유명 기업 보안 시스템을 연달아 뚫다 2편
Contents
■ Indicator of Compromise(IOC) 분석
IOC는 침해 지표라는 용어로도 사용되며, 침해 사고를 분석하는데 사용되는 지표를 뜻한다. 사고 분석 시 네트워크 또는 운영체제에서 발견되는 증거의 유형을 기록화한 것으로써, 일반적으로는 공격자가 사용하는 바이러스 서명, 멀웨어 MD5 해쉬, C&C IP 및 도메인 주소, 악성코드 다운로드 주소지 등이 IOC 지표를 수립하는데 중요한 항목이 될 수 있다. 앞서 언급한 침해 사고 4건의 사례 중 공격자가 사용한 악성코드 파일에 대한 면밀히 분석하였고, 그 결과는 아래와 같다.
1. 분석 대상 파일
|
|
CASE
|
|
FILENAME
|
|
MD5
HASH
|
|
A사
|
|
**p.exe(121KB)
|
|
****53*34*******a462f***1e****19
|
|
s***os**.exe(121KB)
|
|
7***55********913*******116*****
|
|
B사
|
|
a***s.exe(122KB)
|
|
******9d8c***981f1***79*****0c**
|
|
**m****.exe(121KB)
|
|
7b6******af385*****af4****6a****
|
|
C사
|
|
D****S**.exe(122KB)
|
|
*****19*8c*****1f1e**79****10c**
2. 프로파일링 요소
- 제작시간(Build Time)
A사, B사, C사 케이스에서 발견된 유사 샘플은 총 두 가지 유형으로, 최초 제작 파일 버전과 코드가 일부 수정된 변종 파일 버전으로 확인되었다. 두 샘플은 유사한 시간대에 제작된 것으로 추정된다.
- 코드 흐름(Code Flow)
악성코드 동작 시 시스템의 정보를 수집하기 위한 주요 루틴이 동일한 것으로 보아, 제작자는 코드를 재사용한 것으로 추정된다.
- 인코딩 스트링(Encoded Strings)
윈도우 레지스트리 키 값, 사용할 API 문자열 등 악성코드 동작 시 사용될 데이터가 쉽게 탐지되지 않도록 인코딩하여 저장하고 있다. 또한, 해당 값을 디코딩 하였을 때 …
IOC는 침해 지표라는 용어로도 사용되며, 침해 사고를 분석하는데 사용되는 지표를 뜻한다. 사고 분석 시 네트워크 또는 운영체제에서 발견되는 증거의 유형을 기록화한 것으로써, 일반적으로는 공격자가 사용하는 바이러스 서명, 멀웨어 MD5 해쉬, C&C IP 및 도메인 주소, 악성코드 다운로드 주소지 등이 IOC 지표를 수립하는데 중요한 항목이 될 수 있다. 앞서 언급한 침해 사고 4건의 사례 중 공격자가 사용한 악성코드 파일에 대한 면밀히 분석하였고, 그 결과는 아래와 같다.
1. 분석 대상 파일
|
|
CASE
|
|
FILENAME
|
|
MD5
HASH
|
|
A사
|
|
**p.exe(121KB)
|
|
****53*34*******a462f***1e****19
|
|
s***os**.exe(121KB)
|
|
7***55********913*******116*****
|
|
B사
|
|
a***s.exe(122KB)
|
|
******9d8c***981f1***79*****0c**
|
|
**m****.exe(121KB)
|
|
7b6******af385*****af4****6a****
|
|
C사
|
|
D****S**.exe(122KB)
|
|
*****19*8c*****1f1e**79****10c**
2. 프로파일링 요소
- 제작시간(Build Time)
A사, B사, C사 케이스에서 발견된 유사 샘플은 총 두 가지 유형으로, 최초 제작 파일 버전과 코드가 일부 수정된 변종 파일 버전으로 확인되었다. 두 샘플은 유사한 시간대에 제작된 것으로 추정된다.
- 코드 흐름(Code Flow)
악성코드 동작 시 시스템의 정보를 수집하기 위한 주요 루틴이 동일한 것으로 보아, 제작자는 코드를 재사용한 것으로 추정된다.
- 인코딩 스트링(Encoded Strings)
윈도우 레지스트리 키 값, 사용할 API 문자열 등 악성코드 동작 시 사용될 데이터가 쉽게 탐지되지 않도록 인코딩하여 저장하고 있다. 또한, 해당 값을 디코딩 하였을 때 …