�ݺ�ߣ

어떻게 들어왔는가?
안랩 A-FIRST
오정훈
Jh.oh@ahnlab.com

forensicinsight.org Page 2
Who am I ??
 이름 : 오정훈(jh.oh@ahnlab.com)
 소속 : 안랩 A-FIRST
 업무 : 침해 사고 분석
 경력
• 고려대 정보보호대학원 디지털포렌식연구센터(2010.01 ~ 2011.12)
• 안랩 A-FIRST(2012.01 ~ 현재)
• DFRWS 2011 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity
• 2012 미국방성 Digital Forensic Challenge : Overall Civilian Winner
• WISA 2012 Speaker : Advanced Evidence Collection and Analysis of Web Browser Activity
• FIRST 2014 Speaker : A Forensic Analysis of APT Lateral Movement in Windows Environment
• 2014 Forensic Insight 공개 세미나 Speaker : APT 내부망 감염 기법 분석
 도구 : NTFS Log Tracker, RP Log Tracker ( https://sites.google.com/site/forensicnote/ )

목차
1. 왜? 어떻게 들어왔는지 알아야 하나?
2. 일반적인 APT 공격 과정
3. 최초 유입 경로 분석
4. 다시 ��번…

왜? 어떻게 들어왔는지 알아야 하나?

시스템에서 악성코드를 발견하였다면…
Oh My God~!!

시스템에서 악성코드를 발견하였다면…
어떻게 하시나요??

일반적인 대응…
백신 치료 or 수동 삭제

포멧 or 시스템 교체

상황 종료??

실제 상황 …

Introduction
공격자 vs 관리자 ??
감염 vs 치료

Introduction

Introduction
어떤 CEO 께서는…
우리가 모든 시스템과
하드웨어를 가지고 있다.
우리가 이긴다 ~!!

Introduction

Introduction
모든 시스템 재설치…

Introduction
재감염…;;

Introduction
왜 계속 감염되지 ??

Introduction
File Server
감염된 NVIDIA
드라이버 설치 파일

Introduction
File Server
감염된 NVIDIA

만약 최초 유입 경로를 찾지 못했다면…
What the f…!!

따라서 …
No Initial Breach Point, No Win …

일반적인 APT 공격 과정

① Spear Phishing
Drive By Download
Update Vulnerability
시나리오 1

② Pass the Hash
Keylogging
Sniffing
SAM Cracking
System Vulnerability
업무망 연결
가능 시스템
Active Directory
시나리오 1

업무망 연결
가능 시스템
③ RDP/VPN
시나리오 1

업무망 연결
가능 시스템
④ Pass the Hash
Keylogging
Sniffing
SAM Cracking
DB 관리자
시스템
시나리오 1

업무망 연결
가능 시스템
DB 관리자
시스템
⑤ Connect
시나리오 1

Lateral Movement
시나리오 1

① Spear Phishing
Drive By Download
시나리오 2

서버 관리자
시스템
② Keylogging
Sniffing
SAM Cracking
시나리오 2

서버 관리자
시스템
④ Administrator Account
시나리오 2

서버 관리자
시스템
⑤ Patch/File Distribution
업무망 연결
가능 시스템
시나리오 2

서버 관리자
시스템
업무망 연결
가능 시스템
⑤ File Download
시나리오 2

① Spear Fishing
Drive By Download
시나리오 3

정보 수집
시나리오 3

② Spear Phishing
업무망 연결
가능 시스템
시나리오 3

업무망 연결
가능 시스템
시나리오 3

① Web App Vulnerability
시나리오 4-1

① Web App Vulnerability
② Pass the Hash
Keylogging
Sniffing
SAM Cracking
시나리오 4-1

③ Patch/File Distribution
업무망 연결
가능 시스템
시나리오 4-1

③ File Download
업무망 연결
가능 시스템
시나리오 4-1

③ Drive by Download
서버 관리자
시스템
시나리오 4-2

업무망 연결
가능 시스템
④ Pass the Hash
Keylogging
Sniffing
SAM Cracking
서버 관리자
시스템
시나리오 4-2

 Keylogging
 Sniffing Passwords(ARP Hijack/MIM)
 Dump Passwords(LSA Secret, Protected Storage2 & Credential Manger)
 SAM Cracking(Brute Force, Rainbow Crack)
 Pass the Hash
 Pass the Pass
 Patch/File Server
 Spear Phishing
 System Vulnerability
 …
Lateral Movement 기법

Active Directory 환경에서의 Pass the Hash 공격
관리자 시스템
이미 감염 당한 시스템
R
D
P
도메인 관리자
계정 사용
정상 시스템

관리자 시스템
R
D
P
정상 시스템
도메인 관리자 계정의 NTLM
Credentials 이 메모리에 저장됨
(Msv1_0.dll)
도메인 관리자
계정 사용

관리자 시스템
R
D
P
정상 시스템
도메인 관리자 계정의 암호화된
ID/PW 가 메모리에 저장됨
(Kerberos.dll, Wdigest.dll,
tspkg.dll)
도메인 관리자
계정 사용

관리자 시스템
R
D
P
정상 시스템
도메인 관리자
계정 사용
메모리로부터 도메인 관리자 계정
의 복호화된 ID/PW or NTLM
Credentials 을 획득

관리자 시스템
R
D
P
정상 시스템
도메인 관리자
계정 사용

관리자 시스템
R
D
P
정상 시스템
도메인 관리자
계정 사용
Backdoor 설치 프로그램 복사
Backdoor 설치 프로그램 실행
네트워크 공유 설정
sc, at, wmic, reg, psexec,
winrs
획득한 도메인 관리자 계정의
NTLM Credentials or ID/PW 를
사용

관리자 시스템
R
D
P
도메인 관리자
계정 사용
winrs
획득한 도메인 관리자 계정의
사용
감염 시스템

Active Directory 환경에서 Pass the Hash 공격이 위험한 이유
A Domain B Domain
DC DC

A Domain B Domain
DC DCDC

A Domain B Domain
DC DC
Trust Relationship
DC DC

In Mind of Administrator…

Non-Active Directory 환경에서의 Pass the Hash 공격
감염 시스템 정상 시스템
모든 시스템이 동일한
로컬 관리자 계정을 사용

메모리로부터 로컬 관리자 계정의 복호화된
ID/PW 와 NTLM Credentials 을 획득

winrs
획득한 로컬 관리자 계정의
사용

감염 시스템
winrs
획득한 로컬 관리자 계정의
사용
감염 시스템

최초 유입 경로 분석

 네트워크 구성 파악
가장 먼저 수행해야 할 작업은??

네트워크 구성 파악을 안하고 시작하면…

 이상 징후가 발견된 시스템부터…
• 악성코드
• 공격 흔적
• 비정상적인 시스템 접근
• …
 전혀 알 수 없을 경우…
• 유출된 정보를 저장하고 있는 시스템
• 위 시스템에 접근할 수 있는 시스템
• 보안 솔루션 로그의 이상 징후
• …
분석 시작 시스템 지정~!!
?

 상세 분석
• 아무 단서가 없는 상황에서 시스템 전체를 분석
• 의심스러운 악성코드/흔적을 찾아 공격 시간대를 알아내는 것이 목적
• 타임라인 분석 기법 사용
• Lateral Movement 기법 파악, 유입 경로 파악
• 비할당 영역 분석을 위해 디스크 이미징이 필요함
• 추후 분석에 사용할 수 있도록 최대한 많은 정보를 모아야 함
 포인트 분석
• 이미 공격 시간대와 악성 코드 및 여러 정보를 확보한 상태의 분석
• 특정 시간대의 특정 아티팩트만을 분석
• 디스크 이미징이 필요 없음
• 스크립트 혹은 수집 Agent 를 통해 주요 아티펙트들만 수집
시스템 분석 유형

 STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기
• 의심스러운 파일 실행 흔적
• 의심스러운 Reloading Point
• 파일 시스템 내 숨겨진 악성코드
• 의심스러운 다운로드 흔적
• …
시스템 상세 분석

 STEP 1. 시스템 내 악성코드 or 공격 흔적 찾기

 STEP 2. 타임라인 분석
• 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합
Timeline
Registry
Web
Browser
Event
Log
File
System
Restore
Point
Prefetch
LNK
Log
DB
etc

• 타임라인 : 여러 아티팩트를 시간 정보를 기준으로 하나로 통합

타임라인만 보면 되는거 아닌가??

타임라인 분석 = 사전 찾기

의심스러운 이벤트 시간 = 색인

• 분석 도구 : Plaso( http://plaso.kiddaland.net )

두 가지 분석 목표~!!
1. 최초 침입 시스템 찾기
2. 침입 포인트 찾기

1. 모든 시스템을 상세 분석할 순 없음
• 상세 분석 대상 시스템 지정
 최초로 공격이 탐지된 시스템, 주요 데이터가 저장된 시스템
 최초 침입 시스템
 주요 관리자/게이트웨이 시스템
 분석이 막혔을 때….
2. 최대한 많은 시스템의 아티팩트 및 정보 수집이 필요
• 앞으로 어떤 시스템을 분석하게 될지 모름
• 포인트 분석에 사용 : 주로 Lateral Movement 역추적이 목적
• 수집 도구 : FPLive_win v1.1, OpenIOC Editor/Finder
3. 절대 중간에 분석을 멈추면 안됨
• 분석 중간에 전혀 다른 시스템에서 악성코드 및 공격 징후가 발생할 수 있음
• 타 팀 혹은 상급자가 해당 이벤트를 긴급하게 요청;;
• 악성코드 치료 및 대응은 일단 유입 경로 파악 및 제거 후 수행함
분석 전략

① Spear Fishing
Drive By Download
② Pass the Hash
Keylogging
Sniffing
SAM Cracking
업무망 연결
가능 시스템
③ RDP/VPN
④ Pass the Hash
Keylogging
Sniffing
SAM Cracking
DB 관리자
시스템
⑤ Connect
: 상세 분석
: 포인트 분석
분석 예

1
2
3
4 5
6
6
4
5
5 6
3 4 5
6
6
3
4 5
4
5 6
5
2
3
4
4 5 6
3
4
4
5
5
6 7
6
6
2
3
4 5
4
3 4
3 4
5
6
6
65
5
2
3
4
4 5
6
6
3 4
5
5 6
모든 시스템이 감염된 상황이라면~!!?

1
2
3
4 5
6
6
4
5
5 6
3 4 5
6
6
3
4 5
4
5 6
5
2
3
4
4 5 6
3
4
4
5
5
6 7
6
6
2
3
4 5
4
3 4
3 4
5
6
6
65
5
2
3
4
4 5
6
6
3 4
5
5 6
모든 시스템이 감염된 상황이라면~!!? : 상세 분석
: 포인트 분석
최초 공격이 탐지된
시스템

1. 아티팩트의 용량
• Windows Event Log 의 Default Size 는 512KB(XP), 20MB(Win7)…
• 장시간의 로그가 저장되어 있지 않음
• 오래된 로그를 덮어써버림
• 대응 : 포렌식 준비도 관점에서 용량 재설정 및 백업
2. 공격자의 Anti Forensic 행위
• 공격자가 자신의 흔적을 지우려는 행위(로그 삭제, 파일 완전 삭제, 파일 시스템 파괴…)
• 대응 : 비할당영역에서 삭제 데이터 복구, 파일 완전 삭제 흔적 추적($LogFile, $UsnJrnl), 파일 시스템 구조 복구…
현실적 어려움

 공격 시점이 너무 오래된 흔적이 남아 있지 않음
 초기 대응 미숙으로 인한 흔적 삭제
 삭제된 데이터 복구 실패
 분석 실패?!!
아무런 흔적이 없음…
ㅡㅡ;;

 대응 1 ( Lateral Movement 역추적에 실패한 경우)
• IOC(Indicator of Compromise) 를 통한 최초 감염 시스템 추적
 감염 시기가 가장 빠른 시스템을 파악
 해당 시스템에 대한 상세 분석 및 또 다른 IOC 획득을 통한 분석 포인트 재획득
 도구(OpenIOC)
• IOC Editor( http://www.mandiant.com/resources/download/ioc-editor/ )
• IOC Finder( http://www.mandiant.com/resources/download/ioc-finder/ )

 대응 2 ( 유입 경로 찾기에 실패한 경우 )
• 외부 공격자와의 연결 지점은 반드시 있음
 일반적으로 백도어 Proxy 기능을 통한 쉘 연결 유지
 어딘가 외부와 연결이 가능한 시스템에 백도어가 설치되어 있음
 현재 연결을 다 차단함으로써 재침투 유도…  유입 경로 재분석
• 발견된 모든 백도어의 동시 삭제
• AV 의 실시간 차단 기능 사용
드루와~ 드루와~

Case Study : 국내 온라인 게임사의 APT 대응
서버망 업무망
DB
Gate
Way
DB
게임머니
업데이트!!
File
Server

서버망 업무망
DB
Gate
Way
DB
이벤트 로그
복구를 통한
역추적~!!
File
Server
: Back Tracking

서버망 업무망
DB
Gate
Way
DB
이벤트 로그
복구 실패;;
File
Server
: Back Tracking

서버망 업무망
DB
Gate
Way
DB
IOC 를 통한 최초 감염
시스템 찾기 수행
File
Server
: Back Tracking

서버망 업무망
DB
Gate
Way
DB
업부망과 연결된
게이트웨이 서버
IOC 를 통한 최초 감염
시스템 찾기 수행
최초 감염 시스템
File
Server
: Back Tracking

서버망 업무망
DB
Gate
Way VPN 전용선
DB
File
Server
: Back Tracking

서버망 업무망
DB
Gate
Way VPN 전용선
DB
Keylogging
File
Server
: Back Tracking

서버망 업무망
DB
Gate
Way VPN 전용선
DB
File
Server
감염된 NVIDIA 드라이버
설치 프로그램 다운로드
: Back Tracking

다시 ��번…

Conclusion
왜? 유입 경로를 파악해야 하는가?

Conclusion
I’m Sick…
ㅠ ㅠ

Conclusion
님하… 그만… ㅠ.ㅠ

Conclusion

Conclusion
No Initial Breach Point, No Win …

Question and Answer

Go to Lunch
점심하러 가시죠?~^^

�ݺ�ߣ

(FICON2015) #3 어떻게 들어왔는가?

More Related Content

(FICON2015) #3 어떻게 들어왔는가?