IssueMakersLab - PDF Free Download

군사정보수집

국방도메인공격시도

무기정보수집 천마 현무

거대봇넷구축 (2009 년 5 월 ~7 월 ) Re-Collection Server C&C Master Server C&C IP Relay Server IP Relay Distributed C&C Server [Victim] [NK]

수집시도한정보 명령복호화 작전계획, 작계 5027, 5029, 5030, 3100, 3600.hwp,.ppt,.doc KR, UFG, UFL, 을지, RSOI.hwp,.ppt

악성코드유포방법 #1 웹하드웹사이트 웹하드설치 / 업데이트 설치파일업데이트파일 파일교체 [Victim] [NK]

서버측악성코드수집방법 악성코드분석 ( 통신프로토콜 ) 서버측프로토콜예상 ( 바이너리검색 / 수집 )

C&C 프로토콜 Length Length Length Length Length Length Length Length Length Length Length Length Length Auth String Auth String Cmdcode C&C IP PORT Time - saved in config Cmdcode Cmdcode Filesize Request file offset Cmdcode Filedata Cmdcode Cmdcode 00000000 Cmdcode Cmdcode

명령체계분석

관리자모드발견 Command Code 의미 주체 0x1000 관리자모드 관리자 0x2100 IP 및명령요청 Zombie 0x2200 수집한정보전송 Zombie

역공격 #1 C&C Master Server Distributed C&C Server [Victim]

C&C 서버확보방법 #1

거대봇넷의실체 (C&C 서버 )

백도어발견 X Y Encryption Protocol send: + 0x28) ^ 0x47 recv: ^ 0x47) - 0x28 send: ^ 0x92) + 0x61 recv: - 0x61) ^ 0x92 Port 131 143 339 112, 125, 133 112, 125, 133 128, 125, 133 Command Code 0xAAA5 0xAAA8 0xAAA3 0xAAA4 0xAAA9 0xAAA0 Meaning 프로세스실행 (CreateProcessA) 프로세스실행 (cmd.exe /c) 지정파일가져오기파일생성하기프로세스목록전송시스템정보전송

2010 년 ( 백도어업그레이드 ) Command Code 2009 년 Command Code 2010 년 0xAAA5 프로세스실행 (CreateProcessA) 0xBBB9 프로세스실행 (CreateProcessA) 0xAAA8 프로세스실행 (cmd.exe /c) 0xBBC4 프로세스실행 (cmd.exe /c) 0xAAA3 지정파일가져오기 0xBBB2 지정파일가져오기 0xAAA4 파일생성하기 0xBBB3 파일생성하기 0xAAA9 0xAAA0 프로세스목록전송 시스템정보전송 0xBBBF 0xBBD0 0xBBC1 0xBBD1 0xBBD2 0xBBB8 네트워크어댑터정보전송 컴퓨터이름정보전송 디스크의남은공간전송 윈도우설정국가정보전송 윈도우버전정보전송 지정디렉토리생성

두번째거대봇넷구축 (2011 년 ) Re-Collection Server C&C IP Relay Server IP Relay Distributed C&C Server [Victim] [NK]

국방사이트디도스공격 Site Description Category Site Description Category 1 korea.go.kr Korea E-Government Government 21 dapa.go.kr 2 cwd.go.kr OFFICE OF THE PRESIDENT Government 22 assembly.go.kr 3 mopas.go.kr Ministry of Public Administration Defense Acquisition Program Administration National Assembly of the Republic of Korea KOREA HYDRO & NUCLEAR POWER Military Congress and Security Government 23 khnp.co.kr Infrastructures Ministry of Foreign Affairs and 4 mofat.go.kr Trade Government 24 korail.com KOREA RAILROAD Infrastructures 5 unikorea.go.kr Ministry of Unification Government 25 kbstar.com Kookmin Bank Financial KOREA COMMUNICATIONS 6 kcc.go.kr COMMISION Government 26 keb.co.kr KOREA EXCHANGE BANK Financial 7 fsc.go.kr FINANCIAL SERVICES COMMISSION Government 27 shinhan.com Shinhan Bank Financial 8 police.go.kr National Police Agency Government 28 wooribank.com Woori Bank Financial 9 customs.go.kr KOREA CUSTOMS SERVICE Government 29 hanabank.com Hana Bank Financial 10 nts.go.kr National Tax Service Government 30 nonghyup.com Nonghyup Bank Financial 11 nis.go.kr National Intelligence Service Government 31 jeilbank.co.kr JEIL SAVINGS BANK Financial KOREA INTERNET SECURITY 12 kisa.or.kr AGENCY Government 32 daishin.co.kr Daishin Securities Financial 13 mnd.mil.kr Ministry of National Defense Military 33 kiwoom.com KIWOOM SECURITIES Financial 14 jcs.mil.kr R.O.K Joint Chiefs of Staff Military 34 naver.com NHN Corp. (Naver) Portal 15 army.mil.kr Republic of Korea Army Military 35 daum.net Daum Communications Portal 16 navy.mil.kr REPUBLIC OF KOREA NAVY Military 36 auction.co.kr ebay Korea (Auction) Shopping 17 airforce.mil.kr REPUBLIC OF KOREA AIR FORCE Military 37 gmarket.co.kr ebay Korea (Gmarket) Shopping 18 dema.mil.kr Defense Media Agency Military 38 hangame.com NHN Corp. (Hangame) Game 19 usfk.mil United States Forces Korea Military 39 ahnlab.com AhnLab, Inc. IT Company 20 kunsan.af.mil U.S.AIR FORCE (Kunsan Air Base) Military 40 dcinside.com dcinside IT Company

코드암호화적용 Non-Encrypted Encrypted 2009 년 2011 년 발전 : 코드암호화 ( 분석및탐지방해 )

봇넷구조의발전 C&C 관리서버 Distributed C&C Server Distributed P2P C&C Server (Synchronized) 2009 년 [NK] 2011 년 [NK] 계층형구조 P2P 구조 관리서버조치시명령하달불가 발전 : 어떤서버든전체동기화가능

백도어동일 Command Code 2010 년 Command Code 2011 년 0xBBB9 프로세스실행 (CreateProcessA) 0xBBB9 프로세스실행 (CreateProcessA) 0xBBC4 프로세스실행 (cmd.exe /c) 0xBBC4 프로세스실행 (cmd.exe /c) 0xBBB2 지정파일가져오기 0xBBB2 지정파일가져오기 0xBBB3 파일생성하기 0xBBB3 파일생성하기 0xBBBF 네트워크어댑터정보전송 0xBBBF 네트워크어댑터정보전송 0xBBD0 컴퓨터이름정보전송 0xBBD0 컴퓨터이름정보전송 0xBBC1 디스크의남은공간전송 0xBBC1 디스크의남은공간전송 0xBBD1 윈도우설정국가정보전송 0xBBD1 윈도우설정국가정보전송 0xBBD2 윈도우버전정보전송 0xBBD2 윈도우버전정보전송 0xBBB8 지정디렉토리생성 0xBBB8 지정디렉토리생성

역공격 #2 Distributed P2P C&C Server (Synchronized)

역공격 #2

키리졸브훈련 (2013 년 )

군사정보수집

7 년간군사정보수집 2007 2013 수년간동일한감염 PC 식별생성코드사용

한국어개발환경

C&C 명령프로토콜분석 A 개인키 C&C 명령암 / 복호화 A 공개키 B 공개키 수집데이터암 / 복호화 B 개인키 [NK] 해커만보유 2 쌍의 RSA 암호키사용 동일한 RSA 공개키암호 6 년간사용

C&C 서버확보방법 #2

악성코드유포방법 #2

2014 년여름 ( 봇넷형성 )

다수버전의악성코드유포 Zombie ID OS Version Zombie Version Windows XP 0x191 Windows XP 0x131 Windows XP 0x190 Windows XP 0x190 Windows XP 0x190 Windows Vista 0x190 Windows XP 0x133 Windows Vista 0x192 Windows XP 0x131 Windows XP 0x12f Windows XP 0x190 Windows XP 0x12d Windows 7 0x191 Windows XP 0x131 Windows XP 0x190

역공격 #3 Control Code Meaning Description XXX0 SendAuthfile 전체 Zombie PC 리스트확인 XXX1+Zombie PC s ID SaveCommand Zombie PC에게명령전송 XXX2+Zombie PC s ID SendCommand Zombie PC의명령수신여부확인 XXX3+Zombie PC s ID SendResult Zombie PC에게내린명령에대한결과확인 공격자좀비 ID 확보

역공격 #3

역공격 #4 10.10.1.x