2020년 10월 9일 금요일

피싱 메일 공격 사례 분석 및 대응 방안

 


피싱 메일 공격 사례 분석 및 대응 방안


1. 개요


2. STEP 1 : 피싱 메일 발송


3. STEP 2 : 계정정보 탈취 기법


4. STEP 3 : 메일 발송기


5. STEP 4 : 피싱 메일 및 피싱 페이지 사례


6. STEP 5 : 서버 악용 흔적 추적


7. 연관성 분석


8. 공격조직 특징


9. 피싱 메일 공격 예방 및 대응 방법


☞ 첨부파일 : 피싱 메일 공격 사례 분석 및 대응 방안 (click)


컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급

☏ 070-7867-3721, ismsbok@gmail.com


개인정보 보호법 해설서(안) (2020.10.06)


 개인정보 보호법 해설서(안)

개인정보 보호법 해설서(안)을 첨부와 같이 사전공개 합니다.

관련 의견은 자유형식으로 작성하셔서 아래 이메일로 보내주시면

해설서 발간에 참고하도록 하겠습니다.

ㅇ 의견수렴 기간 : 2020.10. 6.(화) ~ 15.(목), 10일 간

ㅇ 이메일 주소 : pipc2020@kisa.or.kr

ㅇ 문의 : 061-820-1241

​첨부파일 : 개인정보 보호법 해설서(안)


설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급

☏ 070-7867-3721, ismsbok@gmail.com



2020년 5월 31일 일요일

2020년 5월 12일 화요일

국내외 금융분야 데이터 유통제도 동향 및 시사점 (한국신용정보원)


국내외 금융분야 데이터 유통제도 동향 및 시사점


○ 국내외 금융분야에서는 금융정보를 하나의 플랫폼에서 보여주는 데이터 유통 비즈니스가 지속 성장해왔으며, 이체·송금서비스 등으로 영역을 확대해나가며 종합금융서비스플랫폼으로서 그 역할이 점차 증대

 - 해외에서는 크레딧 카르마(Credit Karma), 요들리(Yodlee) 등이 유니콘 기업으로 성장하였으며, 국내에서는 토스, 뱅크샐러드 등이 편리한 모바일서비스를 무기로 시장에서 영향력을 확대해가고 있음



○ EU에서는 데이터 유통 비즈니스의 활성화를 위해 필요한 사항들을 법제화하고 금융분야에 맞게 세부적인 규율을 마련

- GDPR(일반 개인정보보호법)을 개정하여 데이터 유통 제도의 두 가지 핵심요소인 개인의 정보 이동 요구권과 이에 대한 개인정보 보유기관의 기술지원 의무를 최초로 법제화

- GDPR을 금융분야에 맞게 적용한 PSD2(지급결제분야 지침)를 개정하고 최근에는 기술 표준 요건 등을 명시한 RTS(규제기술표준)를 시행하여 금융분야 데이터 유통제도의 기술적 토대를 마련



○ 영국, 호주에서는 PSD2를 자국 사정에 맞게 적용하여 은행의 API 개방을 의무화하는 오픈뱅킹 정책을 도입하고 운영 지원기관을 중심으로 제도 운영 거버넌스를 구축

- 이해 당사자가 참여하는 거버넌스를 구축하여 API 요건 등 정책에 관한 주요 사항을 결정하고, 운영 지원기관을 두어 이를 중심으로 다양한 이해관계 및 갈등 조율, 안정적인 제도 운영과 개선을 추진


○ 최근 국내에서도 개인신용정보 이동권 개념을 기반으로 한 본인신용정보관리업(마이데이터 산업) 도입을 추진하고 오픈뱅킹 시범서비스를 시행하는 등 데이터 유통제도의 혁신을 추진 중

- 신용정보법 개정을 통해 개인의 금융정보를 수집하여 하나의 플랫폼으로 일목요연하게 보여주는 사업자를 본인신용정보관리회사로 정의하여 제도권 안으로 편입하는 방안을 추진

- 금융 공동결제망을 개방하여 금융결제원을 통합 중계센터형 플랫폼으로 하는 오픈뱅킹 서비스를 추진


○ 데이터 유통제도 도입에 따라 소비자의 정보 접근권이 확대되고, 금융산업 내 경쟁에서 유발되는 소비자 맞춤형 서비스의 발전, 송금수수료 인하 등은 소비자의 편익을 증대시킬 것으로 기대


○ 데이터 유통제도에는 다양한 이해관계가 얽혀있어 국내 제도 도입·운영 시 금융회사, 핀테크사, 유관기관 등이 참여하는 거버넌스를 구축하고 운영 지원기관을 두어 제도의 연착륙을 유도할 필요






컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션


보안솔루션 공급
070-7867-3721, ismsbok@gmail.com



웹호스팅 업체 랜섬웨어 감염(2020. 05. 08)



웹호스팅 업체 ooo가 지난 5월 8일 저녁 랜섬웨어에 감염됐으며, 현재 서버 복구에 나선 것으로 확인됐다. 

한국인터넷진흥원(KISA) 및 업계에 따르면 웹호스팅 업체 ooo 의 웹호스팅 서버 일부가 랜섬웨어에 감염돼 현재 복구가 진행중이다.

ooo가 랜섬웨어 감염을 확인한 것은 지난 5월 8일 19시로, 공격 확인즉시 한국인터넷진흥원 침해대응센터와 사이버수사대에 신고했다. 

감염이 확인된 서버는 리눅스 웹호스팅 관련 서버 40대로 백업 데이터를 기반으로 자료복구 및 OS 재설치에 나섰다고 ooo 측은 밝혔다.


이에 대해 KISA 관계자는 "지난 8일 관련 사항이 신고 접수됐다"며 "현재 현장 지원을 나간 상태"라고 말했다.
ooo에 따르면 리눅스 웹호스팅 관련 서버 40대 등이 랜섬웨어 피해를 입었다.

그나마 백업 상태가 양호해 복구가 이뤄지는 상황이다. 

서버 백업 데이터를 기반으로 자료 복구 및 운영체제(OS) 재설치가 진행했다. 

현재까지 리눅스 서버 40대 모두와 데이터베이스(DB) 서버 15대 중 80% 가량이 복구됐다. 

웹서버 복구율은 28%다.

ooo측은 "지금 당장은 완벽한 서비스는 힘들더라도 순차적으로 서비스를 재개할 예정"이라며 "진행 상황은 수시로 ooo 홈페이지 공지를 통해 업데이트 할 것"이라고 했다.

ooo는 백업이 잘 돼 있어 복구 되는 것으로 보인다"며 "웹 호스팅 업체들의 경우 지능형지속위협(APT) 공격과 랜섬웨어 위협이 결합돼 진행돼 각별한 주의가 필요하다"고 강조했다.

이어 "최근에는 기존에는 잘 알려지지 않은 새로운 리눅스 랜섬웨어도 발생하는 추세"라며 "백업 서버는 반드시 분리된 상태에서 운영관리 돼야 한다"고 강조했다.




[랜섬웨어 관련 5차 공지] 진행 상황 안내

안녕하세요 ooo 입니다.

랜섬웨어 관련 2020년 5월 12일 현재 진행 상황을 안내 드립니다.

현재까지,
감염이 확인된 리눅스 웹호스팅 서버 40대중, 데이터베이스 서버 15대 모두 복구를 완료했고 웹서버 25대중에 11대를 복구완료 하고 서비스 테스트 중에 있습니다. 

그리고, 나머지 14대에 대해 복구 진행중 입니다.

또한, 한국인터넷진흥원 침해대응팀의 긴밀한 협조 와 도움으로 백업데이타를 추가 확보함으로 복구의 속도를 더 높일수 있게 되었습니다.

ooo 임직원 모두 빠른복구 작업이 진행되도록 더욱 노력하겠습니다. 

고객님들께 다시 한번 더 양해 부탁드립니다.

* 리눅스 웹호스팅 서비스 이외의 도메인 / 서버호스팅/윈도우 호스팅 / 달팽/ 등 기타 서비스에는 영향이 없음을 알려드립니다.

-000 임직원 일동 -


 
컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com




2020년 5월 4일 월요일

홈페이지를 통한 내부망 장악 (KISA, 2020.04.01)

 뉴딜코리아 홈페이지 





홈페이지를 통한 내부망 장악 (한국인터넷진흥원)

KISA는 최근까지 공격을 받은 피해 시스템을 2개월에 걸쳐 분석하고 조치하였으며 수집한 정보를 종합하여 다음과 같이 TTPs를 도출하였다.



① 최초 침투

- 공격자는 외부에 노출되어있는 사내 홈페이지를 통해 최초로 접근을 시도하였다.
이후 특정 계정으로 로그인을 단번에 성공한 것으로 보아, 외부 노출 페이지와 계정정보를 기존에 미리 수집한 것으로 추정된다.

- 공격자는 게시판에 존재하는 파일 업로드 취약점을 이용하여 웹셸을 업로드하고 이를 통해 서버를 제어한다.



② 접근 권한 수집

- 웹셸로 접근하였기 때문에 웹 서비스 권한만 소유한 공격자는 추가적인 악성행위를 위해 운영체제에 존재하는 취약점을 이용하여 권한 상승을 시도하였다.

- 이후 추가적인 계정 정보를 수집하기 위해 키로깅 악성코드를 설치한다.



③ 내부전파

- 권한 상승에 성공한 공격자는 이후 추가적인 전파를 위해 네트워크 공유를 이용한다.
이때 같은 계정을 사용하거나 세션이 유지되고 있는 서버에 대한 접근에 성공한다.



④ 악성코드 실행

- 이후 공격자는 at 명령어를 이용하여 악성코드를 스케줄러에 등록하여 실행하거나, sc명령어를 이용하여 서비스로 등록하여 실행시킨다.



⑤ 흔적 삭제

- 공격자는 공격을 마치거나 또는 거점으로서 일시적으로 이용한 서버에 대해서는 이벤트로그를 삭제하거나 악성코드를 삭제함으로서 공격의 흔적을 지운다.




⑥ 탈취 정보
- 공격자는 최종적으로 악성코드의 명령을 통하여 사내 정보를 수집하며, 웹 페이지가 운영되는 서버에서는 웹로그도 수집한다.




<목차>

1. 서론

2. 개요

3. ATT&CK Matrix
 - Initial Access : 최초 침투
 - Execution : 실행
 - Persistence : 지속성 유지
 - Privilege Escalation : 권한 상승
 - Defense Evasion : 방어 회피
 - Credential Access : 계정정보 접근
 - Discovery : 탐색
 - Collection : 정보 수집
 - Lateral Movement : 시스템 내부 이동
 - Command and Control : 명령제어
 - Exfiltration : 정보 유출

4. 결론

5. Yara rule


☞ 첨부파일 : 


☞ YARA ? 

구글에서 진행하는 오픈소스 프로젝트의 유틸리티인 YARA로 악성 파일이나 프로세스의 시그니처를 이용하여 악성 여부를 판별하도록 정책을 설정합니다. 

문자열 패턴, 바이너리 패턴, 정규식 표현을 이용하여 생성한 YARA 규칙을 검사하려는 파일/프로세스에 시그니처가 포함되어 있는지 여부를 판단하여 악성으로 분류할 수 있습니다.
 
컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com