Convergence Security - MITRE ATTACK&CK

1. 보안환경 변화에 따른 사이버 위협
및 융합보안에서 고려할 점
부제 : 융합보안을 위한 MITRE ATT&CK 모델
교수 : 이재춘

2. 2
• (現) 고려대학교 정보보호대학 컴퓨터학과 겸임교수
– 디지털 포렌식 강의
• (現) 한국인터넷진흥원
– 침해사고 분석, 모의 해킹, 웹 해킹
– 행안부 시큐어코딩 가이드 저자
– CC 선임평가자
• ㈜씨네픽스 게임사업부
– PS2 게임 개발
• ㈜보이시안 개발팀 : 서버프로그래밍
• 연락처
– lhero@hanmail.net, 4leafp@gmail.com
– https://www.facebook.com/jaechun.lee.5

3. 1
2 랜섬웨어 사례와 IoC 개념
보안환경의 변화
3 융합보안을 위한 MITRE ATT&CK 모델

4. 4

5. • 물리보안 : 물리적인 방법으로 사람과 시설 등 및 그에 따른
정보를 보호하는것
– 출입관리, 시설보호, 비인가자의 출입통제, 방범
• 정보보안 : 정보통신과 관련된 보안
– 정보시스템과 정보통신네트워크를 통한 정보의 수집, 가공, 저장, 송수신 등의
과정에서 정보의 침해(훼손, 위변조, 유출)을 방지하기 위한 관리적, 물리적,
기술적 방법
5
융합보안정보보안물리보안

6. • 융합 보안[ Convergence Security ]
– 물리적 보안과 정보 보안을 융합한 보안 개념으로, 각종 내·외부적 정보 침
해에 따른 대응은 물론 물리적 보안 장비 및 각종 재난·재해 상황에 대한
관제까지를 포함한다.
• 출처 : [네이버 지식백과]
• (지식경제용어사전, 2010. 11., 산업통상자원부)
6

7. 7
융합보안
IT
정보보안
• PC 보안
• 서버 보안
• IoT 보안
• 자율 자동차 보안
• 항공 시스템 보안
• 핀테크 보안
• 스마트 공장 보안
• 스마트 헬스 보안
• 스마트 시티 보안
• 스마트 교통 보안

8. • 세인트쥬드의 인공 심장박동기
– 2017년 1월 세인트주드메디컬(SJM)社의 몸 속에 이식하는 심장박동기에서
배터리를 단시간에 소진시키거나 심박수를 위험수준까지 급상승시키는 보안취
약성을 발견
8

9. 9

10. – 2019년 6월 벨기에 아스코 인더스트리즈(ASCO Industries) 공장 랜섬웨어
– 벨기에 본사, 미국 독일 등 1500명 직원 중 1000명 강제 휴가,
10

11. – 2017년 말 산업용 안전시스템을 공격하는 악성코드 발견
– 안전시스템 : 밸브와 터빈 모니터링
11

12. • 다양한 산업군 고려 필요
• IoT, IT + OT
• 스마트 팩토리, ICS(사회 기반시설)
12

13. 13
<출처 : IoT 공통 보안 원칙, 한국인터넷진흥원>

14. 14

15. 15

16. 16

17. 17

18. 18
<출처 : 스마트의료 사이버 보안 가이드, 한국인터넷진흥원>

19. 19

20. 20

21. 21

22. 22

23. 정찰 단계(Reconnaissance stage) - 가社

24. 정찰 단계(Reconnaissance stage) – 나社

25. 최초 침투(Initail Acess) - 가社
[14년 4월 ~]
다양한 웹셸
[18년 8월 20일]
(랜섬공격 한달전)
특정 웹셸 370회 접근,
1M ~ 15M byte 통신
[18년 9월 21일]
(랜섬공격 당일)
특정 웹셸 3회 통신

26. 권한상승(Privilege Escalation) – 나社
- /home/사용자별디렉토리/웹셸
- /tmp/poc.c
- /usr/bin/postman(GonnaCry)
- /usr/bin/quotad (삭제)

27. 권한상승(Privilege Escalation) – 나社
- /tmp/poc.c

28. 권한상승(Privilege Escalation)
https://access.redhat.com/ko/security/vulnerabilities/2942361

29. https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=
25225

30. 공격유지(Persistance) – 가社
%s, %s a+ /usr/lib/libssl3.3.so
ID PW

31. 공격유지(Persistance) – 가社
%s, %s a+ /usr/lib/libssl3.3.so

32. 공격성공(Mission Complete) – 나社
- /home/사용자별디렉토리/웹셸
- /tmp/poc.c
- /usr/bin/postman(GonnaCry)
- /usr/bin/quotad (삭제)

33. 공격성공(Mission Complete) – 가社, 나社
- /usr/bin/postman(GonnaCry)

34. 공격성공(Mission Complete) – 가社, 나社

35. 사고의 재구성
사용자
권한
File upload
취약점
WEB
OS
Dirty Cow
취약점
DCCP
취약점
웹셸
(웹 백도어)
WebDev
취약점
웹 권한

36. 36

37. 37

38. 38

39. 39

40. 40
<출처 : http://prasannamundas.com/ >

41. 41
Ininitial Acess
’18년 5월 경 추가
+
’19년 10월 경 추가
Impact

42. • Enterprise
– Windows, macOS, Linux
– Cloud : AWS, GCP, Azure, Azure AD, Office 365, SaaS.
• Mobile : Android, iOS
• ICS
42
융합 보안 환경에 필요한 사항

43. 43

44. 44

45. 45

46. 46

47. 47

48. 48

49. 49

50. 50

51. 51

52. rule TRITON_ICS_yara_rule
{
meta:
md5 = "0face841f7b2953e7c29c064d6886523"
description = "TRITON framework recovered during Mandiant ICS incident response"
strings:
$python_compiled = ".pyc" nocase ascii wide
$python_module_01 = "__module__" nocase ascii wide
$python_module_02 = "<module>" nocase ascii wide
$python_script_01 = "import Ts" nocase ascii wide
$python_script_02 = "def ts_" nocase ascii wide
$py_cnames_01 = "TS_cnames.py" nocase ascii wide
$py_cnames_02 = "TRICON" nocase ascii wide
$py_cnames_03 = "TriStation " nocase ascii wide
$py_cnames_04 = " chassis " nocase ascii wide
… 중략 …
$py_TRIDENT_01 = "inject.bin" ascii nocase wide
$py_TRIDENT_02 = "imain.bin" ascii nocase wide
condition:
2 of ($python_*) and 7 of ($py_*) and filesize < 3MB
}
52

53. 53

54. 54