Convergence Security (고대특강)
2 likes464 views
Convergence Security - MITRE ATTACK&CK
![• 융합 보안[ Convergence Security ]
– 물리적 보안과 정보 보안을 융합한 보안 개념으로, 각종 내·외부적 정보 침
해에 따른 대응은 물론 물리적 보안 장비 및 각종 재난·재해 상황에 대한
관제까지를 포함한다.
• 출처 : [네이버 지식백과]
• (지식경제용어사전, 2010. 11., 산업통상자원부)
6](https://image.slidesharecdn.com/convergence-200425154930/85/Convergence-Security-6-320.jpg)
![최초 침투(Initail Acess) - 가社
[14년 4월 ~]
다양한 웹셸
[18년 8월 20일]
(랜섬공격 한달전)
특정 웹셸 370회 접근,
1M ~ 15M byte 통신
[18년 9월 21일]
(랜섬공격 당일)
특정 웹셸 3회 통신](https://image.slidesharecdn.com/convergence-200425154930/85/Convergence-Security-25-320.jpg)
Convergence Security (고대특강)
- 1. 보안환경 변화에 따른 사이버 위협 및 융합보안에서 고려할 점 부제 : 융합보안을 위한 MITRE ATT&CK 모델 교수 : 이재춘
- 2. 2 • (現) 고려대학교 정보보호대학 컴퓨터학과 겸임교수 – 디지털 포렌식 강의 • (現) 한국인터넷진흥원 – 침해사고 분석, 모의 해킹, 웹 해킹 – 행안부 시큐어코딩 가이드 저자 – CC 선임평가자 • ㈜씨네픽스 게임사업부 – PS2 게임 개발 • ㈜보이시안 개발팀 : 서버프로그래밍 • 연락처 – lhero@hanmail.net, 4leafp@gmail.com – https://www.facebook.com/jaechun.lee.5
- 3. 1 2 랜섬웨어 사례와 IoC 개념 보안환경의 변화 3 융합보안을 위한 MITRE ATT&CK 모델
- 4. 4
- 5. • 물리보안 : 물리적인 방법으로 사람과 시설 등 및 그에 따른 정보를 보호하는것 – 출입관리, 시설보호, 비인가자의 출입통제, 방범 • 정보보안 : 정보통신과 관련된 보안 – 정보시스템과 정보통신네트워크를 통한 정보의 수집, 가공, 저장, 송수신 등의 과정에서 정보의 침해(훼손, 위변조, 유출)을 방지하기 위한 관리적, 물리적, 기술적 방법 5 융합보안정보보안물리보안
- 6. • 융합 보안[ Convergence Security ] – 물리적 보안과 정보 보안을 융합한 보안 개념으로, 각종 내·외부적 정보 침 해에 따른 대응은 물론 물리적 보안 장비 및 각종 재난·재해 상황에 대한 관제까지를 포함한다. • 출처 : [네이버 지식백과] • (지식경제용어사전, 2010. 11., 산업통상자원부) 6
- 7. 7 융합보안 IT 정보보안 • PC 보안 • 서버 보안 • IoT 보안 • 자율 자동차 보안 • 항공 시스템 보안 • 핀테크 보안 • 스마트 공장 보안 • 스마트 헬스 보안 • 스마트 시티 보안 • 스마트 교통 보안
- 8. • 세인트쥬드의 인공 심장박동기 – 2017년 1월 세인트주드메디컬(SJM)社의 몸 속에 이식하는 심장박동기에서 배터리를 단시간에 소진시키거나 심박수를 위험수준까지 급상승시키는 보안취 약성을 발견 8
- 9. 9
- 10. – 2019년 6월 벨기에 아스코 인더스트리즈(ASCO Industries) 공장 랜섬웨어 – 벨기에 본사, 미국 독일 등 1500명 직원 중 1000명 강제 휴가, 10
- 11. – 2017년 말 산업용 안전시스템을 공격하는 악성코드 발견 – 안전시스템 : 밸브와 터빈 모니터링 11
- 12. • 다양한 산업군 고려 필요 • IoT, IT + OT • 스마트 팩토리, ICS(사회 기반시설) 12
- 13. 13 <출처 : IoT 공통 보안 원칙, 한국인터넷진흥원>
- 14. 14
- 15. 15
- 16. 16
- 17. 17
- 18. 18 <출처 : 스마트의료 사이버 보안 가이드, 한국인터넷진흥원>
- 19. 19
- 20. 20
- 21. 21
- 22. 22
- 23. 정찰 단계(Reconnaissance stage) - 가社
- 24. 정찰 단계(Reconnaissance stage) – 나社
- 25. 최초 침투(Initail Acess) - 가社 [14년 4월 ~] 다양한 웹셸 [18년 8월 20일] (랜섬공격 한달전) 특정 웹셸 370회 접근, 1M ~ 15M byte 통신 [18년 9월 21일] (랜섬공격 당일) 특정 웹셸 3회 통신
- 26. 권한상승(Privilege Escalation) – 나社 - /home/사용자별디렉토리/웹셸 - /tmp/poc.c - /usr/bin/postman(GonnaCry) - /usr/bin/quotad (삭제)
- 27. 권한상승(Privilege Escalation) – 나社 - /tmp/poc.c
- 30. 공격유지(Persistance) – 가社 %s, %s a+ /usr/lib/libssl3.3.so ID PW
- 31. 공격유지(Persistance) – 가社 %s, %s a+ /usr/lib/libssl3.3.so
- 32. 공격성공(Mission Complete) – 나社 - /home/사용자별디렉토리/웹셸 - /tmp/poc.c - /usr/bin/postman(GonnaCry) - /usr/bin/quotad (삭제)
- 33. 공격성공(Mission Complete) – 가社, 나社 - /usr/bin/postman(GonnaCry)
- 34. 공격성공(Mission Complete) – 가社, 나社
- 35. 사고의 재구성 사용자 권한 File upload 취약점 WEB OS Dirty Cow 취약점 DCCP 취약점 웹셸 (웹 백도어) WebDev 취약점 웹 권한
- 36. 36
- 37. 37
- 38. 38
- 39. 39
- 41. 41 Ininitial Acess ’18년 5월 경 추가 + ’19년 10월 경 추가 Impact
- 42. • Enterprise – Windows, macOS, Linux – Cloud : AWS, GCP, Azure, Azure AD, Office 365, SaaS. • Mobile : Android, iOS • ICS 42 융합 보안 환경에 필요한 사항
- 43. 43
- 44. 44
- 45. 45
- 46. 46
- 47. 47
- 48. 48
- 49. 49
- 50. 50
- 51. 51
- 52. rule TRITON_ICS_yara_rule { meta: md5 = "0face841f7b2953e7c29c064d6886523" description = "TRITON framework recovered during Mandiant ICS incident response" strings: $python_compiled = ".pyc" nocase ascii wide $python_module_01 = "__module__" nocase ascii wide $python_module_02 = "<module>" nocase ascii wide $python_script_01 = "import Ts" nocase ascii wide $python_script_02 = "def ts_" nocase ascii wide $py_cnames_01 = "TS_cnames.py" nocase ascii wide $py_cnames_02 = "TRICON" nocase ascii wide $py_cnames_03 = "TriStation " nocase ascii wide $py_cnames_04 = " chassis " nocase ascii wide … 중략 … $py_TRIDENT_01 = "inject.bin" ascii nocase wide $py_TRIDENT_02 = "imain.bin" ascii nocase wide condition: 2 of ($python_*) and 7 of ($py_*) and filesize < 3MB } 52
- 53. 53
- 54. 54