본문 바로가기

Analysis

36. Threat graph(North Korea)

약 1년전부터 수집되는 정보들을 기반으로 threat graph를 계속 만들고 있다. 중간중간 시간날 때 덧붙이는 형식이어서 엄청난 정보를 포함하고 있지는 않지만 graph를 이어가다보니 중간중간 상관관계가 계속해서 보인다.

 

아래 그래프가 현재 그래프 상태이다.

그래프

 

최대한 발생했던 유사도에 따라서 그룹별로 묶어두었는데, 중간중간 보면 그룹간 유사한 파일 혹은 C2 서버가 존재하는걸 볼 수 있다. 처음 만들면서 생각한 것은 Lazarus 그룹에 대해 만들어보자 였는데.. 어쩌다보니 NK 쪽 모든 파일을 수집하고 연결하고 있다. 

 

트리형으로 나타내면 아래 그림과 같다.

트리

 

트리형은 너무 복잡해서.. 전체 트리에서 중간만 확대한 그림이다.

 

앞으로도 발견되거나 수집되는 NK 관련 정보가 있으면 계속해서 추가 할 예정이다.

 

어쨌든.. 단순 분석 정보로 이어가는 TI가 주류라고 생각하지만, 이런식으로 visualization 하는 부분도 중요하다고 생각된다. 상관관계를 직관적으로 볼 수 있다.

반응형

'Analysis' 카테고리의 다른 글

38. 샤오치잉 그룹 (aka White Dawn, Core Code)  (0) 2023.01.25
37. Eland's clop  (0) 2020.12.11
35. Maze ransomware  (0) 2020.08.13
34. makop ransomware  (0) 2020.04.19
33. Remcos  (0) 2020.04.16