<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>

Similar documents
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B


untitled

AhnLab_template

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

제목 레이아웃

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

PowerPoint Template

*2008년1월호진짜

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

암호내지

Observational Determinism for Concurrent Program Security

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Windows 8에서 BioStar 1 설치하기

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

로거 자료실

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

untitled

Microsoft Word - src.doc

게시판 스팸 실시간 차단 시스템

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

웹서버보안취약점대응및조치 교육사이버안전센터

Microsoft PowerPoint - GUI _DB연동.ppt [호환 모드]

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

#WI DNS DDoS 공격악성코드분석

<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

Cloud Friendly System Architecture

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

[ 목차 ] 1. 개요 1 2. 악성코드감염경로 드라이브바이다운로드 (Drive by download) 제휴프로그램변조 웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드 공유기 D

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

SBR-100S User Manual

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

DBMS & SQL Server Installation Database Laboratory

유포지탐지동향

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Secure Programming Lecture1 : Introduction

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

슬라이드 1

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

서현수

PowerPoint 프레젠테이션

Microsoft PowerPoint - 10Àå.ppt

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>


The Pocket Guide to TCP/IP Sockets: C Version

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에

PowerPoint 프레젠테이션

ìœ€íŁ´IP( _0219).xlsx

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

슬라이드 1

최종_백서 표지

5th-KOR-SANGFOR NGAF(CC)

Ⅰ. 서론 최근 PC 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고 FOCUS 있다. 실제한국인터넷진흥원에신고 접수된악성앱중 10% 이상과 PC 악성코드중 17% 이상이보안카드번호, 주민등록번호등금융정보를탈취하고있다. 뿐만아니라가능한 많은금융정보를수집하기위

Microsoft PowerPoint - chap01-C언어개요.pptx

Secure Programming Lecture1 : Introduction

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

PowerPoint 프레젠테이션

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

슬라이드 1

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포


슬라이드 1

PowerPoint Template

RHEV 2.2 인증서 만료 확인 및 갱신

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

untitled

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

10.ppt

Microsoft PowerPoint - 권장 사양

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

대량문자API연동 (with directsend)

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

TTA Journal No.157_서체변경.indd

Transcription:

사이버침해사고정보공유세미나 Conference on Information Sharing of Cyber Incidents

PROGRAM 사이버침해사고정보공유세미나 Ⅰ 주요내용 일시 : 2014. 9. 25( 목 ) 14:00~17:00 장소 : KISA 대동청사 14 층 시간내용발표 14:00~14:10 인사말 14:10~14:35 파라미터변조취약점을통한개인정보유출분석 14:35~15:00 최근침해사고관련루트킷분석 15:00~15:25 금융정보탈취공격동향분석 침해사고분석단정현철단장취약점분석팀손기종선임침해사고조사팀김정호선임코드분석팀류소준연구원 15:25~15:40 휴식 15:40~16:10 최근모의해킹을통해본보안이슈 16:10~16:40 스마트오피스환경의업무앱취약성점검프레임워크 16:40~17:00 사이버위협정보분석 공유시스템 (CTAS) 공유체계 SK인포섹이권형차장앰진시큐러스조양현대표분석기획팀한인혜주임

CONTENTS 사이버침해사고정보공유세미나 파라미터변조취약점을통한개인정보유출분석 1 취약점분석팀손기종선임 최근침해사고관련루트킷분석 15 침해사고조사팀김정호선임 금융정보탈취공격동향분석 35 코드분석팀류소준연구원 최근모의해킹을통해본보안이슈 53 SK 인포섹이권형차장 스마트오피스환경의업무앱취약성점검프레임워크 71 앰진시큐러스조양현대표 사이버위협정보분석 공유시스템 (CTAS) 공유체계 93 분석기획팀한인혜주임

주제발표 사이버침해사고정보공유세미나 파라미터변조취약점을통한개인정보유출분석 취약점분석팀손기종선임

- 3 - 파라미터변조취약점을통한개인정보유출분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1 파라미터 (Parameter) 란? - 애플리케이션에서사용하는매개변수값 주요파라미터종류 - GET/POST 쿼리문자열 -HTTP 쿠키 - 4 -

파라미터변조취약점을통한개인정보유출분석 애플리케이션파라미터처리방식 3 입력값처리 2 웹서버에파라미터전송 1 사용자웹페이지요청 웹서버 소스코드 파라미터변조취약점설명 (1/2) 취약점발생 공격자 웹프락시이용, 파라미터변조 변조된값을처리웹서버 - 5 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 파라미터변조취약점설명 (2/2) 웹페이지요청 ( 클라이언트 ) http://example.com/app/accountinfo?accno=other_account_number 파라미터처리소스코드 ( 서버 ) accno = Attack Vector 00001 00002 Connection conn = DriverManager.getConnection("jdbc:odbc:test"); Statement stmt = conn.createstatement(); String acct = request.getparameter( accno"); <- 파라미터입력 String access = ("SELECT * FROM Accts WHERE paramid = " + acct); <- 개인정보쿼리 ResultSet rs = stmt.executequery(access); accno 에해당되는개인정보출력 accno 사용자 00001 사용자 A 개인정보 00002 사용자 B 개인정보 OWASP TOP 10 OWASP Top 10-2013 영향도 A1. 인젝션 심각 A2. 취약한인증및세션관리 심각 A3. 크로스사이트스크립팅 (XSS) 중간 A4. 안전하지않은직접객체참조 ( 파라미터변조취약점 ) 중간 A5. 보안상잘못된구성 중간 A6. 민감한데이터노출 심각 A7. 함수수준접근통제누락 중간 A8. 크로스사이트요청변조 (CSRF) 중간 A9. 알려진취약점과컴포넌트사용 중간 A10. 검증되지않은리다이렉트와포워드 중간 - 6 -

파라미터변조취약점을통한개인정보유출분석 파라미터변조취약점이해커의주요공략대상인이유 일반적으로웹서비스의사용자식별값을파라미터만을이용 공격가능성이쉬우며취약점이일반적으로분포 기업의자체웹취약점스캐너및시큐어코딩점검툴에탐지율이낮음 > 점검도구에서로직을분석하여취약점을찾는것에한계노출 침투기반모의해킹점검시취약점발견이누락될수있음 > 침투기반모의해킹점검은대부분서버장악이가능한취약점위주로점검 > 개인정보에특화된점검이필요 파라미터이용용도별해킹사고유형 웹서비스이용목적 사용자식별 변조 사고유형 개인정보유출 관리자식별 변조 관리자권한탈취 보안인증토근 변조 보안인증우회 결재가격정보 변조 가격변조 - 7 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 2 00 홈페이지고객정보유출사례 해커 PC 통신사 해커 2 명세서번호파라미터 Num=123456789 3타인의명세서번호로파라미터변조 Num=234567890 WEB 조회 DB 1 명세서조회클릭 웹프락시 5 자동대입툴제작 (000000000 ~ 999999999 대입 ) 6 고객정보판매 4 타인 (234567890) 개인정보전송 텔레마케팅대표 - 8 -

파라미터변조취약점을통한개인정보유출분석 타인증명서열람을통한개인정보유출사례 3-9 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents Ajax 또는 JSON 의사용이증가하면서프론트엔드 ( 클라이언트 ) 에서 검증하는방식의증가 클라이언트에서전송되는파라미터에대한무조건적인신뢰 클라이언트프로그램소스는언제든공격자에의해조작가능인식부족 파라미터값에대한서버측검증절차부재 4-10 -

파라미터변조취약점을통한개인정보유출분석 파라미터사용중요대상페이지목록화후검증여부확인 사용자식별번호 예약번호 보안토큰 서비스신청번호 주문번호 게시글번호 개인정보확인 관리자식별정보 서버측세션 ID 를통한검증절차구현 (1/2) - 세션 ID: 서버에서랜덤하게발급되는사용자별식별 ID - 11 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 서버측세션 ID 발급을통한사용자검증절차구현 (2/2) 잘못된세션 ID 사용예제 올바른세션 ID 사용예제 안전한쿠키사용및개인정보페이지본인인증적용 (1/2) - 변조방지를위해파라미터암호화적용 암호화적용 - 12 -

파라미터변조취약점을통한개인정보유출분석 안전한쿠키사용및개인정보페이지본인인증적용 (2/2) - 개인정보페이지에대한인증적용 회원정보조회페이지 고객명 아이디 홍길동 hongkdong 생년월일 1990.09.10 비밀번호를입력해주세요. 회원님의정보를안전하게보호하기위해비밀번호를다시한번확인합니다. hongkdong 확인 중요개인정보조회및출력페이지대상모니터링실시 자동화공격로그패턴 o 단일 / 다수의공격 IP 에서허용기준이상연속적으로 특정개인정보관련페이지에접근한이력발생 탐지방안 o 공격 IP 에서허용기준값이상연속적으로특정대상 페이지에접근을시도한경우탐지 o 단일 / 다수의공격 IP 에서특정개인정보관련페이지에 연속적으로접근을시도하였으나, 다른트래픽데이터와섞어비연속적으로기록됨 o단일 / 다수의공격 IP에서탐지를우회하기위해불규칙적인시간간격을두고특정개인정보관련페이지에접근을시도하여비연속적으로로그가기록됨 o공격ip에서특정시간간격동안허용기준값 ( 예 :00회/ 분당 ) 이상대상페이지에접근한경우탐지 o불규칙적인시간간격으로공격을시도하는경우허용기준값이상모니터링대상에접근한공격 IP를기준으로페이지접근이력을트레이싱하여해당 IP가개인정보관련페이지에만접근하였는지에대한분석을통해이상징후여부판별 odb 쿼리로그를분석하여특정시간간격동안허용기준치이상개인정보를조회하는경우탐지등 - 13 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents KrCERT 기술문서참고 - http://www.krcert.or.kr/kor/data/technicalview.jsp?p_bulletin_writing_sequence=20868-14 -

주제발표 사이버침해사고정보공유세미나 최근침해사고관련루트킷분석 침해사고조사팀김정호선임

- 17 - 최근침해사고관련루트킷분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1-18 -

최근침해사고관련루트킷분석 메모리상주 매뉴얼페이지위장 libnss_crypt-2.5.so openssh.gz 리버스셸실행 파일 /PID 숨김기능 C&C 연결 root 권한으로실행 iptable 수정 프로세스숨김로그삭제 kernel.gz 최초접속기록로그삭제 utmp, wtmp, lastlog zlib.gz cache.log TCP 소켓통신 access.log boot.log 커널드라이브로 zlib.gz 파일복사 ac.ko - 19 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 2-20 -

- 21 - 최근침해사고관련루트킷분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents - 22 -

- 23 - 최근침해사고관련루트킷분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents - 24 -

최근침해사고관련루트킷분석 3 루트킷 파일생성 루트킷 실행 루트킷 로컬파일삭제 - 25 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents - 26 -

- 27 - 최근침해사고관련루트킷분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents - 28 -

- 29 - 최근침해사고관련루트킷분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 4-30 -

- 31 - 최근침해사고관련루트킷분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents - 32 -

- 33 - 최근침해사고관련루트킷분석

주제발표 사이버침해사고정보공유세미나 금융정보탈취공격동향분석 코드분석팀류소준연구원

- 37 - 금융정보탈취공격동향분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1 - Pharming 파밍이란공격자가악성코드에감염된 PC 를조작하여, 사용자가정확한웹페이지주소를입력해도가짜웹페이지인피싱사이트에접속하게하여개인정보를훔치는기법 - Phishing 인터넷을통해국내외유명기관을사칭하여개인정보나금융정보를수집한뒤이를악용하여금전적인이익을노리는사이버사기의일종 - 38 -

금융정보탈취공격동향분석 월별국내피싱사이트차단현황 월별탐지된악성코드유형 TOP5 2-39 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 드라이브바이다운로드제휴프로그램변조웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드공유기 DNS 변조워드프로세스취약점스팸메일저장매체 웹사이트에접속하는것만으로도사용자모르게악성코드를실행시키는기법으로사용되는취약점들은이미공개되어패치가있는것들이대부분임 순번 CVE 번호설명 1 CVE-2011-3544 Oracle Java SE Rhino Script Engine 입력값검증오류취약점 2 CVE-2012-0507 Oracle Java Sandbox 우회원격코드실행취약점 3 CVE-2012-0634 Apple itunes, Safari 에서사용되는 Webkit 메모리손상취약점 4 CVE-2012-1723 Oracle Java SE 원격코드실행취약점 5 CVE-2012-1889 Microsoft XML Core Services 의초기화되지않은메모리개체접근으로인한원격코드실행취약점 6 CVE-2012-3544 Apache Tomcat 서비스거부취약점 7 CVE-2012-4681 Oracle Java Sandbox 우회원격코드실행취약점 8 CVE-2012-5076 Oracle Java Security Manager 우회원격코드실행취약점 9 CVE-2013-0422 Oracle Java Runtime Environment 원격코드실행취약점 10 CVE-2013-0634 Adobe Flash Player 메모리손상취약점 11 CVE-2013-2465 Oralce Java SE 메모리손상취약점 12 CVE-2013-3897 Internet Explorer 메모리손상취약점 - 40 -

- 41 - 금융정보탈취공격동향분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 음악파일, 동영상파일, 그림파일등모든문서로위장가능 Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E) 실제확장자는보이지않고가짜확장자로보임 - 42 -

금융정보탈취공격동향분석 3 C:\WINDOWS\system32\drivers\etc\hosts C:\WINDOWS\system32\drivers\etc\hosts.ics - 43 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents IP Resolving 우선순위 순번 체크순서 1 로컬시스템의 DNS Cache 정보 2 hosts.ics 3 hosts 4 DNS Query 4294967295(10 진수 ) FFFFFFFF(16 진수 ) 255.255.255.255(10 진수 IP) 특정데이터추출 파밍 IP 파싱 - 44 -

금융정보탈취공격동향분석 로컬호스트주소 - 45 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1DNS 서버변조 DNS Server 3 로컬호스트로요청 내부프레임 (inline frame) 이라는의미로, 하나의 HTML문서내에서다른 HTML문서 <iframe> 를보여주고자할때사용. 일반적인프레임 (frame) 과달리폭 (width) 과높이 (height) 속성을사용할수있으며, 독립적으로원하는위치에삽입가능 - 46 -

금융정보탈취공격동향분석 VPN 공중네트워크를통해한회사나몇몇단체가내용을바깥사람에게드러내지않고통신할목적으로쓰이는사설통신망 - 47 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 4-48 -

- 49 - 금융정보탈취공격동향분석

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 클릭 Active X 를사용하지않고, 마이크로소프트 (MS) 닷넷프레임워크기반에서인터넷뱅킹에필요한보안프로그램을설치할수있게하는방식 - 50 -

금융정보탈취공격동향분석 5 소프트웨어를항상최신으로업데이트한다. 백신프로그램을항상최신으로업데이트한다. 출처가불분명한파일이나프로그램을함부로열어보지않는다. 지나치게많은정보를요구할때에는의심을한다. 보안카드등민감한정보를따로저장하지않는다. 보안공지를주기적으로확인하는등최신보안관련소식에관심을갖는다. - 51 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents - 52 -

주제발표 사이버침해사고정보공유세미나 최근모의해킹을통해본보안이슈 SK 인포섹이권형차장

- 55 - 최근모의해킹을통해본보안이슈

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1 사이버범죄발생에따른연간피해액약 1,130 억달러 ( 약 120 조원 ) - 일평균 1 백만명이상, 1 초당 12 명의사이버범죄피해자발생 모바일기기및소셜네트워크를통한사이버범죄증가 - WiFi 사용자 (68%), 모바일기기사용자 (63%), 소셜네트워크사용자 (63%) 가사이버범죄경험 사이버보안위협 2000 년이후최고수준 - 2014 년정교하고조직적인사이버범죄증가및새로운공격루트확대및인프라공격도증가전망 전세계 206 개국가에서 C&C 서버발견 - 악성코드공격서버, 명령및제어 (C&C) 인프라의발원지는 2012년 184개국가에서 2013년 206개국가로증가 - 미국, 독일, 한국, 중국, 네덜란드, 영국, 러시아등이 C&C 인프라의상위발원지 美연방정부대상의사이버공격횟수급증 - 일리노아주상수도시설제어시스템해킹, 펌프시설파괴 ( 11.11) - 미국연방재난관리청전산망해킹으로직원및외주업체관련개인정보유출 ( 13.7) 중국국가및기업의정보보안등급 핵전 ( 최고 ) 상황으로상향 - 기업사이트및정부네트워크등이주요공격대상이되었으며심각한대규모의개인정보유출및대규모의피싱피해발생 - 공격방식이일반적인 SW/HW적취약점공격에서부터사회공학적공격까지매우다양하고복합적인형태를가짐 - 국가간정치적목적을위해 APT형태의 Super-powerful Flame worm과같은슈퍼바이러스나웜을공격무기로사용하는추세 - 56 -

최근모의해킹을통해본보안이슈 농협전산망마비 ( 11.04) - 농협전산망자료의대규모손상으로수일에걸쳐전체또는일부서비스이용마비 - 웹하드사이트를통해외주업체 (IBM) 직원의업무용도노트북감염, 전산망관련각종정보유출됨 현대캐피탈해킹사건 ( 11.04) - 퇴직한직원의 ID/PW를이용하여현대케피탈시스템의접근후고객정보 (175만건 ) 유출 - 고객비밀번호의암호화및주민번호뒷자리숨김표시등의의무사항을이행하지않고, 퇴직자계정관리감도미비 3.20 전산대란 ( `13.03) - APT 공격대상선정후장기간악성코드유포하여 PC HDD 를파괴, 방송 / 금융등 6 개사사이버테러로 4 만 8 천여대 PC/ 서버 /ATM 장애 6.25 사이버테러 ( 13.06) - 정부기관 / 언론 / 방송사등 24 개기관대상해킹, DDoS 공격발생, 공공기관홈페이지변조, 중소언론 / 방송사의 130 여대시스템파괴 경찰청도로교통법스미싱주의보발령 ( 13.10) - 돌잔치초대, 법원등기등다양한형태의스미싱사례발생 * 스미싱 (smishing): 스마트폰 SMS내 URL연결유도, 악성App 설치하고개인정보탈취, 금전적피해를유발하는신종사이버공격 KT 개인정보유출 ( 14.02) - 파로스 (paros) 프로그램을이용한신종해킹프로그램개발, KT홈페이지를통해개인정보탈취후, 휴대전화개통 / 판매영업에활용 - 2012년 870만명의개인정보유출사고이력이존재함에도불구하고정보유출재발생 출처 : KISA 2013 년주요침해사고사례와대응 - 57 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 국내정보보안시장 지난 3 년동안지속적으로 58% 성장. 2016 년 2.6 조원규모에이를것으로예상 모바일보안분야 2013 ~ 2016 년사이연평균 22% 씩성장할것으로전망 전세계정보보안시장과모바일보안시장 각각 8%, 24% 성장할전망 2-58 -

최근모의해킹을통해본보안이슈 Hacker s PC Internet Explorer Proxy Internet Homepage Request / Respone 패킷확인및수정가능 통신하는패킷을통해중요정보획득 패킷조작을통해인증우회등다양한공격시도 코드 항목명 설명 A1 인젝션 SQL 구문삽입, 명령어삽입등외부값으로인해시스템에직접명령을하거나 DBMS 에쿼리등직접명령이가능한취약점 A2 A3 잘못된인증및세션관리 XSS 인증과세션관리가미흡하여세션이나쿠키등을재사용하는등사용자도용이가능한취약점 게시판등사용자가입력하고타인이해당입력한값을보는부분에서주로발생. 자바스크립트사용으로특정사이트로강제이동시키거나쿠키값을타서버로전송가능한취약점 A4 직접객체참조외부로부터입력받는값으로필터링없이오브젝트실행하게되어, 타위치의파일을다운로드하거나웹쉘등악성코드업로드가능한취약점 A5 보안설정오류 보안설정오류로인해디렉터리인덱싱등보안상취약한기능을사용하게되거나시스템에러메시지발생으로해커로부터유용한정보제공하게되는취약점 A6 민감정보노출 ID/PW 나회원정보입력후전송과정에서이러한중요정보가평문으로노출되는경우, 중요정보 ( 개인정보등 ) 이유출될가능한취약점 A7 A8 A9 A10 접근통제누락 CSRF 알려진취약한컴포넌트사용 검증되지않은리다이렉트및포워드 관리자페이지등특정권한을필요로하는페이지의경우, 모든페이지에권한인증을거쳐야하지만누락되어페이지직접접근등으로권한이없는계정으로상위권한페이지접근가능한취약점 XSS 취약점을활용한방식으로, 특정이상의권한이있는사람만이접근하는페이지 ( 즉권항상승페이지등 ) 에접근을유도하는등, 타인의권한을이용하는취약점슈퍼유저권한으로운영되는취약한라이브러리, 프레임워크및기타다른소프트웨어모듈로인해데이터유실및서버권한획득이가능한취약점웹어플리케이션에접속한사용자를다른페이지로분기시키는경우, 이동되는목적지에대한검증부재시, 피싱, 악성코드사이트등의접속및인가되지않는페이지접근하게하는취약점 - 59 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 홈페이지해킹 홈페이지구조를모두파악하고, 기능간인증제한등을우회하고, 가격변조등본래기능외에다른기능사용가능여부를파악한다. 악성코드업로드 서버침투 포인트, 금액등중요정보조작 로그인인증우회가능성 XSS 구문입력가능성 관리자권한획득 관리자페이지존재여부 파일업로드기능여부 원격데스크톱연결 SQL 쿼리문입력가능성 각종인증우회 파일다운로드취약점 개인정보탈취 홈페이지해킹 홈페이지내에파일업로드가능한게시판등이존재하면, 서버에서실행가능한파일 (PHP, JSP, ASP 등 ) 을업로드시도한다. 가능하다면 WebShell 을업로드한다. 악성코드업로드 서버침투 관리자권한획득 원격데스크톱연결 개인정보탈취 - 60 -

최근모의해킹을통해본보안이슈 홈페이지해킹 악성코드업로드 WebShell 을통해모든파일접근가능. 악성코드업로드하여서버직접침투 Reverse Connection : 통상적으로 Client Server 로접근하면 Server 의 Shell 이나타나는데, 역으로 Server Client 로접근할때에 Server 의 Shell 이나타나는공격방법 서버침투 관리자권한획득 원격데스크톱연결 개인정보탈취 홈페이지해킹 악성코드업로드 대부분의웹서버는관리자권한으로실행되므로, 서버의 Shell 을획득하면관리자권한의 Shell 을획득하게됨. 하지만 root 또는 Administrator 의비밀번호를알아내기에는시간이많이소요되므로, 별도의관리자계정을생성함 계정생성 ( ID: skinfosec / PW: sk_infosec123! ) 서버침투 관리자권한획득 관리자권한부여 원격데스크톱연결 개인정보탈취 - 61 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 홈페이지해킹 생성한계정은 administrators 그룹에포함을하였고, 서버의원격연결기본설정은 administrators 그룹전체에접근허용을하기때문에원격데스크탑연결접속을통해생성한계정으로로그인이가능하다. 악성코드업로드 서버침투 관리자권한획득 원격데스크톱연결 개인정보탈취 홈페이지해킹 서버에접근하면모든파일을접근할수있고, DBMS 연결접속정보를찾는다면, 해당 DBMS 에접근하여존재하는모든데이터 ( 특히중요정보, 개인정보 ) 를탈취할수있다. 악성코드업로드 서버침투 관리자권한획득 원격데스크톱연결 개인정보탈취 - 62 -

최근모의해킹을통해본보안이슈 3-63 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents Mirror Internet Homepage Hacker s PC WiFi 공유기 Request / Respone 패킷확인및수정가능 통신하는패킷을통해중요정보획득 패킷조작을통해인증우회등다양한공격시도 Proxy Smart Phone [JD-GUI 프로그램으로변환한 JAR 파일열어 JAVA 소스확인가능 ] [ DEX2JAR 프로그램활용 : APK 파일 JAR 파일변환 ] - 64 -

최근모의해킹을통해본보안이슈 [ APKTool 을이용하여 APK 파일디코딩 ] [ 디코딩결과 : smail 소스획득 ] [ 변조 재컴파일 사인 App 설치 ] [Rooting 된 SmartPhone 에 GameCIH 설치 ] [App 실행후원하는변수의값을입력 ] - 65 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 코드항목명설명 M1 M2 M3 M4 M5 취약한서버측통제 안전하지않는데이터저장불충분한전송계층보호의도하지않은데이터노출잘못된인증및권한사용 데이터처리에대해서버에서직접처리하지않고 App에서처리후그결과만서버로전송되는부분에서발생하는것으로결과값을변조하여전송하면서버측에서는최종적으로전달된값을신뢰하여처리하게되는취약점 App에서 ID/PW 등중요정보를저장하여처리하게될경우, 해당데이터가유출될가능성이존재하는취약점 App은서버와상호통신을하게되는데, 이때스니핑등의기법으로패킷을가로채어중요데이터가노출될가능성이있는취약점 App 실행시데이터캐쉬, 이미지, 로그, 버퍼등을통해, 개발자의의도와다르게데이터가노출되는취약점인증및권한사용이미흡하여, 자동화공격툴을활용하여동일한공격을반복적으로수행할수있는취약점 M6 취약한암호화취약한암호화기법을사용하고있어, 크랙후중요데이터가노출되는취약점 M7 M8 M9 클라이언트측인젝션 잘못된입력값을통한보안결정부적절한세션처리 App에서입력되는값에대해 XSS나 HTML, SQL 구문등이필터링없이입력되어 SMS 등을통해서버나타인에게코드실행이가능하게하는취약점특정입력값으로권한이나보안모델을우회할수있는취약점로그인세션처리할때, 평문화된쿠키값을사용하는등부적절하게세션처리를함으로써, 타인의권한을획득할수있는취약점 M10 소스보호부재 ProGuard 와같이소스암호화를하지않은경우, 디버깅을통해소스분석및변조가가능한취약점 - 66 -

최근모의해킹을통해본보안이슈 4 Wireless AP Internet Hacker s Mobile POS Smart Phone Notebook 내부망서버 PC 무선 AP 접속성공 같은망에랜선연결한것과동일한상태임 스마트폰원격접속시도 개인정보유출 같은망내에공유폴더및FTP 접근 중요정보유출및백도어설치 내부망 PC를통해내부망서버직접접근 중요정보탈취및파괴 - 67 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents E-Mail Internet USER Hacker s Mobile USER USER USER 사내망전체를대상으로이메일전송 이메일내에 XSS 및문서형태 (.ppt,.pdf,.doc,.hwp 등 ) 악성코드첨부 첨부파일열람시백도어등의악성코드설치 중요정보 ( 서버접속정보등 ) 유출 Hacker s WiFi Hacker s Proxy Notebook Smart Phone 회사와연관된 SSID(KISA 등 ) 로설정한무선AP 설치 내부사용자가해커가만든 WiFi에접근 홈페이지접속시 ID/PW 노출 App 실행시접속정보및개인정보등중요정보노출 E-Mail 내용및대용량첨부파일링크유출및다운로드 - 68 -

- 69 - 최근모의해킹을통해본보안이슈

주제발표 사이버침해사고정보공유세미나 사이버위협정보분석 공유시스템 (CTAS) 공유체계 분석기획팀한인혜주임

사이버위협정보분석 공유시스템 (CTAS) 공유체계 - 95 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 1 2014.8 월, 가장신속하게세계사이버위협정보를수집 분석 공유하는 CTAS 본격가동 1 2 3-96 -

사이버위협정보분석 공유시스템 (CTAS) 공유체계 2 12개 KISA 내부운영시스템및외부기관으로부터침해사고정보수집수집정보 : 악성코드, C&C, 악성코드경유지및유포지, 침해사고정보등수집방법 : 수집에이전트, 웹사이트, 오픈 API 등을통해수집저장방법 : 수집되는침해정보는 CTEX 라는 XML 형식의사이버위협정보로표현 CTAS 시스템에모두통일된형태정보가자동으로수집되기위한방법 - 97 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 3 5 개그룹, 36 종정보를외부기관에공유 이메일악성코드등사이버위협정보수집 공유항목확대추진중 번호구분공유정보내역 1 위협도메인 IP 악성코드유포지, 경유지, C&C 정보, 웹변조, 감염 IP, 공격 IP, 어뷰징 IP, VPN IP 등 2 사이버사기도메인 IP 피싱, 파밍, 스미싱, 정보유출지등 3 악성파일스팸메일, 악성코드샘플, 악성앱샘플, 웹셀샘플등 4 취약점 CVE, KVE, PoC 정보 5 보고서 보안공지, 기술문서, 악성코드분석보고서, 악성앱분석보고서, 취약분석보고서, 일일상황관제, 주간사고동향등 - 98 -

사이버위협정보분석 공유시스템 (CTAS) 공유체계 공공, 백신, 쇼핑, 포털관제업체로부터위협정보수집 구분 게임공공관제국외금융백신보안장비쇼핑포털 수집정보악성코드유포지 URL, 악성코드경유지 URL, 어뷰징공격 IP, 정보유출지, C&C 도메인및 IP, 공격IP 악성이메일, 공격IP, C&C 도메인및 IP 악성코드유포지 URL, 악성코드경유지 URL, 웹변조발생 URL, 공격 IP, 피싱도메인악성코드샘플, 악성앱샘플, C&C 도메인및 IP, 악성코드유포지 URL 공격IP 악성코드샘플악성코드유포지 URL, 웹쉘샘플, 웹쉘패턴악성코드유포지 URL, 악성코드경유지 URL, C&C 도메인및 IP, 악성코드샘플, 공격IP 악성코드유포지 URL, 악성코드경유지 URL, C&C 도메인및 IP, VPN IP, 사업자할당 IP, IDC IP, Mobile IP CTAS를이용한사이버위협정보공유를위한협의절차 CTAS 정보공유시스템가입안내 (cshare.krcert.or.kr) 및공유정보요청 공유규격및방법협의 검증-정보변환 (CTEX에맞춰 XML 파일생성 ) 및API구현 (KISA 자체개발 API 배포 ) 위협정보공유시작 - 99 -

사이버침해사고정보공유세미나 Ⅰ Conference on Information Sharing of Cyber Incidents 기여기반정보공유를통해수집정보확대추진 원칙적으로위협정보를제공하는기관에게정보공유 ( 양방향 ) 정보제공업체가정보제공항목및공유범위결정 권한관리 접근통제를통해회원별정보공유대상및범위차등 단위사업군별정보공유희망시공유채널제공등허브역할수행 11 외부기관으로부터수집된위협정보샘플 CTAS 를통해수집된위협정보간사고요인 ( 악성코드, 취약점, 피해시스템등 ) 연관성분석 CTAS 정보공유시스템을통해분석된정보를유관기관및가입업체에게실시간공유 연관성분석 CTAS 를통한실시간공유 사고요인들간연관성분석 - 100 -

사이버위협정보분석 공유시스템 (CTAS) 공유체계 ) - 101 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원