Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지

A Study on Artifact Grouping by Analyzing Artifact Case by Vulnerability : Using Adobe Flash Player Vulnerabilities

취약점 별 아티팩트 사례 분석을 통한 아티팩트 그룹핑 연구 : 어도비 플래시 플레이어 취약점을 이용하여

  • 송병관 (경기대학교 융합보안학과) ;
  • 김선광 (중앙대학교 융합보안학과) ;
  • 권은진 (서울시립대학교 컴퓨터과학부) ;
  • 진승택 (호서전문학교 사이버해킹보안과) ;
  • 김종혁 ((주)스틸리언) ;
  • 김형철 (삼정KPMG) ;
  • 김민수 (중부대학교 정보보호학과)
  • Received : 2018.12.07
  • Accepted : 2019.03.19
  • Published : 2019.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

The damage is increasing due to many encroachment accidents caused by increasingly sophisticated cyber attacks. Many institutions and businesses lack early response to invest a lot of resources in the infrastructure for incident detection. The initial response of an intrusion is to identify the route of attack, and many cyber attacks are targeted at software vulnerabilities. Therefore, analyzing the artifacts of a Windows system against software vulnerabilities and classifying the analyzed data can be utilized for rapid initial response. Therefore, the remaining artifacts upon entry of attacks by software are classified, and artifact grouping is presented for use in analysis of encroachment accidents.

점차 고도화되는 사이버 공격에 의한 많은 침해사고로 피해가 증가하고 있다. 많은 기관 및 기업체에서는 사고 탐지를 위한 인프라만에 많은 자원을 투자하기에 초기대응에 미흡하다. 침해사고의 초기대응은 공격의 유입경로 파악이 우선이며, 이루어지고 있는 많은 사이버 공격은 소프트웨어 취약점을 대상으로 하고 있다. 따라서, 소프트웨어 취약점을 대상으로 윈도우 시스템의 아티팩트를 분석하고, 분석한 데이터를 분류하면 신속한 초기대응에 활용할 수 있다. 그러므로 소프트웨어 별 공격 유입 시 남는 아티팩트를 분류하여 침해사고 분석 시에 활용할 수 있는 아티팩트 그룹핑을 제시한다.

Keywords

References

  1. 방송통신위원회, 한국인터넷진흥원, '침해사고 분석절차 안내서', 한국인터넷진흥원, pp. 12-14, 2010.
  2. Gartner, "Now is the time for security at application level", http://www.gartner.com/id=487227, 2005.
  3. 전상준. "윈도우즈 시스템 포렌식." 정보보호학회지, 26.5, pp. 6-16, 2016.
  4. Microsoft, "About Event Logging" GitHub. https://msdn.microsoft.com/ko-kr/library/windows/desktop/aa363632(v=vs.85).aspx, 2018.
  5. Mitre, "Common Vulnerabilities and Exposures" "https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Adobe+flash", 2018.
  6. Rod Soto & Kevin Stear, "Rig Exploit kit delivering GandCrab Ransomware via Adobe CVE-2018-4878", JASK LABS, 2018.
  7. J. Caballero, G. Grieco et al, "Undangle:Early Detection of Dangling Pointers in Use-after-free and Double-free Vulnerabilities," ISSTA, 2012
  8. Warren Mercer & Paul Rascagneres, "Flash 0-Day In The Wild:Group 123 At the Controls", Cisco, https://blog.talosintelligence.com/2018/02/group-123-goes-wild.html, 2018.
  9. Ana Dascalescu, "How Flash Vulnerabilities Expose You To Attacks", https://heimdalsecurity.com/blog/adobe-flash-vulnerabilities-security-risks/, Heimdal Security, 2017
  10. Apurva Udaykumar, "Setting A Crossdomain.xml File For Http Streaming", https://www.adobe.com/devnet/adobe-media-server/articles/cross-domain-xml-for-streaming.html, 2012.
  11. Adobe, "Removing Adobe Flash Access data files", https://helpx.adobe.com/x-productkb/multi/removing-flash-access-data-files.html, 2016.