본문 바로가기

graph

(2)
36. Threat graph(North Korea) 약 1년전부터 수집되는 정보들을 기반으로 threat graph를 계속 만들고 있다. 중간중간 시간날 때 덧붙이는 형식이어서 엄청난 정보를 포함하고 있지는 않지만 graph를 이어가다보니 중간중간 상관관계가 계속해서 보인다. 아래 그래프가 현재 그래프 상태이다. 최대한 발생했던 유사도에 따라서 그룹별로 묶어두었는데, 중간중간 보면 그룹간 유사한 파일 혹은 C2 서버가 존재하는걸 볼 수 있다. 처음 만들면서 생각한 것은 Lazarus 그룹에 대해 만들어보자 였는데.. 어쩌다보니 NK 쪽 모든 파일을 수집하고 연결하고 있다. 트리형으로 나타내면 아래 그림과 같다. 트리형은 너무 복잡해서.. 전체 트리에서 중간만 확대한 그림이다. 앞으로도 발견되거나 수집되는 NK 관련 정보가 있으면 계속해서 추가 할 예정이다..
32. Lazarus Graph 이번 글에서는 이전부터 연결해왔던 북한 해킹그룹인 라자루스 그룹의 연관관계 그래프를 업로딩하고자 한다. 일단 전체 그래프는 위와 같다.(많은 샘플에 대한 그래프는 아니다.) 각 구역을 상하좌우로 4등분해서 한 구역당 하나의 공격 혹은 비슷한 샘플들의 위치이다. 언뜻 보기에도 다른 유형의 공격, 다른 유형의 샘플임에도 불구하고 C2 서버와 같은 것들이 서로 연관돼 있는 것을 볼 수 있다. 물론 여기서의 C2 서버는 VPN 등을 이용해 다른 나라로 거쳐간 C2 들이겠지만.. 각 구역을 상세히 살펴보면 먼저, 홉라이트 악성코드들과 작년 말쯤 유포되었던 한글 악성코드에 연관관계가 있는 것을 볼 수 있다. 둘의 공격은 엄연히 다른 샘플과 공격 유형이지만, 각각이 비슷한 샘플에서 겹치는 샘플이 나타나는 것을 볼 수..