(ficon2016) #4 실 사례를 통해 본 네트워크 포렌식의 범위와 효용
TRANSCRIPT
• 경찰청 사이버범죄 전문가그룹 위원• 국군사이버사령부 자문위원• 정보통신망 침해사고 민관합동조사단 전문가• 국방부 침해사고분석 지원 및 자문위원• (주)나루씨큐리티 대표이사• 한국인터넷 진흥원 침해사고대응센터 연구원• 알버타 주립대학교 PINT 연구소 연구원• 2008 FIRST Security Best Practice 수상• 고려대학교 사이버국방학과 해킹방어 이론과 실습 강의• 네트워크 보안 모니터링 외 2권 번역
발표자 소개
발표내용(Case Study)
BGP ANALYSIS
2014.12.23 AS131279 현황분석
PHARMING NETWORK
PHARMING NETWORK ANALYSIS
A Week in a ISP DNS
Weekly QPS(Bird View)
Attack Under The Radar
0.0
200.0
400.0
600.0
800.0
0
100,000
200,000
300,000
400,000
001lv.com immunet.com lm990.com ptbet.cn ysc888.com
query counts avg qps
116.743119.74
1.1351.3391.03178.242
118.752115.172111.863
1.0427.117
703.301
217.133217.133
703.301
7.1171.042
111.863115.172118.75278.242
1.0311.3391.135
119.74116.743
Slow Drip Detection Matrix
attacked domain unique IP total query unique sub domain dup ratio001lv.com 4679 183912 157362 14.4%game8118.com 5596 389629 309083 20.7%ibm.com 1 259570 90971 65.0%immunet.com 118 6756 4917 27.2%kouangel.com 1 67677 59786 11.7%lgopp.com 1 44226 44209 0.0%lm990.com 1 121958 121942 0.0%p57.co 3 97802 97341 0.5%pizzahut.co.kr 8 40426 8060 80.1%ptbet.cn 3 8066 7551 6.4%skbroadband.com 1637 10104 4946 51.0%yidu55.com 1 94475 94475 0.0%ysc888.com 1 83471 17407 20.9%
Attack Patterns
HOW SLOW DRIP WORKS
ISP A
ISP B
PC/HOME ROUTER Target DNSISP Cache DNS Clean IP
Unprotected Infrastructure
Well Protected Attacker
Global Anycast DNS Service DDoS Sheltering History
DDoS As a Service Frequent DDoS Targets
내부망 보안분석
INTERNAL NETWORK ANALYSIS
Overall Binary Downloading Trends
Geographical Distribution of Beacon Callback
Beacon Callback Trends
Long Connection Trends in TMON
Persistent Connection Status
PUP/PUA Program
Overall Lateral Movements
Internal Traffics
Significant Lateral Movements
내부망 장기지속통신현황 변화추적
신뢰도 기반 지속통신 분류 및 변화추적
사이버 킬체인 기반 사고추적
내부망 수평이동 변화추적
지속적 정보유출 징후탐지
외부인텔리전스 반영(C-TAS)
SNS Analysis
메시지전송네트워크 조감도 -A
메시지전송네트워크 조감도 -B
적은자원에서�다수의�메시지�전송
다수의�자원에서�소수의�메시지�전송
다수의�자원에서�소수의�메시지�전송