Saint Leo University is a Catholic university located in Florida with nearly 15,000 students from all 50 states and over 80 countries. It is noted as the oldest Catholic educational institution in Florida, founded in 1889. The university provides both online and in-person programs at over 40 locations, with its online programs ranked among the top in the nation. It is recognized for successfully training teachers to use technology in classrooms and for its cyber defense education program. The university also consistently ranks highly for serving minority and military students.
This curriculum vitae summarizes the education and professional experience of Preston T. Snee. He received his PhD in Physical Chemistry from UC Berkeley in 2002 and is currently an Associate Professor at the University of Illinois at Chicago. His research focuses on creating functional semiconductor quantum dots and he has supervised many graduate and undergraduate students. He has over 60 publications in peer-reviewed journals related to quantum dot synthesis and applications.
This document summarizes solutions to forensic analysis problems from the 3th HolyShield Forensics competition. It includes explanations for 4 problems of increasing difficulty: Forensics 200, finding a hidden file in an image by analyzing slack space and file metadata; Forensics 300, discovering a secret file downloaded and accessed on a computer; Forensics 400, recovering an airport access key sent by an internal computer user to an external hacker; and a final section for question and answers. The document provides technical details on digital forensic techniques used such as filesystem analysis, jumplist parsing, password cracking, and memory analysis.
Saint Leo University is a Catholic university located in Florida with nearly 15,000 students from all 50 states and over 80 countries. It is noted as the oldest Catholic educational institution in Florida, founded in 1889. The university provides both online and in-person programs at over 40 locations, with its online programs ranked among the top in the nation. It is recognized for successfully training teachers to use technology in classrooms and for its cyber defense education program. The university also consistently ranks highly for serving minority and military students.
This curriculum vitae summarizes the education and professional experience of Preston T. Snee. He received his PhD in Physical Chemistry from UC Berkeley in 2002 and is currently an Associate Professor at the University of Illinois at Chicago. His research focuses on creating functional semiconductor quantum dots and he has supervised many graduate and undergraduate students. He has over 60 publications in peer-reviewed journals related to quantum dot synthesis and applications.
This document summarizes solutions to forensic analysis problems from the 3th HolyShield Forensics competition. It includes explanations for 4 problems of increasing difficulty: Forensics 200, finding a hidden file in an image by analyzing slack space and file metadata; Forensics 300, discovering a secret file downloaded and accessed on a computer; Forensics 400, recovering an airport access key sent by an internal computer user to an external hacker; and a final section for question and answers. The document provides technical details on digital forensic techniques used such as filesystem analysis, jumplist parsing, password cracking, and memory analysis.
This document discusses febrile coma, its causes, diagnosis, and management. It begins by defining coma and differentiating it from similar states like hysterical coma and syncope. The main causes of febrile coma are then outlined as CNS infections, cerebrovascular events, and infections/lesions elsewhere that can damage the CNS. The document emphasizes the importance of rapidly stabilizing patients and obtaining a thorough history and neurological exam. Key diagnostic tests are bloodwork, lumbar puncture if no contraindications, and CT scan if focal signs are present. Management involves treating any identified cause as well as empiric treatment of common infections if the cause is unknown. Proper diagnosis and management of fe
Carta Organisasi Pengurusan/Pentadbiran SMA Repah 2017Fadhirul Fitri
Dokumen ini berisi panduan pengurusan sekolah menengah agama Repah Tampin tahun 2017. Terdapat carta organisasi dan fungsi sekolah yang menjelaskan struktur kepemimpinan sekolah dan tanggung jawab masing-masing jabatan seperti pentadbiran, kurikulum, hal ehwal murid, kokurikulum, bimbingan dan kaunseling, pengurusan sumber manusia, kewangan, dan pembangunan aset. Dokumen ini bertujuan unt
Cyber Threat Intelligence: Who is Targeting your Information? Control Risks
This document is copyrighted material from Control Risks Group Limited pertaining to cybersecurity. It contains 15 paragraphs with each paragraph copyrighted to Control Risks Group Limited. Contact information for cybersecurity matters at Control Risks Group Limited is provided.
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to WinGangSeok Lee
2011 CodeEngn Conference 05
1989년 국산 부트 바이러스인 LBC 바이러스에 감염되어 하드디스크 부팅이 안되는 문제가 전국에서 발생했다. 이렇게 부팅 문제가 발생할 수 있는 부트 바이러스는 윈도우 95가 본격 보급되기 시작한 1990년 대 중반까지 쉽게 볼 수 있었다. 이후 윈도우 시대가 본격 열리고 플로피 디스크 사용이 줄어들면서 사실상사라진다. 하지만, 최근 기억속에 잊혀진 부트 바이러스가 윈도우 시대에 맞게 변화해 부활의 조짐이 있다. 대표적 디스크입출력 악성코드를 정리해보고 이를 가능하게 한 도스와 윈도우 부팅과정 및 윈도우 프로그램에서 디스크 입출력 방법을 알아보자.
http://codeengn.com/conference/05
머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발Jeongkyu Shin
머신러닝 및 데이터 과학 분야의 컴퓨팅 수요는 해가 갈수록 급증하고 있습니다. 이와 더불어 분산처리 기술, 데이터 파이프라이닝 및 개발 환경 스택 관리 등의 관련된 다양한 이슈들 또한 엄청나게 늘어나고 있습니다. 머신러닝 모델의 기하급수적인 모델 복잡도 증가 추세와 마찬가지로, 모델 학습을 위한 환경 관리 또한 갈수록 복잡도가 높아지는 추세입니다.
이 세션에서는 이러한 문제를 해결하기 위해 python 언어 기반의 분산처리 스케쥴링/오케스트레이션 미들웨어 플랫폼을 개발한 4년간의 과정에서 겪은 다양한 문제들에 대해 다룹니다. 2015년 컨테이너 기반의 고밀도 분산처리 플랫폼 설계 및 프로토타이핑 과정을 PyCon KR에서 발표한 이후, 실제 구현 및 오픈소스화, 안정화를 거치며 겪은 다양한 기술적/비기술적 문제들에 대한 경험을 공유합니다.
기술적으로는 최근 몇 년 간의 클러스터 플랫폼 관련 기술의 진보와 함께 탄생한 다양한 도구들과, 이러한 도구들을 python 기반으로 엮어내기 위해 사용하고 개발한 다양한 오픈소스들을 다룹니다. Python 기반의 컨테이너 스케쥴링 및 오케스트레이션 과정의 구현과, 다양한 프로그래밍 언어로 만든 SDK를 graphQL을 이용하여 연동하는 과정에서의 몇몇 유의점을 설명합니다. 아울러 python 기반의 SDK를 다양한 언어로 포팅했던 경험을 간단하게 안내합니다.
플랫폼을 개발하는 중 등장한 TensorFlow, PyTorch 등의 다양한 머신러닝 프레임워크들을 도입하며 겪은 문제와 해결 과정에 대해서도 나눕니다. 연구 분야에는 Python 2.7 기반의 프레임워크들이 여전히 많습니다. 이러한 프레임워크 및 라이브러리의 지원을 위하여 Python 2 기반의 프레임워크와 Python 3.7로 구현한 컨테이너 인터페이스를 단일 컨테이너 환경에 중복 빌드 및 상호 간섭 없이 공존시키기 위해 개발한 아이디어를 소개합니다.
마지막으로 Python 기반의 프레임워크를 개발, 배포 및 상용화 하는 과정에서 겪은 다양한 어려움을 소개합니다. 솔루션을 배포 및 보급할 때 겪는 다양한 런타임, 하드웨어 환경 및 개인 정보 보호를 위한 폐쇄망 대상의 디플로이 등에 대응하기 위하여 Python 응용프로그램을 단독 실행용으로 패키징하는 과정에서 겪은 팁들을 설명합니다. 또한 GUI 빌드 및 Python, Go 및 C++을 함께 사용한 드라이버 가상화 레이어 개발 등의 내용도 살짝 다룹니다.
이 슬라이드는 PyCon KR 2019의 발표 슬라이드입니다. ( https://www.pycon.kr/program/talk-detail?id=138 )
이 발표는 [야생의 땅: 듀랑고]의 지형 배포 시스템과 생태계 시뮬레이션 자동화 시스템에 대한 이야기를 다룹니다. 듀랑고의 각 섬은 크기와 지형, 기후 조건이 다양하고 섬의 개수가 많아서 수동으로 관리하는 것은 사실상 불가능합니다. 몇번의 사내 테스트와 베타 테스트를 거치면서 이러한 문제를 해결해주는 자동화된 도구의 필요성이 절실해졌고, 작년에 NDC에서 발표했던 생태계 시뮬레이터와 Docker, 그리고 아마존 웹서비스(AWS)를 이용하여 수많은 섬들을 자동으로 생성하고 관리하는 자동화 시스템을 구축하게 되었습니다. 그 과정에서 했던 고민들, 기존의 애플리케이션을 "Dockerizing" 했던 경험, AWS의 각 서비스들을 적절히 활용했던 이야기, AWS의 각 지역별 요금이 상이하다는 점을 이용해서 비용을 절감한 사례, 그리고 자동화 시스템의 문제점과 앞으로의 방향에 대해서 이야기 할 계획입니다.
This document discusses febrile coma, its causes, diagnosis, and management. It begins by defining coma and differentiating it from similar states like hysterical coma and syncope. The main causes of febrile coma are then outlined as CNS infections, cerebrovascular events, and infections/lesions elsewhere that can damage the CNS. The document emphasizes the importance of rapidly stabilizing patients and obtaining a thorough history and neurological exam. Key diagnostic tests are bloodwork, lumbar puncture if no contraindications, and CT scan if focal signs are present. Management involves treating any identified cause as well as empiric treatment of common infections if the cause is unknown. Proper diagnosis and management of fe
Carta Organisasi Pengurusan/Pentadbiran SMA Repah 2017Fadhirul Fitri
Dokumen ini berisi panduan pengurusan sekolah menengah agama Repah Tampin tahun 2017. Terdapat carta organisasi dan fungsi sekolah yang menjelaskan struktur kepemimpinan sekolah dan tanggung jawab masing-masing jabatan seperti pentadbiran, kurikulum, hal ehwal murid, kokurikulum, bimbingan dan kaunseling, pengurusan sumber manusia, kewangan, dan pembangunan aset. Dokumen ini bertujuan unt
Cyber Threat Intelligence: Who is Targeting your Information? Control Risks
This document is copyrighted material from Control Risks Group Limited pertaining to cybersecurity. It contains 15 paragraphs with each paragraph copyrighted to Control Risks Group Limited. Contact information for cybersecurity matters at Control Risks Group Limited is provided.
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to WinGangSeok Lee
2011 CodeEngn Conference 05
1989년 국산 부트 바이러스인 LBC 바이러스에 감염되어 하드디스크 부팅이 안되는 문제가 전국에서 발생했다. 이렇게 부팅 문제가 발생할 수 있는 부트 바이러스는 윈도우 95가 본격 보급되기 시작한 1990년 대 중반까지 쉽게 볼 수 있었다. 이후 윈도우 시대가 본격 열리고 플로피 디스크 사용이 줄어들면서 사실상사라진다. 하지만, 최근 기억속에 잊혀진 부트 바이러스가 윈도우 시대에 맞게 변화해 부활의 조짐이 있다. 대표적 디스크입출력 악성코드를 정리해보고 이를 가능하게 한 도스와 윈도우 부팅과정 및 윈도우 프로그램에서 디스크 입출력 방법을 알아보자.
http://codeengn.com/conference/05
머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발Jeongkyu Shin
머신러닝 및 데이터 과학 분야의 컴퓨팅 수요는 해가 갈수록 급증하고 있습니다. 이와 더불어 분산처리 기술, 데이터 파이프라이닝 및 개발 환경 스택 관리 등의 관련된 다양한 이슈들 또한 엄청나게 늘어나고 있습니다. 머신러닝 모델의 기하급수적인 모델 복잡도 증가 추세와 마찬가지로, 모델 학습을 위한 환경 관리 또한 갈수록 복잡도가 높아지는 추세입니다.
이 세션에서는 이러한 문제를 해결하기 위해 python 언어 기반의 분산처리 스케쥴링/오케스트레이션 미들웨어 플랫폼을 개발한 4년간의 과정에서 겪은 다양한 문제들에 대해 다룹니다. 2015년 컨테이너 기반의 고밀도 분산처리 플랫폼 설계 및 프로토타이핑 과정을 PyCon KR에서 발표한 이후, 실제 구현 및 오픈소스화, 안정화를 거치며 겪은 다양한 기술적/비기술적 문제들에 대한 경험을 공유합니다.
기술적으로는 최근 몇 년 간의 클러스터 플랫폼 관련 기술의 진보와 함께 탄생한 다양한 도구들과, 이러한 도구들을 python 기반으로 엮어내기 위해 사용하고 개발한 다양한 오픈소스들을 다룹니다. Python 기반의 컨테이너 스케쥴링 및 오케스트레이션 과정의 구현과, 다양한 프로그래밍 언어로 만든 SDK를 graphQL을 이용하여 연동하는 과정에서의 몇몇 유의점을 설명합니다. 아울러 python 기반의 SDK를 다양한 언어로 포팅했던 경험을 간단하게 안내합니다.
플랫폼을 개발하는 중 등장한 TensorFlow, PyTorch 등의 다양한 머신러닝 프레임워크들을 도입하며 겪은 문제와 해결 과정에 대해서도 나눕니다. 연구 분야에는 Python 2.7 기반의 프레임워크들이 여전히 많습니다. 이러한 프레임워크 및 라이브러리의 지원을 위하여 Python 2 기반의 프레임워크와 Python 3.7로 구현한 컨테이너 인터페이스를 단일 컨테이너 환경에 중복 빌드 및 상호 간섭 없이 공존시키기 위해 개발한 아이디어를 소개합니다.
마지막으로 Python 기반의 프레임워크를 개발, 배포 및 상용화 하는 과정에서 겪은 다양한 어려움을 소개합니다. 솔루션을 배포 및 보급할 때 겪는 다양한 런타임, 하드웨어 환경 및 개인 정보 보호를 위한 폐쇄망 대상의 디플로이 등에 대응하기 위하여 Python 응용프로그램을 단독 실행용으로 패키징하는 과정에서 겪은 팁들을 설명합니다. 또한 GUI 빌드 및 Python, Go 및 C++을 함께 사용한 드라이버 가상화 레이어 개발 등의 내용도 살짝 다룹니다.
이 슬라이드는 PyCon KR 2019의 발표 슬라이드입니다. ( https://www.pycon.kr/program/talk-detail?id=138 )
이 발표는 [야생의 땅: 듀랑고]의 지형 배포 시스템과 생태계 시뮬레이션 자동화 시스템에 대한 이야기를 다룹니다. 듀랑고의 각 섬은 크기와 지형, 기후 조건이 다양하고 섬의 개수가 많아서 수동으로 관리하는 것은 사실상 불가능합니다. 몇번의 사내 테스트와 베타 테스트를 거치면서 이러한 문제를 해결해주는 자동화된 도구의 필요성이 절실해졌고, 작년에 NDC에서 발표했던 생태계 시뮬레이터와 Docker, 그리고 아마존 웹서비스(AWS)를 이용하여 수많은 섬들을 자동으로 생성하고 관리하는 자동화 시스템을 구축하게 되었습니다. 그 과정에서 했던 고민들, 기존의 애플리케이션을 "Dockerizing" 했던 경험, AWS의 각 서비스들을 적절히 활용했던 이야기, AWS의 각 지역별 요금이 상이하다는 점을 이용해서 비용을 절감한 사례, 그리고 자동화 시스템의 문제점과 앞으로의 방향에 대해서 이야기 할 계획입니다.
현존하는 상용 서버 시스템 중에서 가장 안정적인 보안을 제공하는 LinuxONE을 소개 드립니다. IBM LinuxONE은 IBM의 하드웨어 기술역량을 집약한 리눅스 서버로서 핵심업무를 안정적으로 처리할 수 있는 높은 신뢰성을 제공합니다. 이러한 신뢰성을 기반으로 최근 국내 가상화폐거래소에 대규모 프로젝트를 진행중입니다. 자료를 통해 보시겠지만, LinuxOne의 특장점을 간략히 정리하여 드립니다.
1. 보안성 (Security)
- 상용 서버 중 EAL 5+ 인증을 획득한 전세계에서 유일한 서버입니다.
2. 안정성 (RAS)
- 전체 파트가 이중화로 설계되어 있으며, 장애 자동 복구 기능이 탑재되어 있습니다.
3. 유연성 (Flexibility)
- 다양한 형태로 가상화 파티셔닝이 가능합니다. (대규모 Scale up, 펌웨어 하이퍼바이저, 베이메탈 등)
4. 성능 및 민첩성 (Agility)
- 5.2GHz 속도의 프로세서 및 대용량 L1-L3캐시, 별도의 L4 캐시도 지원합니다.
현존하는 상용 서버 시스템 중에서 가장 안정적인 보안을 제공하는 LinuxONE을 소개 드립니다.
IBM LinuxONE은 IBM의 하드웨어 기술역량을 집약한 리눅스 서버로서 핵심업무를 안정적으로 처리할 수 있는 높은 신뢰성을 제공합니다.
이러한 신뢰성을 기반으로 최근 국내 가상화폐거래소에 대규모 프로젝트를 진행중입니다.
자료를 통해 보시겠지만, LinuxOne의 특장점을 간략히 정리하여 드립니다.
1. 보안성 (Security)
- 상용 서버 중 EAL 5+ 인증을 획득한 전세계에서 유일한 서버입니다.
2. 안정성 (RAS)
- 전체 파트가 이중화로 설계되어 있으며, 장애 자동 복구 기능이 탑재되어 있습니다.
3. 유연성 (Flexibility)
- 다양한 형태로 가상화 파티셔닝이 가능합니다. (대규모 Scale up, 펌웨어 하이퍼바이저, 베이메탈 등)
4. 성능 및 민첩성 (Agility)
- 5.2GHz 속도의 프로세서 및 대용량 L1-L3캐시, 별도의 L4 캐시도 지원합니다.
아울러 세부 구성과 적용 사례가 포함된 자료를 첨부해 드리오니,
보시다가 궁금한 점이나 견적 등 추가로 요청하실 사항이 있으시면 언제든 연락 부탁드립니다.
This document discusses the $UsnJrnl journal file in NTFS file systems and its use for digital forensics investigations. The $UsnJrnl file records changes made to files and directories on the system. Tools are discussed for extracting and parsing the $UsnJrnl records to analyze file system activity and trace deleted files. The document also introduces NTFS Log Tracker v1.4, a tool that can carve $UsnJrnl records from unallocated space and perform keyword searches across recovered records.
This document discusses digital forensics analysis of call history and SMS data on Apple devices running OS X Yosemite. It provides information on the file paths and database formats used to store call history and SMS data, as well as the attributes that can be analyzed, such as sending/receiving dates, durations, and contact details. It also mentions that call history data may be encrypted and requires decryption to view contact details.
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
This document discusses extracting digital evidence from an Android-based Samsung Galaxy Gear smartwatch. It describes accessing the smartwatch by rooting it and then imaging the internal memory to extract potential digital evidence files. Four specific files are identified that could provide useful evidence, including Bluetooth pairing information, SMS/email sync data, find my device activity logs, and local weather information tied to location. The conclusion speculates that future work will focus on extracting evidence from newer Galaxy Gear models.
This document discusses SQLite record recovery from deleted areas of an SQLite database file. It begins with an introduction to SQLite and why it is useful for forensic analysis. It then covers the structure of SQLite database files including header pages, table B-trees, index B-trees, overflow pages, and free pages. The document simulates traversing and parsing the cells within a table B-tree to understand how records are stored and indexed. It aims to help analysts understand SQLite file structure to enable recovery of deleted records through analysis of unused areas.
This document discusses techniques for obfuscating URLs to hide malicious intent. It begins with an overview of URL shortening services that can be used to hide the destination of a link. Various methods for obfuscating URLs are then described, including encoding IP addresses in octal format, URL encoding, and tricks involving the URI structure. The document provides a challenge for safely deconstructing an obfuscated URL step-by-step either manually or automatically. It concludes with an explanation of how the challenge URL was obfuscated using chaining of different techniques.
The document discusses China's strategy of internet censorship and control. It mentions China's large number of internet users and rapid growth of mobile internet users. It then discusses China's strategy of "human-wave" attacks to overwhelm websites with traffic to enact censorship. Next, it discusses China's extensive censorship system called the "Great Firewall" and how it uses techniques like IP blocking and DNS filtering to control internet access and content. Finally, it briefly mentions the black market for DDoS attacks and real-money trading that has emerged from China's controls.
The document discusses several advanced persistent threats (APTs) that have targeted systems in Korea and other countries, including the LuckyCat, Heartbeat, and Flashback malware campaigns. It provides details on the attacks, malware components, command and control infrastructure, and technical analysis of the threats. The document aims to help the digital forensics community in Korea understand these sophisticated cyber espionage activities and improve defenses against similar attacks.
(130105) #fitalk trends in d forensics (dec, 2012)INSIGHT FORENSIC
This document summarizes trends in digital forensics from South Korea in December 2012. It discusses extracting malware from NTFS extended attributes, analyzing prefetch files, and trends for 2013 including growing mobile malware. It also summarizes testing of Windows 8 involving installing applications, connecting web accounts, and imaging a test laptop to analyze forensic artifacts.
(130105) #fitalk criminal civil judicial procedure in koreaINSIGHT FORENSIC
This document discusses digital forensics and the legal system in Korea. It provides an overview of criminal and civil judicial procedures, the role of expert witnesses, and precedents. It also examines the qualifications and certification process for digital forensics experts in Korea and other countries like the US. Key topics covered include how digital evidence is handled and the advantages of having an officially recognized expert.
4. forensicinsight.org Page 4 / 25
부트킷 소개
부트킷
• Full Encryption system 공격 목적으로 사용됨.
Stone bootkit은 부트로더를 수정하여 암호화 키와 패스워드를 탈취
• TPM을 이용하여 방어하고 있음
5. forensicinsight.org Page 5 / 25
주요 루트킷의 파일 은닉 기술
- TDL4 bootkit
- Olmasco bootkit
- ZeroAccess rootkit
- Rovnix bootkit
6. forensicinsight.org Page 6 / 25
TDL4 bootkit
2010년 후반에 TDL4(Win32/Olmarik) 등장
• 최초로 64비트 시스템을 대상으로 광범위하게 젂파된 부트킷
IsWow64Process() API를 이용하여 분기함
• 봇넷 구성에 사용되었음
악성코드 유포 희망자에게 URL을 제공
감염된 사용자의 시스템은 자동으로 부여된 ID 값을 인자로하여 특정 사이트에 접속함.
• HIPS를 우회하기 위해 싞뢰있는 시스템 프로세스(spooler.exe)에 DLL을 인젝션 함.
AddPrintProvidor()는 내부적으로 LoadLibrary()함수를 호출
• MS10-092 취약점을 이용함.
소개
8. forensicinsight.org Page 8 / 25
TDL4 bootkit
MBR Overwriting
• 운영체제가 로드되기 젂에 접근하기 위해 파티션 테이블에는 별도의 수정 업이 MBR 코드를
덮어 씌움
스토리지에 페이로드를 저장
보호 기술
• 저수준 후킹으로 자싞을 보호함
• RC4 스트림 사이퍼를 사용함
TDL3 - “tdl”을 키로 사용함
TDL4 – 암호화할 섹터 블럭의 32비트 LBA 값
부트킷 파일 은닉 기술
9. forensicinsight.org Page 9 / 25
TDL4 bootkit
일반적인 구조는 TDL3와 유사함
• 하드 드라이브 맨 끝의 잉여 영역에 부트킷을 위치함
TDL3와 TDL4는 언파티션드 영역을 찾는 방식이 다름
• TDL3 – MBR 정보를 활용
• TDL4 – ZwDeviceIoControlFile()
IOCTL_CODE 0x4D014
IOCTL_SCSI_PASS_THROUGH_DIRECT
부트킷 파일 은닉 기술
11. forensicinsight.org Page 11 / 25
Olmasco bootkit
2011년 초에 등장한 새로운 부트킷
• Win32/Olmasco or MaxSS로 불림
• TDL4를 기반으로 더 발젂된 기술을 적용하였음.
• 두 루트킷이 유사한 이유는 두가지를 꼽고 있음
TDL4 개발한 팀이 새롭게 개발하였음
TDL4 개발자가 소스를 판매했거나 부트킷 빌더를 다른 범죄 조직에 판매
• TDL4와 동일하게 대상 시스템을 점령하여 C & C 서버를 구축함
• 프로세스 에러 발생 시 악성코드는 에러 리포트를 발송함.
피드백을 받아 패치하기 위해 사용함
소개
12. forensicinsight.org Page 12 / 25
Olmasco bootkit
디스크의 파티션 테이블 조작
• MBR 코드에 별도의 패치를 수행하지 않음.
• 비어있는 파티션 테이블 엔트리를 찾아서 새로운 파티션을 생성함.
하드 디스크의 마지막 잉여 공간에 파티션을 생성
• 페이로드와 설정정보를 저장함
• VBR에 NTFS 파티션인 것처럼 명시하여 탐지 우회를 수행함.
부트킷 파일 은닉 기술
13. forensicinsight.org Page 13 / 25
Olmasco bootkit
스토리지 구조
• TDL4의 스키마를 사용하면서 기능을 몇가지 추가함
파일과 폴더를 가지는 트리 구조
컴포넌트의 손상 여부를 체크하여 무결성을 확인함
내부 파일 시스템 구조의 관리 능력을 높임
• 루트 디렉터리는 „‟ 심볼
• 최초 VBR에선 „boot‟를 로드함.
• 무결성 체크는 CRC32 체크섬을 활용함.
체크섬이 틀리면 파일을 제거함
부트킷 파일 은닉 기술
14. forensicinsight.org Page 14 / 25
Olmasco bootkit
스토리지 구조
• 효율적인 파일 시스템 관리 및 무결성을 돕기 위해 다음 기능을 포함함
$bad
• 손상된 데이터가 위치한 섹터 정보를 가짐
$bitmap
• 파일과 디렉터리의 저장된 위치 정보를 가짐
• NTFS와 상당히 유사한 구조로 되어 있어서 보앆 소프트웨어가 잘못 판단하게 함
부트킷 파일 은닉 기술
15. forensicinsight.org Page 15 / 25
ZeroAccess rootkit
2011년 초에 64비트 ZeroAccess(Win32/Sirefef) 수정 버전이 등장함.
• TDL4처럼 부트킷의 기능을 수행하짂 않음.
• 64비트 시스템을 대상으로 하였지맊 커널 모드 드라이버는 없음.
x86 시스템을 대상으로 하는 드라이버맊 포함
이에 32비트와 64비트의 운영체제 버젂에 따라 감염 방식이 다름
소개
16. forensicinsight.org Page 16 / 25
ZeroAccess rootkit
루트킷 로드 방식
• x86 시스템의 ZeroAccess는 TDL3 루트킷와 유사함.
커널모드 부팅 시점에 로드되는 특정 드라이버를 완벽하게 자싞의 코드로 덮어씌움.
• 부팅 시점에 악성 드라이버가 로드됨
백싞으로부터 자싞을 보호하기 위해 Storage device driver stack을 후킹함
• 64비트는 커널 모드 드라이버가 없기 떄문에 다른 방법을 사용함
consrv.dll을 “systemrootsystem32”디렉터리에 드롭(drop)
Windows Subsystem으로 등록하여 세션 관리 서브시스템(smss.exe)에서 시스템 구동 시점에 로
드함
• “HKLMSYSTEMCurrentControlSetControlSession ManagerSubSystems”
• 레지스트리 키가 변경되지 않으면 자시자싞을 제거함.
소개
17. forensicinsight.org Page 17 / 25
ZeroAccess rootkit
사용자 정의 파일 시스템을 사용함.
• 페이로드와 설정 정보를 가지고 있음
• 히든 스토리지의 컨텐츠는 운영체제 파일 시스템 내의 특정 파일로 저장
“WindowsDir$NtUninstallKB_BotId$BotId” 디렉터리를 생성
• 악성코드는 파일 시스템 필터 드라이버 처럼 동작함
페이로드에 읽기/쓰기 명령을 후킹함
• 접근 시 상황에 따라 다르게 행동함
루트킷이 접근 시 – 루트킷 코드를 수행함.
시스템이 접근 시 – 백업한 원본 코드로 변경함
부트킷 파일 은닉 기술
18. forensicinsight.org Page 18 / 25
ZeroAccess rootkit
히든 볼륨은 암호화되어 있음
• 루트킷이 읽기/쓰기 명령을 수행할 때마다 암호화/복호화를 수행
• 가상 볼륨은 systemrootsystem32config<random file name>에 파일을 위치하고 내부에
저장됨
파일은 언제나 암호화 되어 있음
• RC4 스트림 사이퍼를 사용하며, 128비트 키를 이용함
섹터 단위 암호화 사용
부트킷 파일 은닉 기술
20. forensicinsight.org Page 20 / 25
Rovnix bootkit
2011년에 새로운 트렌드
• VBR과 부트스트랩 코드를 수정함.
Win32/Rovnix, Win32/Carberp
• 보앆 기술과 앆티바이러스 프로그램을 회피하기 위해 여러 기술을 사용함.
• Rovnix는 VBR bootkits 빌더로 판매되고 있음.
• Carberp는 지속적으로 부트킷의 기능을 추가하며 여름이 끝날 때쯤부터 판매를 시작함
가장 위험한 뱅킹 트로이 목마 중 하나
소개
22. forensicinsight.org Page 22 / 25
결론
루트킷은 커널 정보 조작 또는 설정 조작을 수행함
• 구동을 위해서는 운영체제 커널이 로드된 후 드라이버를 로드함
• 보앆 소프트웨어 로드 후 실행되는게 대부분이기 때문에 탐지될 확률이 상당히 높음
부트킷은 부트로더를 조작함
• 커널이 로드되기 젂에 루트킷의 행위가 실시될 수 있음
• 보앆 소프트웨어보다 선행되서 로드되기 때문에 탐지 기법을 우회할 수 있음
드라이버 읽기/쓰기 명령에 대해 오리지널 코드를 제공하여 은닉하는 기법 등
자체 파일 시스템을 가지거나 파일을 은닉함
• 시스템 비사용 영역에 파티션을 생성하여 관리
파티션 암호화
사용자 정의 파티션
• 시스템 파티션 영역에 파일을 위치하고 자싞을 은닉
디스크 읽기/쓰기 함수 후킹
23. forensicinsight.org Page 23 / 25
부트킷 대응 방법?
디스크 포렊식
• 파티션 되지 않은 영역의 분석이 필요함.
데이터 존재 여부 판단
데이터 암호화 여부 판단
• 라이브 분석 가능 시 라이브 상태의 파일 해시와 디스크 이미지의 파일 해시 비교
메모리 포렊식
• 메모리 상에 존재하는 드라이버의 무결성 검사
• 바이오스 영역 분석
24. forensicinsight.org Page 24 / 25
참고 문헌
Bootkit Threat Evolution in 2011
• ESET
• http://blog.eset.com/2012/01/03/bootkit-threat-evolution-in-2011-
2?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+eset%2Fblog+%
28ESET+ThreatBlog%29
The Evolution of TDL: Conquering x64
• ESET
• http://go.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf
ZeroAccess – an advanced kernel mode rootkit
• Prevx
• http://www.prevxresearch.com/zeroaccess_analysis.pdf