Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
전자금융보안론
전자금융보안론
과제 발표과제 발표
고려대학교 정보보호대학원
박사과정 모정훈
2016.05.09
발표 시작합니다 ..
한글 자막 제작 by picomax.net 릴 ㅋㅋㅋ
간혹 의역과 오역이 있을 수 있으니 많은 피드백 부탁드립니다 .
수정 / 재배포 불가 , 비영리 목적으로 배포 가능
공격 시나리오
0 사회공학적인 방법의 피싱 / 파밍 유도
0 인증서 탈취 후 해당 권한의 악의적인 행위
0 인터넷 서비스 인증 정보 도용
0 랜섬웨어 , 봇 , 트로이안 , 분산 서비스 거부 공격
메모리 해킹
0 서버는 정상적인 뱅킹 서비스
샌드박스 , OTP
0 현재의 인터넷 뱅킹
DOM & BHO 를 이용한 공격
0 DOM 이란 ?
0 HTML 과 DOM
0 BHO 란 ?
0 동작 원리와 위협
0 기타 공격 소개
0 시연 ( 공격시나리오 )
0 Q & A
웹 문서의 표현
0 HTML/XML 문서를 트리 형태의 구조로 해석 (Parsing)
0 메모리에 로드된 트리의 각 노드를 탐색해 접근
0 브라우저는 DOM 의 갱신 이벤트마다 사용자 화면
을 렌더링
0 HTML/XML...
HTML 과 DOM
0 예
DOM 이란
0 Document Object Model
0 World Wide Web Consortium(W3C) 표준 권고안
0 HTML, XML 문서의 내용과 구조의 표현 방식
0 관련 객체의 인터페이스 제공하지만 ...
DOM 인터페이스
0 W3C 의 DOM 인터페이스
0 노드의 탐색 , 추가 , 삭제 , 수정 ( 삽입 / 정렬 등 )
0 노드에 대한 속성의 추가 , 삭제 , 수정
0 표준 권고안을 각 브라우저 벤더가 구현
- Java...
HTML, XML, CSS, DOM…
0 HTML 에서 사용자 화면까지
HTML Parser (DOM Engine)
0 Trident / DHTML
- Microsoft Internet Explorer
0 Webkit
- Apple Safari, Google Chrome, Android B...
BHO 란 ?
0 Browser Helper Object
- 웹브라우저 기능을 확장시켜주는 플러그인 개체
- 브라우저의 권한으로 로컬에서 실행
- 악의적인 목적으로 활용되기도 함
BHO 의 권한
0 시스템에 로그인 된 사용자의 권한 모두
- 디렉토리 및 파일의 접근과 실행
- 네트워킹 , 이벤트의 후킹과 모니터링
0 브라우저의 이벤트 감시
- HTTP Request 요청
- HTML 파싱과 렌더...
BHO 의 위협
0 보안프로그램 우회
0 관리자 권한 실행
0 방화벽 통과
0 이용자 속임
BHO 의 동작
0 브라우저와 동일한 프로세스 이름 / 권한
피싱 (Phishing)
0 Intercept HTTP Request 과 검색 결과 변조
파밍 (Pharming)
0 악성코드에 의한 파밍
파밍 (Pharming)
0 파밍에 의한 인증서 유출
분산 서비스 거부 공격
0 BHO 에 의한 분산 서비스 거부 공격
시연 목차
0 컨텐츠 변경 ( 로고 , 사진 , 구문 등 )
- 옥스포드대학 , 안랩 , 네이버 , 구글
- 하나은행 , 농협은행
0 사용자 인터렉션 ( 하이퍼링크 변경 )
- 네이버 , 구글
0 인증정보 유출 (ID/...
공격 시연
Windows 7, IE 10
BHO 이용한 공격
예방 방법
0 공용 PC 에서 주요 포털 , 뱅킹 이용 금지
- PC 방 , 까페 , 병원 , 도서관
- 친구집 ? ㅋㅋ
0 실시간 인증 활용
- SMS 인증
- OTP 인증
0 패스워드 관리
- 서비스마다 다르게
- ...
Q & A
0 Thank You
Thank you
# Contact
- www.picomax.net
- @picomax
- picomax@sk.com
Upcoming SlideShare
Loading in …5
×

Information Security

607 views

Published on

Information Leak and Attacking Internet banking by BHO

Published in: Internet
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ..................................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ..................................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Information Security

  1. 1. 전자금융보안론 전자금융보안론 과제 발표과제 발표 고려대학교 정보보호대학원 박사과정 모정훈 2016.05.09
  2. 2. 발표 시작합니다 .. 한글 자막 제작 by picomax.net 릴 ㅋㅋㅋ 간혹 의역과 오역이 있을 수 있으니 많은 피드백 부탁드립니다 . 수정 / 재배포 불가 , 비영리 목적으로 배포 가능
  3. 3. 공격 시나리오 0 사회공학적인 방법의 피싱 / 파밍 유도 0 인증서 탈취 후 해당 권한의 악의적인 행위 0 인터넷 서비스 인증 정보 도용 0 랜섬웨어 , 봇 , 트로이안 , 분산 서비스 거부 공격
  4. 4. 메모리 해킹 0 서버는 정상적인 뱅킹 서비스
  5. 5. 샌드박스 , OTP 0 현재의 인터넷 뱅킹
  6. 6. DOM & BHO 를 이용한 공격 0 DOM 이란 ? 0 HTML 과 DOM 0 BHO 란 ? 0 동작 원리와 위협 0 기타 공격 소개 0 시연 ( 공격시나리오 ) 0 Q & A
  7. 7. 웹 문서의 표현 0 HTML/XML 문서를 트리 형태의 구조로 해석 (Parsing) 0 메모리에 로드된 트리의 각 노드를 탐색해 접근 0 브라우저는 DOM 의 갱신 이벤트마다 사용자 화면 을 렌더링 0 HTML/XML 로드 이후 동적인 화면의 구현 용이
  8. 8. HTML 과 DOM 0 예
  9. 9. DOM 이란 0 Document Object Model 0 World Wide Web Consortium(W3C) 표준 권고안 0 HTML, XML 문서의 내용과 구조의 표현 방식 0 관련 객체의 인터페이스 제공하지만 , 0 인터페이스만 제공할 뿐 구현 규격은 제공하지 않음 - 브라우저의 각 벤더들이 각자의 매커니즘으로 구현 - 크로스 브라우징 대응 이슈
  10. 10. DOM 인터페이스 0 W3C 의 DOM 인터페이스 0 노드의 탐색 , 추가 , 삭제 , 수정 ( 삽입 / 정렬 등 ) 0 노드에 대한 속성의 추가 , 삭제 , 수정 0 표준 권고안을 각 브라우저 벤더가 구현 - Javascript/AJAX 를 이용한 동적인 화면 구성에 용이 - BHO 를 이용한 노드의 접근에 용이
  11. 11. HTML, XML, CSS, DOM… 0 HTML 에서 사용자 화면까지
  12. 12. HTML Parser (DOM Engine) 0 Trident / DHTML - Microsoft Internet Explorer 0 Webkit - Apple Safari, Google Chrome, Android Browser 0 Blink - Google Chrome (after 2013; chrome://version/) 0 Gecko - Mozilla, Firefox, Netscape 6.0 이상 Mozilla 기반 0 Presto - Opera
  13. 13. BHO 란 ? 0 Browser Helper Object - 웹브라우저 기능을 확장시켜주는 플러그인 개체 - 브라우저의 권한으로 로컬에서 실행 - 악의적인 목적으로 활용되기도 함
  14. 14. BHO 의 권한 0 시스템에 로그인 된 사용자의 권한 모두 - 디렉토리 및 파일의 접근과 실행 - 네트워킹 , 이벤트의 후킹과 모니터링 0 브라우저의 이벤트 감시 - HTTP Request 요청 - HTML 파싱과 렌더링 이벤트 (ex. 시작 , 종료 ) 0 사용자 인터랙션 감시 및 발생 - Click, Drag, Selectstart/chagne, Focus 0 DOM 에 접근 및 제어 / 가공
  15. 15. BHO 의 위협 0 보안프로그램 우회 0 관리자 권한 실행 0 방화벽 통과 0 이용자 속임
  16. 16. BHO 의 동작 0 브라우저와 동일한 프로세스 이름 / 권한
  17. 17. 피싱 (Phishing) 0 Intercept HTTP Request 과 검색 결과 변조
  18. 18. 파밍 (Pharming) 0 악성코드에 의한 파밍
  19. 19. 파밍 (Pharming) 0 파밍에 의한 인증서 유출
  20. 20. 분산 서비스 거부 공격 0 BHO 에 의한 분산 서비스 거부 공격
  21. 21. 시연 목차 0 컨텐츠 변경 ( 로고 , 사진 , 구문 등 ) - 옥스포드대학 , 안랩 , 네이버 , 구글 - 하나은행 , 농협은행 0 사용자 인터렉션 ( 하이퍼링크 변경 ) - 네이버 , 구글 0 인증정보 유출 (ID/PW, 인증서 ) - 네이버 , 다음 , 네이트 , 페이스북 - 하나은행 , 농협은행
  22. 22. 공격 시연 Windows 7, IE 10 BHO 이용한 공격
  23. 23. 예방 방법 0 공용 PC 에서 주요 포털 , 뱅킹 이용 금지 - PC 방 , 까페 , 병원 , 도서관 - 친구집 ? ㅋㅋ 0 실시간 인증 활용 - SMS 인증 - OTP 인증 0 패스워드 관리 - 서비스마다 다르게 - 주기적으로 변경
  24. 24. Q & A 0 Thank You
  25. 25. Thank you # Contact - www.picomax.net - @picomax - picomax@sk.com

×