해킹사례와 소셜넷 분석을 통한 해커프로파일링 - krnet · 2014-06-13 · 42 krnet...
TRANSCRIPT
KRnet 2014
해킹사례와 소셜넷 분석을 통한 해커프로파일링
2014.06.23
42 KRnet 2014
1. Intro
2. Artifact-centric analysis
3. Case-centric analysis
4. Human-centric analysis
5. Cyber-Genome and application
42 KRnet 2014
Modus operandi (plural modi operandi) is a Latin phrase, approximately translated as "method of operation". The term is used to describe someone's habits of working, particularly in the context of business or criminal investigations. In English, it is often shortened to M.O.
The expression is often used in police work when discussing a crime and addressing the methods employed by the perpetrators. It is also used in criminal profiling, where it can help in finding clues to the offender's psychology. It largely consists of examining the actions used by the individual(s) to execute the crime, prevent its detection and/or facilitate escape. A suspect's modus operandi can assist in his identification, apprehension, or repression, and can also be used to determine links between crimes.
http://en.wikipedia.org/wiki/Modus_operandi
42 KRnet 2014
Cyber-Genome ◦ Cyber Security Intelligence System
악성코드를 통해 유사 악성코드, 관련 해킹 사고, 관련 해커정보를 교차분석, 추론할 수 있도록 하는 시스템
4
Artifact-centric analysis
Human-centric analysis
Case-centric analysis
악성코드 헤더,메타데이터,코드 정보
해커 지역, 성향, 관심사 등 정보
해킹 사건 지역, IP, Email 등 정보
해커 ID, Email, 관련 IP 등 정보 사건 관련 IP, Email, 해커 등 정보
42 KRnet 2014
DARPA – Information Innovation Office ◦ http://www.darpa.mil/Our_Work/I2O/Programs/
◦ Cyber Defense(Cyber Genome)
Mission-critical information system
Developed an application to reverse engineer malware samples to find the "genetic" features
5
42 KRnet 2014
최근 문헌 (funded by Cyber Genome Grant) ◦ Software analysis in the semantic web, SPIE, 2013
◦ Inferring Accurate Histories of Malware Evolution from Structural Evidence, AAAI FLAIRS, 2013
◦ 7 Learning a Portfolio-Based Checker for Provenance-Similarity of Binaries, Results of SEI Line-Funded, 2012
◦ Conference 8757: Cyber Sensing 2013
◦ Towards automatic software lineage inference, USENIX Security, 2013
◦ Visualization of shared system call sequence relationships in large malware corpora, VizSec, 2012
◦ Continual Keystroke Biometric Authentication on Short Bursts of Keyboard Input, CSIS, 2012
6
42 KRnet 2014
1. Intro
2. Artifact-centric analysis
3. Case-centric analysis
4. Human-centric analysis
5. Cyber-Genome and application
42 KRnet 2014
기존 Antivirus, IDPS 등 많은 보안제품에서 활용 중
필요성 - 악성코드 발생량의 급증 ◦ 신종 및 변종 악성코드 발생량의 기하급수적인 증가
매일 55,000건의 신종 악성 프로그램이 발생 (AV-TEST)
영화 Pearl Harbor (2001) 중
42 KRnet 2014
Function oriented
Autopsy oriented
(Static, dynamic..)
Symptom oriented
• 악성코드 class 별 특징 분류
• Similarity based search
• Clustering/classification
• Input: malware
• Output: malware class, previous
solution, related
CVE/CWE/CAPEC
• merit: triage, automated
42 KRnet 2014
Various feature of malware ◦ Linker version, language, timestamp, OS version, entry point, compiler
version
◦ Packing, packer type
◦ MD5, entropy
◦ Resources : nation
◦ Strings : CAPI, C&C(ip, url, email)
◦ …
Classification of malware based on these extracted features
Quick variants detection
42 KRnet 2014
Case study ◦ 주요 시스템 콜을 문자화
시스템 콜에 영문자를 1:1 대응
NtOpenFile A
NtOpenProcessToken B
NtCreateSemaphore C
NtOpenProcessTokenEx D
···
NtOpenFile NtOpenProcessToken,
(A) (B)
NtCreateSemaphore, NtOpenProcessTokenEx,
(C) (D)
···
ABCD,…
42 KRnet 2014
행위 기반 주요 시스템 콜 추출 ◦ Trojan, Adware, Backdoor 등에서 자주 사용되는 시스템 콜(Native API) 추출
◦ Windows 의 주요 297개의 Native API 중 18개 Native API 추출
악성코드들 중 공통적으로 1회 이상 호출되었으나, 정상 프로그램에서 빈번하게 호출되지 않는 것들을 기준으로 선택
악성코드 진단명 주요 시퀀스 서열 샘플 프로그램
개수
TR/Agent NANAB-FSEDFSAG 66
TR/Crpyt.XPACK.Gen AQNSNANAQABFSEDFSIO 114
Adware ASCASNQNQ 60
TR/Rootkit.Gen FEDFMAKMRQA 10
Worm/ SABFSEDFSAGBFS 21
TR/Dropper.gen LSEDFSBHSASCASMSO 102
42 KRnet 2014
동일한 시스템 콜 시퀀스 정렬 ◦ Multiple Sequence Alignment 을 통해 여러 악성코드에서 동일하게 발생하는
시스템 콜 시퀀스 추출
42 KRnet 2014
1. Intro
2. Artifact-centric analysis
3. Case-centric analysis
4. Human-centric analysis
5. Cyber-Genome and application
42 KRnet 2014
Why case-centric? ◦ Designed for Case-based reasoning
“비오는 날 OO지역에서 붉은 코트를 입은 여성들을 OO 흉기로 잔인하게 공격한 사건” 관련 용의자 추출
육하원칙 - when, who, where, what, which, how (5W1H) – 에 의거한 profiling
동일 기관에 대한 해킹 – timeline, 기법, target 에 대한 높은 correlation
◦ 장점 – 쉬운 knowledge based response, 사람의 생각 흐름과 유사 (learning by example)
◦ 단점 – new case 에 대한 처리능력, 풍성한 case 수집필요
Case vector = (attack date, attackers’ IP, attackers src port, target IP, target port,
target application, target application’s version, target OS, target OS version,
target OS architecture, attack pattern string)
42 KRnet 2014
hacked by Hastati (nation-wide cyber-terror by North Korea presumably, 20-March, 2013) ◦ 'PRINCPES', 'HASTATI'
Hacked by Hastati (see the image) : found in Korea Broadcast System’s web site.
PRINCIPES and HASTATI strings are written in MBR record sectors by the malware. It destroyed the all PCs in broadcasting system and Banking systems.
16
42 KRnet 2014
17
42 KRnet 2014
18
42 KRnet 2014
PRINCIPES, HASTATI
◦ Latin word – attack formation of the old Roman region
We found the HASTATI and PRINCIPES strings on the defaced web and MBR record.
Then, where is the TRIARII?
19
42 KRnet 2014
What can you guess with this defacement result (LGU+ site, attack by Whois, 20-Mar-2013)
20
42 KRnet 2014
Possible guess ◦ Used images : 3 Calaveras
This image is related to Muslim religion.
This image is mostly used in Europe.
◦ Hacker’s messages charset=windows-1252 (western European encoding)
유럽 해킹그룹?
Who is Whois? ◦ Whois 그룹은 활동하지 않은지 이미 오래
21
42 KRnet 2014
Profile match (D 사 결과) ◦ Xrapt0r" and "Mauritania Hacker Team"
◦ Mauritania is a West-African French-speaking Muslim country, and a page apparently set up by Xrapt0r is in French and they call themselves Muslims. MHT was involved in several hacks across the ME, including Israel, as well as Bangladesh - another Muslim country.
42 KRnet 2014
Research sheds light on “Dark Seoul” sabotage gang (according to Symantec)
http://www.scmagazine.com/research-sheds-light-on-dark-seoul-sabotage-gang/article/300938/
Four-year hacking spree in Seoul Korea blamed on “Dark Seoul Gang”
http://news.yahoo.com/four-hacking-spree-south-korea-blamed-dark-seoul-033835422.html
42 KRnet 2014
Defacement Case 수집 ◦ 1999년부터 최근까지의 Case들을 크롤러를 통하여 수집
◦ Mirror Page 外 : 제보 날짜, Notify, Domain, IP Address, System, Web Server 정보
◦ Mirror Page 內 : Message, Encoding, Font, E-mail, MSN, Hacker, Hacker Group 정보
24
42 KRnet 2014
SWAN case
25
미국, 영국, 독일 이탈리아 등 다양한 국가를 대상으로 공격, 이슈화 시키기가 용이하다고 생각하는 중국을 대상으로 대량 공격
주로 2009년 6월달에만 공격을 시행하였다.
42 KRnet 2014
SWAN case
26
미국, 영국, 독일 이탈리아 등 다양한 국가를 대상으로 공격, 이슈화 시키기가 용이하다고 생각하는 중국을 대상으로 대량 공격
주로 2009년 6월달에만 공격을 시행하였다.
42 KRnet 2014
What happened at Jun-2009?
What makes this hacker so angry?
27
42 KRnet 2014
What happened at Jun-2009?
What makes this hacker so angry?
28
42 KRnet 2014
What happened at Jun-2009?
What makes this hacker so angry?
29
42 KRnet 2014
S4T4N1C_S0ULS case
30
다양한 나라를 공격했지만 특히 메시지로 남긴
8개국의 해킹횟수가 훨씬 두드러지게 많았다. Attacker profile : 포르투갈어 모국어, 경제위기를
맞은 국가 관련 해커
Next attack : 다음 G8 summit 시기 전
42 KRnet 2014
S4T4N1C_S0ULS case
31
다양한 나라를 공격했지만 특히 메시지로 남긴
8개국의 해킹횟수가 훨씬 두드러지게 많았다.
포르투갈어로 되어있었고, 구글 번역기로 확인한 결과 “가난한 나라를 방치하는 8개의 부자 국가들은
사라져야” 한다 라는 내용이었다.
Attacker profile : 포르투갈어 모국어, 경제위기를
맞은 국가 관련 해커
Next attack : 다음 G8 summit 시기 전
42 KRnet 2014
◦ Keyword – Syria
Mr.Kro0oz.305
2013.10.16 일에만 34건
42 KRnet 2014
◦ Keyword – Syrian anonymous
42 KRnet 2014
2014 vs. 2013 ◦ 2013: 아랍어 버전 메시지, 미, 캐나다 위주 공격 => 1차 타겟은 미국 내 호스팅 된 ir (이란), sa (사우디) domain
◦ 2014: 영문 버전 메시지, 브라질 등 다른 나라로 공격 확대
42 KRnet 2014
2014.3.30 14:16 http://www.cit.sc.gov.br 150.162.249.17 Brazil Linux nginx
2014.3.30 18:49 http://www.nucleodelatim.ufsc.br 150.162.249.17 Brazil Linux nginx
2014.3.30 18:49 http://designlab.ufsc.br 150.162.249.17 Brazil Linux nginx
Why Brazil? ◦ 2014.03. 브라질 시리아 난민 수용에 적극적
◦ 2014.03 브라질 시리아 반군 무기지원 반대의견 견지
◦ + 월드컵
42 KRnet 2014
1. Intro
2. Artifact-centric analysis
3. Case-centric analysis
4. Human-centric analysis
5. Cyber-Genome and application
42 KRnet 2014 37
Human-
centric
분석 시스템
분석 결과
Database
사용자 분석 수행
해커 정보 수집/분석
온톨로지 Database
42 KRnet 2014
Ontology scheme and examples
38
Ontology
System Hacking
Password Cracking
Dictionary attack
Brute Force attack
Hide attack
Backdoor
Local backdoor
Remote backdoor
Application Hacking
Reversing Engineering
Decompile
Disassemble
Network Hacking
Scanning
Nmap
Winscan
Superscan
Denial of Service
Flood
Trinoo
Smurf
Teardrop
Syn flooding
Web Hacking
XSS
Reflected XSS
Stored XSS
Wireless Hacking
WLAN hacking
Aircrack
Airopeek
Airsnort
…
…
…
42 KRnet 2014
국내 해커 커뮤니티 중 하나인 Bugtruck
39
Hacker가 작성한 글, 답글 Crawling
Nickname, email, 관계 Crawling
Profile에서 홈페이지, 페이스북 등 정보 획득
42 KRnet 2014
Hackers’ Relationship ◦ 댓글 정보, e-mail 주소분석을 통한 성향분석, posting 내용을 ontology 기반 분석
40
42 KRnet 2014
Human features ◦ ID
해커의 아이디
해커의 이메일 주소
◦ Location
해커의 지역 정보 (국가)
◦ Date
작성일
◦ Topic 1 … N
해커의 관심 주제
◦ Count of Topic 1 … N
관심 주제별 게시글 수
◦ The number of topics
관심 주제 종류 수
◦ The number of articles
해커의 전체 게시글 수
41
42 KRnet 2014
Human Information Crawling Sites ◦ http://www.hacker.org/forum/
◦ 전체 유저 수 : 1,492
◦ 전체 게시글 수 : 12,548
◦ 기간 : 2007-01-31 ~ 2013-10-15
42
42 KRnet 2014
Hacker.org analysis/visualization
42 KRnet 2014
해커 네트워크 구성 및 시각화 ◦ 해커의 지역 정보 / 네트워크 / 를 Google Earth를 통해 시각화
44
42 KRnet 2014
1. Intro
2. Artifact-centric analysis
3. Case-centric analysis
4. Human-centric analysis
5. Cyber-Genome and application
42 KRnet 2014
ID : In4matics E-Mail : [email protected] 관심사 : XSS, SQL Injection
URL, E-mail Input
46
Cyber Genome
human-centric
artifact-centric
case-centric
artifact-centric
human-centric
case-centric
The Most Similar Case ID : Ryan Case Date : 2001/08/18 Domain : www.zftec.gov.cn Country : China OS : Windows Encoding : utf-8 Mirror Page E-Mail : [email protected]
E-Mail : [email protected]
42 KRnet 2014
ID : Undertaker E-Mail : Brisbane, Australia. 관심사: car hacking 남긴 글: 자동차 해킹 질문 글
URL, E-mail Input
47
Cyber Genome
human-centric
artifact-centric
case-centric
artifact-centric
Human Centric
case-centric
The Most Similar Case ID : Undertaker Case Date : 2009/05/12 ~ 2009/05/16 Domain : Audi, Honda, BMW, Chevrolet, Citroen, Dodge, Fiat, Ford, Hummer, Infiniti, Jaguar, Jeep, Kia, Landrover, Lexus, Hyundai 등 수많은 자동차 사이트 해킹
DB ID: Undertaker Winsock Control 변경
Malware Sample: Backdoor.Win32.Shark.ky (Kaspersky Lab)
KRnet 2014