<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>

Size: px

Start display at page:

Download "<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>"

준기 장
5 years ago
Views:

1 사이버침해사고정보공유세미나 Conference on Information Sharing of Cyber Incidents

3 PROGRAM 사이버침해사고정보공유세미나 Ⅰ 주요내용 일시 : ( 목 ) 14:00~17:00 장소 : KISA 대동청사 14 층 시간내용발표 14:00~14:10 인사말 14:10~14:35 파라미터변조취약점을통한개인정보유출분석 14:35~15:00 최근침해사고관련루트킷분석 15:00~15:25 금융정보탈취공격동향분석 침해사고분석단정현철단장취약점분석팀손기종선임침해사고조사팀김정호선임코드분석팀류소준연구원 15:25~15:40 휴식 15:40~16:10 최근모의해킹을통해본보안이슈 16:10~16:40 스마트오피스환경의업무앱취약성점검프레임워크 16:40~17:00 사이버위협정보분석 공유시스템 (CTAS) 공유체계 SK인포섹이권형차장앰진시큐러스조양현대표분석기획팀한인혜주임

5 CONTENTS 사이버침해사고정보공유세미나 파라미터변조취약점을통한개인정보유출분석 1 취약점분석팀손기종선임 최근침해사고관련루트킷분석 15 침해사고조사팀김정호선임 금융정보탈취공격동향분석 35 코드분석팀류소준연구원 최근모의해킹을통해본보안이슈 53 SK 인포섹이권형차장 스마트오피스환경의업무앱취약성점검프레임워크 71 앰진시큐러스조양현대표 사이버위협정보분석 공유시스템 (CTAS) 공유체계 93 분석기획팀한인혜주임

7 주제발표 사이버침해사고정보공유세미나 파라미터변조취약점을통한개인정보유출분석 취약점분석팀손기종선임

9 - 3 - 파라미터변조취약점을통한개인정보유출분석

10 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1 파라미터 (Parameter) 란? - 애플리케이션에서사용하는매개변수값 주요파라미터종류 - GET/POST 쿼리문자열 -HTTP 쿠키 - 4 -

11 파라미터변조취약점을통한개인정보유출분석 애플리케이션파라미터처리방식 3 입력값처리 2 웹서버에파라미터전송 1 사용자웹페이지요청 웹서버 소스코드 파라미터변조취약점설명 (1/2) 취약점발생 공격자 웹프락시이용, 파라미터변조 변조된값을처리웹서버 - 5 -

12 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 파라미터변조취약점설명 (2/2) 웹페이지요청 ( 클라이언트 ) 파라미터처리소스코드 ( 서버 ) accno = Attack Vector Connection conn = DriverManager.getConnection("jdbc:odbc:test"); Statement stmt = conn.createstatement(); String acct = request.getparameter( accno"); <- 파라미터입력 String access = ("SELECT * FROM Accts WHERE paramid = " + acct); <- 개인정보쿼리 ResultSet rs = stmt.executequery(access); accno 에해당되는개인정보출력 accno 사용자 사용자 A 개인정보 사용자 B 개인정보 OWASP TOP 10 OWASP Top 영향도 A1. 인젝션 심각 A2. 취약한인증및세션관리 심각 A3. 크로스사이트스크립팅 (XSS) 중간 A4. 안전하지않은직접객체참조 ( 파라미터변조취약점 ) 중간 A5. 보안상잘못된구성 중간 A6. 민감한데이터노출 심각 A7. 함수수준접근통제누락 중간 A8. 크로스사이트요청변조 (CSRF) 중간 A9. 알려진취약점과컴포넌트사용 중간 A10. 검증되지않은리다이렉트와포워드 중간 - 6 -

13 파라미터변조취약점을통한개인정보유출분석 파라미터변조취약점이해커의주요공략대상인이유 일반적으로웹서비스의사용자식별값을파라미터만을이용 공격가능성이쉬우며취약점이일반적으로분포 기업의자체웹취약점스캐너및시큐어코딩점검툴에탐지율이낮음 > 점검도구에서로직을분석하여취약점을찾는것에한계노출 침투기반모의해킹점검시취약점발견이누락될수있음 > 침투기반모의해킹점검은대부분서버장악이가능한취약점위주로점검 > 개인정보에특화된점검이필요 파라미터이용용도별해킹사고유형 웹서비스이용목적 사용자식별 변조 사고유형 개인정보유출 관리자식별 변조 관리자권한탈취 보안인증토근 변조 보안인증우회 결재가격정보 변조 가격변조 - 7 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 2 00 홈페이지고객정보유출사례 해커 PC 통신사 해커 2 명세서번호파라미터 Num=123456789

14 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 2 00 홈페이지고객정보유출사례 해커 PC 통신사 해커 2 명세서번호파라미터 Num= 타인의명세서번호로파라미터변조 Num= WEB 조회 DB 1 명세서조회클릭 웹프락시 5 자동대입툴제작 ( ~ 대입 ) 6 고객정보판매 4 타인 ( ) 개인정보전송 텔레마케팅대표 - 8 -

15 파라미터변조취약점을통한개인정보유출분석 타인증명서열람을통한개인정보유출사례 3-9 -

16 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents Ajax 또는 JSON 의사용이증가하면서프론트엔드 ( 클라이언트 ) 에서 검증하는방식의증가 클라이언트에서전송되는파라미터에대한무조건적인신뢰 클라이언트프로그램소스는언제든공격자에의해조작가능인식부족 파라미터값에대한서버측검증절차부재

17 파라미터변조취약점을통한개인정보유출분석 파라미터사용중요대상페이지목록화후검증여부확인 사용자식별번호 예약번호 보안토큰 서비스신청번호 주문번호 게시글번호 개인정보확인 관리자식별정보 서버측세션 ID 를통한검증절차구현 (1/2) - 세션 ID: 서버에서랜덤하게발급되는사용자별식별 ID

18 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 서버측세션 ID 발급을통한사용자검증절차구현 (2/2) 잘못된세션 ID 사용예제 올바른세션 ID 사용예제 안전한쿠키사용및개인정보페이지본인인증적용 (1/2) - 변조방지를위해파라미터암호화적용 암호화적용

19 파라미터변조취약점을통한개인정보유출분석 안전한쿠키사용및개인정보페이지본인인증적용 (2/2) - 개인정보페이지에대한인증적용 회원정보조회페이지 고객명 아이디 홍길동 hongkdong 생년월일 비밀번호를입력해주세요. 회원님의정보를안전하게보호하기위해비밀번호를다시한번확인합니다. hongkdong 확인 중요개인정보조회및출력페이지대상모니터링실시 자동화공격로그패턴 o 단일 / 다수의공격 IP 에서허용기준이상연속적으로 특정개인정보관련페이지에접근한이력발생 탐지방안 o 공격 IP 에서허용기준값이상연속적으로특정대상 페이지에접근을시도한경우탐지 o 단일 / 다수의공격 IP 에서특정개인정보관련페이지에 연속적으로접근을시도하였으나, 다른트래픽데이터와섞어비연속적으로기록됨 o단일 / 다수의공격 IP에서탐지를우회하기위해불규칙적인시간간격을두고특정개인정보관련페이지에접근을시도하여비연속적으로로그가기록됨 o공격ip에서특정시간간격동안허용기준값 ( 예 :00회/ 분당 ) 이상대상페이지에접근한경우탐지 o불규칙적인시간간격으로공격을시도하는경우허용기준값이상모니터링대상에접근한공격 IP를기준으로페이지접근이력을트레이싱하여해당 IP가개인정보관련페이지에만접근하였는지에대한분석을통해이상징후여부판별 odb 쿼리로그를분석하여특정시간간격동안허용기준치이상개인정보를조회하는경우탐지등

20 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents KrCERT 기술문서참고 - -

21 주제발표 사이버침해사고정보공유세미나 최근침해사고관련루트킷분석 침해사고조사팀김정호선임

23 최근침해사고관련루트킷분석

24 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

25 최근침해사고관련루트킷분석 메모리상주 매뉴얼페이지위장 libnss_crypt-2.5.so openssh.gz 리버스셸실행 파일 /PID 숨김기능 C&C 연결 root 권한으로실행 iptable 수정 프로세스숨김로그삭제 kernel.gz 최초접속기록로그삭제 utmp, wtmp, lastlog zlib.gz cache.log TCP 소켓통신 access.log boot.log 커널드라이브로 zlib.gz 파일복사 ac.ko

26 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

27 최근침해사고관련루트킷분석

28 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

29 최근침해사고관련루트킷분석

30 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

31 최근침해사고관련루트킷분석 3 루트킷 파일생성 루트킷 실행 루트킷 로컬파일삭제

32 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

33 최근침해사고관련루트킷분석

34 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

35 최근침해사고관련루트킷분석

36 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

37 최근침해사고관련루트킷분석

38 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

39 최근침해사고관련루트킷분석

41 주제발표 사이버침해사고정보공유세미나 금융정보탈취공격동향분석 코드분석팀류소준연구원

43 금융정보탈취공격동향분석

44 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1 - Pharming 파밍이란공격자가악성코드에감염된 PC 를조작하여, 사용자가정확한웹페이지주소를입력해도가짜웹페이지인피싱사이트에접속하게하여개인정보를훔치는기법 - Phishing 인터넷을통해국내외유명기관을사칭하여개인정보나금융정보를수집한뒤이를악용하여금전적인이익을노리는사이버사기의일종

45 금융정보탈취공격동향분석 월별국내피싱사이트차단현황 월별탐지된악성코드유형 TOP

46 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 드라이브바이다운로드제휴프로그램변조웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드공유기 DNS 변조워드프로세스취약점스팸메일저장매체 웹사이트에접속하는것만으로도사용자모르게악성코드를실행시키는기법으로사용되는취약점들은이미공개되어패치가있는것들이대부분임 순번 CVE 번호설명 1 CVE Oracle Java SE Rhino Script Engine 입력값검증오류취약점 2 CVE Oracle Java Sandbox 우회원격코드실행취약점 3 CVE Apple itunes, Safari 에서사용되는 Webkit 메모리손상취약점 4 CVE Oracle Java SE 원격코드실행취약점 5 CVE Microsoft XML Core Services 의초기화되지않은메모리개체접근으로인한원격코드실행취약점 6 CVE Apache Tomcat 서비스거부취약점 7 CVE Oracle Java Sandbox 우회원격코드실행취약점 8 CVE Oracle Java Security Manager 우회원격코드실행취약점 9 CVE Oracle Java Runtime Environment 원격코드실행취약점 10 CVE Adobe Flash Player 메모리손상취약점 11 CVE Oralce Java SE 메모리손상취약점 12 CVE Internet Explorer 메모리손상취약점

47 금융정보탈취공격동향분석

48 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 음악파일, 동영상파일, 그림파일등모든문서로위장가능 Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E) 실제확장자는보이지않고가짜확장자로보임

49 금융정보탈취공격동향분석 3 C:\WINDOWS\system32\drivers\etc\hosts C:\WINDOWS\system32\drivers\etc\hosts.ics

50 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents IP Resolving 우선순위 순번 체크순서 1 로컬시스템의 DNS Cache 정보 2 hosts.ics 3 hosts 4 DNS Query (10 진수 ) FFFFFFFF(16 진수 ) (10 진수 IP) 특정데이터추출 파밍 IP 파싱

51 금융정보탈취공격동향분석 로컬호스트주소

52 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1DNS 서버변조 DNS Server 3 로컬호스트로요청 내부프레임 (inline frame) 이라는의미로, 하나의 HTML문서내에서다른 HTML문서 <iframe> 를보여주고자할때사용. 일반적인프레임 (frame) 과달리폭 (width) 과높이 (height) 속성을사용할수있으며, 독립적으로원하는위치에삽입가능

53 금융정보탈취공격동향분석 VPN 공중네트워크를통해한회사나몇몇단체가내용을바깥사람에게드러내지않고통신할목적으로쓰이는사설통신망

54 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

55 금융정보탈취공격동향분석

56 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 클릭 Active X 를사용하지않고, 마이크로소프트 (MS) 닷넷프레임워크기반에서인터넷뱅킹에필요한보안프로그램을설치할수있게하는방식

57 금융정보탈취공격동향분석 5 소프트웨어를항상최신으로업데이트한다. 백신프로그램을항상최신으로업데이트한다. 출처가불분명한파일이나프로그램을함부로열어보지않는다. 지나치게많은정보를요구할때에는의심을한다. 보안카드등민감한정보를따로저장하지않는다. 보안공지를주기적으로확인하는등최신보안관련소식에관심을갖는다

58 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents

59 주제발표 사이버침해사고정보공유세미나 최근모의해킹을통해본보안이슈 SK 인포섹이권형차장

61 최근모의해킹을통해본보안이슈

62 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1 사이버범죄발생에따른연간피해액약 1,130 억달러 ( 약 120 조원 ) - 일평균 1 백만명이상, 1 초당 12 명의사이버범죄피해자발생 모바일기기및소셜네트워크를통한사이버범죄증가 - WiFi 사용자 (68%), 모바일기기사용자 (63%), 소셜네트워크사용자 (63%) 가사이버범죄경험 사이버보안위협 2000 년이후최고수준 년정교하고조직적인사이버범죄증가및새로운공격루트확대및인프라공격도증가전망 전세계 206 개국가에서 C&C 서버발견 - 악성코드공격서버, 명령및제어 (C&C) 인프라의발원지는 2012년 184개국가에서 2013년 206개국가로증가 - 미국, 독일, 한국, 중국, 네덜란드, 영국, 러시아등이 C&C 인프라의상위발원지 美연방정부대상의사이버공격횟수급증 - 일리노아주상수도시설제어시스템해킹, 펌프시설파괴 ( 11.11) - 미국연방재난관리청전산망해킹으로직원및외주업체관련개인정보유출 ( 13.7) 중국국가및기업의정보보안등급 핵전 ( 최고 ) 상황으로상향 - 기업사이트및정부네트워크등이주요공격대상이되었으며심각한대규모의개인정보유출및대규모의피싱피해발생 - 공격방식이일반적인 SW/HW적취약점공격에서부터사회공학적공격까지매우다양하고복합적인형태를가짐 - 국가간정치적목적을위해 APT형태의 Super-powerful Flame worm과같은슈퍼바이러스나웜을공격무기로사용하는추세

63 최근모의해킹을통해본보안이슈 농협전산망마비 ( 11.04) - 농협전산망자료의대규모손상으로수일에걸쳐전체또는일부서비스이용마비 - 웹하드사이트를통해외주업체 (IBM) 직원의업무용도노트북감염, 전산망관련각종정보유출됨 현대캐피탈해킹사건 ( 11.04) - 퇴직한직원의 ID/PW를이용하여현대케피탈시스템의접근후고객정보 (175만건 ) 유출 - 고객비밀번호의암호화및주민번호뒷자리숨김표시등의의무사항을이행하지않고, 퇴직자계정관리감도미비 3.20 전산대란 ( `13.03) - APT 공격대상선정후장기간악성코드유포하여 PC HDD 를파괴, 방송 / 금융등 6 개사사이버테러로 4 만 8 천여대 PC/ 서버 /ATM 장애 6.25 사이버테러 ( 13.06) - 정부기관 / 언론 / 방송사등 24 개기관대상해킹, DDoS 공격발생, 공공기관홈페이지변조, 중소언론 / 방송사의 130 여대시스템파괴 경찰청도로교통법스미싱주의보발령 ( 13.10) - 돌잔치초대, 법원등기등다양한형태의스미싱사례발생 * 스미싱 (smishing): 스마트폰 SMS내 URL연결유도, 악성App 설치하고개인정보탈취, 금전적피해를유발하는신종사이버공격 KT 개인정보유출 ( 14.02) - 파로스 (paros) 프로그램을이용한신종해킹프로그램개발, KT홈페이지를통해개인정보탈취후, 휴대전화개통 / 판매영업에활용 년 870만명의개인정보유출사고이력이존재함에도불구하고정보유출재발생 출처 : KISA 2013 년주요침해사고사례와대응

64 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 국내정보보안시장 지난 3 년동안지속적으로 58% 성장 년 2.6 조원규모에이를것으로예상 모바일보안분야 2013 ~ 2016 년사이연평균 22% 씩성장할것으로전망 전세계정보보안시장과모바일보안시장 각각 8%, 24% 성장할전망

최근모의해킹을통해본보안이슈 Hacker s PC Internet Explorer Proxy Internet Homepage Request / Respone 패킷확인및수정가능 통신하는패킷을통해중요정보획득 패킷조작을통해인증우회등다양한공격시도 코드 항목명 설명 A1 인젝션 SQL 구문삽입, 명령어삽입등외부값으로인해시스템에직접명령을하거나 DBMS

65 최근모의해킹을통해본보안이슈 Hacker s PC Internet Explorer Proxy Internet Homepage Request / Respone 패킷확인및수정가능 통신하는패킷을통해중요정보획득 패킷조작을통해인증우회등다양한공격시도 코드 항목명 설명 A1 인젝션 SQL 구문삽입, 명령어삽입등외부값으로인해시스템에직접명령을하거나 DBMS 에쿼리등직접명령이가능한취약점 A2 A3 잘못된인증및세션관리 XSS 인증과세션관리가미흡하여세션이나쿠키등을재사용하는등사용자도용이가능한취약점 게시판등사용자가입력하고타인이해당입력한값을보는부분에서주로발생. 자바스크립트사용으로특정사이트로강제이동시키거나쿠키값을타서버로전송가능한취약점 A4 직접객체참조외부로부터입력받는값으로필터링없이오브젝트실행하게되어, 타위치의파일을다운로드하거나웹쉘등악성코드업로드가능한취약점 A5 보안설정오류 보안설정오류로인해디렉터리인덱싱등보안상취약한기능을사용하게되거나시스템에러메시지발생으로해커로부터유용한정보제공하게되는취약점 A6 민감정보노출 ID/PW 나회원정보입력후전송과정에서이러한중요정보가평문으로노출되는경우, 중요정보 ( 개인정보등 ) 이유출될가능한취약점 A7 A8 A9 A10 접근통제누락 CSRF 알려진취약한컴포넌트사용 검증되지않은리다이렉트및포워드 관리자페이지등특정권한을필요로하는페이지의경우, 모든페이지에권한인증을거쳐야하지만누락되어페이지직접접근등으로권한이없는계정으로상위권한페이지접근가능한취약점 XSS 취약점을활용한방식으로, 특정이상의권한이있는사람만이접근하는페이지 ( 즉권항상승페이지등 ) 에접근을유도하는등, 타인의권한을이용하는취약점슈퍼유저권한으로운영되는취약한라이브러리, 프레임워크및기타다른소프트웨어모듈로인해데이터유실및서버권한획득이가능한취약점웹어플리케이션에접속한사용자를다른페이지로분기시키는경우, 이동되는목적지에대한검증부재시, 피싱, 악성코드사이트등의접속및인가되지않는페이지접근하게하는취약점

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 홈페이지해킹 홈페이지구조를모두파악하고, 기능간인증제한등을우회하고, 가격변조등본래기능외에다른기능사용가능여부를파악한다.

66 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 홈페이지해킹 홈페이지구조를모두파악하고, 기능간인증제한등을우회하고, 가격변조등본래기능외에다른기능사용가능여부를파악한다. 악성코드업로드 서버침투 포인트, 금액등중요정보조작 로그인인증우회가능성 XSS 구문입력가능성 관리자권한획득 관리자페이지존재여부 파일업로드기능여부 원격데스크톱연결 SQL 쿼리문입력가능성 각종인증우회 파일다운로드취약점 개인정보탈취 홈페이지해킹 홈페이지내에파일업로드가능한게시판등이존재하면, 서버에서실행가능한파일 (PHP, JSP, ASP 등 ) 을업로드시도한다. 가능하다면 WebShell 을업로드한다. 악성코드업로드 서버침투 관리자권한획득 원격데스크톱연결 개인정보탈취

악성코드업로드하여서버직접침투 Reverse Connection : 통상적으로

홈페이지해킹 악성코드업로드 대부분의웹서버는관리자권한으로실행되므로, 서버의

67 최근모의해킹을통해본보안이슈 홈페이지해킹 악성코드업로드 WebShell 을통해모든파일접근가능. 악성코드업로드하여서버직접침투 Reverse Connection : 통상적으로 Client Server 로접근하면 Server 의 Shell 이나타나는데, 역으로 Server Client 로접근할때에 Server 의 Shell 이나타나는공격방법 서버침투 관리자권한획득 원격데스크톱연결 개인정보탈취 홈페이지해킹 악성코드업로드 대부분의웹서버는관리자권한으로실행되므로, 서버의 Shell 을획득하면관리자권한의 Shell 을획득하게됨. 하지만 root 또는 Administrator 의비밀번호를알아내기에는시간이많이소요되므로, 별도의관리자계정을생성함 계정생성 ( ID: skinfosec / PW: sk_infosec123! ) 서버침투 관리자권한획득 관리자권한부여 원격데스크톱연결 개인정보탈취

사이버침해사고정보공유세미나 Ⅰ Conference on Information

그룹전체에접근허용을하기때문에원격데스크탑연결접속을통해생성한계정으로로그인이가능하다.

서버에접근하면모든파일을접근할수있고, DBMS 연결접속정보를찾는다면, 해당

68 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 홈페이지해킹 생성한계정은 administrators 그룹에포함을하였고, 서버의원격연결기본설정은 administrators 그룹전체에접근허용을하기때문에원격데스크탑연결접속을통해생성한계정으로로그인이가능하다. 악성코드업로드 서버침투 관리자권한획득 원격데스크톱연결 개인정보탈취 홈페이지해킹 서버에접근하면모든파일을접근할수있고, DBMS 연결접속정보를찾는다면, 해당 DBMS 에접근하여존재하는모든데이터 ( 특히중요정보, 개인정보 ) 를탈취할수있다. 악성코드업로드 서버침투 관리자권한획득 원격데스크톱연결 개인정보탈취

69 최근모의해킹을통해본보안이슈

패킷조작을통해인증우회등다양한공격시도 Proxy Smart Phone [JD-GUI

70 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents Mirror Internet Homepage Hacker s PC WiFi 공유기 Request / Respone 패킷확인및수정가능 통신하는패킷을통해중요정보획득 패킷조작을통해인증우회등다양한공격시도 Proxy Smart Phone [JD-GUI 프로그램으로변환한 JAR 파일열어 JAVA 소스확인가능 ] [ DEX2JAR 프로그램활용 : APK 파일 JAR 파일변환 ]

71 최근모의해킹을통해본보안이슈 [ APKTool 을이용하여 APK 파일디코딩 ] [ 디코딩결과 : smail 소스획득 ] [ 변조 재컴파일 사인 App 설치 ] [Rooting 된 SmartPhone 에 GameCIH 설치 ] [App 실행후원하는변수의값을입력 ]

72 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 코드항목명설명 M1 M2 M3 M4 M5 취약한서버측통제 안전하지않는데이터저장불충분한전송계층보호의도하지않은데이터노출잘못된인증및권한사용 데이터처리에대해서버에서직접처리하지않고 App에서처리후그결과만서버로전송되는부분에서발생하는것으로결과값을변조하여전송하면서버측에서는최종적으로전달된값을신뢰하여처리하게되는취약점 App에서 ID/PW 등중요정보를저장하여처리하게될경우, 해당데이터가유출될가능성이존재하는취약점 App은서버와상호통신을하게되는데, 이때스니핑등의기법으로패킷을가로채어중요데이터가노출될가능성이있는취약점 App 실행시데이터캐쉬, 이미지, 로그, 버퍼등을통해, 개발자의의도와다르게데이터가노출되는취약점인증및권한사용이미흡하여, 자동화공격툴을활용하여동일한공격을반복적으로수행할수있는취약점 M6 취약한암호화취약한암호화기법을사용하고있어, 크랙후중요데이터가노출되는취약점 M7 M8 M9 클라이언트측인젝션 잘못된입력값을통한보안결정부적절한세션처리 App에서입력되는값에대해 XSS나 HTML, SQL 구문등이필터링없이입력되어 SMS 등을통해서버나타인에게코드실행이가능하게하는취약점특정입력값으로권한이나보안모델을우회할수있는취약점로그인세션처리할때, 평문화된쿠키값을사용하는등부적절하게세션처리를함으로써, 타인의권한을획득할수있는취약점 M10 소스보호부재 ProGuard 와같이소스암호화를하지않은경우, 디버깅을통해소스분석및변조가가능한취약점

73 최근모의해킹을통해본보안이슈 4 Wireless AP Internet Hacker s Mobile POS Smart Phone Notebook 내부망서버 PC 무선 AP 접속성공 같은망에랜선연결한것과동일한상태임 스마트폰원격접속시도 개인정보유출 같은망내에공유폴더및FTP 접근 중요정보유출및백도어설치 내부망 PC를통해내부망서버직접접근 중요정보탈취및파괴

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber

사내망전체를대상으로이메일전송 이메일내에 XSS 및문서형태 (.ppt,.pdf,.doc,.

WiFi Hacker s Proxy Notebook Smart Phone 회사와연관된 SSID(KISA 등 )

74 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents Internet USER Hacker s Mobile USER USER USER 사내망전체를대상으로이메일전송 이메일내에 XSS 및문서형태 (.ppt,.pdf,.doc,.hwp 등 ) 악성코드첨부 첨부파일열람시백도어등의악성코드설치 중요정보 ( 서버접속정보등 ) 유출 Hacker s WiFi Hacker s Proxy Notebook Smart Phone 회사와연관된 SSID(KISA 등 ) 로설정한무선AP 설치 내부사용자가해커가만든 WiFi에접근 홈페이지접속시 ID/PW 노출 App 실행시접속정보및개인정보등중요정보노출 내용및대용량첨부파일링크유출및다운로드

75 최근모의해킹을통해본보안이슈

77 주제발표 사이버침해사고정보공유세미나 사이버위협정보분석 공유시스템 (CTAS) 공유체계 분석기획팀한인혜주임

79 사이버위협정보분석 공유시스템 (CTAS) 공유체계

80 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 월, 가장신속하게세계사이버위협정보를수집 분석 공유하는 CTAS 본격가동

81 사이버위협정보분석 공유시스템 (CTAS) 공유체계 2 12개 KISA 내부운영시스템및외부기관으로부터침해사고정보수집수집정보 : 악성코드, C&C, 악성코드경유지및유포지, 침해사고정보등수집방법 : 수집에이전트, 웹사이트, 오픈 API 등을통해수집저장방법 : 수집되는침해정보는 CTEX 라는 XML 형식의사이버위협정보로표현 CTAS 시스템에모두통일된형태정보가자동으로수집되기위한방법

82 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 3 5 개그룹, 36 종정보를외부기관에공유 이메일악성코드등사이버위협정보수집 공유항목확대추진중 번호구분공유정보내역 1 위협도메인 IP 악성코드유포지, 경유지, C&C 정보, 웹변조, 감염 IP, 공격 IP, 어뷰징 IP, VPN IP 등 2 사이버사기도메인 IP 피싱, 파밍, 스미싱, 정보유출지등 3 악성파일스팸메일, 악성코드샘플, 악성앱샘플, 웹셀샘플등 4 취약점 CVE, KVE, PoC 정보 5 보고서 보안공지, 기술문서, 악성코드분석보고서, 악성앱분석보고서, 취약분석보고서, 일일상황관제, 주간사고동향등

웹쉘샘플, 웹쉘패턴악성코드유포지 URL, 악성코드경유지 URL, C&C 도메인및 IP, 악성코드샘플, 공격IP 악성코드유포지 URL, 악성코드경유지 URL, C&C 도메인및 IP, VPN IP, 사업자할당 IP, IDC IP, Mobile IP

83 사이버위협정보분석 공유시스템 (CTAS) 공유체계 공공, 백신, 쇼핑, 포털관제업체로부터위협정보수집 구분 게임공공관제국외금융백신보안장비쇼핑포털 수집정보악성코드유포지 URL, 악성코드경유지 URL, 어뷰징공격 IP, 정보유출지, C&C 도메인및 IP, 공격IP 악성이메일, 공격IP, C&C 도메인및 IP 악성코드유포지 URL, 악성코드경유지 URL, 웹변조발생 URL, 공격 IP, 피싱도메인악성코드샘플, 악성앱샘플, C&C 도메인및 IP, 악성코드유포지 URL 공격IP 악성코드샘플악성코드유포지 URL, 웹쉘샘플, 웹쉘패턴악성코드유포지 URL, 악성코드경유지 URL, C&C 도메인및 IP, 악성코드샘플, 공격IP 악성코드유포지 URL, 악성코드경유지 URL, C&C 도메인및 IP, VPN IP, 사업자할당 IP, IDC IP, Mobile IP CTAS를이용한사이버위협정보공유를위한협의절차 CTAS 정보공유시스템가입안내 (cshare.krcert.or.kr) 및공유정보요청 공유규격및방법협의 검증-정보변환 (CTEX에맞춰 XML 파일생성 ) 및API구현 (KISA 자체개발 API 배포 ) 위협정보공유시작

84 사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 기여기반정보공유를통해수집정보확대추진 원칙적으로위협정보를제공하는기관에게정보공유 ( 양방향 ) 정보제공업체가정보제공항목및공유범위결정 권한관리 접근통제를통해회원별정보공유대상및범위차등 단위사업군별정보공유희망시공유채널제공등허브역할수행 11 외부기관으로부터수집된위협정보샘플 CTAS 를통해수집된위협정보간사고요인 ( 악성코드, 취약점, 피해시스템등 ) 연관성분석 CTAS 정보공유시스템을통해분석된정보를유관기관및가입업체에게실시간공유 연관성분석 CTAS 를통한실시간공유 사고요인들간연관성분석

85 사이버위협정보분석 공유시스템 (CTAS) 공유체계 )

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.