Presentation is loading. Please wait.

Presentation is loading. Please wait.

치밀하게 준비된 사이버 테러 2011. 5. 3. 서울중앙지방검찰청 첨단범죄수사제 2 부.

Similar presentations


Presentation on theme: "치밀하게 준비된 사이버 테러 2011. 5. 3. 서울중앙지방검찰청 첨단범죄수사제 2 부."— Presentation transcript:

1 치밀하게 준비된 사이버 테러 2011. 5. 3. 서울중앙지방검찰청 첨단범죄수사제 2 부

2 공격 시나리오 NIM HMC ① 공격명령 ② 1 차 공격 ③ 2 차 공격 ④ 3 차 공격 ⑤ 공격상황보고 ⑥ 모니터링 ⑦ 흔적삭제 내부서버내부서버 웹서버웹서버

3 감시용공격용범행은폐용 백도어 프로그램파괴대상 서버목록 프로그램관련 악성코드 삭제 프로그램 키로깅 프로그램서버유형별 삭제명령 프로그램복구 불가능화 프로그램 화면캡쳐 프로그램삭제실행 프로그램 도청 프로그램공격명령 모니터링 프로그램 공격명령 서버목록 프로그램 악성코드 종류 서울중앙지방검찰청 첨단범죄수사 제 2 부 총 81 개

4 사건 전개 과정 서버장애발생 최초인지 (SMS 수신 ) 2011.4.12. 16:51:53 웹사이트로부터 악성코드 감염 2010.9.4. 22:48:04 공격명령파일 설치 2011.4.12. 08:20:14 공격명령실행 ( 파괴 시작 ) 2011.4.12. 16:50:10 파일삭제관련 프로그램 설치 2011.3.22. 12:57:51 서버장애발생 확인 (rm,dd 명령 실행확인 ) 2011.4.12. 17:00 경 공격노트북 IP 파악 (9.43.216.108) 2011.4.12. 17:10 경 노트북 공격악성코드 삭제 2011.4.12. 17:20:56 서버 Shutdown 시작 (HMC 콘솔 이용 ) 2011.4.12. 17:29:58 각 농협지점 창구거래 정상화 2011.4.13. 12:40 경 자동화기기 거래 복구 2011.4.14. 02:00 경 신용카드 대고객서비스완전 복구 2011.4.30. 키로깅프로그램 설치 2010.10.22. 09:47:28 백도어프로그램 설치 2011.3.11. 17:47:00 공 격피 해 대 응 서울중앙지방검찰청 첨단범죄수사 제 2 부

5 키로깅 서울중앙지방검찰청 첨단범죄수사 제 2 부 암호 ○ 채팅내용 파악 ○ IP, 비밀번호 취득 IP 2011. 3. 12. ~ 4.12. 키로깅 결과 : 1,073 페이지

6 전체시스템 구성도 서울중앙지방검찰청 첨단범죄수사 제 2 부 경영정보 시스템 뱅킹 시스템 ( 예금, 대출 등 고객원장 ) 뱅킹 시스템 ( 예금, 대출 등 고객원장 ) 예금 대출 외환 개인심사 채널관리 ( 중계서버 ) 단말관리 인터넷뱅킹 관리 대내채널 영업점 콜센터 ATM, CD 대외기관 금융기관 감독기관 평가기관 제휴기관 단위 시스템 공제 NH 카드 경제 / 유통 EAI 기업심사 기업평가 CRM EDW 고객 인터넷 ARS MOBILE FAX 내부 관리업무 고객정보 자동화기기 관리 범례 : 피해업무 (I 사 서버 ) 비피해업무 (H 사 ·S 사 서버 )

7 주센터 백업센터 본원장 재해복구용 실시간 백업 장애대응용 실시간 백업 백업용 내부용 비실시간 백업 Tape 장치 백업 기본 구성도 서울중앙지방검찰청 첨단범죄수사 제 2 부 스토리지 서버

8 인터넷 농협직원 NIM 서버 I 사 직원 노트북 HMC 서버 테스트 서버 로그 저장소 웹사이트접속 기록 백업 라우터 방화벽 전체 98 대 피해 45 대 1 차 공격 전체 440 대 피해 180 대 전체 587 대 피해 273 대 침입탐지시스템 전체 49 대 피해 48 대 원장 (HP) 2 차 공격 3 차 공격 공격 체계도 서울중앙지방검찰청 첨단범죄수사 제 2 부

9 암호화 방식 서울중앙지방검찰청 첨단범죄수사 제 2 부 3.4 DDoS NH( 농협 ) A 로 시작하는 45 자의 암호키 동일

10 서울중앙지방검찰청 첨단범죄수사 제 2 부 삭제 대상 파일 확장자 비교 7.7 DDoS3.4 DDoS NH( 농협 ) 7.7 DDoS 와 29 개 93% 일치 3.4 DDoS 와 31 개 100% 일치.doc

11 분석 방해 수법 ‘cm’+ ‘d.e’ +’xe’ + ‘/c’ cmd.exe /c ‘cm’+ ‘d.e’ +’xe/’ + ‘c’ NH( 농협 ) 3.4 DDoS 7.7 DDoS pushoffset aXe; “xe” pushoffset aCm; “cm” leaecx, [esp+108Ch+CommandLine] push offset aSd_eSCSS ; “%sd.e%s/c \”%s > %s\”” pushedi leaeax, [ebp+CommandLine] push offset aCmd_exeCSS; “cmd.exe /c \”%s\” >%s” pusheax; Dest pushoffset aXe; “xe /” pushoffset aCm; “cm“ leaeax, [esp+8CCh+Dest] push offset Format; “%sd.e%sc \”%s > %s\”” 서울중앙지방검찰청 첨단범죄수사 제 2 부

12 7.7, 3.4 DDoS 와 비교 서울중앙지방검찰청 첨단범죄수사 제 2 부 구분 악성코드 감염경로 악성코드 유포수법 공격명령 IP 공격구조 프로그램 유사성 비교대상 확장자 분석방해 수법 암호화 기법 7.7 DDoS 웹하드 사이트 웹하드 사이트 자동 업데이트 위장 59 개국 538 개 공격프로그램과 공격명령 서버목록 분리 총 37 개문자열 조합확인 안됨 3.4 DDoS 동일 7.7 과 3 개 일치 (70 개국 748 개 ) 동일 총 31 개 (7.7 과 93% 동일 ) 치환이 없음 자체 제작 암호 기법 NH ( 농협 ) 동일 3.4 와 1 개 일치 (13 개국 27 개 ) 동일 총 31 개 3.4 와 100% 동일 문자열 조합 7.7 과 동일 3.4 와 동일 비고 S 웹하드 사이트에서 감염 (3.4 DDoS 와 동일 ) 통상 공격프로그램에 공격명령 서버목록 포함 분석을 곤란하게 하기 위함


Download ppt "치밀하게 준비된 사이버 테러 2011. 5. 3. 서울중앙지방검찰청 첨단범죄수사제 2 부."

Similar presentations


Ads by Google