표제지
국문요약
목차
제1장 서론 10
1.1. 연구배경 및 목적 10
1.2. 논문 구성 12
제2장 APT 공격 형태 및 사례 분석 13
2.1. APT 공격 특성 13
2.1.1. APT 공격의 정의 14
2.1.2. APT 공격 단계 17
2.2. APT 공격의 시작 - Stuxnet (2010. 7) 19
2.3. 3.20 사이버테러 (2013. 3) 23
2.4. 사이버범죄 집단(Carbanak) 금융사 해킹 (2013 ~ 지속) 26
2.5. APT 공격의 진화 랜섬웨어(Locky) 협박 (2015 ~ 지속) 29
제3장 APT 공격 탐지 연구 동향 32
3.1. Sandbox 기반 APT 탐지 32
3.2. DNS 레코드 기반 APT 탐지 35
3.2.1. DNS Fast Flux 개념 36
3.2.2. 모니터링을 통한 DNS Fast Flux 공격 탐지 39
3.2.3. Passive DNS를 이용한 Fast Flux 탐지 42
3.2.4. TTL을 이용한 Fast Flux 탐지 44
3.3. 로그 상관관계 분석 기반 공격 탐지 45
3.4. 빅 데이터 기술을 활용한 공격 탐지 46
제4장 DGA DNS 유사도 분석을 통한 APT 공격 탐지 48
4.1. DNS 변경을 통한 APT 공격 징후 탐지 51
4.2. DGA DNS로 은폐된 C&C Server 탐지 설계 56
4.2.1. n-gram 분석방법 56
4.2.2. n-gram을 적용한 DGA DNS 탐지 설계모델 59
4.3. DGA DNS 탐지 실험 결과 65
제5장 결론 73
참고문헌 74
Abstract 80
[표 1] 주요 APT 공격 - 오퍼레이션 오로라 특징 및 관련정보 16
[표 2] 주요 APT 공격 - Stuxnet 특징 및 관련정보 22
[표 3] 주요 APT 공격 - 3.20 테러 특징 및 관련정보 25
[표 4] 로그 연관분석을 통한 공격탐지 연구 비교 45
[표 5] DGA를 적용한 악성코드 Locky의 C&C Server 은닉 코드 51
[표 6] 일반적인 도메인과 DGA에 의해 생성된 도메인 비교 52
[표 7] Locky의 DGA Algorithm 소스코드 (Python) 1#2 53
[표 8] Locky의 DGA Algorithm 소스코드 (Python) 2#2 54
[표 9] n-gram 작성 예 56
[표 10] 일반적인 DNS와 DGA가 생성한 DNS 비교 58
[표 11] n-gram dictionary 예시 59
[표 12] DGA DNS 탐지 모델 성능 실험 단계 60
[표 13] 정상 DNS와 DGA DNS 간 유사도 분석 의사코드 60
[표 14] n-gram을 적용한 DGA 탐지 모델 설계 코드 1#4 61
[표 15] n-gram을 적용한 DGA 탐지 모델 설계 코드 2#4 62
[표 16] n-gram을 적용한 DGA 탐지 모델 설계 코드 3#4 63
[표 17] n-gram을 적용한 DGA 탐지 모델 설계 코드 4#4 64
[표 18] 실험에 사용한 System 환경 65
[표 19] n에 따른 n-gram 소요시간 및 기호열 수 66
[표 20] n에 따른 실험군(DGA DNS) 일치율 67
[표 21] 일반적인 도메인과 DGA에 의해 생성된 도메인 비교 68
[표 22] n=4 일때 실험군(Locky DGA DNS) 일치율 70
[표 23] 14개 DGA DNS에 따른 일치율 판별 결과 71
[그림 1] APT공격의 6단계 17
[그림 2] APT 공격 6단계의 주요 Architecture 18
[그림 3] Stuxnet 악성코드 감염 개념도 19
[그림 4] 악성 s7otbxdx.dll을 이용한 PLC의 Code Block 변조 20
[그림 5] RPC 서버를 활용한 최신 버전의 악성코드 공유 프로세스 21
[그림 6] 3.20 전산망 사이버테러의 공격 흐름도 23
[그림 7] Operation 1Mission 공격 흐름도 24
[그림 8] 카바낙(Carbanak) 금융사 해킹 흐름도 26
[그림 9] 구글 서비스를 C&C Server로 악용한 카바낙 공격 28
[그림 10] 국내 유포되고 있는 Locky 랜섬웨어 이메일 29
[그림 11] Locky 랜섬웨어 바탕화면 이미지 30
[그림 12] 3차 변종 Locky의 감염 유도 화면 31
[그림 13] 시스템 영역과 차단된 Sandbox 개념도 32
[그림 14] Single Fast Flux 운영 방식 36
[그림 15] Double Fast Flux 운영 방식 37
[그림 16] Passive DNS 수집 시스템 Diagram 42
[그림 17] 오픈소스 기반 빅데이터 처리 플랫폼 46
[그림 18] 악성코드 공격 모든 단계에 활용되는 DNS 48
[그림 19] Locky DGA 코드로부터 DGA DNS 추출 55
[그림 20] n에 따른 일치율 누적분포곡선 68
[그림 21] n=4, 1만개 데이터 적용에 따른 일치율 누적분포곡선 70
[그림 22] 14개 DGA알고리즘을 적용한 결과 : 일치율 및 기호열 수 분포 72