[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven SecurityKorea University
이 슬라이드는 2018 NetSec-KR 에 발표된 자료로, 2017년에 개최한 제 1회 "정보보호 R&D 데이터 챌린지" (http://datachallenge.kr/) 에 대해 상세한 설명을 하고, AI와 Machine Learning 을 정보보안에 접목하여 Data-Driven Security 를 연구하고자 하는 분들께 도움이 되고자, 본 자료를 작성하였습니다.
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven SecurityKorea University
이 슬라이드는 2018 NetSec-KR 에 발표된 자료로, 2017년에 개최한 제 1회 "정보보호 R&D 데이터 챌린지" (http://datachallenge.kr/) 에 대해 상세한 설명을 하고, AI와 Machine Learning 을 정보보안에 접목하여 Data-Driven Security 를 연구하고자 하는 분들께 도움이 되고자, 본 자료를 작성하였습니다.
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
'모의해킹' 진로 고민부터 실무까지
- 관련 책: 실무자가 말하는 모의해킹 https://goo.gl/EuNJou
모의해커를 꿈꾸는 후배에게 들려주는 멘토의 현장 에세이
: 모의해킹을 다루는 전문 기술서는 많지만, 국내 모의해킹 분야로의 진출을 꿈꾸는 입문자의 불안과 궁금증을 속 시원하게 해결해주는 입문서는 없다. 보안 분야에 10년 이상 종사한 필자는 이 책에서 ‘모의해킹’이라는 주제에 관한 입문자의 각종 궁금증을 자신의 경험에 비추어 구체적으로 풀어준다. 기술적인 내용은 최소화하고 필요한 경우에는 최대한 알기 쉽게 풀어 설명했다. 모의해킹 업무를 진로로 선택한 학생들과 이제 막 업무를 시작한 직원들은 이 책을 다 읽고 나면 앞으로 맞이할 업무에 관해 더 명확하고 구체적인 그림을 그려볼 수 있을 것이다.
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽GangSeok Lee
2013 CodeEngn Conference 09
기업의 보안 취약점을 분석하고 이에 대한 대응 방안을 제시하는 보안 컨설팅에 대해 알아본다. 아울러, 보안컨설턴트 양성을 위해 BoB에서 진행하고 있는 보안컨설팅 인턴쉽과정에 대해 소개한다.
http://codeengn.com/conference/09
http://codeengn.com/conference/archive
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
'모의해킹' 진로 고민부터 실무까지
- 관련 책: 실무자가 말하는 모의해킹 https://goo.gl/EuNJou
모의해커를 꿈꾸는 후배에게 들려주는 멘토의 현장 에세이
: 모의해킹을 다루는 전문 기술서는 많지만, 국내 모의해킹 분야로의 진출을 꿈꾸는 입문자의 불안과 궁금증을 속 시원하게 해결해주는 입문서는 없다. 보안 분야에 10년 이상 종사한 필자는 이 책에서 ‘모의해킹’이라는 주제에 관한 입문자의 각종 궁금증을 자신의 경험에 비추어 구체적으로 풀어준다. 기술적인 내용은 최소화하고 필요한 경우에는 최대한 알기 쉽게 풀어 설명했다. 모의해킹 업무를 진로로 선택한 학생들과 이제 막 업무를 시작한 직원들은 이 책을 다 읽고 나면 앞으로 맞이할 업무에 관해 더 명확하고 구체적인 그림을 그려볼 수 있을 것이다.
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽GangSeok Lee
2013 CodeEngn Conference 09
기업의 보안 취약점을 분석하고 이에 대한 대응 방안을 제시하는 보안 컨설팅에 대해 알아본다. 아울러, 보안컨설턴트 양성을 위해 BoB에서 진행하고 있는 보안컨설팅 인턴쉽과정에 대해 소개한다.
http://codeengn.com/conference/09
http://codeengn.com/conference/archive
This document summarizes Windows forensic artifacts and tools that can be used for forensic investigations. It discusses the steps of a forensic investigation, rules to follow, common Windows artifacts like event logs and browser artifacts, and tools that can extract user details and system activity from a disk image or memory dump. Examples of artifacts that can be examined without tools include mounted devices, USB storage details, task manager history, event logs and system files.
PowerShell is a scripting language introduced in 2006 that is installed by default on Windows systems starting with Windows Vista. PowerShell malware has increased with the rise of Windows 7 and Windows 10. PowerShell is commonly used by ransomware downloaders and in targeted attacks. It allows fileless malware through techniques using WMI. The use of PowerShell malware is expected to increase along with JS and VBS malware, and may become cross-platform. Detection and response requires monitoring WMI for abnormal activity.
Splunk 한국 총판 한컴MDS에서 100개국, 10,000개 이상의 고객사들을 통해 검증된 머신데이터 플랫폼인 Splunk를 소개합니다.
Splunk란 머신데이터를 아무런 제약 없이 수집 > 저장 > 분석 > 시각화할 수 있는 실시간 분산 플랫폼입니다.
1. 빅데이터 개요
2. Splunk 제품 소개
3. 빅데이터 활용 사례
- 쇼핑몰 웹로그 분석
- 통신사 서비스 분석
- IPTV 서비스 품질 분석
- 콘텐츠 사용자 패턴 분석
- 통합 보안 관제
- 정보보호 규정 준수를 위한 활용
- 네트워크 모니터링
- H사 철분말공장 품질 분석(블레이드 교체 주기 분석)
- K사 전력품질 모니터링
- M사 고장코드별 에러데이터 분석
- 문의: 한컴MDS DAS사업부 splunk@hancommds.com
AppCheck Pro 랜섬웨어 백신은 “상황 인식 기반 랜섬웨어 행위 탐지(Context-awareness based ransomware behavior detection)” 기술이 적용된 캅(CARB)엔진으로 현재까지 발견된 패턴 뿐 아니라 차후 출현 가능한 랜섬웨어까지도 탐지하여 기존 백신의 탐지 및 대응 방식으로는 빠르게 대응할 수 없는 랜섬웨어 위협으로부터 가장 확실하고 안전하게 방어할 수 있습니다
[2013 CodeEngn Conference 09] proneer - Malware TrackerGangSeok Lee
2013 CodeEngn Conference 09
최근 조직의 침해는 조직의 보안 환경이 강화되면서 장기간에 걸쳐 일어난다. 목적을 달성할때까지 지속 매커니즘을 사용하여 시스템에 잠복하거나 다른 시스템으로 이동해간다. 이런 상황에서 악성코드가 사용하는 지속 매커니즘은 무엇이 있는지, 그리고 침해사고를 조기에 인지하여 악성코드의 유입 경로를 찾을 수 있는 방안을 살펴본다.
http://codeengn.com/conference/09
http://codeengn.com/conference/archive
This document discusses the $UsnJrnl journal file in NTFS file systems and its use for digital forensics investigations. The $UsnJrnl file records changes made to files and directories on the system. Tools are discussed for extracting and parsing the $UsnJrnl records to analyze file system activity and trace deleted files. The document also introduces NTFS Log Tracker v1.4, a tool that can carve $UsnJrnl records from unallocated space and perform keyword searches across recovered records.
This document discusses digital forensics analysis of call history and SMS data on Apple devices running OS X Yosemite. It provides information on the file paths and database formats used to store call history and SMS data, as well as the attributes that can be analyzed, such as sending/receiving dates, durations, and contact details. It also mentions that call history data may be encrypted and requires decryption to view contact details.
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
This document discusses extracting digital evidence from an Android-based Samsung Galaxy Gear smartwatch. It describes accessing the smartwatch by rooting it and then imaging the internal memory to extract potential digital evidence files. Four specific files are identified that could provide useful evidence, including Bluetooth pairing information, SMS/email sync data, find my device activity logs, and local weather information tied to location. The conclusion speculates that future work will focus on extracting evidence from newer Galaxy Gear models.
This document discusses SQLite record recovery from deleted areas of an SQLite database file. It begins with an introduction to SQLite and why it is useful for forensic analysis. It then covers the structure of SQLite database files including header pages, table B-trees, index B-trees, overflow pages, and free pages. The document simulates traversing and parsing the cells within a table B-tree to understand how records are stored and indexed. It aims to help analysts understand SQLite file structure to enable recovery of deleted records through analysis of unused areas.
This document discusses techniques for obfuscating URLs to hide malicious intent. It begins with an overview of URL shortening services that can be used to hide the destination of a link. Various methods for obfuscating URLs are then described, including encoding IP addresses in octal format, URL encoding, and tricks involving the URI structure. The document provides a challenge for safely deconstructing an obfuscated URL step-by-step either manually or automatically. It concludes with an explanation of how the challenge URL was obfuscated using chaining of different techniques.
The document discusses China's strategy of internet censorship and control. It mentions China's large number of internet users and rapid growth of mobile internet users. It then discusses China's strategy of "human-wave" attacks to overwhelm websites with traffic to enact censorship. Next, it discusses China's extensive censorship system called the "Great Firewall" and how it uses techniques like IP blocking and DNS filtering to control internet access and content. Finally, it briefly mentions the black market for DDoS attacks and real-money trading that has emerged from China's controls.
The document discusses several advanced persistent threats (APTs) that have targeted systems in Korea and other countries, including the LuckyCat, Heartbeat, and Flashback malware campaigns. It provides details on the attacks, malware components, command and control infrastructure, and technical analysis of the threats. The document aims to help the digital forensics community in Korea understand these sophisticated cyber espionage activities and improve defenses against similar attacks.
(130105) #fitalk trends in d forensics (dec, 2012)INSIGHT FORENSIC
This document summarizes trends in digital forensics from South Korea in December 2012. It discusses extracting malware from NTFS extended attributes, analyzing prefetch files, and trends for 2013 including growing mobile malware. It also summarizes testing of Windows 8 involving installing applications, connecting web accounts, and imaging a test laptop to analyze forensic artifacts.
(130105) #fitalk criminal civil judicial procedure in koreaINSIGHT FORENSIC
This document discusses digital forensics and the legal system in Korea. It provides an overview of criminal and civil judicial procedures, the role of expert witnesses, and precedents. It also examines the qualifications and certification process for digital forensics experts in Korea and other countries like the US. Key topics covered include how digital evidence is handled and the advantages of having an officially recognized expert.
(131116) #fitalk extracting user typing history on bash in mac os x memoryINSIGHT FORENSIC
This document provides an overview of extracting Bash command history from Unix memory images using digital forensics techniques. It discusses how Bash stores command history in memory and on disk, and how forensic analysts can extract that history from a memory dump. It includes a case study demonstrating extracting Bash history from multiple processes and showing that the "history -c" command only clears history for that individual process. The document aims to help digital forensics practitioners recover command history during memory forensics investigations.
4. Digital Forensics Specialist Group Page 4/42
포렌식 환경 변화
과거 해외 제품 리셀러에서 벗어나 자체 제품 개발 및 신규 서비스 모색
국내 기업 – 호스트/네트워크 기반 솔루션
• 해외 포렌식 제품 리셀링 + 포렌식 전문 교육
• 해외 포렌식 제품 리셀링 + 자체 정보감사 제품
• 더존비즈온 합병 해외 컨설팅(포렌식 랩 구축)
• 해외 포렌식 제품 리셀링 + 포렌식 전문 교육
9. Digital Forensics Specialist Group Page 9/42
포렌식 환경 변화
도구/인력 인증
도구/장비
인증
인력
인증
한국형 CFTT 디지털포렌식전문가자격
CCFP (ISC)2
EnCE (GuidanceSoftware)
CHFI (EC-Council)
GCFA (GIAC)
GCFE (GIAC)
10. Digital Forensics Specialist Group Page 10/42
포렌식 환경 변화
현장형 실무 인재 양성을 목표로 설립!!
• 군산대학교 법학+컴퓨터공학 (디지털포렌식전공)
• 동국대학교 국제정보대학원 정보보호학과 (사이버포렌식전공)
• 상명대학교 경영대학원 사이버보안경영학과 (포렌식과정)
• 서울전문학교 정보보호계열 포렌식보안과정
• 서울호서전문학교 사이버해킹보안과 (포렌식과정)
• 영산대학교 사이버경찰학과 (포렌식과정)
• 전주기전대학 포렌식정보보호과
• 한국IT전문학교 정보보호학과 사이버포렌식과정
포렌식 학과 개설
13. Digital Forensics Specialist Group Page 13/42
수집 관련 이슈
증거 수집과 무결성 – 형사소송법 106조 3항, 피압수자 참여권 (1/2)
제106조(압수)
③ 법원은 압수의 목적물이 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체(이하 이
항에서 "정보저장매체등"이라 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나
복제하여 제출받아야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나
압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에는 정보저장매체등을 압수할
수 있다. <신설 2011.7.18.>
압수 집행종료 시점은 언제인가?
• 수사기관 사무실로 옮긴 후, 전자정보를 탐색하는 과정 압수.수색영장 집행의 일환
압수과정에서 지켜져야 할 것은?
• 피압수자의 참여권 보장
• 압수 후 피압수자에게 압수목록 교부
16. Digital Forensics Specialist Group Page 16/42
수집 관련 이슈
원본과 증거 능력 (2/4)
원본이라면 무결성과 동일성이 인정되는가?
• (조건) – 원본일 경우 수정하기 어려워야 한다!!
• CCTV 원본 저장매체에 있는 영상 VS. USB로 복사된 영상
• SD 카드에 있는 블랙박스 영상 VS. 별도 저장매체로 복사된 영상
멀티미디어 데이터의 변조 식별 가능성
• 데이터 일부를 조작하거나 중간 영상 프레임을 삭제하는 경우 어느 정도(?) 식별 가능
• 영상의 뒷부분을 잘라버리는 경우 식별 불가능
17. Digital Forensics Specialist Group Page 17/42
수집 관련 이슈
원본과 증거 능력 (3/4)
원본이 증거능력을 가지려면!!
• 원본 데이터가 그 시스템에서 생성되었는지 증명이 필요!!
• 운영체제라면 포렌식 아티팩트로 증명 가능
• 단순히 데이터를 저장하는 방식인 경우(블랙박스, CCTV 등)는?
• 원본성을 증명할 수 있는 추가적인 방법 마련 필요!!
블랙박스 데이터 위/변조 방지 기능
19. Digital Forensics Specialist Group Page 19/42
수집 관련 이슈
증거 능력 이슈 (DEAD vs. LIVE)
• 자기 디스크 형식의 저장매체 DEAD 상태 가능!!
• 반도체 형식의 저장매체 DEAD 상태 불가능!!
왜 모바일 데이터 수집에는 관대한가?
EWF(Expert Witness Format)이 만들어진 이유?
라이브 데이터와 증거 능력
20. Digital Forensics Specialist Group Page 20/42
수집 관련 이슈
안드로이드 스마트폰 데이터 수집 방법
• MANUAL 수집
• S/W 기반 수집
Logical – Content Provider
Logical - ADB Backup
Physical – Rooting Exploitation + USB Debugging Mode
Physical – AP/BL Exploitation
Physical – Custom Recovery Image (Flashing)
• H/W 기반 수집
JTAG
Chip-Off + Re-balling
안드로이드 – 녹스(KNOX) (1/2)
23. Digital Forensics Specialist Group Page 23/42
수집 관련 이슈
최근 하드디스크는 패스워드 설정 기능 제공 (not BIOS)
• BIOS를 이용한 설정
• 3rd Party 도구를 이용한 설정
설정된 패스워드는 HDD SA(Service Area) 영역에 저장
2가지 패스워드
• 사용자 패스워드 (User Password), 사용자가 설정한 패스워드
• 마스터 패스워드 (Master Password), 제조사에서 미리 설정한 패스워드
사용자 패스워드 설정 방법
• ATA COMMAND : SECURITY SET PASSWORD
드라이브 락(LOCK)
28. Digital Forensics Specialist Group Page 28/42
수집 관련 이슈
엔터프라이즈 스토리지
• DAS, NAS
• IP(iSCSI) SAN, FC SAN
엔터프라이즈 스토리지 구성
• RAID (S/W, H/W)
• LVM
• JBOD
엔터프라이즈 저장매체 데이터 수집
31. Digital Forensics Specialist Group Page 31/42
수집 관련 이슈
디스크 포렌식 장점
• 삭제된 흔적 파악 가능
• 알려지지 않은 흔적 파악 가능
• 최후 스킬 사용 가능 (키워드, 패턴 검색 등)
디스크 포렌식 단점
• 디스크 획득 시간이 오래 걸림 분석 시간도 오래 걸림
• FILELESS 악성코드의 등장
식별만 빠르게 된다면, 빠른 분석을 위해 라이브 포렌식 필요!!
라이브 포렌식 활용 증가 (1/3)
32. Digital Forensics Specialist Group Page 32/42
수집 관련 이슈
라이브 포렌식 장점
• 빠른 데이터 수집 가능 빠른 분석
• 비즈니스 연속성에 영향을 미치지 않고 대응 가능
• DEAD 상태로 갈 수 없는 시스템 대응
• 최근 일어난 일을 정확히 알 수 있음 (안티안티포렌식)
• 인코딩, 암호화, 실행압축된 데이터를 비교적 쉽게 분석
라이브 포렌식 단점
• 디스크 기반 데이터 분석의 한계
• 식별 능력이 부족하거나 대응이 느릴 경우 활동도가 크게 떨어짐!!
조직의 목적에 따라 라이브 포렌식을 적극 활용하는 추세!!
라이브 포렌식 활용 증가 (2/3)
33. Digital Forensics Specialist Group Page 33/42
수집 관련 이슈
실시간 라이브 포렌식 활용
• 기존 시스템 이벤트 + 포렌식 아티팩트 모니터링
• 네트워크 기반 보안 제품 개념 호스트 기반으로…
실시간 라이브 포렌식 이슈
• 호스트 자원 사용의 최소화
• 수집된 이벤트의 규칙(룰) 생성
• 일석이조의 효과를 볼 수 있도록 수집 데이터 선별
라이브 포렌식 활용 증가 (3/3)
34. Digital Forensics Specialist Group Page 34/42
수집 관련 이슈
포렌식 분석팀 + 랩을 갖추기는 했는데… 업무 리소스의 대부분은 데이터 수집
• 부서간 물리적인 거리가 있는 경우
• 전국 단위의 지사를 보유하고 있는 경우
원격 포렌식의 이점!!
• 물리적으로 거리가 먼 시스템의 포렌식 아티팩트를 바로 수집 가능
• 필요한 경우 저장매체 이미징도 가능 (네트워크 속도에 기반, 업무 연속성 고려)
• 빠른 수집으로 빠른 분석 가능
• 불필요한 업무 리소스를 최소화
원격 포렌식 효과를 높이려면 식별 노력을 높이고, 빠른 대응 절차를 마련해야 함!!
원격 포렌식 활용 증가 (1/2)
35. Digital Forensics Specialist Group Page 35/42
수집 관련 이슈
원격 포렌식 활용 이슈
• 사고 당한 시스템을 인터넷에 연결시켜둬야 하는가?
• 전송 과정에 데이터 노출은 없는가?
• 라이브 포렌식 + 원격 포렌식 ReKall + GRR Rapid Response
원격 포렌식 활용 증가 (2/2)
HTTP
GRR Server
37. Digital Forensics Specialist Group Page 37/42
분석 관련 이슈
일반 복구
• 데이터 복구 분야에서 일반화
• 문서 파일, 동영상 파일, 그림 파일, 이메일 파일 등
포렌식 복구
• 포렌식 아티팩트 파일 복구
프리패치, 레지스트리, 바로가기 파일, 메타데이터 등
• 포렌식 레코드 복구
DB 레코드, 레지스트리 레코드 등
손상되었지만 포렌식적 의미가 있는 데이터
포렌식 복구 연구
ARTIFACTS
ARTIFACTS
38. Digital Forensics Specialist Group Page 38/42
분석 관련 이슈
안티포렌식 기술의 일반화
효과적 안티안티포렌식
• 상시 모니터링 강화 + 대응 절차 고도화 (골든 타임 준수)
안티안티포렌식
안티포렌식 안티안티포렌식
데이터 삭제 데이터 복구
데이터 은닉, 루트킷 은닉 탐지
암호화, 인코딩, 난독화 암호 분석, 디코딩, 난독화 해제
시간 조작, 메타데이터 조작 통합 분석
흔적 최소화 라이브 포렌식
자연 현상 빠른 대응
39. Digital Forensics Specialist Group Page 39/42
분석 관련 이슈
사고 준비도
사고 발생사전 대응 사후 대응 (포렌식)
한계 발생!! 한계 발생!!
사고 준비도
기술로 어렵다면 정책으로 보완하라!!
40. Digital Forensics Specialist Group Page 40/42
분석 관련 이슈
포렌식 아티팩트 분석 수준
인터넷
타임라인 분석
침해 유입 지표 침해 실행 지표 침해 전파 지표 침해 지속 지표
• 웹 브라우저 DBD
• ActiveX, Java Applet
• (스피어) 피싱 메일
• (외부) 저장매체
• 클라우드, 소스공유, FTP
• 프리패치/RecentFileCache
• 호환성 캐시
• 바로가기, 점프 목록
• 파일시스템 로그, VSC
• 레지스트리
• WER, AV 로그
• 네트워크 스캔
• ARP 스니핑, 스푸핑
• PTH (Pass The Hash)
• PTP (Pass The Pass)
• 스피어 피싱 메일
• 관리 서버 악용
• 악성코드 선호 경로
• 악성코드 선호 파일명
• 작업스케줄러
• 자동실행 목록
• 시간 조작
• 루트킷/슬랙 공간
41. Digital Forensics Specialist Group Page 41/42
분석 관련 이슈
타임라인 분석 + 인덱스 엔진 + 시각화
타임라인
• plaso
인덱스 엔진 사용
• SPLUNK
• ELASTIC SEARCH
시각화
• Timesketch
• Kibana
최근 데이터 분석 흐름