔는가? Slide 36 (FICON2015) #3 어떻게 들어왔는가? Slide 37 (FICON2015) #3 어떻게 들어왔는가? Slide 38 (FICON2015) #3 어떻게 들어왔는가? Slide 39 (FICON2015) #3 어떻게 들어왔는가? Slide 40 (FICON2015) #3 어떻게 들어왔는가? Slide 41 (FICON2015) #3 어떻게 들어왔는가? Slide 42 (FICON2015) #3 어떻게 들어왔는가? Slide 43 (FICON2015) #3 어떻게 들어왔는가? Slide 44 (FICON2015) #3 어떻게 들어왔는가? Slide 45 (FICON2015) #3 어떻게 들어왔는가? Slide 46 (FICON2015) #3 어떻게 들어왔는가? Slide 47 (FICON2015) #3 어떻게 들어왔는가? Slide 48 (FICON2015) #3 어떻게 들어왔는가? Slide 49 (FICON2015) #3 어떻게 들어왔는가? Slide 50 (FICON2015) #3 어떻게 들어왔는가? Slide 51 (FICON2015) #3 어떻게 들어왔는가? Slide 52 (FICON2015) #3 어떻게 들어왔는가? Slide 53 (FICON2015) #3 어떻게 들어왔는가? Slide 54 (FICON2015) #3 어떻게 들어왔는가? Slide 55 (FICON2015) #3 어떻게 들어왔는가? Slide 56 (FICON2015) #3 어떻게 들어왔는가? Slide 57 (FICON2015) #3 어떻게 들어왔는가? Slide 58 (FICON2015) #3 어떻게 들어왔는가? Slide 59 (FICON2015) #3 어떻게 들어왔는가? Slide 60 (FICON2015) #3 어떻게 들어왔는가? Slide 61 (FICON2015) #3 어떻게 들어왔는가? Slide 62 (FICON2015) #3 어떻게 들어왔는가? Slide 63 (FICON2015) #3 어떻게 들어왔는가? Slide 64 (FICON2015) #3 어떻게 들어왔는가? Slide 65 (FICON2015) #3 어떻게 들어왔는가? Slide 66 (FICON2015) #3 어떻게 들어왔는가? Slide 67 (FICON2015) #3 어떻게 들어왔는가? Slide 68 (FICON2015) #3 어떻게 들어왔는가? Slide 69 (FICON2015) #3 어떻게 들어왔는가? Slide 70 (FICON2015) #3 어떻게 들어왔는가? Slide 71 (FICON2015) #3 어떻게 들어왔는가? Slide 72 (FICON2015) #3 어떻게 들어왔는가? Slide 73 (FICON2015) #3 어떻게 들어왔는가? Slide 74 (FICON2015) #3 어떻게 들어왔는가? Slide 75 (FICON2015) #3 어떻게 들어왔는가? Slide 76 (FICON2015) #3 어떻게 들어왔는가? Slide 77 (FICON2015) #3 어떻게 들어왔는가? Slide 78 (FICON2015) #3 어떻게 들어왔는가? Slide 79 (FICON2015) #3 어떻게 들어왔는가? Slide 80 (FICON2015) #3 어떻게 들어왔는가? Slide 81 (FICON2015) #3 어떻게 들어왔는가? Slide 82 (FICON2015) #3 어떻게 들어왔는가? Slide 83 (FICON2015) #3 어떻게 들어왔는가? Slide 84 (FICON2015) #3 어떻게 들어왔는가? Slide 85 (FICON2015) #3 어떻게 들어왔는가? Slide 86 (FICON2015) #3 어떻게 들어왔는가? Slide 87 (FICON2015) #3 어떻게 들어왔는가? Slide 88 (FICON2015) #3 어떻게 들어왔는가? Slide 89 (FICON2015) #3 어떻게 들어왔는가? Slide 90 (FICON2015) #3 어떻게 들어왔는가? Slide 91 (FICON2015) #3 어떻게 들어왔는가? Slide 92 (FICON2015) #3 어떻게 들어왔는가? Slide 93 (FICON2015) #3 어떻게 들어왔는가? Slide 94 (FICON2015) #3 어떻게 들어왔는가? Slide 95 (FICON2015) #3 어떻게 들어왔는가? Slide 96 (FICON2015) #3 어떻게 들어왔는가? Slide 97 (FICON2015) #3 어떻게 들어왔는가? Slide 98 (FICON2015) #3 어떻게 들어왔는가? Slide 99 (FICON2015) #3 어떻게 들어왔는가? Slide 100 (FICON2015) #3 어떻게 들어왔는가? Slide 101 (FICON2015) #3 어떻게 들어왔는가? Slide 102 (FICON2015) #3 어떻게 들어왔는가? Slide 103 (FICON2015) #3 어떻게 들어왔는가? Slide 104 (FICON2015) #3 어떻게 들어왔는가? Slide 105 (FICON2015) #3 어떻게 들어왔는가? Slide 106 (FICON2015) #3 어떻게 들어왔는가? Slide 107 (FICON2015) #3 어떻게 들어왔는가? Slide 108 (FICON2015) #3 어떻게 들어왔는가? Slide 109
Prochain SlideShare
(FICON2015) #4 어떻게 가져갔는가?
Suivant
Télécharger pour lire hors ligne et voir en mode plein écran

16 j’aime

Partager

Télécharger pour lire hors ligne

(FICON2015) #3 어떻게 들어왔는가?

Télécharger pour lire hors ligne

FICON (FORENSIC INSIGHT CONFERENCE) 2015
#3 - 어떻게 들어왔는가?
: 안랩 보안위협분석팀 오정훈 연구원

(FICON2015) #3 어떻게 들어왔는가?

  1. 1. 어떻게 들어왔는가? 안랩 A-FIRST 오정훈 Jh.oh@ahnlab.com
  2. 2. forensicinsight.org Page 2 Who am I ??  이름 : 오정훈(jh.oh@ahnlab.com)  소속 : 안랩 A-FIRST  업무 : 침해 사고 분석  경력 • 고려대 정보보호대학원 디지털포렌식연구센터(2010.01 ~ 2011.12) • 안랩 A-FIRST(2012.01 ~ 현재) • DFRWS 2011 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity • 2012 미국방성 Digital Forensic Challenge : Overall Civilian Winner • WISA 2012 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity • FIRST 2014 Speaker : A Forensic Analysis of APT Lateral Movement in Windows Environment • 2014 Forensic Insight 공개 세미나 Speaker : APT 내부망 감염 기법 분석  도구 : NTFS Log Tracker, RP Log Tracker ( https://sites.google.com/site/forensicnote/ )
  3. 3. forensicinsight.org Page 3 목차 1. 왜? 어떻게 들어왔는지 알아야 하나? 2. 일반적인 APT 공격 과정 3. 최초 유입 경로 분석 4. 다시 한번…
  4. 4. forensicinsight.org Page 4 왜? 어떻게 들어왔는지 알아야 하나?
  5. 5. forensicinsight.org Page 5 왜? 어떻게 들어왔는지 알아야 하나? 시스템에서 악성코드를 발견하였다면… Oh My God~!!
  6. 6. forensicinsight.org Page 6 왜? 어떻게 들어왔는지 알아야 하나? 시스템에서 악성코드를 발견하였다면… 어떻게 하시나요??
  7. 7. forensicinsight.org Page 7 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응… 백신 치료 or 수동 삭제
  8. 8. forensicinsight.org Page 8 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응… 포멧 or 시스템 교체
  9. 9. forensicinsight.org Page 9 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응… 상황 종료??
  10. 10. forensicinsight.org Page 10 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응…
  11. 11. forensicinsight.org Page 11 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  12. 12. forensicinsight.org Page 12 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  13. 13. forensicinsight.org Page 13 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  14. 14. forensicinsight.org Page 14 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  15. 15. forensicinsight.org Page 15 Introduction 공격자 vs 관리자 ?? 감염 vs 치료
  16. 16. forensicinsight.org Page 16 Introduction 공격자 vs 관리자 ??
  17. 17. forensicinsight.org Page 17 Introduction 공격자 vs 관리자 ??
  18. 18. forensicinsight.org Page 18 Introduction 공격자 vs 관리자 ??
  19. 19. forensicinsight.org Page 19 Introduction 어떤 CEO 께서는… 우리가 모든 시스템과 하드웨어를 가지고 있다. 우리가 이긴다 ~!!
  20. 20. forensicinsight.org Page 20 Introduction
  21. 21. forensicinsight.org Page 21 Introduction 모든 시스템 재설치…
  22. 22. forensicinsight.org Page 22 Introduction 재감염…;;
  23. 23. forensicinsight.org Page 23 Introduction 왜 계속 감염되지 ??
  24. 24. forensicinsight.org Page 24 Introduction File Server 왜 계속 감염되지 ?? 감염된 NVIDIA 드라이버 설치 파일
  25. 25. forensicinsight.org Page 25 Introduction File Server 왜 계속 감염되지 ?? 감염된 NVIDIA 드라이버 설치 파일
  26. 26. forensicinsight.org Page 26 Introduction File Server 왜 계속 감염되지 ?? 감염된 NVIDIA 드라이버 설치 파일
  27. 27. forensicinsight.org Page 27 왜? 어떻게 들어왔는지 알아야 하나? 만약 최초 유입 경로를 찾지 못했다면… What the f…!!
  28. 28. forensicinsight.org Page 28 왜? 어떻게 들어왔는지 알아야 하나? 따라서 … No Initial Breach Point, No Win …
  29. 29. forensicinsight.org Page 29 일반적인 APT 공격 과정
  30. 30. forensicinsight.org Page 30 일반적인 APT 공격 과정
  31. 31. forensicinsight.org Page 31 일반적인 APT 공격 과정
  32. 32. forensicinsight.org Page 32 일반적인 APT 공격 과정 ① Spear Phishing Drive By Download Update Vulnerability 시나리오 1
  33. 33. forensicinsight.org Page 33 일반적인 APT 공격 과정 ② Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 업무망 연결 가능 시스템 Active Directory 시나리오 1
  34. 34. forensicinsight.org Page 34 일반적인 APT 공격 과정 업무망 연결 가능 시스템 ③ RDP/VPN 시나리오 1
  35. 35. forensicinsight.org Page 35 일반적인 APT 공격 과정 업무망 연결 가능 시스템 ④ Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability DB 관리자 시스템 시나리오 1
  36. 36. forensicinsight.org Page 36 일반적인 APT 공격 과정 업무망 연결 가능 시스템 DB 관리자 시스템 ⑤ Connect 시나리오 1
  37. 37. forensicinsight.org Page 37 일반적인 APT 공격 과정 Lateral Movement 시나리오 1
  38. 38. forensicinsight.org Page 38 일반적인 APT 공격 과정 ① Spear Phishing Drive By Download Update Vulnerability 시나리오 2
  39. 39. forensicinsight.org Page 39 일반적인 APT 공격 과정 서버 관리자 시스템 ② Keylogging Sniffing SAM Cracking System Vulnerability 시나리오 2
  40. 40. forensicinsight.org Page 40 일반적인 APT 공격 과정 서버 관리자 시스템 ④ Administrator Account System Vulnerability 시나리오 2
  41. 41. forensicinsight.org Page 41 일반적인 APT 공격 과정 서버 관리자 시스템 ⑤ Patch/File Distribution 업무망 연결 가능 시스템 시나리오 2
  42. 42. forensicinsight.org Page 42 일반적인 APT 공격 과정 서버 관리자 시스템 업무망 연결 가능 시스템 ⑤ File Download 시나리오 2
  43. 43. forensicinsight.org Page 43 일반적인 APT 공격 과정 ① Spear Fishing Drive By Download Update Vulnerability 시나리오 3
  44. 44. forensicinsight.org Page 44 일반적인 APT 공격 과정 정보 수집 시나리오 3
  45. 45. forensicinsight.org Page 45 일반적인 APT 공격 과정 ② Spear Phishing 업무망 연결 가능 시스템 시나리오 3
  46. 46. forensicinsight.org Page 46 일반적인 APT 공격 과정 업무망 연결 가능 시스템 시나리오 3
  47. 47. forensicinsight.org Page 47 일반적인 APT 공격 과정 ① Web App Vulnerability System Vulnerability 시나리오 4-1
  48. 48. forensicinsight.org Page 48 일반적인 APT 공격 과정 ① Web App Vulnerability System Vulnerability ② Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 시나리오 4-1
  49. 49. forensicinsight.org Page 49 일반적인 APT 공격 과정 ③ Patch/File Distribution 업무망 연결 가능 시스템 시나리오 4-1
  50. 50. forensicinsight.org Page 50 일반적인 APT 공격 과정 ③ File Download 업무망 연결 가능 시스템 시나리오 4-1
  51. 51. forensicinsight.org Page 51 일반적인 APT 공격 과정 ③ Drive by Download 서버 관리자 시스템 시나리오 4-2
  52. 52. forensicinsight.org Page 52 일반적인 APT 공격 과정 업무망 연결 가능 시스템 ④ Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 서버 관리자 시스템 시나리오 4-2
  53. 53. forensicinsight.org Page 53 일반적인 APT 공격 과정  Keylogging  Sniffing Passwords(ARP Hijack/MIM)  Dump Passwords(LSA Secret, Protected Storage2 & Credential Manger)  SAM Cracking(Brute Force, Rainbow Crack)  Pass the Hash  Pass the Pass  Patch/File Server  Spear Phishing  System Vulnerability  … Lateral Movement 기법
  54. 54. forensicinsight.org Page 54 일반적인 APT 공격 과정  Keylogging  Sniffing Passwords(ARP Hijack/MIM)  Dump Passwords(LSA Secret, Protected Storage2 & Credential Manger)  SAM Cracking(Brute Force, Rainbow Crack)  Pass the Hash  Pass the Pass  Patch/File Server  Spear Phishing  System Vulnerability  … Lateral Movement 기법
  55. 55. forensicinsight.org Page 55 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 도메인 관리자 계정 사용 정상 시스템
  56. 56. forensicinsight.org Page 56 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정의 NTLM Credentials 이 메모리에 저장됨 (Msv1_0.dll) 도메인 관리자 계정 사용
  57. 57. forensicinsight.org Page 57 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정의 암호화된 ID/PW 가 메모리에 저장됨 (Kerberos.dll, Wdigest.dll, tspkg.dll) 도메인 관리자 계정 사용
  58. 58. forensicinsight.org Page 58 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정 사용 메모리로부터 도메인 관리자 계정 의 복호화된 ID/PW or NTLM Credentials 을 획득
  59. 59. forensicinsight.org Page 59 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정 사용
  60. 60. forensicinsight.org Page 60 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정 사용 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 도메인 관리자 계정의 NTLM Credentials or ID/PW 를 사용
  61. 61. forensicinsight.org Page 61 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 도메인 관리자 계정 사용 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 도메인 관리자 계정의 NTLM Credentials or ID/PW 를 사용 감염 시스템
  62. 62. forensicinsight.org Page 62 일반적인 APT 공격 과정 Active Directory 환경에서 Pass the Hash 공격이 위험한 이유 A Domain B Domain DC DC
  63. 63. forensicinsight.org Page 63 일반적인 APT 공격 과정 Active Directory 환경에서 Pass the Hash 공격이 위험한 이유 A Domain B Domain DC DCDC
  64. 64. forensicinsight.org Page 64 일반적인 APT 공격 과정 Active Directory 환경에서 Pass the Hash 공격이 위험한 이유 A Domain B Domain DC DC Trust Relationship DC DC
  65. 65. forensicinsight.org Page 65 일반적인 APT 공격 과정 In Mind of Administrator…
  66. 66. forensicinsight.org Page 66 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 정상 시스템 모든 시스템이 동일한 로컬 관리자 계정을 사용
  67. 67. forensicinsight.org Page 67 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 정상 시스템 메모리로부터 로컬 관리자 계정의 복호화된 ID/PW 와 NTLM Credentials 을 획득
  68. 68. forensicinsight.org Page 68 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 정상 시스템 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 로컬 관리자 계정의 NTLM Credentials or ID/PW 를 사용
  69. 69. forensicinsight.org Page 69 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 로컬 관리자 계정의 NTLM Credentials or ID/PW 를 사용 감염 시스템
  70. 70. forensicinsight.org Page 70 최초 유입 경로 분석
  71. 71. forensicinsight.org Page 71 최초 유입 경로 분석  네트워크 구성 파악 가장 먼저 수행해야 할 작업은??
  72. 72. forensicinsight.org Page 72 최초 유입 경로 분석 네트워크 구성 파악을 안하고 시작하면…
  73. 73. forensicinsight.org Page 73 최초 유입 경로 분석  이상 징후가 발견된 시스템부터… • 악성코드 • 공격 흔적 • 비정상적인 시스템 접근 • …  전혀 알 수 없을 경우… • 유출된 정보를 저장하고 있는 시스템 • 위 시스템에 접근할 수 있는 시스템 • 보안 솔루션 로그의 이상 징후 • … 분석 시작 시스템 지정~!! ?
  74. 74. forensicinsight.org Page 74 최초 유입 경로 분석  상세 분석 • 아무 단서가 없는 상황에서 시스템 전체를 분석 • 의심스러운 악성코드/흔적을 찾아 공격 시간대를 알아내는 것이 목적 • 타임라인 분석 기법 사용 • Lateral Movement 기법 파악, 유입 경로 파악 • 비할당 영역 분석을 위해 디스크 이미징이 필요함 • 추후 분석에 사용할 수 있도록 최대한 많은 정보를 모아야 함  포인트 분석 • 이미 공격 시간대와 악성 코드 및 여러 정보를 확보한 상태의 분석 • 특정 시간대의 특정 아티팩트만을 분석 • 디스크 이미징이 필요 없음 • 스크립트 혹은 수집 Agent 를 통해 주요 아티펙트들만 수집 시스템 분석 유형
  75. 75. forensicinsight.org Page 75 최초 유입 경로 분석  STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기 • 의심스러운 파일 실행 흔적 • 의심스러운 Reloading Point • 파일 시스템 내 숨겨진 악성코드 • 의심스러운 다운로드 흔적 • … 시스템 상세 분석
  76. 76. forensicinsight.org Page 76 최초 유입 경로 분석  STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기 시스템 상세 분석
  77. 77. forensicinsight.org Page 77 최초 유입 경로 분석  STEP 2. 타임라인 분석 • 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합 시스템 상세 분석 Timeline Registry Web Browser Event Log File System Restore Point Prefetch LNK Log DB etc
  78. 78. forensicinsight.org Page 78 최초 유입 경로 분석  STEP 2. 타임라인 분석 • 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합 시스템 상세 분석
  79. 79. forensicinsight.org Page 79 최초 유입 경로 분석  STEP 2. 타임라인 분석 시스템 상세 분석 타임라인만 보면 되는거 아닌가??
  80. 80. forensicinsight.org Page 80 최초 유입 경로 분석  STEP 2. 타임라인 분석 시스템 상세 분석 타임라인 분석 = 사전 찾기
  81. 81. forensicinsight.org Page 81 최초 유입 경로 분석  STEP 2. 타임라인 분석 시스템 상세 분석 의심스러운 이벤트 시간 = 색인
  82. 82. forensicinsight.org Page 82 최초 유입 경로 분석  STEP 2. 타임라인 분석 • 분석 도구 : Plaso( http://plaso.kiddaland.net ) 시스템 상세 분석
  83. 83. forensicinsight.org Page 83 최초 유입 경로 분석 두 가지 분석 목표~!! 1. 최초 침입 시스템 찾기 2. 침입 포인트 찾기
  84. 84. forensicinsight.org Page 84 최초 유입 경로 분석 1. 모든 시스템을 상세 분석할 순 없음 • 상세 분석 대상 시스템 지정  최초로 공격이 탐지된 시스템, 주요 데이터가 저장된 시스템  최초 침입 시스템  주요 관리자/게이트웨이 시스템  분석이 막혔을 때…. 2. 최대한 많은 시스템의 아티팩트 및 정보 수집이 필요 • 앞으로 어떤 시스템을 분석하게 될지 모름 • 포인트 분석에 사용 : 주로 Lateral Movement 역추적이 목적 • 수집 도구 : FPLive_win v1.1, OpenIOC Editor/Finder 3. 절대 중간에 분석을 멈추면 안됨 • 분석 중간에 전혀 다른 시스템에서 악성코드 및 공격 징후가 발생할 수 있음 • 타 팀 혹은 상급자가 해당 이벤트를 긴급하게 요청;; • 악성코드 치료 및 대응은 일단 유입 경로 파악 및 제거 후 수행함 분석 전략
  85. 85. forensicinsight.org Page 85 최초 유입 경로 분석 ① Spear Fishing Drive By Download Update Vulnerability ② Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 업무망 연결 가능 시스템 ③ RDP/VPN ④ Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability DB 관리자 시스템 ⑤ Connect : 상세 분석 : 포인트 분석 분석 예
  86. 86. forensicinsight.org Page 86 최초 유입 경로 분석 1 2 3 4 5 6 6 4 5 5 6 3 4 5 6 6 3 4 5 4 5 6 5 2 3 4 4 5 6 3 4 4 5 5 6 7 6 6 2 3 4 5 4 3 4 3 4 5 6 6 65 5 2 3 4 4 5 6 6 3 4 5 5 6 모든 시스템이 감염된 상황이라면~!!?
  87. 87. forensicinsight.org Page 87 최초 유입 경로 분석 1 2 3 4 5 6 6 4 5 5 6 3 4 5 6 6 3 4 5 4 5 6 5 2 3 4 4 5 6 3 4 4 5 5 6 7 6 6 2 3 4 5 4 3 4 3 4 5 6 6 65 5 2 3 4 4 5 6 6 3 4 5 5 6 모든 시스템이 감염된 상황이라면~!!?
  88. 88. forensicinsight.org Page 88 최초 유입 경로 분석 1 2 3 4 5 6 6 4 5 5 6 3 4 5 6 6 3 4 5 4 5 6 5 2 3 4 4 5 6 3 4 4 5 5 6 7 6 6 2 3 4 5 4 3 4 3 4 5 6 6 65 5 2 3 4 4 5 6 6 3 4 5 5 6 모든 시스템이 감염된 상황이라면~!!? : 상세 분석 : 포인트 분석 최초 공격이 탐지된 시스템
  89. 89. forensicinsight.org Page 89 최초 유입 경로 분석 1. 아티팩트의 용량 • Windows Event Log 의 Default Size 는 512KB(XP), 20MB(Win7)… • 장시간의 로그가 저장되어 있지 않음 • 오래된 로그를 덮어써버림 • 대응 : 포렌식 준비도 관점에서 용량 재설정 및 백업 2. 공격자의 Anti Forensic 행위 • 공격자가 자신의 흔적을 지우려는 행위(로그 삭제, 파일 완전 삭제, 파일 시스템 파괴…) • 대응 : 비할당영역에서 삭제 데이터 복구, 파일 완전 삭제 흔적 추적($LogFile, $UsnJrnl), 파일 시스템 구조 복구… 현실적 어려움
  90. 90. forensicinsight.org Page 90 최초 유입 경로 분석  공격 시점이 너무 오래된 흔적이 남아 있지 않음  초기 대응 미숙으로 인한 흔적 삭제  삭제된 데이터 복구 실패  분석 실패?!! 아무런 흔적이 없음… ㅡㅡ;;
  91. 91. forensicinsight.org Page 91 최초 유입 경로 분석  대응 1 ( Lateral Movement 역추적에 실패한 경우) • IOC(Indicator of Compromise) 를 통한 최초 감염 시스템 추적  감염 시기가 가장 빠른 시스템을 파악  해당 시스템에 대한 상세 분석 및 또 다른 IOC 획득을 통한 분석 포인트 재획득  도구(OpenIOC) • IOC Editor( http://www.mandiant.com/resources/download/ioc-editor/ ) • IOC Finder( http://www.mandiant.com/resources/download/ioc-finder/ ) 아무런 흔적이 없음…
  92. 92. forensicinsight.org Page 92 최초 유입 경로 분석  대응 2 ( 유입 경로 찾기에 실패한 경우 ) • 외부 공격자와의 연결 지점은 반드시 있음  일반적으로 백도어 Proxy 기능을 통한 쉘 연결 유지  어딘가 외부와 연결이 가능한 시스템에 백도어가 설치되어 있음  현재 연결을 다 차단함으로써 재침투 유도…  유입 경로 재분석 • 발견된 모든 백도어의 동시 삭제 • AV 의 실시간 차단 기능 사용 아무런 흔적이 없음… 드루와~ 드루와~
  93. 93. forensicinsight.org Page 93 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 게임머니 업데이트!! File Server
  94. 94. forensicinsight.org Page 94 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 이벤트 로그 복구를 통한 역추적~!! File Server : Back Tracking
  95. 95. forensicinsight.org Page 95 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 이벤트 로그 복구 실패;; File Server : Back Tracking
  96. 96. forensicinsight.org Page 96 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB IOC 를 통한 최초 감염 시스템 찾기 수행 File Server : Back Tracking
  97. 97. forensicinsight.org Page 97 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 업부망과 연결된 게이트웨이 서버 IOC 를 통한 최초 감염 시스템 찾기 수행 최초 감염 시스템 File Server : Back Tracking
  98. 98. forensicinsight.org Page 98 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 File Server : Back Tracking
  99. 99. forensicinsight.org Page 99 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 Keylogging File Server : Back Tracking
  100. 100. forensicinsight.org Page 100 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 Keylogging File Server : Back Tracking
  101. 101. forensicinsight.org Page 101 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 File Server 감염된 NVIDIA 드라이버 설치 프로그램 다운로드 : Back Tracking
  102. 102. forensicinsight.org Page 102 다시 한번…
  103. 103. forensicinsight.org Page 103 Conclusion 왜? 유입 경로를 파악해야 하는가?
  104. 104. forensicinsight.org Page 104 Conclusion I’m Sick… ㅠ ㅠ
  105. 105. forensicinsight.org Page 105 Conclusion 님하… 그만… ㅠ.ㅠ
  106. 106. forensicinsight.org Page 106 Conclusion
  107. 107. forensicinsight.org Page 107 Conclusion No Initial Breach Point, No Win …
  108. 108. forensicinsight.org Page 108 Question and Answer
  109. 109. forensicinsight.org Page 109 Go to Lunch 점심하러 가시죠?~^^
  • do3ng1

    Dec. 15, 2016
  • justinyoungseobKIM

    Apr. 8, 2016
  • SooHyunKong

    Apr. 1, 2016
  • nyanggure

    Mar. 14, 2016
  • shcha

    Jan. 19, 2016
  • AramLee5

    Dec. 10, 2015
  • leejiseong75

    Sep. 20, 2015
  • cccnam5158

    Sep. 20, 2015
  • hyuntaeklee399

    Sep. 6, 2015
  • seonghyunkim92

    Apr. 25, 2015
  • pojian

    Mar. 13, 2015
  • dongseoblee52

    Mar. 9, 2015
  • hongjongkeun

    Mar. 9, 2015
  • kwangwoojung16

    Mar. 9, 2015
  • GeunhakKim

    Mar. 9, 2015
  • jogeun

    Mar. 9, 2015

FICON (FORENSIC INSIGHT CONFERENCE) 2015 #3 - 어떻게 들어왔는가? : 안랩 보안위협분석팀 오정훈 연구원

Vues

Nombre de vues

3 676

Sur Slideshare

0

À partir des intégrations

0

Nombre d'intégrations

15

Actions

Téléchargements

338

Partages

0

Commentaires

0

Mentions J'aime

16

×