치밀하게 준비된 사이버 테러 2011. 5. 3. 서울중앙지방검찰청 첨단범죄수사제 2 부.

Slides:

Advertisements

Similar presentations

3-4 주빈, 신예린 목차 탐구 동기와 탐구 일시 및 장소, 참고 자료 갯벌이란 ? 갯벌 탐사에 사용되는 도구 (1,2) 유명한 갯벌 ( 우리나라 ), 여러 갯벌 축제 갯벌이 만들어지는 조건 람사르 협약이란 ? 람사르 협약에 가입된 우리나라 생태지 밀물과 썰물 갯벌에.

Advertisements

응 급 처 치 법응 급 처 치 법 응 급 처 치 법응 급 처 치 법. 응급처치법 1) 현장조사, 의식확인, 연락 현장은 안전한가 조사한다. 119 나 응급의료기관에 연락한다. 발바닥을 간지럽히거나 가볍게 꼬집어 본다. 0 ~ 4 분 4 ~ 6 분 6 ~ 10 분 10.

트렁크 안에서 천정을 보았을 때 무늬와 같은 형태의 홈이 있습니다. 트렁크 실내등 트렁크 스프링 앞으로 볼링핀 모양 이라 부르겠 습니다.

도덕적 성찰 준거의 의미와 필요성을 이해할 수 있다. 학습 목표 올바른 도덕적 성찰의 준거를 설명할 수 있다.

과채류 ( 수 박 ) 발표자 : 농어업조사과 장 천 숙. 목 차 1 월별 작업 흐름 2 재배 방법 3 병충해 방지 4 수박의 효능.

법학 입문 사례 2016년 1학기 한지영 교수.

스마트폰의 불편한 진실 영동중학교 1학년 [엘리트] 최성환 김경민 서규민.

경주 수학여행 6학년 5반 15번 유송연.

성결 어린이 영등포교회 유년부 정답은 뒷면에 제 11-31호 2011월 8월 14일 어디로 가세요?

2013서울특별시장기 전통종목 생활체육 국무도대회 요강

기업복지컨설팅 전산 교육

Ⅵ. 빛(단원학습목표).

용주사 보고서 6-5 / 16번 / 장경서.

[그림 1-1] 안드로이드 전용 어플리케이션 설치 방법

재난 종합상황보고 63초 마다 1건 접수 119신고접수 현황 총 건 수 1,371건 출동요청 604건 (44.1%) 의료상담

若者文化 김현주 이규혁 박현빈 전인성 임준형.

瑞山 가는 길 지난 10월 31일 07:00 ~ 11월 01 21:00 서해안 여행을 했습니다

MBC 손에 잡히는 경제 - 충동구매에 관한 조사 -

상처와 출혈 응급처치 한국산업안전공단.

Contents 1. 농협 소개 2. 농협에 대한 이해 3. 함께 하는 농협의 모습 4. 농협의 비전과 약속 5. 참고자료.

생 각 하 기 1. 내가 생각하는 어린이란? 2. 내가 생각하는 어른이란? 3. 어른이 된다는 것 은?

북한의 음식 북한음식…..

통로이미지㈜ 마케팅실 신입/경력 모집 ◎ 모집부분 및 자격요건 ◎ 채용인원 ◎ 전형절차 ◎ 제출서류 ◎ 연봉 ◎ 사전인터뷰

재난 종합상황보고 55초 마다 1건 접수 119신고접수 현황 총 건 수 1,568건 출동요청 675건 (43.0%) 의료상담

마을버스 광고 제안서 승현미디어 양권수부장

취업/자기계발동아리 참가자 오리엔테이션 전남대학교 사회과학대학.

각주구검(刻舟求劍) - 刻 새길 각 舟배 주 求구할 구 劍칼 검 판단력이 둔하여 세상일에 어둡고 어리석다는 뜻

이리신광교회 건축관련보고 문준태 익산시노인종합복지관장.

그린 마일리지(상벌점제) 디지털시스템 활용 방안 광주광역시 교육청.

자영업 컨설팅 결과보고 (월드펀-샵) 고객만족을 통한 매출증대 방안 컨설턴트 - 김임수.

영덕풍력발전단지 준공 기념식 행사(안) 경영기획실.

판독용 장비 사용 메뉴얼 (QRX1004에서 포멧) 주의사항 - 제품 사용 전 본 매뉴얼을 반드시 숙지 바랍니다.

* 대규모사업장 및 아파트 소방안전교육 신청 안내 *

종이헬리콥터 하귀일초등학교 5-1 양현석.

제주북초등학교 6학년 심화반 김학선 지도교사 : 고동림 선생님

“경영정보화 솔루션” 「2017년 경기도 중소기업 경영정보화 지원사업」 경기 중소기업 대상 도입비의 80% 까지 지원 !!

7장: 빛의 간섭과 회절 빛의 간섭 단일슬릿과 회절 회절격자 – 더 선명해진 간섭무늬.

에코에너지 기술연구소 찾아오시는 길 안내 ③ ① ④ ② 주소 : (46703) 부산광역시 강서구 체육공원로 6번길 211

브로콜리의 효능에 대해 배우고, 영양 만점인 브로콜리 싹을 직접 키워 먹어 요^^

제39회 전북도민 체육대회 대회상징물 공모계획 제39회 전북도민체육대회에 참신한 상징물을 선정 전북도민과 함께 참여하는

진 행 순 서 시 간 주 요 내 용 교육강사 13:45 ~ 14:00 15’ 교육자 등록 - 14:00 ~ 14:05 5’

혜원 신윤복 [申潤福, 1758~. ] 조선 후기의 풍속화가

피부의 구조와 기능 피부로 읽는다. 피부의 감각점 피부 감각점의 분포와 자극의 민감도.

자전거 기어의 원리 한림초등학교 6학년수학영재 임지혁.

김은영 수줍은 자기소개서☞☜.

한빛 CTI /ARS SYSTEM 제안 부산시 남구 용당동 535번지 동명대학교 산학협력단 성실관 404호 Mobile : Tel : (051) ~2 Fax :(051) 홈페이지.

버스 내부광고 제안서 홍일애드 mobile :

조복(朝服) 조선시대 문무백관들이 조하(朝賀)나 의식 때 입던 관복

P 탄성력과 마찰력 생각열기 – 높이뛰기 세계 신기록은 약 240cm 인데, 장대높이뛰기 세계 신기록은 약 620cm 이다. 이렇게 차이가 나는 까닭은? ( 높이뛰기는 다리의 근육의 힘으로 뛰는 반면 장대높이 뛰기는 장대의 탄성력을 이용하기 때문이다.)

스미싱 피해 업무처리 매뉴얼 구분 주요 내용 개요 피해 유형 사전 피해 예방법

게임설명 팀 당 총 6문제로 객관식 3문제 주관식 3문제로 구성된다.

제 8강. 영유아 발달과 보육프로그램.

3조:김다영,나민지, 서빛나,송영호, 장연정,연희 발표자:서빛나

기본 테이블 스타일링 학교 : 대경대학 푸드과 학번 : 이름 : 김예림 과목 : 양식 테이블 세팅

기술가정 2학년 1학기 2.재료의 이용>1) 목재,플라스틱,금속재료의 특성>11/15제품의 구상

버스 내부광고 제안서 홍일애드 mobile :

수학 게이머 발표자:김민규,이정석 목차 1. NIM게임 이란? NIM게임의 필승 전략 2. 베스킨라빈스 31 게임이란??

2017년 어르신 소일거리사업 경로당 회장 및 관리자 교육

4분의 기적, 심폐소생술 1.

재난 종합상황보고 119신고접수 현황 총 건 수 2,023건 출동요청 654건 (32.3%) 의료상담 77건 ( 3.8%)

장신구 4학년 5반 김도형.

상차림과 식사 예절.

제주북초등학교 영재학급 기초반 김지원 지도 교사 : 김대진 선생님

1 끼임 1 크레인 취급 작업 2 화재/폭발·파열 3 물체에 맞음 4 떨어짐 5 부딪힘 2 지게차 취급 작업

고기압과 저기압이 이동하는 위치 예상하기 수업활동.

6.3-4 탄성력에 의한 위치 에너지 이 단원을 배우면 탄성력에 의한 위치 에너지를 설명할 수 있다.

Ⅱ. 생활 속의 과학 탐구 7. 생활 주변에서 탐구 가능한 질문 찾아 수행하기 과학탐구실험 고등학교 탐구 목표 단원 열기

2강. 경학의 개념과 기혈 대체의학 강사 박지혜

당신을 위한 NH 연금보험.

Presentation transcript:

치밀하게 준비된 사이버 테러 서울중앙지방검찰청 첨단범죄수사제 2 부

공격 시나리오 NIM HMC ① 공격명령 ② 1 차 공격 ③ 2 차 공격 ④ 3 차 공격 ⑤ 공격상황보고 ⑥ 모니터링 ⑦ 흔적삭제 내부서버내부서버 웹서버웹서버

감시용공격용범행은폐용 백도어 프로그램파괴대상 서버목록 프로그램관련 악성코드 삭제 프로그램 키로깅 프로그램서버유형별 삭제명령 프로그램복구 불가능화 프로그램 화면캡쳐 프로그램삭제실행 프로그램 도청 프로그램공격명령 모니터링 프로그램 공격명령 서버목록 프로그램 악성코드 종류 서울중앙지방검찰청 첨단범죄수사 제 2 부 총 81 개

사건 전개 과정 서버장애발생 최초인지 (SMS 수신 ) :51:53 웹사이트로부터 악성코드 감염 :48:04 공격명령파일 설치 :20:14 공격명령실행 ( 파괴 시작 ) :50:10 파일삭제관련 프로그램 설치 :57:51 서버장애발생 확인 (rm,dd 명령 실행확인 ) :00 경 공격노트북 IP 파악 ( ) :10 경 노트북 공격악성코드 삭제 :20:56 서버 Shutdown 시작 (HMC 콘솔 이용 ) :29:58 각 농협지점 창구거래 정상화 :40 경 자동화기기 거래 복구 :00 경 신용카드 대고객서비스완전 복구 키로깅프로그램 설치 :47:28 백도어프로그램 설치 :47:00 공 격피 해 대 응 서울중앙지방검찰청 첨단범죄수사 제 2 부

키로깅 서울중앙지방검찰청 첨단범죄수사 제 2 부 암호 ○ 채팅내용 파악 ○ IP, 비밀번호 취득 IP ~ 키로깅 결과 : 1,073 페이지

전체시스템 구성도 서울중앙지방검찰청 첨단범죄수사 제 2 부 경영정보 시스템 뱅킹 시스템 ( 예금, 대출 등 고객원장 ) 뱅킹 시스템 ( 예금, 대출 등 고객원장 ) 예금 대출 외환 개인심사 채널관리 ( 중계서버 ) 단말관리 인터넷뱅킹 관리 대내채널 영업점 콜센터 ATM, CD 대외기관 금융기관 감독기관 평가기관 제휴기관 단위 시스템 공제 NH 카드 경제 / 유통 EAI 기업심사 기업평가 CRM EDW 고객 인터넷 ARS MOBILE FAX 내부 관리업무 고객정보 자동화기기 관리 범례 : 피해업무 (I 사 서버 ) 비피해업무 (H 사 ·S 사 서버 )

주센터 백업센터 본원장 재해복구용 실시간 백업 장애대응용 실시간 백업 백업용 내부용 비실시간 백업 Tape 장치 백업 기본 구성도 서울중앙지방검찰청 첨단범죄수사 제 2 부 스토리지 서버

인터넷 농협직원 NIM 서버 I 사 직원 노트북 HMC 서버 테스트 서버 로그 저장소 웹사이트접속 기록 백업 라우터 방화벽 전체 98 대 피해 45 대 1 차 공격 전체 440 대 피해 180 대 전체 587 대 피해 273 대 침입탐지시스템 전체 49 대 피해 48 대 원장 (HP) 2 차 공격 3 차 공격 공격 체계도 서울중앙지방검찰청 첨단범죄수사 제 2 부

암호화 방식 서울중앙지방검찰청 첨단범죄수사 제 2 부 3.4 DDoS NH( 농협 ) A 로 시작하는 45 자의 암호키 동일

서울중앙지방검찰청 첨단범죄수사 제 2 부 삭제 대상 파일 확장자 비교 7.7 DDoS3.4 DDoS NH( 농협 ) 7.7 DDoS 와 29 개 93% 일치 3.4 DDoS 와 31 개 100% 일치.doc

분석 방해 수법 ‘cm’+ ‘d.e’ +’xe’ + ‘/c’ cmd.exe /c ‘cm’+ ‘d.e’ +’xe/’ + ‘c’ NH( 농협 ) 3.4 DDoS 7.7 DDoS pushoffset aXe; “xe” pushoffset aCm; “cm” leaecx, [esp+108Ch+CommandLine] push offset aSd_eSCSS ; “%sd.e%s/c \”%s > %s\”” pushedi leaeax, [ebp+CommandLine] push offset aCmd_exeCSS; “cmd.exe /c \”%s\” >%s” pusheax; Dest pushoffset aXe; “xe /” pushoffset aCm; “cm“ leaeax, [esp+8CCh+Dest] push offset Format; “%sd.e%sc \”%s > %s\”” 서울중앙지방검찰청 첨단범죄수사 제 2 부

7.7, 3.4 DDoS 와 비교 서울중앙지방검찰청 첨단범죄수사 제 2 부 구분 악성코드 감염경로 악성코드 유포수법 공격명령 IP 공격구조 프로그램 유사성 비교대상 확장자 분석방해 수법 암호화 기법 7.7 DDoS 웹하드 사이트 웹하드 사이트 자동 업데이트 위장 59 개국 538 개 공격프로그램과 공격명령 서버목록 분리 총 37 개문자열 조합확인 안됨 3.4 DDoS 동일 7.7 과 3 개 일치 (70 개국 748 개 ) 동일 총 31 개 (7.7 과 93% 동일 ) 치환이 없음 자체 제작 암호 기법 NH ( 농협 ) 동일 3.4 와 1 개 일치 (13 개국 27 개 ) 동일 총 31 개 3.4 와 100% 동일 문자열 조합 7.7 과 동일 3.4 와 동일 비고 S 웹하드 사이트에서 감염 (3.4 DDoS 와 동일 ) 통상 공격프로그램에 공격명령 서버목록 포함 분석을 곤란하게 하기 위함