| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
- 코드엔진
- CodeEngn Basic 5
- 코드엔진 베이직
- bob
- 자살론
- 철학
- BoB 12기 최종합격 후기
- codeengn basic rce 01
- 코드엔진 basic 5
- 사회분업론
- 디지털 포렌식 트랙
- BoB 12기
- CodeEngn
- Best of the Best
- CodeEngn Basic 01
- h4ckinggame
- 에밀 뒤르켐
- 사회적 사실
- 논문리뷰
- malware
- 리버싱
- Today
- Total
Crain
[시나리오 분석] 한수원 사이버테러 사건 본문
이전 프로젝트에서 사용하였던 자료입니다. (개인공부용으로 TTPs를 재매핑하였으니, 이 점 참고하여 확인해주시기 바랍니다.)
한수원 사이버테러 사건 시나리오
국내의 대표적인 악성코드 감염 사례로는 한수원 사건이 있습니다.
위의 사진은 2014년 12월 9일에 발생하였던 한수원 사이버테러 사건은 공격 시나리오입니다.
한수원 사이버테러 사건의 침투 과정은 다음과 같습니다.
- kimsuky로 추측되는 북한 해커 조직이 중국 선양 IP 대역을 사용합니다.
- 범행에 사용된 중국 선양 IP 대역은 평소 북한 해킹 조직이 사용하는 kimsuky 계열 악성코드들의 IP 주소들과 12자리 숫자 중 9자리가 일치했습니다. (175.167..)
- 중국 선양 IP 대역을 VPN 업체를 통하여 국내 IP 주소로 변환합니다.
- 국내 VPN 업체 IP 사용자의 명의를 도용하여 IP를 변환하였습니다.
- 한수원 퇴직자 36명에게 이메일 비밀번호를 수집하기 위한 피싱 메일 88건을 발송합니다.
- 비밀번호가 유출되었으니 확인바란다는 내용의 미끼성 이메일을 전송하고, 메일 클릭 시 비밀번호 변경창이 뜨도록 하여 유도합니다.
- 유출된 비밀번호로 임직원 이메일 계정과 커뮤니티에 있는 정보를 수집합니다.
- 한수원 임직원 커뮤니티 사이트에 중국 선양 IP에서 한수원 퇴직자 박OO의 계정으로 무단 접속하여 커뮤니티에 있던 임직원 주소록을 유출합니다.
- 한수원 직원 하OO의 이메일에서 본사전화번호부.pdf,한수원2직급.pdf 파일을 유출합니다.
- 이러한 자료들은 내부망에서 유출된 것이 아니라, 피싱 메일을 통해 한수원 관계자들의 이메일 비밀번호를 수집한 후 그 이메일 계정에서 수개월간 수집한 자료들을 공개한 것입니다.
- 도용한 이메일 계정을 통해 약 6,000건 악성코드 이메일을 현직 임직원 PC에 전송하였으나, 자료 유출에 실패하였습니다.
- 외부망에서 유출된 자료를 바탕으로 SNS에 자료를 공개 여부를 두고 협박하였습니다.
한수원 내부 PC 공격 시나리오
위의 사진은 한수원 사건에서 외부 해킹으로 인해 내부망에 연결된 업무용 PC 3대 외 외부망에 연결된 인터넷 PC 1대가 파괴된 경로에 대한 시나리오입니다.
kimsuky는 시스템을 파괴하고 복구되지 않도록 공격 명령하였지만, 내부 자료가 유출된 정황은 보이지 않았습니다.
침해사고 조사 결과, 개인정보 유출이나 관리자 권한 탈취와 같은 공격 명령도 없었습니다.
한수원 내부 PC를 공격한 과정은 다음과 같습니다.
- kimsuky는 한수원 퇴직자 ID 등을 이용하여 이메일 계정을 도용했고 악성코드를 한글 문서(HWP)에 숨겨 이메일로 전송하였습니다.
- 해커 조직은 악성코드를 감염시키기 위해 ‘한글’의 취약점을 악용했으며 취약한 소프트웨어를 설치한 이용자 컴퓨터에서 악성코드를 숨겨놓은 제어Program(최신-W2).hwp 문서를 여는 순간 PC가 감염되도록 설정했습니다.
- HWP 파일을 여는 순간 %TEMP% 폴더에 악성코드를 생성합니다.
- 한수원 한글 악성코드 샘플은 한글 표준 규격에 따라 압축 저장되어 있고, 분석을 위해 압축을 해제할 경우 용량이 90MB로 늘어납니다. 이는 공격자가 방어시스템을 우회하고 공격 성공 확률을 높이기 위해 취한 조치로 보입니다.
- 악성코드 감염은 해당 PC에 설치된 강종 소프트웨어 취약점을 통해 DLL 인젝션 공격을 수행합니다.
- 이후 지속적인 실행을 위해 서비스를 생성하고 특정 시간 이후에 악성코드가 자동 실행되도록 합니다.
- 공격 명령 설정은 2014년 12월 10일 오전 11시 이후가 되면 악성코드가 동작하도록 되어있었습니다.
- 지정된 시간이 되면 악성코드는 MBR 영역을 파괴하기 시작합니다. 이 과정을 통해 MBR이 덮여쓰여지고, 사용자가 PC를 재부팅하게 되면 PC는 동작하지 않고 ‘Who Am I’라는 문장이 화면에 뜨게 됩니다.
- MBR을 파괴한 이후에는 시스템 내부에 있는 HWP, DOC, PDF, DOCX, ALZ, RAR, EFF, DLL, SYS 확장자를 가진 모든 파일들을 파괴합니다.
- 이는 MBR 파괴 이후, 시스템 복구를 통해 추가 복구를 하지 못하도록 하기 위함으로 분석됩니다.
- 또한 PC에 연결된 네트워크망이나 시스템에 부하를 일으켜 ‘서비스 거부 공격’도 자동 실행되도록 설정되어있습니다.
MITRE ATT&CK
MITRE ATT&CK이란 Adversarial Tactics, Techniques, and Common Knowledge의 약어로, 실제 사이버 공격 사례를 관찰한 후 공격자가 사용한 악의적 행위에 대해서 공격 방법과 기술의 관점으로 분석하여 정보를 분류해놓은 표준적인 데이터 도구입니다.
원래 ATT&CK는 MITRE에서 윈도우 기업 네트워크 환경에 사용되는 해킹 공격에 대해서 방법(Tactics), 기술(Techniques), 절차(Procedures) 등 TTPs를 문서화하는 것으로 시작되었으며, 이후 공격자로부터 발생한 일관된 공격 행동 패턴에 대한 분석을 기반으로 TTPs 정보를 매핑하여 공격자의 행위를 식별해 줄 수 있는 프레임워크로 발전하였습니다.
MITRE ATT&CK 홈페이지에서 시스템의 Tatics와 Techniques에 관련된 공격 정보 및 대응 방법을 확인할 수 있습니다.
- 메뉴에 있는 Matrices는 공격 기술인 Tatic, Technique의 개념과 관계를 시각화 한 것입니다.
- Tatic에는 다양한 Technique가 포함됩니다.
- 각 Tatic은 공격 목표에 따라 활용됩니다.
- MITRE ATT&CK®
MITRE ATT&CK®
MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private se
attack.mitre.org
한수원 사건 내부망 악성코드 동작 과정 MITRE ATT&CK Framework 매핑
위의 사진은 한수원 내부 PC 공격 시나리오에서 언급한 시나리오의 악성코드 행위만을 담은 다이어그램입니다.
악성 한글 문서의 techniques는 다음과 같습니다.
Obfuscated Files or Information : 시나리오 상의 악성 한글 문서 내의 압축된 악성코드 샘플을 의미하며, 악성 코드를 숨기기 위해 파일 또는 정보를 난독화하거나 암호화하는 기술입니다.
User Execution : 시나리오 상의 악성 한글 문서를 실행하는 것을 의미하며, 악성 코드가 사용자에게 속임수를 사용하여 실행되는 기술입니다.
Scripting : 시나리오 상의 압축된 악성코드 샘플을 %Temp% 폴더에 옮기기 위한 쉘코드를 의미하며, 스크립트 언어를 사용하여 악성 코드를 실행하거나 파일을 이동시키는 기술입니다.
생성된 악성코드 감염과 관련된 techniques는 다음과 같습니다.
Process Injection : 시나리오 상의 %Temp% 폴더에 있는 악성코드를 실행시키기 위한 DLL Injection을 수행하는 것을 의미하며, 다른 프로세스에 악성 코드를 삽입하고 실행시키는 기술입니다.
Servic Execution : 시나리오 상의 DLL Injection 된 프로세스를 악성코드의 지속성을 위한 서비스로 생성하는 것을 의미하며, DLL Injection으로 실행된 악성 코드가 시스템 서비스로 등록되어 지속적으로 실행되도록 하는 기술입니다.
Scheduled Tash/Job : 시나리오 상의 특정 시간에 서비스가 실행되도록 스케줄링하는 것을 의미하며, 악성 코드가 특정 시간에 실행되도록 예약하는 기술입니다.
데이터 파괴와 관련된 techniques는 다음과 같습니다.
Disk Structure Wipe : 시나리오 상의 파일시스템을 복구하지 못하도록 MBR 파괴하는 것을 의미하며, 디스크의 구조를 파괴하여 파일 시스템을 복구 불가능한 상태로 만드는 기술입니다.
Disk Content Wipe : 시나리오 상의 파일을 복구하지 못하도록 특정 확장자를 가진 파일 파괴하는 것을 의미하며, 특정 확장자를 가진 파일들을 지우거나 손상시키는 기술입니다.
Data Destruction : 시나리오 상의 민감한 데이터를 파괴하는 것을 의미하며, 민감한 데이터를 악의적으로 삭제하거나 파괴하는 기술입니다.
서비스 거부 공격과 관련된 techniques는 다음과 같습니다.
Network Denial of Service : 시나리오 상의 내부망에 서비스 거부 공격을 수행하도록 스케줄링된 것을 의미하며, 네트워크 리소스를 포화시켜 서버 또는 네트워크 장비가 정상적으로 동작하지 못하도록 하는 기술입니다.
'IT > 보안 이슈' 카테고리의 다른 글
| [시나리오 분석] 3.20 사이버 테러 사건 (1) | 2024.07.20 |
|---|---|
| [기사분석4] 보안뉴스_유명 손해보험사 위장 피싱 메일로 'Remcos' 악성코드 유포 (0) | 2022.02.27 |
| [기사 분석3] 보안뉴스_클레이스왑 해킹으로 드러난 BGP Hijacking 공격기법, 도대체 뭐길래? (0) | 2022.02.18 |
| [KISA 보고서] 2021 하반기 사이버 위협 동향 보고서 중 'Log4j' 관련 내용 (0) | 2022.02.11 |
| [기사 분석2] 보안뉴스_모든 분야에 메타버스가 대세라는데... 보안은 괜찮은거야? (0) | 2022.02.04 |
