Download presentation
Presentation is loading. Please wait.
1
치밀하게 준비된 사이버 테러 2011. 5. 3. 서울중앙지방검찰청 첨단범죄수사제 2 부
2
공격 시나리오 NIM HMC ① 공격명령 ② 1 차 공격 ③ 2 차 공격 ④ 3 차 공격 ⑤ 공격상황보고 ⑥ 모니터링 ⑦ 흔적삭제 내부서버내부서버 웹서버웹서버
3
감시용공격용범행은폐용 백도어 프로그램파괴대상 서버목록 프로그램관련 악성코드 삭제 프로그램 키로깅 프로그램서버유형별 삭제명령 프로그램복구 불가능화 프로그램 화면캡쳐 프로그램삭제실행 프로그램 도청 프로그램공격명령 모니터링 프로그램 공격명령 서버목록 프로그램 악성코드 종류 서울중앙지방검찰청 첨단범죄수사 제 2 부 총 81 개
4
사건 전개 과정 서버장애발생 최초인지 (SMS 수신 ) 2011.4.12. 16:51:53 웹사이트로부터 악성코드 감염 2010.9.4. 22:48:04 공격명령파일 설치 2011.4.12. 08:20:14 공격명령실행 ( 파괴 시작 ) 2011.4.12. 16:50:10 파일삭제관련 프로그램 설치 2011.3.22. 12:57:51 서버장애발생 확인 (rm,dd 명령 실행확인 ) 2011.4.12. 17:00 경 공격노트북 IP 파악 (9.43.216.108) 2011.4.12. 17:10 경 노트북 공격악성코드 삭제 2011.4.12. 17:20:56 서버 Shutdown 시작 (HMC 콘솔 이용 ) 2011.4.12. 17:29:58 각 농협지점 창구거래 정상화 2011.4.13. 12:40 경 자동화기기 거래 복구 2011.4.14. 02:00 경 신용카드 대고객서비스완전 복구 2011.4.30. 키로깅프로그램 설치 2010.10.22. 09:47:28 백도어프로그램 설치 2011.3.11. 17:47:00 공 격피 해 대 응 서울중앙지방검찰청 첨단범죄수사 제 2 부
5
키로깅 서울중앙지방검찰청 첨단범죄수사 제 2 부 암호 ○ 채팅내용 파악 ○ IP, 비밀번호 취득 IP 2011. 3. 12. ~ 4.12. 키로깅 결과 : 1,073 페이지
6
전체시스템 구성도 서울중앙지방검찰청 첨단범죄수사 제 2 부 경영정보 시스템 뱅킹 시스템 ( 예금, 대출 등 고객원장 ) 뱅킹 시스템 ( 예금, 대출 등 고객원장 ) 예금 대출 외환 개인심사 채널관리 ( 중계서버 ) 단말관리 인터넷뱅킹 관리 대내채널 영업점 콜센터 ATM, CD 대외기관 금융기관 감독기관 평가기관 제휴기관 단위 시스템 공제 NH 카드 경제 / 유통 EAI 기업심사 기업평가 CRM EDW 고객 인터넷 ARS MOBILE FAX 내부 관리업무 고객정보 자동화기기 관리 범례 : 피해업무 (I 사 서버 ) 비피해업무 (H 사 ·S 사 서버 )
7
주센터 백업센터 본원장 재해복구용 실시간 백업 장애대응용 실시간 백업 백업용 내부용 비실시간 백업 Tape 장치 백업 기본 구성도 서울중앙지방검찰청 첨단범죄수사 제 2 부 스토리지 서버
8
인터넷 농협직원 NIM 서버 I 사 직원 노트북 HMC 서버 테스트 서버 로그 저장소 웹사이트접속 기록 백업 라우터 방화벽 전체 98 대 피해 45 대 1 차 공격 전체 440 대 피해 180 대 전체 587 대 피해 273 대 침입탐지시스템 전체 49 대 피해 48 대 원장 (HP) 2 차 공격 3 차 공격 공격 체계도 서울중앙지방검찰청 첨단범죄수사 제 2 부
9
암호화 방식 서울중앙지방검찰청 첨단범죄수사 제 2 부 3.4 DDoS NH( 농협 ) A 로 시작하는 45 자의 암호키 동일
10
서울중앙지방검찰청 첨단범죄수사 제 2 부 삭제 대상 파일 확장자 비교 7.7 DDoS3.4 DDoS NH( 농협 ) 7.7 DDoS 와 29 개 93% 일치 3.4 DDoS 와 31 개 100% 일치.doc
11
분석 방해 수법 ‘cm’+ ‘d.e’ +’xe’ + ‘/c’ cmd.exe /c ‘cm’+ ‘d.e’ +’xe/’ + ‘c’ NH( 농협 ) 3.4 DDoS 7.7 DDoS pushoffset aXe; “xe” pushoffset aCm; “cm” leaecx, [esp+108Ch+CommandLine] push offset aSd_eSCSS ; “%sd.e%s/c \”%s > %s\”” pushedi leaeax, [ebp+CommandLine] push offset aCmd_exeCSS; “cmd.exe /c \”%s\” >%s” pusheax; Dest pushoffset aXe; “xe /” pushoffset aCm; “cm“ leaeax, [esp+8CCh+Dest] push offset Format; “%sd.e%sc \”%s > %s\”” 서울중앙지방검찰청 첨단범죄수사 제 2 부
![분석 방해 수법 ‘cm’+ ‘d.e’ +’xe’ + ‘/c’ cmd.exe /c ‘cm’+ ‘d.e’ +’xe/’ + ‘c’ NH( 농협 ) 3.4 DDoS 7.7 DDoS pushoffset aXe; xe pushoffset aCm; cm leaecx, [esp+108Ch+CommandLine] push offset aSd_eSCSS ; %sd.e%s/c \ %s > %s\ pushedi leaeax, [ebp+CommandLine] push offset aCmd_exeCSS; cmd.exe /c \ %s\ >%s pusheax; Dest pushoffset aXe; xe / pushoffset aCm; cm leaeax, [esp+8CCh+Dest] push offset Format; %sd.e%sc \ %s > %s\ 서울중앙지방검찰청 첨단범죄수사 제 2 부](http://images.slidesplayer.org/40/11073042/slides/slide_11.jpg "분석 방해 수법 ‘cm’+ ‘d.e’ +’xe’ + ‘/c’ cmd.exe /c ‘cm’+ ‘d.e’ +’xe/’ + ‘c’ NH( 농협 ) 3.4 DDoS 7.7 DDoS pushoffset aXe; xe pushoffset aCm; cm leaecx, [esp+108Ch+CommandLine] push offset aSd_eSCSS ; %sd.e%s/c \ %s > %s\ pushedi leaeax, [ebp+CommandLine] push offset aCmd_exeCSS; cmd.exe /c \ %s\ >%s pusheax; Dest pushoffset aXe; xe / pushoffset aCm; cm leaeax, [esp+8CCh+Dest] push offset Format; %sd.e%sc \ %s > %s\ 서울중앙지방검찰청 첨단범죄수사 제 2 부")
12
7.7, 3.4 DDoS 와 비교 서울중앙지방검찰청 첨단범죄수사 제 2 부 구분 악성코드 감염경로 악성코드 유포수법 공격명령 IP 공격구조 프로그램 유사성 비교대상 확장자 분석방해 수법 암호화 기법 7.7 DDoS 웹하드 사이트 웹하드 사이트 자동 업데이트 위장 59 개국 538 개 공격프로그램과 공격명령 서버목록 분리 총 37 개문자열 조합확인 안됨 3.4 DDoS 동일 7.7 과 3 개 일치 (70 개국 748 개 ) 동일 총 31 개 (7.7 과 93% 동일 ) 치환이 없음 자체 제작 암호 기법 NH ( 농협 ) 동일 3.4 와 1 개 일치 (13 개국 27 개 ) 동일 총 31 개 3.4 와 100% 동일 문자열 조합 7.7 과 동일 3.4 와 동일 비고 S 웹하드 사이트에서 감염 (3.4 DDoS 와 동일 ) 통상 공격프로그램에 공격명령 서버목록 포함 분석을 곤란하게 하기 위함
Similar presentations
![스마트폰의 불편한 진실 영동중학교 1학년 [엘리트] 최성환 김경민 서규민.](/60/11193852/big_thumb.jpg "스마트폰의 불편한 진실 영동중학교 1학년 [엘리트] 최성환 김경민 서규민.>")
![[그림 1-1] 안드로이드 전용 어플리케이션 설치 방법](/61/11314142/big_thumb.jpg "[그림 1-1] 안드로이드 전용 어플리케이션 설치 방법>")
