24
[email protected] BITSCAN Appliance

Bitscan appliance

  • Upload
    bitscan

  • View
    238

  • Download
    2

Embed Size (px)

Citation preview

Page 1: Bitscan appliance

[email protected]

BITSCAN Appliance

Page 2: Bitscan appliance

1. BITSCAN 소개

2. 웹 보안의 중요성

3. 웹 공격 용어 및 개요

4. 공격자의 악성코드 유포 방법 및 행위 분석

5. BITSCAN PCDS 탐지 및 DB 생산 기술

6. BITSCAN Appliance & Service 개념도

7. BITSCAN Appliance 스펙

8. BITSCAN Appliance 주요 기능 및 특징

9. BITSCAN Appliance 설치 구성도

10. BITSCAN PCDS 와 Appliance 연계 구성도

11. ~ 16. BITSCAN Appliance 기능 및 화면구성

별첨. 1~5

2

목차

Page 3: Bitscan appliance

BITSCAN 소개

3

DB 공급(악성 URI) 및 보안 서비스 제공

웹 기반의 보안 서비스

악성코드 경유 및 유포지 탐지 / 웹 취약점 진단 / 정보 제공 서비스 / 웹 모니터링

1. BITSCAN 소개

사업성격

사업영역

주력분야

주요연혁 2011. 05. 빛스캔㈜ 설립08. KAIST CSRC(사이버보안연구센터) MOU

09. 비트스캐너(웹 취약점 진단) 상용 웹 서비스 시작11. 국내 특허 출원 완료12. 일본 IWI와 WebSanitizer 공급 계약

2012. 01. PCDS 운영 시작02. 고급 보안 정보 구독 서비스 출시08. APT 차단 솔루션 출시10. KAIST 정보보호대학원(GSIS) MOU

11. 이스라엘 총리실 초청 HLS 참가 및 기술 논의12. 일본 특허 출원 완료

2013. 03. 3/20 사이버 테러 사전 정보 제공 및 대응 지원06. 삼성전자 협력사 등록 및 웹 보안 컨설팅 수주06. (사) 침해사고대응협의회 MOU

07. 삼성SDS 협력사 등록07. (사) 한국첨단기술경영진흥원 MOU

2014. 01. AVG KOREA MOU

01. (사)한국사이버보안연구원 MOU

04. Auction DataLink 계약12. KISA Threat Intelligence 협의회 등록

2015. 01. 한국버그바운티㈜와 정보보안 사업 제휴 계약 체결02. 제뉴버㈜와 보안 사업 관련 MOU

08. 플러스기술㈜와 모바일 보안기술협력 MOU

10. 금융보안원 악성코드 실무 협의회 회원사 등록

2016. 03. 사무실 이전(서울시 성동구 아차산로 17 L타워 806호)

03. 경찰청 사이버 범죄 전문가 그룹 위촉

Page 4: Bitscan appliance

웹 보안! 왜 중요한가?

4

2. 웹 보안의 중요성

악성코드 유포 방식 60%는 웹 개인 정보 유출 1위 “외부 공격”방문 즉시 감염

Drive-By-Download

60%악성코드 유포 방식 중 60%는 웹에서유포합니다. (*Kaspersky)

Drive-By-Download (DBD) 또는 워터링 홀(Watering Hole) 공격을 이용합니다.

외부공격개인정보 유출사고 원인 중 외부 공격이 1위를 차지 하였습니다. (*KISA)

SQL 인젝션, 파라미터 변조, 웹쉘 업로드 등으로 나눠집니다.

DBDDBD 공격 기법은 성공률이 매우 높습니다.

공격자는 백신을 우회하거나 추적을피하기 위해 경유지 및 유포지를 사용합니다.

* 웹 에서 유포되는 악성코드는 기본적으로 백신을 우회하고, 대량으로 End-User를 감염시킴.

Page 5: Bitscan appliance

용어 설명

5

3. 웹 공격 용어 및 개요

Zero-Day 취약점 : 외부에 알려지지 않은 취약점을 이용한 공격

One-Day 취약점 : 이미 알려진 취약점을 이용한 공격

C&C Server : 공격자로부터 좀비 PC에게 명령을 내리는 서버

방문 페이지 : 공격 대상 페이지(공격 시작점)

경유지 : 방문 페이지 ~ 유포 페이지를 이어주는 웹 페이지, 추적 회피 및 공격 효율성 목적으로 이용

유포지 : 악성코드(Payload)를 내려 받을 수 있는 웹 페이지 연결, 취약점을 이용한 Exploit Kit(공격코드) 존재

Watering-Hole(워터링 홀) : 특정 페이지 또는 타겟을 설정하여 공격(주로 Zero-Day 취약점 이용)

Drive By Download(DBD) – 공격자는 주로 방문자가 많은 사이트를 이용. 악성코드를 직접적으로 유포하지 않으며,

유포지 및 경유지를 활용하여 유포(추적 및 백신 탐지회피 위해 사용)

Zero-Day 취약점 : 외부에 알려지지 않은 취약점을 이용한 공격

One-Day 취약점 : 이미 알려진 취약점을 이용한 공격

C&C Server : 공격자로부터 좀비 PC에게 명령을 내리는 서버

방문 페이지 : 공격 대상 페이지

경유지 : 방문 페이지 ~ 유포 페이지를 이어주는 웹 페이지, 추적 회피 및 공격 효율성 목적으로 이용

유포지 : 악성코드(Payload)를 내려 받을 수 있는 웹 페이지 연결, 취약점을 이용한 Exploit Kit(공격코드) 존재

Watering-Hole(워터링 홀) : 특정 페이지 또는 타겟을 설정하여 공격(주로 Zero-Day 취약점 이용)

Drive By Download(DBD) – 공격자는 주로 방문자가 많은 사이트를 이용. 악성코드를 직접적으로 유포하지 않으며,

유포지 및 경유지를 활용하여 유포(추적 및 백신 탐지회피 위해 사용)

[웹해킹 공격단계흐름도]

[웹악성코드 유포흐름도]

웹/포트 스캔

응용 프로그램 종류및 버전

운영체제 종류 및버전 등

운영체제 종류/버전취약점

응용 프로그램 취약점Zero-Day/One-Day

SQL Injection, XSSBOF(Buffer Overflow)

Remote Attack 등공격 로그 삭제

정보수집단계 취약점분석 실제공격(침투) 흔적삭제

취약한웹사이트및

C&C 서버확보

목표및공격

방법설정

(DBD 및워터링홀)

경유지/유포지

설정

스크립트삽입

(경유지/유포지연결)

스크립트삽입(Exploit Kit)

사용자방문 감염후정보탈취

Page 6: Bitscan appliance

파밍 악성코드 유포 분석 사례

6

4. 공격자의 악성코드 유포 방법 및 행위 분석

* 공격자들은 빠른 시간내에 경유지 및 유포지를 주기적으로 변경 또는 폐쇄하거나, 재사용 하며, 이를 추적함.

공격자타깃

Page 7: Bitscan appliance

PCDS(Pre-Crime Detective Satellite)

7

5. BITSCAN PCDS 탐지 및 DB 생산 기술

* PCDS 엔진은 국내외 450만개 웹 사이트를 주기적으로 모니터링하여, 경유지 및 유포지를 탐지한다.

Page 8: Bitscan appliance

Appliance & Service Map

8

6. BITSCAN Appliance & Service 개념도

Page 9: Bitscan appliance

Appliance Spec

7. BITSCAN Appliance 스펙(1G/10G)

1G Spec

Item Details

프로세서 Intel Xeon E3-1225 v5(3.3Ghz)

메모리 16 GB

HDD 2 TB

NIC 1GbE(SFP/UTP)*4개

Size 1U

Physical Dimensions 438x48x490 (WxHxD mm)

Bandwidth 1G

Throughput Upgrade Unavailable

Max. Sessions 1,000,000

Connections per Second 100,000

10G Spec

Item Details

프로세서 Intel Xeon E5-2690 v2(2.5Ghz)

메모리 64 GB

HDD 2 TB * 2개

NIC 1GbE(SFP/UTP)*4개

Size 3.5U

Physical Dimensions 438x155x524 (WxHxD mm)

Bandwidth 10G

Throughput Upgrade Up to 40G

Max. Sessions 10,000,000

Connections per Second 400,000

[ 제품 상세 스펙 ] [ 제품 구성도 ]

* 1G/10G 장비는 네트워크 구간(인터넷 연결) 모든 위치에 설치 가능.

Page 10: Bitscan appliance

국내외 450여 만 웹사이트 대상으로 악성코드의 유포지 실시간 탐지 후 실시간 DB update

악성코드 유포지 및 C&C서버 차단 및 등록 정보, 시스템정보, 트래픽 현황 등의 모니터링

기능 제공

악성코드 유포지로 접근 탐지된 내부 사용자 접속 경유지 정보 제공

페이지 전체 차단이 아닌 실제 악성코드 유포지로 연결되는 세션만 차단

기 감염된 내부 PC와 C&C서버의 연결을 차단

사용자 PC Agent 미 설치 방식으로 유지보수 용이

악성 URL 탐지/차단에 대한 유포지 URL 및 실행 File의 상세정보, 유포지 구조도, 취약점

상세정보, 위험도와 함께 대응책의 정보 제공

내부 IP/MAC에 대한 감염여부를 주기적으로 점검 후 대응정보 제공

8. BITSCAN Appliance 주요기능 및 특징

Page 11: Bitscan appliance

9. BITSCAN Appliance 설치 구성도

Page 12: Bitscan appliance

10. BITSCAN PCDS 와 Appliance 연계 구성도

Page 13: Bitscan appliance

11. BITSCAN Appliance 기능 및 화면상세_대시보드

- 웹 환경에서 사용자가 BITSCAN DB 의 악성링크 URI 및 C&C 정보가 매칭이 된 경우 로그 생성 및 차단- 실시간 차단정보(Malicious URI, C&C ) 출력- Malicious, C&C, Referer Top10 제공- 일간/주간 차단 갯수 및 정보 출력

Page 14: Bitscan appliance

12. BITSCAN Appliance 기능 및 화면상세_실시간 감염스캔

감염 MAC 스캔- IP 범위를 등록하여 내부네트워크에 감염된 단말정보를 출력(감염 일시, 감염IP, 감염MAC, 스캔 일시, 감염정보 등)- 실시간 감염정보 확인

감염 IP 스캔- 사용자가 C&C서버에 접근 했을 때 차단된 내용 실시간 확인

Page 15: Bitscan appliance

13. BITSCAN Appliance 기능 및 화면상세_차단분석-Top분석

- 대시 보드 Top10 상세정보 (Malicious URI, C&C ) 출력- 일간/주간/월간 단위로 확인가능- Malisious 및 C&C Top에서는 악성코드 정보(취약점종류, 다운로드 파일, C&C Server, etc. 등) 출력

Page 16: Bitscan appliance

14. BITSCAN Appliance 기능 및 특징_차단분석-상세분석

- 악성코드 상세정보 (Malicious URI, C&C ) 출력- 일간/주간/월간 단위로 확인가능

Page 17: Bitscan appliance

15. BITSCAN Appliance 기능 및 화면상세 _차단분석-악성코드보고서

- 기간을 설정하여 보고서 출력가능- 특정기간의 악성 URI 및 C&C 정보 등 분석 및 통계자료 레포팅

Page 18: Bitscan appliance

16. BITSCAN Appliance 기능 및 화면상세_차단분석-악성코드보고서

- 악성코드 차단 통계그래프- 악성코드 차단 Top 통계- 악성코드 감염이력 통계

Page 19: Bitscan appliance

19

*별첨 1~5

BITSCAN Inclosure*

Page 20: Bitscan appliance

20

별첨 1. BITSCAN 과 백신의 차이점

백신과의 차이점?

PCDS(Front)

악성코드가 웹으로 유포되는 길목을 차단함으로써, 최근 유행

하고 있는 랜섬웨어, APT, 악성코드, 피싱, 파밍 등을 예방할

수 있습니다. 제로데이 탐지가 가능하며, 감염이력 조회가 가

능합니다.

악성 URI차단 방식은 웹에서 발생

하는 신규 악성코드가 나타나기전의

통로를 조기 탐지/차단 합니다.URI

1. 악성코드 고유번호 매칭2. 감염 이후의 탐지 및 차단3. 치유 / 예방목적 / C&C 추적

1. 악성 URI DB를이용한 탐지 및 차단2. 악성코드 실행(감염 이전) 방지3. 사전차단 / 감염 이력 조회 / C&C 추적

백신(EndPoint)

백신은 예방 및 치유 목적이며, 악성코드 분석을 통해 C&C 서

버까지 추적 가능합니다. 하지만, 새로운 공격 기법 및 신규 악

성코드에 대해서는 탐지속도가 느리며, 랜섬웨어와 같은 파일

에 대해서 (치유)복구가 대체로 불가합니다.

백신은 알려진(Known) 악성코드에

대해 탐지를 합니다. 제로데이 및

신규 악성코드 탐지 속도가 느립니다.Sign

Page 21: Bitscan appliance

21

별첨 2. 타사 비교 표

타사 비교 표

구분 BITSCAN F사 Google Safe Browsing

탐지방법 URI 기반 알려진행위기반 URL 기반

Zero-Day 탐지 가능 불가 불가

Page Depth 탐지(ex) 메인페이지>서브페이지1>

서브페이지2>악성코드페이지Full-Depth 지원 미지원 1-2 Depth 지원

분석방법 공격구문(Regex) 분석 가상머신및 2차 분석 풀 페이지(Full-Page) 분석

속도 빠름 느림 느림

장점

과탐및오탐없음이식이쉬움C&C 추적

악성 URI DB를 이용한빠른탐지

내부망에서활동중인악성파일탐지가능

C&C 추적

알려진취약점의웹사이트를탐지가능

메일악성코드차단기능

단점감염이후의치료불가

웹환경이외의악성코드탐지불가

과탐/오탐존재VM 우회하는악성코드취약악성코드감염이후탐지감염이후의치료 불가

탐지속도 느림서비스방해

감염이후 탐지내부망활동중인악성파일탐지 불가

C&C 추적없음

Page 22: Bitscan appliance

22

별첨 3. SSL 탐지 여부

SSL Communication

Page 23: Bitscan appliance

23

별첨 4. 공격 흐름도

일반적인 공격 흐름도

Page 24: Bitscan appliance

24

별첨 5. 웹 공격 용어 및 개요

웹 공격 용어 및 개요