업데이트 : 2017 년 8 월 17 일
USA토토사이트 로퍼 먹튀 (자동 지표 공유)는 도메인, Attack Command Server의 IP 주소 및 Malware HASH 값과 같은 탐지 표시기 (지표)를 공유하는 공공-민간 파트너십을위한 정보 공유 플랫폼입니다. HIRT-PUB17007은 토토사이트 로퍼 먹튀를 정보 공유 플랫폼으로 소개하고자합니다.
사이버 공격 대책에서의 정보 활용은 그림 1과 같이 사이버 공격을 수행하기 전에 링크 된 조직의 정보를 사용하여 조치를 방지하는 데 도움이되는 예방 조치와 사이버 공격이 발생했는지 여부를 식별하기위한 예방 조치가 있습니다. 경우에 따라 정보는 공격자 특성화 및 공격 활동과 같은 고급 분석의 의도로 활용됩니다.
그림 1 : 계열사 조직의 정보를 사용하여 조치를 취하는 데 도움이되는 준비 조치
일본에서는 다양한 시스템이 IPA의 사이버 정보 공유 이니셔티브 (J-CSIP), ICS-ISAC 및 Financial ISAC와 같은 ISAC (정보 공유 및 분석 센터)라는 정보 공유 및 분석 센터, 컴퓨터 보안 사고 대응 팀 (CSIRT) 커뮤니티 (CSIRT) 커뮤니티 (CSIRT)와 같은 정보 공유 및 분석 센터를 포함한 정보를 활용하기 위해 노력하고 있습니다.
고급 보안 요원을 통해 고급 정보 분석을 달성 할 수있는 "수동으로 연결된"뿐만 아니라 고급 정보 분석을 수행 할 수는 없지만, "시스템 기반 링크"를 고려하여 공격자의 활동 속도를 추적 할 수있는 고급 정보 분석도 수행 할 수있는 고급 정보 분석을 수행 할 수있는 "수동으로 연결된"뿐만 아니라 정보 활용을 통해 사이버 공격과 싸우기 위해 (표 1). 손으로 처리 할 때는 사람의 기술 수준 때문일 수 있으므로 기술 수준에 영향을받지 않는 시스템화가 유용합니다. 또한, 고급 보안 요원이없는 사람들이 처리 할 수있는 체계화 및 일상적인 작업은 보안 요원의 부족을 보상하는 데 사용될 수도 있습니다. 정보 활용을 지원하는 정보 공유 인프라는 "수동 협력"과 "시스템 기반 협력"을 모두 고려해야합니다.
표 1 : 정보 공유를 지원하는 정보 공유 인프라
| 지진의 경우 | 사이버 공격 대책 | |
| 시스템을 통한 상호 작용 (기계 처리 시스템을 염두에두고있는 정보 네트워크, 기계 읽기 유형) | 이메일을 통해 전달 된 지진 보고서 | stix/taxii 등을 사용한 체계화 (예 : 토토사이트 로퍼 먹튀 등) |
| 인간-매개 협력 (인간 기반 정보 네트워크, 인간 읽기 가능한 유형) | 일본 기상 기관이 발표 한 기자 회견 | 이메일, 소셜 미디어 등을 사용한 통합 |
토토사이트 로퍼 먹튀는 2016 년 3 월 CISA (Cybersecurity Information Act)에 따라 미국 국토 안보부 (DHS)에 따라 운영을 시작했습니다. 토토사이트 로퍼 먹튀는 도메인, IP 주소 및 맬웨어 해시 값과 같은 사이버 위협 정보를 설명하는 감지 지표 (지표)를 수집하고 NCCIC (National Cyber Security Communication Integration Center)에서 분석 한 사이버 위협 정보를 설명하는 탐지 지표 (지표)를 배포합니다. 표 2 및 그림 2는 토토사이트 로퍼 먹튀로부터 탐지 지표를 수신하고 탐지 지표를 토토사이트 로퍼 먹튀에 게시하기위한 단계를 보여준다.
표 2 : 토토사이트 로퍼 먹튀/사후 감지 지표에서 토토사이트 로퍼 먹튀로 감지 지표 수신
| i/output | Step | 사전 신청 절차 |
| 토토사이트 로퍼 먹튀로부터 감지 표시기를받습니다 | (a) stix/taxii를 사용하여 탐지 지표 수신 | 필요 |
| 토토사이트 로퍼 먹튀에 대한 감지 표시기 | (b) stix/taxii를 사용한 탐지 표시기 게시 | |
| (c) 웹 양식을 사용한 탐지 표시기 게시 | 필요하지 | |
| (d) 이메일을 사용하여 탐지 표시기 게시 |
그림 2 : 토토사이트 로퍼 먹튀
감지 표시기 (표시기)는 탐지에 효과적인 사이버 공격을 특징 짓는 표시기입니다. 예를 들어, 그림 3과 같이 사기성 사이트 Mal.cyberattack.com에 액세스하는 첨부 된 맬웨어 (Invitation.zip, Meeting20170401.exe)와 함께 의심스러운 이메일을 받으면 표 3에 표시된 항목은 탐지 지표로 사용됩니다. 정보 활용과 관련하여 사이버 공격 활동에 공통적 인 항목은 탐지 지표로 더 효과적이라고 말할 수 있습니다.
표 3 : 탐지 지표의 예
| 카테고리 | 항목 | example | |
| 이메일 | 소스 | attacker@cyberattack.com | |
| 주제 | AK Building에서 Cybersecurity Workshop 2017 | ||
| 첨부 | 파일 이름 | Invitation.zip | meeting20170401.exe |
| 해시 값 | 1D11060375445E4627BFEF57C28AF44B | 69AB49F89461BF1E4D696E2D21E36DCF | |
| url | mal.cyberattack.com | ||
그림 3 : 무단 사이트에 액세스하는 맬웨어가있는 의심스러운 이메일을 받으면
~ 사이버 공격 활동을 설명하기위한 사양 ~
사이버 공격 활동에 대한 새의 시선을 보려면 공격자 (사이버 공격과 관련된 개인/조직), 공격자의 행동 및 기술, 표적화 된 시스템의 취약성, 방어의 문제에 의해 발생하는 상황의 취약성과 같은 공격자의 관점에서 상황을 요약해야합니다. 사이버 공격 및 사이버 공격을 다루기위한 조치. 위협 정보 구조화 된 설명 형식 STIX는이 관련 정보를 작성하는 표준화 된 형태이며 사이버 공간에서 위협 및 사이버 공격을 분석하고 사이버 공격을 특징 짓는 이벤트를 식별하고 사이버 공격 활동을 관리하며 사이버 공격에 대한 정보를 공유하기 위해 개발되었습니다. 감지 표시기 (표시기)는 위협 정보를 설명하는 정보 그룹이며, 사이버 공격으로 관찰 된 사건으로부터 감지하는 데 효과적인 사이버 공격을 특징 짓는 지표를 설명합니다.
~ 사이버 공격 활동에 대한 정보 교환을위한 사양 ~
사이버 공격 활동에 대한 정보를 교환하려면 서비스를 정의하고 서비스가 사용하는 전달 절차 및 메시지 사양을 결정하여 정보 교환 프로세스를 수행해야합니다. 자동 탐지 지표 정보 교환 절차 Taxii는 위협 정보 구조적 설명의 형태 인 STIX에 설명 된 사이버 공격 활동과 관련된 위협 정보를 교환하기 위해 개발되었습니다 (그림 4).
그림 4 : stix/taxii
DHS와 MITER는 2012 년경부터 STIX/Taxii의 사양을 공식화하기 위해 주로 노력해 왔지만 2015 년 7 월에는 사양이 오아시스로 전송되었습니다. 2016 년 5 월 STIX VER1.2의 MITER 버전 및 OASIS 버전의 Taxii VER1.1과 동일하며 다음 버전의 사양이 진행 중입니다.
HIRT는 사이버 공격 대책의 일환으로 정보 공유 인프라를 홍보하기 위해 노력하고 있습니다. 2017 년 5 월 3 일, 토토사이트 로퍼 먹튀 시스템 (Taxii Server)에 대한 연결이 완료되었습니다. 여기서 우리는 토토사이트 로퍼 먹튀로부터 탐지 지표를 수신하고 토토사이트 로퍼 먹튀 시스템에 연결하여 탐지 지표를 토토사이트 로퍼 먹튀에 게시하는 여정을 소개합니다.
표 4는 토토사이트 로퍼 먹튀 시스템에 연결하기 전에 대략적인 응용 프로그램 절차를 보여줍니다.
표 4 : 응용 프로그램 절차
| # | 응용 프로그램 절차 | 구현 문제 |
| 1 | 이용 약관 제출 | 2016 년 10 월 24 일, 나는 이용 약관에 서명하고 제출했습니다. |
| 2 | Taxii 클라이언트 준비 | 2016 년 11 월 중순에 토토사이트 로퍼 먹튀 시스템에 연결하기 위해 사용자 정의 Taxii 클라이언트를 준비했습니다. |
| 3 | PKI 인증서 받기, IP 주소의 DHS에 알림, 상호 연결 보안 계약 제출 | 2016 년 10 월 27 일, 우리는 상호 연결 보안 계약에 서명하고 제출했으며 회원 자격이 완료되었습니다. PKI 인증서는 미국 정부가 발행 한 PKI 인증서와 동일해야합니다. 따라서 우리는 국내 PKI 인증서 공급 업체 (2017 년 3 월 8 일에 인수 됨)를 통해 PKI 인증서를 얻고 미국 PKI 인증서 공급 업체 (2017 년 2 월 23 일 인수)에서 직접 입수하려고 시도했습니다. 특히, 전자와 함께, 우리는 일본에서 PKI 인증서를 얻는 방법을 설정해야한다고 생각했으며,이를 얻는 데 많은 시간이 걸렸습니다. 2017 년 4 월 11 일, DHS는 토토사이트 로퍼 먹튀 액세스 소스가 될 IP 주소에 통보되었습니다. |
| 4 | 토토사이트 로퍼 먹튀 시스템에 연결 (Taxii Server) | 2017 년 5 월 3 일, DHS로부터 "AIS에 오신 것을 환영합니다"라는 이메일을 받았으며 AIS 시스템에 연결할 준비가되었습니다. 같은 날, 우리는 맞춤형 taxii 클라이언트를 사용하여 탐지 지표를받을 수 있음을 확인했습니다. |
응용 프로그램 절차에서 가장 중요한 것은 토토사이트 로퍼 먹튀 시스템에 연결하는 데 사용되는 PKI 인증서를 얻는 것입니다. 미국 정부 PKI 프레임 워크는 두 가지 형태의 PKI 인증서로 제공됩니다.
미국 연방 PKI Common Policy Framework의 이름 지정 규칙을 따르는 PKI 인증서, 미국 정부의 PKI 구성 요소를 통제하기위한 프레임 워크. 이것은 미국 PKI 인증서 공급 업체 (토토사이트 로퍼 먹튀가 권장하는 PKI 인증서 공급 업체)에서 직접 얻은 PKI 인증서의 형태입니다.
이것은 FBCA (Federal Bridge Certification Authority)가 발행하는 데 관여하는 PKI 인증서입니다. FBCA는 PKI를 상호 운용하는 인증 기관입니다. FBCA와 개인 인증 기관 간의 상호 인증 (그림 5)에 의해 개인 인증 당국이 발행 한 PKI 인증서는 미국 정부가 발행 한 PKI 인증서와 동등한 것으로 취급됩니다. 이것은 국내 PKI 인증서 공급 업체를 통해 얻은 PKI 인증서의 형태입니다 (Digicert에서 발행 한 PKI 인증서는 CyberTrust를 통해 얻습니다).
그림 5 : FBCA와 개인 인증 기관 간의 상호 인증
책임 : Terada, Onishi
글로벌 사인 :
중요한 전자 문서의 디지털 서명. 홍보에도 유용합니다
