금융부문 컴퓨터포렌식

금융부문 컴퓨터포렌식 기술 -수사용 해킹 악성코드 프로파일링- 2011. 9. 2 정용욱 연구관 경찰청 사이버테러대응센터 (kit1989@paran.com)

Ⅰ. 금융망 해킹 시나리오 Ⅱ. 금융업계 해킹사고 및 유형 Ⅲ. 사이버테러용 툴킷의 변화 Ⅳ. 컴퓨터포렌식 적용기술 Ⅴ. 영상전달

직장 소개 사이버수사대 –16개 지방경찰청에 위치한 사이버 범죄 분석 및 수사를 수행하는 곳 사이버테러대응센터- 본청,서울 서대문구 미근동에 위치한 사이버범죄 분석 및 수사를 총괄하는곳 경찰청– 서울 지방경찰청은 광화문에 있으며 본청은 서대문구에 위치함. 수사국소속 사이버테러대응센터 직제

Ⅰ. 금융망 해킹 시나리오 ○ 목적 금융망에서 일어날수 있는 시나리오를 작성하고 그에 대한 대응방안을 만들어 해킹사고를 미연에 방지 ○ 적용대상 및 범위 은행의 전산자원을 대상, 내외부인의 접근 가능 시스템 통합 단말장비 및 네트워크 업무 관련된 정보/자료를포함한 DB 장비 및 네트워크

Ⅰ. 금융망 해킹 시나리오 ○ 침입자의 분류 외부 침입자: 외부 용역업체 직원의 전산자원 침해(실수) 내부 침입자: 은행 내부직원의 전산자원 침해(실수) ○ 침입의 구분 권한획득 및 변경 (관리자> 슈퍼사용자> 일반사용자) 서비스 거부공격으로 서비스 정지 자료변조 및 유출로 고객정보를 무단이용 은행내 시스템 및 서비스 탐지로 강력한 공격시도

Ⅰ. 금융망 해킹 시나리오 ○ 전통적 공격 Poor passsword 예측 -가족 한글이름, 전화번호, 핸드펀 번호, 자동차 번호판, 집주소 번지, 신용카드 뒷번호, 사번, 생년월일, 입사일자, 전역일자 , 진급일자등 ) HTTP 서버 취약성- 쿠키값 예측으로 시스템 권한획득 버퍼오버플로우- Set uid 프로그램 버그

Ⅰ. 금융망 해킹 시나리오 ○ 스니핑 장비관리자 권한으로 허브를 통하여 타장비의 내용도 스니핑 가능(암호화 된 세션, 공개키 기반 인증 제외) 데이터, 계정 암호, 개인 정보유출 타 사용자의 터미널 사용내용 유출

Ⅰ. 금융망 해킹 시나리오 ○ 세션 하이재킹 장비관리자 권한으로 허브를 통하여 타장비의 세션도 하이재킹 가능 영업점 단말과 BP(Branch Processor) 서버간 하이재킹 하이재킹 허브 영업점 단말기 BP 서버 OTP를 사용한 세션도 하이재킹 가능

Ⅰ. 금융망 해킹 시나리오 ○ IP 터널링 두 지점간의 접속을 통해 일반적 환경에서 라우팅 되지 못하거나 방화벽에 막힌 접속을 허용으로 변경하여 연결 전자메일, 내부자의 협조 타겟시스템 터널서버 인터넷 HTTP, ICMP, UDP 해커

Ⅰ. 금융망 해킹 시나리오 ○ 릴레이 공격 (내부망) 내부의 서버나 사용자 컴퓨터를라우터로 이용하여 릴레이 프로그램을 설치하거나 직접 로그인하여 공격 … 해커 인터넷

Ⅰ. 금융망 해킹 시나리오 ○ DDoS공격 서비스 거부공격을 분산환경에서 동시 다발적으로 진행하여서버에서 불가능한 대량의 트래픽을 발생시키는 공격 인터넷 해커 C&C 서버 좀비PC

Ⅰ. 금융망 해킹 시나리오 ○ 사용자 대상 공격 트로이목마를 전자메일 첨부, MS오피스, Outlook express등의 비쥬얼스크립트를 이용하여 설치후 원격공격 ○ 개발자의 DB 불법접근 및 프로그램 불법변경 DB에 불법으로 접근하여 정보를 유출, 파괴하고 특정계좌로 사용되지 않는 계좌의 돈을 입금토록 실행 시키는 공격 ○ 실행파일 프로그램 분석 통합 단말이나 미들웨어 프로그램의 실행파일을 분석하여 아이디, 암호를 유출하는 공격

Ⅱ. 금융업계 해킹사고 및 유형 ○ 해킹사고 -1 은행 전산망에 침투하여 고객정보를 빼어낸 후 이를 이용하여 협박을 시도한 사건 은행 계좌 개설 후 전산망에 침투하여 자신의 계좌로 예금 이체한 사건 악의적인 해커에 의해 서비스 거부 공격을 받아 은행업무 마비 발생 증권사의 사이버 주식 계좌를 해킹한 뒤 계좌를 이용한 주가 조작

Ⅱ. 금융업계 해킹사고 및 유형 ○ 해킹사고 -2 증권 전산망에 침입 후 고객 정보를 빼내고 백도어 프로그램을 설치 은행 인터넷 홈페이지에 접속한 후 인사관리부, 영업지원부, 조사부 등 관리자의 ID와 비밀번호 유출 인터넷 증권거래 프로그램의 보안상 허점을 이용해 해킹 프로그램을 제작한 뒤 시세를 조작, 부당이득 '스파이' 프로그램 심어 금융정보 DB 빼돌린 벤처임원의 불법 해킹 적발

Ⅱ. 금융업계 해킹사고 및 유형 ○ 해킹사고 -3 컴퓨터 해킹프로그램 이용 타인 예금 인출 증권 계좌도용 불법 주식거래 은행 인터넷뱅킹 해킹 후 고객정보 유출 및 거액 인출 새마을금고 여직원 횡령사고 농협 개인신용정보를 이용한 현금카드위조사건

Ⅱ. 금융업계 해킹사고 및 유형 ○ 해킹 보안 사고 유형 -1 트로이목마 프로그램을 이용하여 증권사 고객 계좌와 비밀번호를 알아내 시세를 조작, 부당이득을 취하거나 인터넷뱅킹에 접속 후 계좌이체등을 통해 부당 이익을 취함

Ⅱ. 금융업계 해킹사고 및 유형 ○ 해킹 보안 사고 유형 -2 사이버증권계좌의 ID와 비밀번호가 같고 단순한 4자리의 숫자로 구성된 경우가 많음을 악용, 무작위로 4자리수를 대입하는 방법으로 타인의 계좌정보를 획득하고 계좌에 있던 주식을 매도,매수하여 주가 조작 후 부당 이익을 취함

Ⅱ. 금융업계 해킹사고 및 유형 ○ 해킹 보안 사고 유형 -3 상/하한가의 제한 없이 거래가 이뤄지는 제3시장의 특성과 사이버증권계좌의 비밀번호가 허술하게 관리 되는 점을 악용, 제3시장의 사이버증권계좌를 해킹한후 자신의 주식을 타인의 계좌를 이용하여 고가에 매입하는 방법을 이용하여 부당 이익을 취함

Ⅱ. 금융업계 해킹사고 및 유형 ○ 해킹 보안 사고 유형 -4 내부 직원 및 퇴사한 증권사 직원에 의해 고객 정보가 유출되고 그 정보를 통해 사이버 선물계좌에 접속, 저가매수와 고가매도등의 주가조작을 통해 부당 이익을 취함

Ⅲ. 사이버테러용 툴킷의변화 “92~06 웹브라우저, 제로데이 취약점 이용 데이터의 지리적 분류,위치,성공률 탐지회피를 위한 폴리모피즘 엔진 메모리 복사기능으로 시스템다운 개발 및 전파

Ⅲ. 사이버테러용 툴킷의변화 “07~08 온라인 금융정보, 민감한 데이터 수집

Ⅲ. 사이버테러용 툴킷의변화 “09~10 공격용 툴킷의 전성기, 불법복제방지 적용 스파이아이 키로거로 웹브라우저 사용자의 정보 수집, 제우스와 통합

Ⅳ. 컴퓨터포렌식 적용기술 -백신업체 탐지유형 ○ 백신업체에서 채택한 악성코드 탐지방법 Signature - Reactive 특정 헥사코드 검사방식 Heuristic - 파일 쓰기 및 레지스트리 생성 명령어 검사방식 D.Heuristic - 가상영역에서 실행한 파일 정보를 Heuristic DB와 비교 S.Heuristic - 파일자체에서 실행없이Heuristic DB와 비교 N.Heuristic - 악성코드에서 사용하지 않는 명령어 검사

Ⅳ. 컴퓨터포렌식 적용기술 -백신업체 명명법 주요 백신업체 악성코드 명명형식

Ⅳ. 컴퓨터포렌식적용기술 –백신 알고리즘 ○ 백신 알고리즘 ⊃바이러스 분석알고리즘 ,[object Object],다중압축여부: Upacker>ExcCryptor> Upack>..,> UPX 50회 반복 ,[object Object],// 후킹된SDT가 다시 변조되었다면, 시스템 Rebootif (DirtyBit == 1) { wait_keyboard(); send_keycmd(0xFEh); } ,[object Object],[object Object]

Ⅳ. 컴퓨터포렌식적용기술 – 수사용 악성코드 프로파일링 악성코드 패턴 –트로이, 웜, 바이러스, 몰웨어, 애드웨어. 스파이웨어, 백도어 MS 표준함수 – 주요 내부 / 외부 함수 사용자 함수 – 인터럽트/ 레지스터 / 메모리 함수 사건 프로파일 -지역,성별,나이,특징,직업,전과기록

금융부문 컴퓨터포렌식

금융부문 컴퓨터포렌식

Recommended

Recommended

More Related Content

What's hot

What's hot (6)

Viewers also liked

Viewers also liked (10)

Similar to 금융부문 컴퓨터포렌식

Similar to 금융부문 컴퓨터포렌식 (20)

금융부문 컴퓨터포렌식