ݺߣ

ݺߣShare a Scribd company logo
어떻게 들어왔는가?
안랩 A-FIRST
오정훈
Jh.oh@ahnlab.com
forensicinsight.org Page 2
Who am I ??
 이름 : 오정훈(jh.oh@ahnlab.com)
 소속 : 안랩 A-FIRST
 업무 : 침해 사고 분석
 경력
• 고려대 정보보호대학원 디지털포렌식연구센터(2010.01 ~ 2011.12)
• 안랩 A-FIRST(2012.01 ~ 현재)
• DFRWS 2011 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity
• 2012 미국방성 Digital Forensic Challenge : Overall Civilian Winner
• WISA 2012 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity
• FIRST 2014 Speaker : A Forensic Analysis of APT Lateral Movement in Windows Environment
• 2014 Forensic Insight 공개 세미나 Speaker : APT 내부망 감염 기법 분석
 도구 : NTFS Log Tracker, RP Log Tracker ( https://sites.google.com/site/forensicnote/ )
forensicinsight.org Page 3
목차
1. 왜? 어떻게 들어왔는지 알아야 하나?
2. 일반적인 APT 공격 과정
3. 최초 유입 경로 분석
4. 다시 번…
forensicinsight.org Page 4
왜? 어떻게 들어왔는지 알아야 하나?
forensicinsight.org Page 5
왜? 어떻게 들어왔는지 알아야 하나?
시스템에서 악성코드를 발견하였다면…
Oh My God~!!
forensicinsight.org Page 6
왜? 어떻게 들어왔는지 알아야 하나?
시스템에서 악성코드를 발견하였다면…
어떻게 하시나요??
forensicinsight.org Page 7
왜? 어떻게 들어왔는지 알아야 하나?
일반적인 대응…
백신 치료 or 수동 삭제
forensicinsight.org Page 8
왜? 어떻게 들어왔는지 알아야 하나?
일반적인 대응…
포멧 or 시스템 교체
forensicinsight.org Page 9
왜? 어떻게 들어왔는지 알아야 하나?
일반적인 대응…
상황 종료??
forensicinsight.org Page 10
왜? 어떻게 들어왔는지 알아야 하나?
일반적인 대응…
forensicinsight.org Page 11
왜? 어떻게 들어왔는지 알아야 하나?
실제 상황 …
forensicinsight.org Page 12
왜? 어떻게 들어왔는지 알아야 하나?
실제 상황 …
forensicinsight.org Page 13
왜? 어떻게 들어왔는지 알아야 하나?
실제 상황 …
forensicinsight.org Page 14
왜? 어떻게 들어왔는지 알아야 하나?
실제 상황 …
forensicinsight.org Page 15
Introduction
공격자 vs 관리자 ??
감염 vs 치료
forensicinsight.org Page 16
Introduction
공격자 vs 관리자 ??
forensicinsight.org Page 17
Introduction
공격자 vs 관리자 ??
forensicinsight.org Page 18
Introduction
공격자 vs 관리자 ??
forensicinsight.org Page 19
Introduction
어떤 CEO 께서는…
우리가 모든 시스템과
하드웨어를 가지고 있다.
우리가 이긴다 ~!!
forensicinsight.org Page 20
Introduction
forensicinsight.org Page 21
Introduction
모든 시스템 재설치…
forensicinsight.org Page 22
Introduction
재감염…;;
forensicinsight.org Page 23
Introduction
왜 계속 감염되지 ??
forensicinsight.org Page 24
Introduction
File Server
왜 계속 감염되지 ??
감염된 NVIDIA
드라이버 설치 파일
forensicinsight.org Page 25
Introduction
File Server
왜 계속 감염되지 ??
감염된 NVIDIA
드라이버 설치 파일
forensicinsight.org Page 26
Introduction
File Server
왜 계속 감염되지 ??
감염된 NVIDIA
드라이버 설치 파일
forensicinsight.org Page 27
왜? 어떻게 들어왔는지 알아야 하나?
만약 최초 유입 경로를 찾지 못했다면…
What the f…!!
forensicinsight.org Page 28
왜? 어떻게 들어왔는지 알아야 하나?
따라서 …
No Initial Breach Point, No Win …
forensicinsight.org Page 29
일반적인 APT 공격 과정
forensicinsight.org Page 30
일반적인 APT 공격 과정
forensicinsight.org Page 31
일반적인 APT 공격 과정
forensicinsight.org Page 32
일반적인 APT 공격 과정
① Spear Phishing
Drive By Download
Update Vulnerability
시나리오 1
forensicinsight.org Page 33
일반적인 APT 공격 과정
② Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerability
업무망 연결
가능 시스템
Active Directory
시나리오 1
forensicinsight.org Page 34
일반적인 APT 공격 과정
업무망 연결
가능 시스템
③ RDP/VPN
시나리오 1
forensicinsight.org Page 35
일반적인 APT 공격 과정
업무망 연결
가능 시스템
④ Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerability
DB 관리자
시스템
시나리오 1
forensicinsight.org Page 36
일반적인 APT 공격 과정
업무망 연결
가능 시스템
DB 관리자
시스템
⑤ Connect
시나리오 1
forensicinsight.org Page 37
일반적인 APT 공격 과정
Lateral Movement
시나리오 1
forensicinsight.org Page 38
일반적인 APT 공격 과정
① Spear Phishing
Drive By Download
Update Vulnerability
시나리오 2
forensicinsight.org Page 39
일반적인 APT 공격 과정
서버 관리자
시스템
② Keylogging
Sniffing
SAM Cracking
System Vulnerability
시나리오 2
forensicinsight.org Page 40
일반적인 APT 공격 과정
서버 관리자
시스템
④ Administrator Account
System Vulnerability
시나리오 2
forensicinsight.org Page 41
일반적인 APT 공격 과정
서버 관리자
시스템
⑤ Patch/File Distribution
업무망 연결
가능 시스템
시나리오 2
forensicinsight.org Page 42
일반적인 APT 공격 과정
서버 관리자
시스템
업무망 연결
가능 시스템
⑤ File Download
시나리오 2
forensicinsight.org Page 43
일반적인 APT 공격 과정
① Spear Fishing
Drive By Download
Update Vulnerability
시나리오 3
forensicinsight.org Page 44
일반적인 APT 공격 과정
정보 수집
시나리오 3
forensicinsight.org Page 45
일반적인 APT 공격 과정
② Spear Phishing
업무망 연결
가능 시스템
시나리오 3
forensicinsight.org Page 46
일반적인 APT 공격 과정
업무망 연결
가능 시스템
시나리오 3
forensicinsight.org Page 47
일반적인 APT 공격 과정
① Web App Vulnerability
System Vulnerability
시나리오 4-1
forensicinsight.org Page 48
일반적인 APT 공격 과정
① Web App Vulnerability
System Vulnerability
② Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerability
시나리오 4-1
forensicinsight.org Page 49
일반적인 APT 공격 과정
③ Patch/File Distribution
업무망 연결
가능 시스템
시나리오 4-1
forensicinsight.org Page 50
일반적인 APT 공격 과정
③ File Download
업무망 연결
가능 시스템
시나리오 4-1
forensicinsight.org Page 51
일반적인 APT 공격 과정
③ Drive by Download
서버 관리자
시스템
시나리오 4-2
forensicinsight.org Page 52
일반적인 APT 공격 과정
업무망 연결
가능 시스템
④ Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerability
서버 관리자
시스템
시나리오 4-2
forensicinsight.org Page 53
일반적인 APT 공격 과정
 Keylogging
 Sniffing Passwords(ARP Hijack/MIM)
 Dump Passwords(LSA Secret, Protected Storage2 & Credential Manger)
 SAM Cracking(Brute Force, Rainbow Crack)
 Pass the Hash
 Pass the Pass
 Patch/File Server
 Spear Phishing
 System Vulnerability
 …
Lateral Movement 기법
forensicinsight.org Page 54
일반적인 APT 공격 과정
 Keylogging
 Sniffing Passwords(ARP Hijack/MIM)
 Dump Passwords(LSA Secret, Protected Storage2 & Credential Manger)
 SAM Cracking(Brute Force, Rainbow Crack)
 Pass the Hash
 Pass the Pass
 Patch/File Server
 Spear Phishing
 System Vulnerability
 …
Lateral Movement 기법
forensicinsight.org Page 55
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
도메인 관리자
계정 사용
정상 시스템
forensicinsight.org Page 56
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관리자 계정의 NTLM
Credentials 이 메모리에 저장됨
(Msv1_0.dll)
도메인 관리자
계정 사용
forensicinsight.org Page 57
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관리자 계정의 암호화된
ID/PW 가 메모리에 저장됨
(Kerberos.dll, Wdigest.dll,
tspkg.dll)
도메인 관리자
계정 사용
forensicinsight.org Page 58
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관리자
계정 사용
메모리로부터 도메인 관리자 계정
의 복호화된 ID/PW or NTLM
Credentials 을 획득
forensicinsight.org Page 59
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관리자
계정 사용
forensicinsight.org Page 60
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
정상 시스템
도메인 관리자
계정 사용
Backdoor 설치 프로그램 복사
Backdoor 설치 프로그램 실행
네트워크 공유 설정
sc, at, wmic, reg, psexec,
winrs
획득한 도메인 관리자 계정의
NTLM Credentials or ID/PW 를
사용
forensicinsight.org Page 61
일반적인 APT 공격 과정
Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
도메인 관리자
계정 사용
Backdoor 설치 프로그램 복사
Backdoor 설치 프로그램 실행
네트워크 공유 설정
sc, at, wmic, reg, psexec,
winrs
획득한 도메인 관리자 계정의
NTLM Credentials or ID/PW 를
사용
감염 시스템
forensicinsight.org Page 62
일반적인 APT 공격 과정
Active Directory 환경에서 Pass the Hash 공격이 위험한 이유
A Domain B Domain
DC DC
forensicinsight.org Page 63
일반적인 APT 공격 과정
Active Directory 환경에서 Pass the Hash 공격이 위험한 이유
A Domain B Domain
DC DCDC
forensicinsight.org Page 64
일반적인 APT 공격 과정
Active Directory 환경에서 Pass the Hash 공격이 위험한 이유
A Domain B Domain
DC DC
Trust Relationship
DC DC
forensicinsight.org Page 65
일반적인 APT 공격 과정
In Mind of Administrator…
forensicinsight.org Page 66
일반적인 APT 공격 과정
Non-Active Directory 환경에서의 Pass the Hash 공격
감염 시스템 정상 시스템
모든 시스템이 동일한
로컬 관리자 계정을 사용
forensicinsight.org Page 67
일반적인 APT 공격 과정
Non-Active Directory 환경에서의 Pass the Hash 공격
감염 시스템 정상 시스템
메모리로부터 로컬 관리자 계정의 복호화된
ID/PW 와 NTLM Credentials 을 획득
forensicinsight.org Page 68
일반적인 APT 공격 과정
Non-Active Directory 환경에서의 Pass the Hash 공격
감염 시스템 정상 시스템
Backdoor 설치 프로그램 복사
Backdoor 설치 프로그램 실행
네트워크 공유 설정
sc, at, wmic, reg, psexec,
winrs
획득한 로컬 관리자 계정의
NTLM Credentials or ID/PW 를
사용
forensicinsight.org Page 69
일반적인 APT 공격 과정
Non-Active Directory 환경에서의 Pass the Hash 공격
감염 시스템
Backdoor 설치 프로그램 복사
Backdoor 설치 프로그램 실행
네트워크 공유 설정
sc, at, wmic, reg, psexec,
winrs
획득한 로컬 관리자 계정의
NTLM Credentials or ID/PW 를
사용
감염 시스템
forensicinsight.org Page 70
최초 유입 경로 분석
forensicinsight.org Page 71
최초 유입 경로 분석
 네트워크 구성 파악
가장 먼저 수행해야 할 작업은??
forensicinsight.org Page 72
최초 유입 경로 분석
네트워크 구성 파악을 안하고 시작하면…
forensicinsight.org Page 73
최초 유입 경로 분석
 이상 징후가 발견된 시스템부터…
• 악성코드
• 공격 흔적
• 비정상적인 시스템 접근
• …
 전혀 알 수 없을 경우…
• 유출된 정보를 저장하고 있는 시스템
• 위 시스템에 접근할 수 있는 시스템
• 보안 솔루션 로그의 이상 징후
• …
분석 시작 시스템 지정~!!
?
forensicinsight.org Page 74
최초 유입 경로 분석
 상세 분석
• 아무 단서가 없는 상황에서 시스템 전체를 분석
• 의심스러운 악성코드/흔적을 찾아 공격 시간대를 알아내는 것이 목적
• 타임라인 분석 기법 사용
• Lateral Movement 기법 파악, 유입 경로 파악
• 비할당 영역 분석을 위해 디스크 이미징이 필요함
• 추후 분석에 사용할 수 있도록 최대한 많은 정보를 모아야 함
 포인트 분석
• 이미 공격 시간대와 악성 코드 및 여러 정보를 확보한 상태의 분석
• 특정 시간대의 특정 아티팩트만을 분석
• 디스크 이미징이 필요 없음
• 스크립트 혹은 수집 Agent 를 통해 주요 아티펙트들만 수집
시스템 분석 유형
forensicinsight.org Page 75
최초 유입 경로 분석
 STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기
• 의심스러운 파일 실행 흔적
• 의심스러운 Reloading Point
• 파일 시스템 내 숨겨진 악성코드
• 의심스러운 다운로드 흔적
• …
시스템 상세 분석
forensicinsight.org Page 76
최초 유입 경로 분석
 STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기
시스템 상세 분석
forensicinsight.org Page 77
최초 유입 경로 분석
 STEP 2. 타임라인 분석
• 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합
시스템 상세 분석
Timeline
Registry
Web
Browser
Event
Log
File
System
Restore
Point
Prefetch
LNK
Log
DB
etc
forensicinsight.org Page 78
최초 유입 경로 분석
 STEP 2. 타임라인 분석
• 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합
시스템 상세 분석
forensicinsight.org Page 79
최초 유입 경로 분석
 STEP 2. 타임라인 분석
시스템 상세 분석
타임라인만 보면 되는거 아닌가??
forensicinsight.org Page 80
최초 유입 경로 분석
 STEP 2. 타임라인 분석
시스템 상세 분석
타임라인 분석 = 사전 찾기
forensicinsight.org Page 81
최초 유입 경로 분석
 STEP 2. 타임라인 분석
시스템 상세 분석
의심스러운 이벤트 시간 = 색인
forensicinsight.org Page 82
최초 유입 경로 분석
 STEP 2. 타임라인 분석
• 분석 도구 : Plaso( http://plaso.kiddaland.net )
시스템 상세 분석
forensicinsight.org Page 83
최초 유입 경로 분석
두 가지 분석 목표~!!
1. 최초 침입 시스템 찾기
2. 침입 포인트 찾기
forensicinsight.org Page 84
최초 유입 경로 분석
1. 모든 시스템을 상세 분석할 순 없음
• 상세 분석 대상 시스템 지정
 최초로 공격이 탐지된 시스템, 주요 데이터가 저장된 시스템
 최초 침입 시스템
 주요 관리자/게이트웨이 시스템
 분석이 막혔을 때….
2. 최대한 많은 시스템의 아티팩트 및 정보 수집이 필요
• 앞으로 어떤 시스템을 분석하게 될지 모름
• 포인트 분석에 사용 : 주로 Lateral Movement 역추적이 목적
• 수집 도구 : FPLive_win v1.1, OpenIOC Editor/Finder
3. 절대 중간에 분석을 멈추면 안됨
• 분석 중간에 전혀 다른 시스템에서 악성코드 및 공격 징후가 발생할 수 있음
• 타 팀 혹은 상급자가 해당 이벤트를 긴급하게 요청;;
• 악성코드 치료 및 대응은 일단 유입 경로 파악 및 제거 후 수행함
분석 전략
forensicinsight.org Page 85
최초 유입 경로 분석
① Spear Fishing
Drive By Download
Update Vulnerability
② Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerability
업무망 연결
가능 시스템
③ RDP/VPN
④ Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerability
DB 관리자
시스템
⑤ Connect
: 상세 분석
: 포인트 분석
분석 예
forensicinsight.org Page 86
최초 유입 경로 분석
1
2
3
4 5
6
6
4
5
5 6
3 4 5
6
6
3
4 5
4
5 6
5
2
3
4
4 5 6
3
4
4
5
5
6 7
6
6
2
3
4 5
4
3 4
3 4
5
6
6
65
5
2
3
4
4 5
6
6
3 4
5
5 6
모든 시스템이 감염된 상황이라면~!!?
forensicinsight.org Page 87
최초 유입 경로 분석
1
2
3
4 5
6
6
4
5
5 6
3 4 5
6
6
3
4 5
4
5 6
5
2
3
4
4 5 6
3
4
4
5
5
6 7
6
6
2
3
4 5
4
3 4
3 4
5
6
6
65
5
2
3
4
4 5
6
6
3 4
5
5 6
모든 시스템이 감염된 상황이라면~!!?
forensicinsight.org Page 88
최초 유입 경로 분석
1
2
3
4 5
6
6
4
5
5 6
3 4 5
6
6
3
4 5
4
5 6
5
2
3
4
4 5 6
3
4
4
5
5
6 7
6
6
2
3
4 5
4
3 4
3 4
5
6
6
65
5
2
3
4
4 5
6
6
3 4
5
5 6
모든 시스템이 감염된 상황이라면~!!? : 상세 분석
: 포인트 분석
최초 공격이 탐지된
시스템
forensicinsight.org Page 89
최초 유입 경로 분석
1. 아티팩트의 용량
• Windows Event Log 의 Default Size 는 512KB(XP), 20MB(Win7)…
• 장시간의 로그가 저장되어 있지 않음
• 오래된 로그를 덮어써버림
• 대응 : 포렌식 준비도 관점에서 용량 재설정 및 백업
2. 공격자의 Anti Forensic 행위
• 공격자가 자신의 흔적을 지우려는 행위(로그 삭제, 파일 완전 삭제, 파일 시스템 파괴…)
• 대응 : 비할당영역에서 삭제 데이터 복구, 파일 완전 삭제 흔적 추적($LogFile, $UsnJrnl), 파일 시스템 구조 복구…
현실적 어려움
forensicinsight.org Page 90
최초 유입 경로 분석
 공격 시점이 너무 오래된 흔적이 남아 있지 않음
 초기 대응 미숙으로 인한 흔적 삭제
 삭제된 데이터 복구 실패
 분석 실패?!!
아무런 흔적이 없음…
ㅡㅡ;;
forensicinsight.org Page 91
최초 유입 경로 분석
 대응 1 ( Lateral Movement 역추적에 실패한 경우)
• IOC(Indicator of Compromise) 를 통한 최초 감염 시스템 추적
 감염 시기가 가장 빠른 시스템을 파악
 해당 시스템에 대한 상세 분석 및 또 다른 IOC 획득을 통한 분석 포인트 재획득
 도구(OpenIOC)
• IOC Editor( http://www.mandiant.com/resources/download/ioc-editor/ )
• IOC Finder( http://www.mandiant.com/resources/download/ioc-finder/ )
아무런 흔적이 없음…
forensicinsight.org Page 92
최초 유입 경로 분석
 대응 2 ( 유입 경로 찾기에 실패한 경우 )
• 외부 공격자와의 연결 지점은 반드시 있음
 일반적으로 백도어 Proxy 기능을 통한 쉘 연결 유지
 어딘가 외부와 연결이 가능한 시스템에 백도어가 설치되어 있음
 현재 연결을 다 차단함으로써 재침투 유도…  유입 경로 재분석
• 발견된 모든 백도어의 동시 삭제
• AV 의 실시간 차단 기능 사용
아무런 흔적이 없음…
드루와~ 드루와~
forensicinsight.org Page 93
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
게임머니
업데이트!!
File
Server
forensicinsight.org Page 94
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
이벤트 로그
복구를 통한
역추적~!!
File
Server
: Back Tracking
forensicinsight.org Page 95
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
이벤트 로그
복구 실패;;
File
Server
: Back Tracking
forensicinsight.org Page 96
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
IOC 를 통한 최초 감염
시스템 찾기 수행
File
Server
: Back Tracking
forensicinsight.org Page 97
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
업부망과 연결된
게이트웨이 서버
IOC 를 통한 최초 감염
시스템 찾기 수행
최초 감염 시스템
File
Server
: Back Tracking
forensicinsight.org Page 98
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way VPN 전용선
DB
업부망과 연결된
게이트웨이 서버
File
Server
: Back Tracking
forensicinsight.org Page 99
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way VPN 전용선
DB
업부망과 연결된
게이트웨이 서버
Keylogging
File
Server
: Back Tracking
forensicinsight.org Page 100
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way VPN 전용선
DB
업부망과 연결된
게이트웨이 서버
Keylogging
File
Server
: Back Tracking
forensicinsight.org Page 101
최초 유입 경로 분석
Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way VPN 전용선
DB
업부망과 연결된
게이트웨이 서버
File
Server
감염된 NVIDIA 드라이버
설치 프로그램 다운로드
: Back Tracking
forensicinsight.org Page 102
다시 번…
forensicinsight.org Page 103
Conclusion
왜? 유입 경로를 파악해야 하는가?
forensicinsight.org Page 104
Conclusion
I’m Sick…
ㅠ ㅠ
forensicinsight.org Page 105
Conclusion
님하… 그만… ㅠ.ㅠ
forensicinsight.org Page 106
Conclusion
forensicinsight.org Page 107
Conclusion
No Initial Breach Point, No Win …
forensicinsight.org Page 108
Question and Answer
forensicinsight.org Page 109
Go to Lunch
점심하러 가시죠?~^^

More Related Content

(Ficon2015) #3 어떻게 들어왔는가

  • 2. forensicinsight.org Page 2 Who am I ??  이름 : 오정훈(jh.oh@ahnlab.com)  소속 : 안랩 A-FIRST  업무 : 침해 사고 분석  경력 • 고려대 정보보호대학원 디지털포렌식연구센터(2010.01 ~ 2011.12) • 안랩 A-FIRST(2012.01 ~ 현재) • DFRWS 2011 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity • 2012 미국방성 Digital Forensic Challenge : Overall Civilian Winner • WISA 2012 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity • FIRST 2014 Speaker : A Forensic Analysis of APT Lateral Movement in Windows Environment • 2014 Forensic Insight 공개 세미나 Speaker : APT 내부망 감염 기법 분석  도구 : NTFS Log Tracker, RP Log Tracker ( https://sites.google.com/site/forensicnote/ )
  • 3. forensicinsight.org Page 3 목차 1. 왜? 어떻게 들어왔는지 알아야 하나? 2. 일반적인 APT 공격 과정 3. 최초 유입 경로 분석 4. 다시 번…
  • 4. forensicinsight.org Page 4 왜? 어떻게 들어왔는지 알아야 하나?
  • 5. forensicinsight.org Page 5 왜? 어떻게 들어왔는지 알아야 하나? 시스템에서 악성코드를 발견하였다면… Oh My God~!!
  • 6. forensicinsight.org Page 6 왜? 어떻게 들어왔는지 알아야 하나? 시스템에서 악성코드를 발견하였다면… 어떻게 하시나요??
  • 7. forensicinsight.org Page 7 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응… 백신 치료 or 수동 삭제
  • 8. forensicinsight.org Page 8 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응… 포멧 or 시스템 교체
  • 9. forensicinsight.org Page 9 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응… 상황 종료??
  • 10. forensicinsight.org Page 10 왜? 어떻게 들어왔는지 알아야 하나? 일반적인 대응…
  • 11. forensicinsight.org Page 11 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  • 12. forensicinsight.org Page 12 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  • 13. forensicinsight.org Page 13 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  • 14. forensicinsight.org Page 14 왜? 어떻게 들어왔는지 알아야 하나? 실제 상황 …
  • 15. forensicinsight.org Page 15 Introduction 공격자 vs 관리자 ?? 감염 vs 치료
  • 19. forensicinsight.org Page 19 Introduction 어떤 CEO 께서는… 우리가 모든 시스템과 하드웨어를 가지고 있다. 우리가 이긴다 ~!!
  • 24. forensicinsight.org Page 24 Introduction File Server 왜 계속 감염되지 ?? 감염된 NVIDIA 드라이버 설치 파일
  • 25. forensicinsight.org Page 25 Introduction File Server 왜 계속 감염되지 ?? 감염된 NVIDIA 드라이버 설치 파일
  • 26. forensicinsight.org Page 26 Introduction File Server 왜 계속 감염되지 ?? 감염된 NVIDIA 드라이버 설치 파일
  • 27. forensicinsight.org Page 27 왜? 어떻게 들어왔는지 알아야 하나? 만약 최초 유입 경로를 찾지 못했다면… What the f…!!
  • 28. forensicinsight.org Page 28 왜? 어떻게 들어왔는지 알아야 하나? 따라서 … No Initial Breach Point, No Win …
  • 32. forensicinsight.org Page 32 일반적인 APT 공격 과정 ① Spear Phishing Drive By Download Update Vulnerability 시나리오 1
  • 33. forensicinsight.org Page 33 일반적인 APT 공격 과정 ② Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 업무망 연결 가능 시스템 Active Directory 시나리오 1
  • 34. forensicinsight.org Page 34 일반적인 APT 공격 과정 업무망 연결 가능 시스템 ③ RDP/VPN 시나리오 1
  • 35. forensicinsight.org Page 35 일반적인 APT 공격 과정 업무망 연결 가능 시스템 ④ Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability DB 관리자 시스템 시나리오 1
  • 36. forensicinsight.org Page 36 일반적인 APT 공격 과정 업무망 연결 가능 시스템 DB 관리자 시스템 ⑤ Connect 시나리오 1
  • 37. forensicinsight.org Page 37 일반적인 APT 공격 과정 Lateral Movement 시나리오 1
  • 38. forensicinsight.org Page 38 일반적인 APT 공격 과정 ① Spear Phishing Drive By Download Update Vulnerability 시나리오 2
  • 39. forensicinsight.org Page 39 일반적인 APT 공격 과정 서버 관리자 시스템 ② Keylogging Sniffing SAM Cracking System Vulnerability 시나리오 2
  • 40. forensicinsight.org Page 40 일반적인 APT 공격 과정 서버 관리자 시스템 ④ Administrator Account System Vulnerability 시나리오 2
  • 41. forensicinsight.org Page 41 일반적인 APT 공격 과정 서버 관리자 시스템 ⑤ Patch/File Distribution 업무망 연결 가능 시스템 시나리오 2
  • 42. forensicinsight.org Page 42 일반적인 APT 공격 과정 서버 관리자 시스템 업무망 연결 가능 시스템 ⑤ File Download 시나리오 2
  • 43. forensicinsight.org Page 43 일반적인 APT 공격 과정 ① Spear Fishing Drive By Download Update Vulnerability 시나리오 3
  • 44. forensicinsight.org Page 44 일반적인 APT 공격 과정 정보 수집 시나리오 3
  • 45. forensicinsight.org Page 45 일반적인 APT 공격 과정 ② Spear Phishing 업무망 연결 가능 시스템 시나리오 3
  • 46. forensicinsight.org Page 46 일반적인 APT 공격 과정 업무망 연결 가능 시스템 시나리오 3
  • 47. forensicinsight.org Page 47 일반적인 APT 공격 과정 ① Web App Vulnerability System Vulnerability 시나리오 4-1
  • 48. forensicinsight.org Page 48 일반적인 APT 공격 과정 ① Web App Vulnerability System Vulnerability ② Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 시나리오 4-1
  • 49. forensicinsight.org Page 49 일반적인 APT 공격 과정 ③ Patch/File Distribution 업무망 연결 가능 시스템 시나리오 4-1
  • 50. forensicinsight.org Page 50 일반적인 APT 공격 과정 ③ File Download 업무망 연결 가능 시스템 시나리오 4-1
  • 51. forensicinsight.org Page 51 일반적인 APT 공격 과정 ③ Drive by Download 서버 관리자 시스템 시나리오 4-2
  • 52. forensicinsight.org Page 52 일반적인 APT 공격 과정 업무망 연결 가능 시스템 ④ Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 서버 관리자 시스템 시나리오 4-2
  • 53. forensicinsight.org Page 53 일반적인 APT 공격 과정  Keylogging  Sniffing Passwords(ARP Hijack/MIM)  Dump Passwords(LSA Secret, Protected Storage2 & Credential Manger)  SAM Cracking(Brute Force, Rainbow Crack)  Pass the Hash  Pass the Pass  Patch/File Server  Spear Phishing  System Vulnerability  … Lateral Movement 기법
  • 54. forensicinsight.org Page 54 일반적인 APT 공격 과정  Keylogging  Sniffing Passwords(ARP Hijack/MIM)  Dump Passwords(LSA Secret, Protected Storage2 & Credential Manger)  SAM Cracking(Brute Force, Rainbow Crack)  Pass the Hash  Pass the Pass  Patch/File Server  Spear Phishing  System Vulnerability  … Lateral Movement 기법
  • 55. forensicinsight.org Page 55 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 도메인 관리자 계정 사용 정상 시스템
  • 56. forensicinsight.org Page 56 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정의 NTLM Credentials 이 메모리에 저장됨 (Msv1_0.dll) 도메인 관리자 계정 사용
  • 57. forensicinsight.org Page 57 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정의 암호화된 ID/PW 가 메모리에 저장됨 (Kerberos.dll, Wdigest.dll, tspkg.dll) 도메인 관리자 계정 사용
  • 58. forensicinsight.org Page 58 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정 사용 메모리로부터 도메인 관리자 계정 의 복호화된 ID/PW or NTLM Credentials 을 획득
  • 59. forensicinsight.org Page 59 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정 사용
  • 60. forensicinsight.org Page 60 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 정상 시스템 도메인 관리자 계정 사용 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 도메인 관리자 계정의 NTLM Credentials or ID/PW 를 사용
  • 61. forensicinsight.org Page 61 일반적인 APT 공격 과정 Active Directory 환경에서의 Pass the Hash 공격 관리자 시스템 이미 감염 당한 시스템 R D P 도메인 관리자 계정 사용 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 도메인 관리자 계정의 NTLM Credentials or ID/PW 를 사용 감염 시스템
  • 62. forensicinsight.org Page 62 일반적인 APT 공격 과정 Active Directory 환경에서 Pass the Hash 공격이 위험한 이유 A Domain B Domain DC DC
  • 63. forensicinsight.org Page 63 일반적인 APT 공격 과정 Active Directory 환경에서 Pass the Hash 공격이 위험한 이유 A Domain B Domain DC DCDC
  • 64. forensicinsight.org Page 64 일반적인 APT 공격 과정 Active Directory 환경에서 Pass the Hash 공격이 위험한 이유 A Domain B Domain DC DC Trust Relationship DC DC
  • 65. forensicinsight.org Page 65 일반적인 APT 공격 과정 In Mind of Administrator…
  • 66. forensicinsight.org Page 66 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 정상 시스템 모든 시스템이 동일한 로컬 관리자 계정을 사용
  • 67. forensicinsight.org Page 67 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 정상 시스템 메모리로부터 로컬 관리자 계정의 복호화된 ID/PW 와 NTLM Credentials 을 획득
  • 68. forensicinsight.org Page 68 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 정상 시스템 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 로컬 관리자 계정의 NTLM Credentials or ID/PW 를 사용
  • 69. forensicinsight.org Page 69 일반적인 APT 공격 과정 Non-Active Directory 환경에서의 Pass the Hash 공격 감염 시스템 Backdoor 설치 프로그램 복사 Backdoor 설치 프로그램 실행 네트워크 공유 설정 sc, at, wmic, reg, psexec, winrs 획득한 로컬 관리자 계정의 NTLM Credentials or ID/PW 를 사용 감염 시스템
  • 70. forensicinsight.org Page 70 최초 유입 경로 분석
  • 71. forensicinsight.org Page 71 최초 유입 경로 분석  네트워크 구성 파악 가장 먼저 수행해야 할 작업은??
  • 72. forensicinsight.org Page 72 최초 유입 경로 분석 네트워크 구성 파악을 안하고 시작하면…
  • 73. forensicinsight.org Page 73 최초 유입 경로 분석  이상 징후가 발견된 시스템부터… • 악성코드 • 공격 흔적 • 비정상적인 시스템 접근 • …  전혀 알 수 없을 경우… • 유출된 정보를 저장하고 있는 시스템 • 위 시스템에 접근할 수 있는 시스템 • 보안 솔루션 로그의 이상 징후 • … 분석 시작 시스템 지정~!! ?
  • 74. forensicinsight.org Page 74 최초 유입 경로 분석  상세 분석 • 아무 단서가 없는 상황에서 시스템 전체를 분석 • 의심스러운 악성코드/흔적을 찾아 공격 시간대를 알아내는 것이 목적 • 타임라인 분석 기법 사용 • Lateral Movement 기법 파악, 유입 경로 파악 • 비할당 영역 분석을 위해 디스크 이미징이 필요함 • 추후 분석에 사용할 수 있도록 최대한 많은 정보를 모아야 함  포인트 분석 • 이미 공격 시간대와 악성 코드 및 여러 정보를 확보한 상태의 분석 • 특정 시간대의 특정 아티팩트만을 분석 • 디스크 이미징이 필요 없음 • 스크립트 혹은 수집 Agent 를 통해 주요 아티펙트들만 수집 시스템 분석 유형
  • 75. forensicinsight.org Page 75 최초 유입 경로 분석  STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기 • 의심스러운 파일 실행 흔적 • 의심스러운 Reloading Point • 파일 시스템 내 숨겨진 악성코드 • 의심스러운 다운로드 흔적 • … 시스템 상세 분석
  • 76. forensicinsight.org Page 76 최초 유입 경로 분석  STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기 시스템 상세 분석
  • 77. forensicinsight.org Page 77 최초 유입 경로 분석  STEP 2. 타임라인 분석 • 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합 시스템 상세 분석 Timeline Registry Web Browser Event Log File System Restore Point Prefetch LNK Log DB etc
  • 78. forensicinsight.org Page 78 최초 유입 경로 분석  STEP 2. 타임라인 분석 • 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합 시스템 상세 분석
  • 79. forensicinsight.org Page 79 최초 유입 경로 분석  STEP 2. 타임라인 분석 시스템 상세 분석 타임라인만 보면 되는거 아닌가??
  • 80. forensicinsight.org Page 80 최초 유입 경로 분석  STEP 2. 타임라인 분석 시스템 상세 분석 타임라인 분석 = 사전 찾기
  • 81. forensicinsight.org Page 81 최초 유입 경로 분석  STEP 2. 타임라인 분석 시스템 상세 분석 의심스러운 이벤트 시간 = 색인
  • 82. forensicinsight.org Page 82 최초 유입 경로 분석  STEP 2. 타임라인 분석 • 분석 도구 : Plaso( http://plaso.kiddaland.net ) 시스템 상세 분석
  • 83. forensicinsight.org Page 83 최초 유입 경로 분석 두 가지 분석 목표~!! 1. 최초 침입 시스템 찾기 2. 침입 포인트 찾기
  • 84. forensicinsight.org Page 84 최초 유입 경로 분석 1. 모든 시스템을 상세 분석할 순 없음 • 상세 분석 대상 시스템 지정  최초로 공격이 탐지된 시스템, 주요 데이터가 저장된 시스템  최초 침입 시스템  주요 관리자/게이트웨이 시스템  분석이 막혔을 때…. 2. 최대한 많은 시스템의 아티팩트 및 정보 수집이 필요 • 앞으로 어떤 시스템을 분석하게 될지 모름 • 포인트 분석에 사용 : 주로 Lateral Movement 역추적이 목적 • 수집 도구 : FPLive_win v1.1, OpenIOC Editor/Finder 3. 절대 중간에 분석을 멈추면 안됨 • 분석 중간에 전혀 다른 시스템에서 악성코드 및 공격 징후가 발생할 수 있음 • 타 팀 혹은 상급자가 해당 이벤트를 긴급하게 요청;; • 악성코드 치료 및 대응은 일단 유입 경로 파악 및 제거 후 수행함 분석 전략
  • 85. forensicinsight.org Page 85 최초 유입 경로 분석 ① Spear Fishing Drive By Download Update Vulnerability ② Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability 업무망 연결 가능 시스템 ③ RDP/VPN ④ Pass the Hash Keylogging Sniffing SAM Cracking System Vulnerability DB 관리자 시스템 ⑤ Connect : 상세 분석 : 포인트 분석 분석 예
  • 86. forensicinsight.org Page 86 최초 유입 경로 분석 1 2 3 4 5 6 6 4 5 5 6 3 4 5 6 6 3 4 5 4 5 6 5 2 3 4 4 5 6 3 4 4 5 5 6 7 6 6 2 3 4 5 4 3 4 3 4 5 6 6 65 5 2 3 4 4 5 6 6 3 4 5 5 6 모든 시스템이 감염된 상황이라면~!!?
  • 87. forensicinsight.org Page 87 최초 유입 경로 분석 1 2 3 4 5 6 6 4 5 5 6 3 4 5 6 6 3 4 5 4 5 6 5 2 3 4 4 5 6 3 4 4 5 5 6 7 6 6 2 3 4 5 4 3 4 3 4 5 6 6 65 5 2 3 4 4 5 6 6 3 4 5 5 6 모든 시스템이 감염된 상황이라면~!!?
  • 88. forensicinsight.org Page 88 최초 유입 경로 분석 1 2 3 4 5 6 6 4 5 5 6 3 4 5 6 6 3 4 5 4 5 6 5 2 3 4 4 5 6 3 4 4 5 5 6 7 6 6 2 3 4 5 4 3 4 3 4 5 6 6 65 5 2 3 4 4 5 6 6 3 4 5 5 6 모든 시스템이 감염된 상황이라면~!!? : 상세 분석 : 포인트 분석 최초 공격이 탐지된 시스템
  • 89. forensicinsight.org Page 89 최초 유입 경로 분석 1. 아티팩트의 용량 • Windows Event Log 의 Default Size 는 512KB(XP), 20MB(Win7)… • 장시간의 로그가 저장되어 있지 않음 • 오래된 로그를 덮어써버림 • 대응 : 포렌식 준비도 관점에서 용량 재설정 및 백업 2. 공격자의 Anti Forensic 행위 • 공격자가 자신의 흔적을 지우려는 행위(로그 삭제, 파일 완전 삭제, 파일 시스템 파괴…) • 대응 : 비할당영역에서 삭제 데이터 복구, 파일 완전 삭제 흔적 추적($LogFile, $UsnJrnl), 파일 시스템 구조 복구… 현실적 어려움
  • 90. forensicinsight.org Page 90 최초 유입 경로 분석  공격 시점이 너무 오래된 흔적이 남아 있지 않음  초기 대응 미숙으로 인한 흔적 삭제  삭제된 데이터 복구 실패  분석 실패?!! 아무런 흔적이 없음… ㅡㅡ;;
  • 91. forensicinsight.org Page 91 최초 유입 경로 분석  대응 1 ( Lateral Movement 역추적에 실패한 경우) • IOC(Indicator of Compromise) 를 통한 최초 감염 시스템 추적  감염 시기가 가장 빠른 시스템을 파악  해당 시스템에 대한 상세 분석 및 또 다른 IOC 획득을 통한 분석 포인트 재획득  도구(OpenIOC) • IOC Editor( http://www.mandiant.com/resources/download/ioc-editor/ ) • IOC Finder( http://www.mandiant.com/resources/download/ioc-finder/ ) 아무런 흔적이 없음…
  • 92. forensicinsight.org Page 92 최초 유입 경로 분석  대응 2 ( 유입 경로 찾기에 실패한 경우 ) • 외부 공격자와의 연결 지점은 반드시 있음  일반적으로 백도어 Proxy 기능을 통한 쉘 연결 유지  어딘가 외부와 연결이 가능한 시스템에 백도어가 설치되어 있음  현재 연결을 다 차단함으로써 재침투 유도…  유입 경로 재분석 • 발견된 모든 백도어의 동시 삭제 • AV 의 실시간 차단 기능 사용 아무런 흔적이 없음… 드루와~ 드루와~
  • 93. forensicinsight.org Page 93 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 게임머니 업데이트!! File Server
  • 94. forensicinsight.org Page 94 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 이벤트 로그 복구를 통한 역추적~!! File Server : Back Tracking
  • 95. forensicinsight.org Page 95 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 이벤트 로그 복구 실패;; File Server : Back Tracking
  • 96. forensicinsight.org Page 96 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB IOC 를 통한 최초 감염 시스템 찾기 수행 File Server : Back Tracking
  • 97. forensicinsight.org Page 97 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way DB 업부망과 연결된 게이트웨이 서버 IOC 를 통한 최초 감염 시스템 찾기 수행 최초 감염 시스템 File Server : Back Tracking
  • 98. forensicinsight.org Page 98 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 File Server : Back Tracking
  • 99. forensicinsight.org Page 99 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 Keylogging File Server : Back Tracking
  • 100. forensicinsight.org Page 100 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 Keylogging File Server : Back Tracking
  • 101. forensicinsight.org Page 101 최초 유입 경로 분석 Case Study : 국내 온라인 게임사의 APT 대응 서버망 업무망 DB Gate Way VPN 전용선 DB 업부망과 연결된 게이트웨이 서버 File Server 감염된 NVIDIA 드라이버 설치 프로그램 다운로드 : Back Tracking
  • 103. forensicinsight.org Page 103 Conclusion 왜? 유입 경로를 파악해야 하는가?
  • 107. forensicinsight.org Page 107 Conclusion No Initial Breach Point, No Win …
  • 109. forensicinsight.org Page 109 Go to Lunch 점심하러 가시죠?~^^