해킹사례와 소셜넷 분석을 통한 해커프로파일링 2014.06.23 KRnet 2014
1. Intro 2. Artifact-centric analysis 3. Case-centric analysis 4. Human-centric analysis 5. Cyber-Genome and application
Modus operandi (plural modi operandi) is a Latin phrase, approximately translated as "method of operation". The term is used to describe someone's habits of working, particularly in the context of business or criminal investigations. In English, it is often shortened to M.O. The expression is often used in police work when discussing a crime and addressing the methods employed by the perpetrators. It is also used in criminal profiling, where it can help in finding clues to the offender's psychology. It largely consists of examining the actions used by the individual(s) to execute the crime, prevent its detection and/or facilitate escape. A suspect's modus operandi can assist in his identification, apprehension, or repression, and can also be used to determine links between crimes. http://en.wikipedia.org/wiki/modus_operandi
Cyber-Genome Cyber Security Intelligence System 악성코드를 통해 유사 악성코드, 관련 해킹 사고, 관련 해커정보를 교차분석, 추론할 수 있도록 하는 시스템 Artifact-centric analysis 해커 ID, Email, 관련 IP 등 정보 사건 관련 IP, Email, 해커 등 정보 악성코드 헤더,메타데이터,코드 정보 Human-centric analysis 해커 지역, 성향, 관심사 등 정보 해킹 사건 지역, IP, Email 등 정보 Case-centric analysis 4
DARPA Information Innovation Office http://www.darpa.mil/our_work/i2o/programs/ Cyber Defense(Cyber Genome) Mission-critical information system Developed an application to reverse engineer malware samples to find the "genetic" features 5
최근 문헌 (funded by Cyber Genome Grant) Software analysis in the semantic web, SPIE, 2013 Inferring Accurate Histories of Malware Evolution from Structural Evidence, AAAI FLAIRS, 2013 7 Learning a Portfolio-Based Checker for Provenance-Similarity of Binaries, Results of SEI Line-Funded, 2012 Conference 8757: Cyber Sensing 2013 Towards automatic software lineage inference, USENIX Security, 2013 Visualization of shared system call sequence relationships in large malware corpora, VizSec, 2012 Continual Keystroke Biometric Authentication on Short Bursts of Keyboard Input, CSIS, 2012 6
1. Intro 2. Artifact-centric analysis 3. Case-centric analysis 4. Human-centric analysis 5. Cyber-Genome and application
기존 Antivirus, IDPS 등 많은 보안제품에서 활용 중 필요성 - 악성코드 발생량의 급증 신종 및 변종 악성코드 발생량의 기하급수적인 증가 매일 55,000건의 신종 악성 프로그램이 발생 (AV-TEST) 영화 Pearl Harbor (2001) 중
Symptom oriented Function oriented Autopsy oriented (Static, dynamic..) 악성코드 class 별 특징 분류 Similarity based search Clustering/classification Input: malware Output: malware class, previous solution, related CVE/CWE/CAPEC merit: triage, automated
Various feature of malware Linker version, language, timestamp, OS version, entry point, compiler version Packing, packer type MD5, entropy Resources : nation Strings : CAPI, C&C(ip, url, email) Classification of malware based on these extracted features Quick variants detection
Case study 주요 시스템 콜을 문자화 시스템 콜에 영문자를 1:1 대응 NtOpenFile NtOpenProcessToken NtCreateSemaphore NtOpenProcessTokenEx A B C D NtOpenFile NtOpenProcessToken, (A) (B) NtCreateSemaphore, NtOpenProcessTokenEx, (C) (D) ABCD,
행위 기반 주요 시스템 콜 추출 Trojan, Adware, Backdoor 등에서 자주 사용되는 시스템 콜(Native API) 추출 Windows 의 주요 297개의 Native API 중 18개 Native API 추출 악성코드들 중 공통적으로 1회 이상 호출되었으나, 정상 프로그램에서 빈번 하게 호출되지 않는 것들을 기준으로 선택 악성코드 진단명 주요 시퀀스 서열 샘플 프로그램 개수 TR/Agent NANAB-FSEDFSAG 66 TR/Crpyt.XPACK.Gen AQNSNANAQABFSEDFSIO 114 Adware ASCASNQNQ 60 TR/Rootkit.Gen FEDFMAKMRQA 10 Worm/ SABFSEDFSAGBFS 21 TR/Dropper.gen LSEDFSBHSASCASMSO 102
동일한 시스템 콜 시퀀스 정렬 Multiple Sequence Alignment 을 통해 여러 악성코드에서 동일하게 발생하는 시스템 콜 시퀀스 추출
1. Intro 2. Artifact-centric analysis 3. Case-centric analysis 4. Human-centric analysis 5. Cyber-Genome and application
Why case-centric? Designed for Case-based reasoning 비오는 날 OO지역에서 붉은 코트를 입은 여성들을 OO 흉기로 잔인하게 공격한 사건 관련 용의자 추출 육하원칙 - when, who, where, what, which, how (5W1H) 에 의거한 profiling 동일 기관에 대한 해킹 timeline, 기법, target 에 대한 높은 correlation 장점 쉬운 knowledge based response, 사람의 생각 흐름과 유사 (learning by example) 단점 new case 에 대한 처리능력, 풍성한 case 수집필요 Case vector = (attack date, attackers IP, attackers src port, target IP, target port, target application, target application s version, target OS, target OS version, target OS architecture, attack pattern string)
hacked by Hastati (nation-wide cyber-terror by North Korea presumably, 20-March, 2013) 'PRINCPES', 'HASTATI' Hacked by Hastati (see the image) : found in Korea Broadcast System s web site. PRINCIPES and HASTATI strings are written in MBR record sectors by the malware. It destroyed the all PCs in broadcasting system and Banking systems. 16
17
18
PRINCIPES, HASTATI Latin word attack formation of the old Roman region We found the HASTATI and PRINCIPES strings on the defaced web and MBR record. Then, where is the TRIARII? 19
What can you guess with this defacement result (LGU+ site, attack by Whois, 20-Mar-2013) 20
Possible guess Used images : 3 Calaveras This image is related to Muslim religion. This image is mostly used in Europe. Hacker s messages charset=windows-1252 (western European encoding) 유럽 해킹그룹? Who is Whois? Whois 그룹은 활동하지 않은지 이미 오래 21
Profile match (D 사 결과) Xrapt0r" and "Mauritania Hacker Team" Mauritania is a West-African French-speaking Muslim country, and a page apparently set up by Xrapt0r is in French and they call themselves Muslims. MHT was involved in several hacks across the ME, including Israel, as well as Bangladesh - another Muslim country.
Research sheds light on Dark Seoul sabotage gang (according to Symantec) http://www.scmagazine.com/research-sheds-light-on-dark-seoul-sabotage-gang/article/300938/ Four-year hacking spree in Seoul Korea blamed on Dark Seoul Gang http://news.yahoo.com/four-hacking-spree-south-korea-blamed-dark-seoul-033835422.html
Defacement Case 수집 1999년부터 최근까지의 Case들을 크롤러를 통하여 수집 Mirror Page 外 : 제보 날짜, Notify, Domain, IP Address, System, Web Server 정보 Mirror Page 內 : Message, Encoding, Font, E-mail, MSN, Hacker, Hacker Group 정보 24
SWAN case 미국, 영국, 독일 이탈리아 등 다양한 국가를 대상으로 공격, 이슈화 시키기가 용이하다고 생각하는 중국을 대상으로 대량 공격 주로 2009년 6월달에만 공격을 시행하였다. 25
SWAN case 미국, 영국, 독일 이탈리아 등 다양한 국가를 대상으로 공격, 이슈화 시키기가 용이하다고 생각하는 중국을 대상으로 대량 공격 주로 2009년 6월달에만 공격을 시행하였다. 26
What happened at Jun-2009? What makes this hacker so angry? 27
What happened at Jun-2009? What makes this hacker so angry? 28
What happened at Jun-2009? What makes this hacker so angry? 29
S4T4N1C_S0ULS case Attacker profile 다양한 나라를 : 포르투갈어 공격했지만 특히 모국어, 메시지로 경제위기를 남긴 8개국의 해킹횟수가 훨씬 두드러지게 많았다. 맞은 국가 관련 해커 Next attack : 다음 G8 summit 시기 전 30
S4T4N1C_S0ULS case 포르투갈어로 되어있었고, 구글 번역기로 확인한 결 과 가난한 나라를 방치하는 8개의 부자 국가들은 사라져야 한다 라는 내용이었다. Attacker profile 다양한 나라를 : 포르투갈어 공격했지만 특히 모국어, 메시지로 경제위기를 남긴 8개국의 해킹횟수가 훨씬 두드러지게 많았다. 맞은 국가 관련 해커 Next attack : 다음 G8 summit 시기 전 31
Keyword Syria Mr.Kro0oz.305 2013.10.16 일에만 34건
Keyword Syrian anonymous
2014 vs. 2013 2013: 아랍어 버전 메시지, 미, 캐나다 위주 공격 => 1차 타겟은 미국 내 호스팅 된 ir (이란), sa (사우디) domain 2014: 영문 버전 메시지, 브라질 등 다른 나라로 공격 확대
2014.3.30 14:16 http://www.cit.sc.gov.br 150.162.249.17 Brazil Linux nginx 2014.3.30 18:49 http://www.nucleodelatim.ufsc.br 150.162.249.17 Brazil Linux nginx 2014.3.30 18:49 http://designlab.ufsc.br 150.162.249.17 Brazil Linux nginx Why Brazil? 2014.03. 브라질 시리아 난민 수용에 적극적 2014.03 브라질 시리아 반군 무기지원 반대의견 견지 + 월드컵
1. Intro 2. Artifact-centric analysis 3. Case-centric analysis 4. Human-centric analysis 5. Cyber-Genome and application
해커 정보 수집/분석 Humancentric 분석 시스템 사용자 분석 수행 온톨로지 Database 분석 결과 Database 37
Ontology scheme and examples Ontology System Hacking Application Hacking Network Hacking Web Hacking Wireless Hacking Password Cracking Backdoor Reversing Engineering Scanning Denial of Service XSS WLAN hacking Dictionary attack Local backdoor Decompile Nmap Flood Reflected XSS Aircrack Brute Force attack Remote backdoor Disassemble Winscan Trinoo Stored XSS Airopeek Hide attack Superscan Smurf Airsnort Teardrop Syn flooding 38
국내 해커 커뮤니티 중 하나인 Bugtruck Nickname, email, 관계 Crawling Profile에서 홈페이지, 페이스북 등 정보 획득 Hacker가 작성한 글, 답글 Crawling 39
Hackers Relationship 댓글 정보, e-mail 주소분석을 통한 성향분석, posting 내용을 ontology 기반 분석 40
Human features ID 해커의 아이디 E-mail 해커의 이메일 주소 Location 해커의 지역 정보 (국가) Date 작성일 Topic 1 N 해커의 관심 주제 Count of Topic 1 N 관심 주제별 게시글 수 The number of topics 관심 주제 종류 수 The number of articles 해커의 전체 게시글 수 41
Human Information Crawling Sites http://www.hacker.org/forum/ 전체 유저 수 : 1,492 전체 게시글 수 : 12,548 기간 : 2007-01-31 ~ 2013-10-15 42
Hacker.org analysis/visualization
해커 네트워크 구성 및 시각화 해커의 지역 정보 / 네트워크 / 를 Google Earth를 통해 시각화 44
1. Intro 2. Artifact-centric analysis 3. Case-centric analysis 4. Human-centric analysis 5. Cyber-Genome and application
E-Mail : In4matics@hotmail.com The Most Similar Case ID : Ryan Case Date : 2001/08/18 Domain : www.zftec.gov.cn Country : China OS : Windows Encoding : utf-8 Mirror Page E-Mail : RyanM@linuxmail.org humancentric E-mail URL, Input artifactcentric casecentric Cyber Geno me 46 ID : In4matics E-Mail : In4matics@hotmail.com 관심사 : XSS, SQL Injection
Malware Sample: Backdoor.Win32.Shark.ky (Kaspersky Lab) DB ID: Undertaker Winsock Control 변경 The Most Similar Case ID : Undertaker Case Date : 2009/05/12 ~ 2009/05/16 Domain : Audi, Honda, BMW, Chevrolet, Citroen, Dodge, Fiat, Ford, Hummer, Infiniti, Jaguar, Jeep, Kia, Landrover, Lexus, Hyundai 등 수많은 자동차 사이트 해킹 artifactcentric casecentric Cyber Geno me 47 humancentric E-mail Human URL, Centric Input ID : Undertaker E-Mail : Brisbane, Australia. 관심사: car hacking 남긴 글: 자동차 해킹 질문 글
KRnet 2014