라자루스 그룹이 사용한 안티 포렌식 기법
Contents
약 1년 전부터 라자루스 공격 그룹의 악성코드가 국내의 방산, 인공위성, 소프트웨어, 언론사 등 다수의 업체들에서 발견되고 있어, 안랩 ASEC 분석팀은 라자루스 공격 그룹의 활동 및 관련 TTP’s를 지속적으로 추적하고 있다.
본 글에서는 최근 사례 중 라자루스 그룹이 침해한 시스템에서 확인된 안티 포렌식 흔적과 내용을 공유하고자 한다.
개요
안티 포렌식 정의
안티 포렌식이란 범죄 현장에서 증거의 존재를 훼손시켜 부정적인 영향을 미치거나 증거 분석 및 조사 과정을 방해하거나 어렵게 만들려는 시도를 말한다. 일반적으로 침해사고 관점에서의 안티 포렌식의 목적은 다음과 같다.
- 탐지 회피 및 정보 수집 방해
- 디지털 포렌식 분석가의 분석 시간 증가
- 디지털 포렌식 도구가 동작하지 못하도록 하거나 오류 발생 유발
- 사용 흔적이나 도구 실행 흔적을 발견하지 못하도록 로깅을 차단/우회하거나 삭제
라자루스 그룹은 자신이 수행한 악성행위를 은닉하기 위한 목적으로 안티 포렌식을 수행했다.
안티 포렌식 기법
안티 포렌식 분류에 대해 다양한 기준이 존재하나 본 내용에서는 가장 널리 통용되고 있는 Dr. Marcus Roger가 제시한 안티 포렌식 분류를 사용해, 라자루스 그룹이 수행한 은닉 행위를 구분하고 분석했다.
Dr. Marcus Roger는 포렌식 분석을 방해하는 안티 …
본 글에서는 최근 사례 중 라자루스 그룹이 침해한 시스템에서 확인된 안티 포렌식 흔적과 내용을 공유하고자 한다.
개요
안티 포렌식 정의
안티 포렌식이란 범죄 현장에서 증거의 존재를 훼손시켜 부정적인 영향을 미치거나 증거 분석 및 조사 과정을 방해하거나 어렵게 만들려는 시도를 말한다. 일반적으로 침해사고 관점에서의 안티 포렌식의 목적은 다음과 같다.
- 탐지 회피 및 정보 수집 방해
- 디지털 포렌식 분석가의 분석 시간 증가
- 디지털 포렌식 도구가 동작하지 못하도록 하거나 오류 발생 유발
- 사용 흔적이나 도구 실행 흔적을 발견하지 못하도록 로깅을 차단/우회하거나 삭제
라자루스 그룹은 자신이 수행한 악성행위를 은닉하기 위한 목적으로 안티 포렌식을 수행했다.
안티 포렌식 기법
안티 포렌식 분류에 대해 다양한 기준이 존재하나 본 내용에서는 가장 널리 통용되고 있는 Dr. Marcus Roger가 제시한 안티 포렌식 분류를 사용해, 라자루스 그룹이 수행한 은닉 행위를 구분하고 분석했다.
Dr. Marcus Roger는 포렌식 분석을 방해하는 안티 …
IoC
064D696A93A3790BD3A1B8B76BAAEEF3
1E7D604FADD7D481DFADB66B9313865D
1F1A3FE0A31BD0B17BC63967DE0CCC29
202A7EEC39951E1C0B1C9D0A2E24A4C4
27DB56964E7583E19643BF5C98FFFD52
61B3C9878B84706DB5F871B4808E739A
67D306C163B38A06E98DA5711E14C5A7
6EA4E4AB925A09E4C7A1E80BAE5B9584
747177AAD5AEF020B82C6AEABE5B174F
7870DECBC7578DA1656D1D1FF992313C
8543667917A318001D0E331AEAE3FB9B
97BC894205D696023395CBD844FA4E37
B3E03A41CED8C8BAA56B8B78F1D55C22
B457E8E9D92A1B31A4E2197037711783
BA741FA4C7B4BB97165644C799E29C99
BD47942E9B6AD87EB5525040DB620756
C09B062841E2C4D46C2E5270182D4272
C16A6178A4910C6F3263A01929F306B9
C7256A0FBAB0F437C3AD4334AA5CDE06
CA9B6B3BCE52D7F14BABDBA82345F5B1
E73EAB80B75887D4E8DD6DF33718E3A5
FC8B6C05963FD5285BCE6ED51862F125
1E7D604FADD7D481DFADB66B9313865D
1F1A3FE0A31BD0B17BC63967DE0CCC29
202A7EEC39951E1C0B1C9D0A2E24A4C4
27DB56964E7583E19643BF5C98FFFD52
61B3C9878B84706DB5F871B4808E739A
67D306C163B38A06E98DA5711E14C5A7
6EA4E4AB925A09E4C7A1E80BAE5B9584
747177AAD5AEF020B82C6AEABE5B174F
7870DECBC7578DA1656D1D1FF992313C
8543667917A318001D0E331AEAE3FB9B
97BC894205D696023395CBD844FA4E37
B3E03A41CED8C8BAA56B8B78F1D55C22
B457E8E9D92A1B31A4E2197037711783
BA741FA4C7B4BB97165644C799E29C99
BD47942E9B6AD87EB5525040DB620756
C09B062841E2C4D46C2E5270182D4272
C16A6178A4910C6F3263A01929F306B9
C7256A0FBAB0F437C3AD4334AA5CDE06
CA9B6B3BCE52D7F14BABDBA82345F5B1
E73EAB80B75887D4E8DD6DF33718E3A5
FC8B6C05963FD5285BCE6ED51862F125