표제지
목차
약어표 9
논문요약 11
제1장 서론 12
제2장 APT 공격 사례와 분석 14
제1절 최근 발생한 APT 공격 사례 15
1. 농협 전산망 침해사고 악성 코드 16
2. 3.20 사이버테러 침해사고 17
3. 한국수력원자력 침해사고 18
제2절 APT 공격 악성 코드의 유입 19
1. 이메일을 통한 방법 19
2. 웹 사이트를 통한 방법 20
3. 이동식 디스크를 통한 방법 21
제3장 이론적 배경 22
제1절 파일 시스템 필터링 22
1. 파일 시스템 드라이버 22
2. 파일 시스템 필터 드라이버 24
3. 미니필터 드라이버의 동작 원리 26
4. 파일 I/O 추적 29
제2절 프로세스 필터링 33
1. 프로세스 콜백 루틴 33
2. 프로세스 콜백 루틴 동작 원리 33
제3절 네트워크 필터링 34
1. TDI 필터 드라이버란 34
2. TDI 필터 드라이버의 동작 원리 34
3. 네트워크 I/O 추적 36
제4장 행위 정보 수집 시스템 37
제1절 시스템 개요 37
제2절 시스템 구현 39
1. 파일 시스템 행위 39
2. 이동식 디스크 행위 45
3. 프로세스 행위 46
4. 네트워크 행위 47
제3절 시스템 성능 분석 51
제5장 악성 코드 프로파일링 54
제1절 원격 접속 악성 코드 54
1. 실험 개요 54
2. 감염 경로 역추적 55
3. 타임라인 기반 행위 분석 58
제2절 DBD 악성코드 59
1. 실험 개요 59
2. 감염 경로 역추적 60
3. 타임라인 기반 행위 분석 63
제6장 결론 64
참고문헌 65
ABSTRACT 68
[표 2-1] 국내 주요 APT 공격 특징 비교 15
[표 4-1] 기존 모니터링 시스템과의 비교 분석 37
[표 4-2] 행위 정보 수집 시스템의 수집 범위 38
[표 4-3] 수집 시스템의 공통 수집 정보 51
[표 4-4] 타 제품 및 시스템과의 기능 비교 분석 52
[표 4-5] 하루 평균 엔드포인트 PC 당 로그 발생 건 수 및 점유율 53
[표 5-1] 원격 접속 악성 코드 프로파일링 실험 환경 54
[표 5-2] 원격 접속 악성 코드 타임라인 기반 사건 재구성 58
[표 5-3] DBD 악성 코드 프로파일링 실험 환경 59
[표 5-4] DBD 악성코드 타임라인 기반 사건 재구성 63
[그림 2-1] 공격자의 프로파일 변화 14
[그림 2-2] 농협 전상망 침해사고 16
[그림 2-3] 3.20 사이버테러 침해사고 17
[그림 2-4] 한국수력원자력 침해사고 18
[그림 2-5] 이메일을 통한 악성코드 유포 19
[그림 2-6] 웹 통한 악성코드 유포 20
[그림 3-1] 파일 시스템 디바이스 스택 23
[그림 3-2] 파일 시스템 필터 드라이버의 문제점 24
[그림 3-3] 파일 시스템 필터 매니저 26
[그림 3-4] 파일 I/O PRE 콜백 루틴의 파일 오브젝트 27
[그림 3-5] 미니필터 드라이버와 파일 오브젝트 29
[그림 3-6] 파일 오브젝트와 OS 컴포넌트와의 관계 31
[그림 3-7] TDI 필터 드라이버 35
[그림 4-1] 파일 생성, 파일 덮어쓰기 감지 루틴 40
[그림 4-2] 파일 삭제 감지 루틴 41
[그림 4-3] 파일 생성, 파일 덮어쓰기, 파일 삭제 행위 확인 루틴 42
[그림 4-4] 파일 이름 변경, 파일 이동 감지 루틴 43
[그림 4-5] 파일 이름 변경, 파일 이동 행위 확인 루틴 44
[그림 4-6] 이동식 디스크 장치 연결 행위 확인 루틴 45
[그림 4-7] 이동식 디스크 장치 연결 해제 행위 확인 루틴 46
[그림 4-8] 프로세스 생성, 제거 행위 확인 루틴 47
[그림 4-9] 로컬에서 원격으로 네트워크 연결하는 행위 확인 루틴 48
[그림 4-10] 로컬에서 네트워크 연결 해제 하는 행위 확인 루틴 48
[그림 4-11] 원격에서 로컬로 네트워크 연결 하는 행위 확인 루틴 49
[그림 4-12] 원격에서 네트워크 연결 해제 하는 행위 확인 루틴 50
[그림 5-1] 이메일로 전송된 원격 접속 악성 코드 55
[그림 5-2] 원격 접속 흔적 검색 56
[그림 5-3] 원격에서 실행된 프로세스의 부모 프로세스 검색 56
[그림 5-4] 원격에서 실행된 프로세스의 네트워크 기록 검색 57
[그림 5-5] 원격에서 실행된 프로세스의 원본 파일 생성 기록 검색 57
[그림 5-6] 악성 코드로 의심되는 파일을 생성한 프로세스 57
[그림 5-7] 악성 코드가 포함된 문서를 실행하는 프로그램 60
[그림 5-8] 어도비 문서 프로그램 이름을 가진 프로세스 흔적 61
[그림 5-9] 어도비 문서 프로그램이 생성하는 파일 61
[그림 5-10] 생성된 실행 파일의 실행 흔적 61
[그림 5-11] 생성된 파일의 프로세스가 생성한 파일 62
[그림 5-12] 악성 코드의 네트워크 흔적 62