1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.

지금 이순간우리조직의 건강상태는 ?

윤 삼 수 / 전무, SECURITY ADVISOR2016.04.14

발표자 소개

윤 삼 수

• 95년 Internet Service Provider, 기술총괄

• 국내1호, K4 인증 수호신 방화벽, 기술기획

• Hackers Lab 설립 맴버

• CIRT/보안관제, 본부장

파아이어아 코리아 / 전무, Security Advisor

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.3

MANDIANT

• 전세계 17개국 350여명 이상의 침해사고 조사 컨설턴트의 실전 결과물

• 년간 250여건의 침해사고 조사

• APT1 (중국 61398부대), 한글 취약점 공격, 우크라이나 정전사태 리포트 등

• M-TRENDS : Mandiant 위협 트랜드 년간 리포트

• 16,000 그룹이상 공격자 프로파일링

1440 McCarthy Boulevard tel 408.321.6300 | fax 408.321.9818 1440 McCarthy Boulevard tel 408.321.6300 | fax 408.321.9818 Milpitas, California 95035 info@FireEye.com | www.FireEye.com

Hangul Word Processor (HWP) Zero-Day

-possible ties to North Korean threat actors-

Authors:)Genwei)Jiang,)Josiah)Kimble) FireEye recently identified several malicious documents in the wild that exploit a previously unknown vulnerability (CVE-2015-6585) in the Hangul Word Processor (HWP). HWP, published by a South Korean company, is a Korean word processing application. It is widely used in South Korea, primarily by government and public institutions. Some HWP programs are frequently used by private organizations, such as HWP Viewer. The payloads and infrastructure in the attack are linked to suspected North Korean threat actors. Hancom patched CVE-2015-6585 with a security update on September 7, 2015.

Exploit Details

HWP 2014 introduced support for the KS (Korean Industrial Standards) standardized HWP file format (HWPX). Although HWPX-formatted documents use the .hwpx extension by default, they may also use the file extension .hwp of older HWP files. The new format, OWPML (Open Word-Processor Markup Language), uses XML files within a zip archive. The structural differences between HWP and HWPX documents are similar to those between Microsoft Word .doc and .docx files. Para text is a data record type that stores the content of each paragraph in body text. When parsing a para text tag within an .hwpx file, a logic error in hwpapp.dll results in a type confusion scenario. When paired with an appropriate heap spray, this vulnerability can affect code execution. An HWPX file is structured like an archive or zip file that contains a set of directories and XML files. The XML in the Contents directory defines what data the HWPX file contains, as well as how to render the data. Contents/section1.xml (shown in Appendix 1) contains the XML that triggers the vulnerability. The para text is written as follows: hp:p hp:run hp:ctrl hp:secPr hp:t hp:linesegarray hp:lineseg hp:lineseg Figure 1: Para text structure The parser creates an object for lineseg items, and parse and store the attributes within it (Figure 2). <hp:lineseg textpos="5" vertpos="1600" vertsize="1000" textheight="1000" baseline="850" spacing="600" horzpos="0" horzsize="42520" flags="393216"/>

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.(

Z Red Teaming, 모의해킹

Z 조직 보안 준비도 평가 (SPA)

Z 침해대응 준비도 평가 (RRA)

Z ICS 보안 평가 (산업시설)

Z 침해평가 서비스 (CA)

Z 침해조사 서비스 (IR)

Z 사이버방어 센터 구축 (CDC)

Z SOC/CIRT 조직 혁신

Z 전문 교육

AM I AT RISK?

AM I PREPARED?

AM I COMPROMISED?

I AM BREACHED!

PREPARE FOR FUTURE EVENTS

MANDIANT 컨설팅 서비스

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.)

표적(APT) 공격의 진행 과정

초기 침투 거점 확보 권한 확대 내부 정찰 목적 달성

내부 전파연결유지

• 커스텀 악성코드 실행

• 1&1 접속

• e격 w구 s운로드

• c정 탈취

• 해쉬 크래킹

• 암호 우회

• 중요 시스템 확인

• 시스템, 엑티브 디렉토리, c정 정보 열거

• 경유지 서버

• 데이터 취합

• 데이터 유출

• 사회 e학 k법

• 스피어피싱

• :HU VTH 명령어

• 파워 쉘

• 리버스 접속

• 백w어 변종 분산

• 백w어 은폐

• AP: 접속

146일

그들이 목적을 달성 하기 전에 …

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.6

사이버 땅굴

발견 à 차단

미발견 à 활동중

미발견 à 휴면상태o 최대 기간은 2,983일(8년 이상)o 일본의 경우 :950일 (2.6p)o 한i의 경우 :1,035일 (2.8p)

(16

&(3 &&- &0)146

&011 &01& &013 &01( &01)

침해 인지 (평균 146일 이상 소요)

53

%

47

%

외부로부터 통지

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.7

사고는 안전하다고 믿는 곳에서 시작된다 !

일반직원

Internet

개발자 운영자

IDC : 서비스망

DMZ : 내부서비스

업무망

VPN

• 협력업체• 유지보수 업체

일반직원 à 개발자, 운영자 à 주요시스템 내부시스템 ß 외주/협력업체

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.,

THE BREACH (사례)

공격자 : 3 공격기간

3개월à 5년

침해인지

정보기관통보

유출정보• 연구자료• 고객정보

• 임원 이메일

공격자 공격기간

950일 (2.6년)2012.10~2015.5

침해인지

외부기관통보

유출정보• 임원/관리자 이메일• 중요 문서 파일

• 사업계획, 재무정보영업기밀, 마케팅분석회원정보 등

중국APT그룹

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.10

이런 경우 어떻게 조치 하시나요 ?

일반직원

Internet

개발자 운영자

IDC : 서비스망

DMZ : 내부서비스

업무망

VPN

• 협력업체• 유지보수 업체

3. Callback Event 발생• 0EFMGooS.APT.SO5U• TSoLEP.APT.APT1.2:S• 279SB7T16

1. 악성코드 감염 발견• BoSO.BiP3&.AVUoSVP.BD• TSoLEP.APT.:EiMoP• AiSVT.BiP3&.SENiUy.AT

2. 악성코드 반복 감염• 백신 치료• 디스크 포맷

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.11

이런 경우 어떻게 조치 하시나요 ?

일반직원

Internet

개발자 운영자

IDC : 서비스망

DMZ : 내부서비스

업무망

VPN

• 협력업체• 유지보수 업체

3. Callback Event 발생• 0EFMGooS.APT.SO5U• TSoLEP.APT.APT1.2:S• 279SB7T16

1. 악성코드 감염 발견• BoSO.BiP3&.AVUoSVP.BD• TSoLEP.APT.:EiMoP• AiSVT.BiP3&.SENiUy.AT

2. 악성코드 반복 감염• 백신 치료• 디스크 포맷

초기대응실패• 불안감• 찜찜함

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.1&

지기(��) : 정밀/정기검진

과거 현재

사이버위협은 면역력이 생기지 않는다 !!

문진표 / 과거병력

• B형간염 보균

• 재발, 전위

미래

일반건강검진

• 암세포 발견 못함

• 잠복, 전위

정밀검진/정기검진

• PET/CT, MRI (암 정밀진단)

• 예방, 조기진단

과거 이력 의존한 차단봉

• 방화벽

• 백신, IPS (과거이력)

침투 가능성만 모의테스트

• 모의해킹

• 취약점 점검

침투경로 테스트 대상 :서버

침투/침해 확인

대상 :PC + 서버

사이버공격자 침투 여부 확인

• 상시 사이버 안전진단

신분증확인 à우회

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.13

지기(��) : 정밀/정기검진

과거 현재

사이버위협은 면역력이 생기지 않는다 !!

문진표 / 과거병력

• B형간염 보균

• 재발, 전위

미래

일반건강검진

• 암세포 발견 못함

• 잠복, 전위

정밀검진/정기검진

• PET/CT, MRI (암 정밀진단)

• 예방, 조기진단

과거 이력 의존한 차단봉

• 방화벽

• 백신, IPS (과거이력)

침투 가능성만 모의테스트

• 모의해킹

• 취약점 점검

침투경로 테스트 대상 :서버

침투/침해 확인

대상 :PC + 서버

사이버공격자 침투 여부 확인

• 상시 사이버 안전진단

신분증확인 à우회

은익형 공격 (지적자산, 경유, 잠복)

• 원인 확인

à 안심

à 명확한 보완책 강구

à 효울적인 투자 의사결정 가능

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.1(

맨디언트의 서비스

9EPGiEPU의 서비스는 타겟 공격의 존재/활동 여부를 빠르게 확인할 수 있는 kr을 제e

ü n트워크, 엔드포인트, 로j 분석 정보

ü 침해 시스템에 u한 확인 데이터

ü e격자 행위 정보

ü 확인y 침해 정보 요약

주요 산출물

침해사고 흔적 확인 공격자 행위 정보 대응책 수립

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.1)

수행 방법론네트워크, 호스트 기반 조사를 위한 솔루션 설치주요 e격 j©에 u한 e격 w구, 방법론, 의w에 u한 침해 흔적 지표 (7PGiFEUoST oI 1oORSoOiTH 보유

침해사고 조사를 통해 축적된 인텔리전스 이용맨디언트의 축적y 침해 흔적 지표(7PGiFEUoST oI 1oORSoOiTH 를 바탕으로 호스트 및 n트워크 k반의현재 또는 예전의 침해흔적 조사

비정상 행위에 대한 확인(Edge-analysis)e격 j©에 u한 특징 및 성향을 바탕으로 호스트 및 n트워크 k반 조사를 수행하며, 해t 조직의일반적인 특징f는 s른 의심되는 행위에 u한 분석 수행

수집된 침해사고 관련 데이터 분석침해 흔적이l 비정상 행위 발a 시 수집y 데이터와 침해사d와의 연g성 분석 수행

확인된 정보 요약 및 보고1A 수행 f정에 u한 절차 및 확인y 주요 침해사d g련 위협, k업에서 수행할 수 있는 조치 항목에u한 보d서 제e

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.16

수행 절차

d객사 요구사항 미팅 9EPGiEPU 제품 설치9EPGiEPU 7O1를 이용한

스캔 수행침해 여부 레포팅

호스트 기반 솔루션

• 엔드포인트에 u한 가시성 제e

• AgHPU k반의 솔루션

• 모든 윈w우 시스템에 설치

• 이전에 발생한 모든 침해사d 지표

확인

• 모든 호스트에 u하여 7O1 k반 검색

네트워크 기반 솔루션

• n트워크에 u한 가시성 제e

• 인터o g문에 설치

• 알려진 악성코드에 의한 트래픽

복호화

• 1&1 통신 m역 재구성

• 데이터 유출 시w 확인

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.17

문의

홈페이지 . WWW.IiSHHyH.MS

전 화 . 0&-))--0730 (한i

이메일 : korea-mandiant@fireeye.com

1OPCR756T Y &016, 47R33C3, 7:1. A88 R756TS R3S3RA32.1,

감사합니다