<p style="margin:0px auto;padding:0px;font-family:'굴림', gulim, sans-serif;font-size:13px;line-height:23.3999996185303px;color:#333333;"><b><a target="_blank" href="https://thenewspro.org/?p=13534" target="_blank" class="tx-link" style="text-decoration:none;color:#333333;"><span style="margin:0px auto;padding:0px;color:#0900ff;font-size:12pt;">https://thenewspro.org/?p=13534</span></a><span style="margin:0px auto;padding:0px;color:#0900ff;font-size:12pt;"></span></b><br></p> <p style="margin:0px auto;padding:0px;font-family:'굴림', gulim, sans-serif;font-size:13px;line-height:23.3999996185303px;color:#333333;"><br></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;"><b><span style="margin:0px;padding:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;color:#ff0000;font-size:12pt;">레드삭스, 해킹팀 역추적 자료 심층 분석, 국정원이 “가장 적극적인 고객”</span></span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;color:#0900ff;font-size:12pt;">– 5163 육군부대, 최소 15개국에서 최소 109개의 아이피(IP)로 접속</span></b></span><span style="margin:0px;padding:0px;list-style:none;border:0px none;"><b><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;color:#0900ff;font-size:12pt;">– 목표 대상 감염시키려 다양한 가상의 개인 서버(VPS) 사용</span></b><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">네덜란드에 본사를 둔 악성 코드 감별 및 보안 전문회사인 레드삭스(RedSocks)는 21일 해킹팀에서 유출된 세부 자료를 역추적하고 심층 분석한 결과를 발표했다. </span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">이 보고서에서 주목할만한 점은 해킹팀으로부터 해킹 프로그램 구매와 관련, 최근 논란에 한 가운데 있는 국정원에 대한 언급 부분이다. </span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">레드삭스의 전문가들은 [email protected]이라는 이메일 주소와 관련이 있는 “5163 육군부대”가 해킹팀의 “가장 적극적인 고객 중 하나”이며 최소 15개국에서 최소 109개의 아이피(IP)로 접속했다고 폭로했다. </span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">이어 한국 국가정보원의 위장 사무실로 여겨지는 5163 육군부대는 자신의 위치를 인터넷상에서 숨기기 위해 운영보안 체계를 적절한 곳에 잘 배치했으며 이에 대해 주목할 만하다고 평가하기도 했다. </span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">또 그들은 목표 대상을 감염시키기 위해 아래와 같은 아주 다양한 가상의 개인 서버 VPS(Virtual private server) 인프라를 활용하고 있었다고 덧붙였다. </span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">DE – 198.105.125.107</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">DE – 198.105.125.108</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">CZ – 198.105.122.117</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">CZ – 198.105.122.118</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">NL – 131.72.137.101</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">NL – 131.72.137.104</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">DE – 185.72.246.46</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">RU – 46.38.63.194</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">US – 162.216.7.167</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">레드삭스는 앞으로의 해킹 공격에 대한 역추적을 돕기 위해 해킹팀의 유출 자료들을 정확히 설명하고 그들의 배후에 누가 있는지 자세히 조사하기로 했다고 이번 심층 분석의 의도를 설명했다. </span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">또 해킹 공격에 대한 역추적은 다양한 정황적 증거를 바탕으로 이루어질 수 있어 쉬운 일이 아니며 독특하면서도 분명한 청사진이 공격 중에 나타나야 가능하다고 말했다. </span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">따라서 이번 분석은 연구자들에게 현재와 미래의 해킹 그룹들과 그들이 사용하는 도구들과 IP 범위, 그리고 능력과 동기에 관한 가치 있는 정보를 수집할 수 있도록 도움을 줄 수 있을 것이라고 설명했다.</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">레드삭스는 해킹팀 고객들의 이메일 주소, 코드 이름, 고객 이름, 그리고 연결된 아이피 주소가 적힌 리스트를 공개했으며 요청이 있으면 전체 리스트를 제공하겠다는 의사도 밝혔다.</span><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><br style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px;padding:0px;list-style:none;border:0px none;">다음은 뉴스프로가 부분 발췌해 번역한 레드삭스 기사이다.</span></span></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><span style="margin:0px auto;padding:0px;color:#0900ff;">번역 감수:  임옥</span></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">기사 바로가기 ☞ <span style="margin:0px auto;padding:0px;color:#0900ff;"></span><a target="_blank" href="http://redsocksmtd.blogspot.com/2015/07/deep-dive-into-attribution-trove-of.html" target="_blank" class="tx-link" style="text-decoration:none;color:#333333;"><span style="margin:0px auto;padding:0px;color:#0900ff;">http://redsocksmtd.blogspot.com/2015/07/deep-dive-into-attribution-trove-of.html</span></a><span style="margin:0px auto;padding:0px;color:#0900ff;"></span></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">Tuesday, July 21, 2015</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><strong style="padding:0px;margin:0px;list-style:none;border:0px none;"><span style="margin:0px auto;padding:0px;color:#0900ff;">Deep dive into attribution trove of Hacking Team</span></strong></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><span style="margin:0px auto;padding:0px;color:#0900ff;"><b>해킹팀의 역추적 자료에 대한 심층 분석</b></span></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;text-align:center;"><img src="http://i1.media.daumcdn.net/uf/image/U01/agora/55B171F54A6BDF001A" class="txc-image" width="780" style="border:0px;vertical-align:middle;max-width:600px;height:auto;margin-bottom:10px;clear:none;float:none;" alt=""></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">Attribution is probably one of the toughest things to deal with during a major Cyber Security breach, yet it is one of the most demanded skills.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">사이버 공격의 역추적은 주요 사이버 보안 해킹 시 다루기에 가장 힘든 것들 중의 하나일 수 있으면서 가장 많이 찾는 기술 중 하나다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">Earlier in the first incident response cases, attribution was based solely on IP address location. Even though proxy servers have been there all along, individuals, companies and researchers could easily get away with this type of attribution.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">이전 초기 사건 대응 사례에서 역추적은 아이피(IP) 주소 위치에만 의존했다. 프록시 서버들이 그 위치에 있었던 경우에도 개인이나 회사 및 연구자들은 이러한 역추적을 쉽게 해낼 수 있었다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><strong style="padding:0px;margin:0px;list-style:none;border:0px none;">Attribution and Advanced Persistent Threats</strong></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">사이버 공격 역추적 및 지능형지속위협</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">Since recent years, and especially since the community has started to attribute and specifically mention certain hacker groups by giving them a name, this ability to attribute cyber attacks has been a spear point for companies to showcase their skills. Often were fashionable names created and in other cases solely the abbreviation APT (Advance Persistent Threat), with a connecting number has been used to identify specific hacker groups.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">최근 들어, 특히 커뮤니티가 사이버 공격 역추적을 하고 구체적으로 특정 해커 그룹들에 이름을 붙여 이들을 밝히기 시작한 이래로 사이버 공격을 역추적하는 이러한 능력은 회사들이 자신들의 기술을 시연코자 할 때 하이라이트가 되어왔다. 종종 멋진 이름들이 만들어졌고, 또 다른 경우에는 APT(지능형지속위협)의 약자에 연결 번호만 붙인 이름이 특정 해커 그룹을 식별하는 데에 쓰였다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">Attribution is not easy, attribution can be based on all sorts of circumstantial evidence. As long as that unique specific blueprint pops up during the whole attack, you can be able to attribute an attack.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">역추적은 쉽지 않으며 모든 유형의 정황적 증거에 근거할 수 있다. 독특한 특정 청사진이 대량공격 와중에 갑자기 나타나기만 한다면 그 공격이 누구에 의한 것인지 파악할 수 있다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">One thing most people often forget is that we are living on huge globe, with continents, habits and completely different mindsets. Cyber attacks in Europe and America are completely different by nature than cyber attacks in the Asia Pacific region and let alone from Russia.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">대부분의 사람들이 종종 망각하는 사실은 우리가 완전히 다른 사고방식들과 습관 그리고 여러 대륙에 걸친 거대한 지구에 살고 있다는 점이다. 유럽이나 미주대륙에서의 사이버 공격은 아시아 태평양 지역에서의 사이버 공격과는 그 성격이 완전히 다르며 러시아의 공격은 말할 것도 없다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><strong style="padding:0px;margin:0px;list-style:none;border:0px none;">Hacking Team</strong></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">해킹팀</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">In order to help future attribution cases, we @RedSocks have decided to pinpoint all specific details from the Hacking Team leak as much as possible, and get to the slightest detail into pinpointing who is behind them.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">향후 역추적 사례들을 돕기 위해, 우리 레드삭스(@RedSocks)는 해킹팀 누출 세부자료들의 가능한 모든 특정 세부사항들을 정확히 설명하고 그들 배후에 누가 있는지를 밝히기 위해 아주 자세히 조사하기로 결정했다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">What stands out most is the different use-cases you see in how specific parties are maintaining contact with hacking team. There are clients that don’t really mind if their identity is known, clients that are in a hurry, and clients that care about their identity. A lot of Hacking Teams clients for example use Gmail, Yahoo and Outlook email addresses. Some clients even prefer to only have contact by phone, and others only via encrypted email.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">가장 두드러져 보이는 점은 특정 부류가 해킹팀과의 접촉을 어떤 식으로 유지하는가에 있어서 각기 다른 사용 사례들이 있다는 것이다. 자신들의 정체가 알려지는 것을 꺼리지 않는 고객도 있고, 시간에 쫓기는 고객도 있으며 자신의 정체가 드러나지 않도록 조심하는 고객도 있다. 해킹팀 고객들의 상당수가 가령 지메일, 야후 그리고 아웃룩 이메일 주소를 사용한다. 심지어 일부 고객들은 전화 접촉만을 선호하고 또 다른 고객들은 암호화된 이메일을 통해서만 접촉한다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">It turns out a few (if not all) customers prefer to have their Collector server in their own home country.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">(전부는 아니더라도) 최소 몇몇 고객은 자국 내에 콜렉터 서버를 보유하기를 원하는 것으로 나타난다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">The massive Hacking Team leak allowed us to gain insight in the client infrastructure of Hacking Team. The Hacking Team company used various anonymizers and you can find them in our previous post on Hacking Team.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">방대한 양의 해킹팀 자료 유출은 해킹팀의 고객 인프라를 들여다볼 수 있도록 해주었다. 해킹팀 사는 다양한 익명 서비스를 이용했으며 이에 대해서는 해킹팀에 대한 우리의 이전 글에서 읽을 수 있다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">On the bottom of this blog post is a list of associated Hacking Team Collector server anonymizers and connected email addresses.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">이 블로그 하단에는 연결된 해킹 팀 콜렉터 서버 익명 서비스들과 그에 연결된 이메일 주소들의 목록이 있다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">These details should give researchers the ability to gather valuable information about current and future APT groups, their tool set, IP ranges, capabilities and motives.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">이러한 세부사항들은 연구자들에게 현재와 미래의 APT 그룹들과 그들의 도구들, IP 범위, 능력과 동기들에 관한 가치 있는 정보를 수집할 수 있도록 해줄 것이다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><strong style="padding:0px;margin:0px;list-style:none;border:0px none;">We have highlighted some for you:</strong></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">독자를 위해 다음 몇 가지 주요 사항을 정리했다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><strong style="padding:0px;margin:0px;list-style:none;border:0px none;">The 5163 Army Division customer</strong></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">5163 육군부대 고객</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">This customer was one of the most active users, it is associated with the email address:<br style="padding:0px;margin:0px;list-style:none;border:0px none;">[email protected]</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">이 고객은 가장 적극적인 사용자들 중 하나로서 [email protected]이라는 이메일 주소와 연관된다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">It has connected with at least 109 different IP addresses from at least 15 different countries. All of them where TOR exit nodes. It can be noted that this customer had good operational security in place in order to hide its original location on the internet.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">이 사용자는 최소 15개국에서 최소 109개의 아이피(IP)로 접촉했다. 이들 모두가 토르 출구 노드(TOR exit node)였다. 이 사용자는 자신의 인터넷 위치를 숨기기 위해 운영보안 체계를 아주 잘 설치한 점이 주목된다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">This customer was using a large variety of VPS infrastructure to infect its targets:</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">이 고객은 목표 대상을 감염시키기 위해 아주 다양한 VPS(Virtual private server, 가상 개인 서버 호스팅) 인프라를 사용하고 있었다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">DE – 198.105.125.107<br style="padding:0px;margin:0px;list-style:none;border:0px none;">DE – 198.105.125.108<br style="padding:0px;margin:0px;list-style:none;border:0px none;">CZ – 198.105.122.117<br style="padding:0px;margin:0px;list-style:none;border:0px none;">CZ – 198.105.122.118<br style="padding:0px;margin:0px;list-style:none;border:0px none;">NL – 131.72.137.101<br style="padding:0px;margin:0px;list-style:none;border:0px none;">NL – 131.72.137.104<br style="padding:0px;margin:0px;list-style:none;border:0px none;">DE – 185.72.246.46<br style="padding:0px;margin:0px;list-style:none;border:0px none;">RU – 46.38.63.194<br style="padding:0px;margin:0px;list-style:none;border:0px none;">US – 162.216.7.167</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">The 5163 Army Division is thought to be the front office of National Intelligence Service of South Korea.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">5163 육군부대는 한국의 국가정보원의 위장 사무실로 여겨진다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">To summon some very specific characteristics that can be noticed during an attack I have decided to write some down that are able to help you. And others that can easily cause tunnel vision, and thus should be taken less into account.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">공격 중에 발견될 수 있는 몇몇의 매우 구체적인 특징들을 보여주기 위해, 독자를 도울 수 있는 몇 가지 사항을 아래에 기록하기로 한다. 그리고 터널 비전을 (역주: 좁은 시야) 쉽게 일으킬 수 있는 다른 것들이 있고, 이들은 따라서 덜 고려되어야 한다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><strong style="padding:0px;margin:0px;list-style:none;border:0px none;">Attribution:</strong><br style="padding:0px;margin:0px;list-style:none;border:0px none;">New malware strains, from same source code<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Lateral movement characteristics<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Reconnaissance characteristics<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Persistence/Backdoor characteristics<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Connecting IP space<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Plurality of IP series<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Amount of concurrent (active) backdoor connections<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Routine of instructions<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Batch/Script files used and purpose of those<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Favorable tools of common open source tool sets<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Entry point details (hacked, bought, bought in underground, hijacked, stolen)<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Sophistication of malware (sole purpose, modular, ease of creation)</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">역추적:<br style="padding:0px;margin:0px;list-style:none;border:0px none;">같은 소스 코드로부터의 새로운 악성코드들<br style="padding:0px;margin:0px;list-style:none;border:0px none;">횡적 이동 특성<br style="padding:0px;margin:0px;list-style:none;border:0px none;">정찰 특성<br style="padding:0px;margin:0px;list-style:none;border:0px none;">아이피를 연결하는 공간<br style="padding:0px;margin:0px;list-style:none;border:0px none;">연속적인 수 많은 아이피들<br style="padding:0px;margin:0px;list-style:none;border:0px none;">사용된 배치 스크리트 파일들, 그리고 이런 목적<br style="padding:0px;margin:0px;list-style:none;border:0px none;">공유되는 오픈 소스 도구 셋 중에서 선호하는 도구들.<br style="padding:0px;margin:0px;list-style:none;border:0px none;">유입 경로 세부사항 ( 해킹된 것, 구입된 것, 음성으로 구입한 것, 가로챈 것, 훔친 것)<br style="padding:0px;margin:0px;list-style:none;border:0px none;">악성 코드의 정교함 ( 단일 목적, 모듈식, 쉽게 생성)</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><strong style="padding:0px;margin:0px;list-style:none;border:0px none;">Helpful:</strong><br style="padding:0px;margin:0px;list-style:none;border:0px none;">Possible motives<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Compilation time stamps</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">도움되는 것:<br style="padding:0px;margin:0px;list-style:none;border:0px none;">가능한 동기들<br style="padding:0px;margin:0px;list-style:none;border:0px none;">시간 기록들 편집</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;"><strong style="padding:0px;margin:0px;list-style:none;border:0px none;">Tunnel vision:</strong><br style="padding:0px;margin:0px;list-style:none;border:0px none;">Specifically attributed known malware (Could be Re-used.)<br style="padding:0px;margin:0px;list-style:none;border:0px none;">IP ranges solely<br style="padding:0px;margin:0px;list-style:none;border:0px none;">Strings in malware</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">터널 비전을 일으킬 수 있는 사항:<br style="padding:0px;margin:0px;list-style:none;border:0px none;">구체적으로 알려진 악성코드(다시 사용 가능)<br style="padding:0px;margin:0px;list-style:none;border:0px none;">유일하게 아이피가 배정되는 것<br style="padding:0px;margin:0px;list-style:none;border:0px none;">일련의 악성코드들</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">Below is a list of customer email addresses, customers code names, customer names and connecting IP addresses. Researches willing to receive the complete list are free to contact us.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">아래는 고객들의 이메일 주소, 코드 이름, 고객 이름, 그리고 연결된 아이피 주소가 적힌 리스트이다. 우리에게 연락하면 전체 리스트를 받을 수 있다.</p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:NanumGothic;font-size:14px;line-height:21px;list-style:none;border:0px none;color:#222222;">[email protected] SKA devilangel 176.10.99.202 CH (역주: 스위스)</p> <p style="margin:0px auto;padding:0px;font-family:'굴림', gulim, sans-serif;font-size:13px;line-height:23.3999996185303px;color:#333333;"><br></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:'굴림', gulim, sans-serif;font-size:13px;line-height:23.3999996185303px;color:#222222;list-style:none;border:0px none;text-align:justify;">************************************************************************<span style="margin:0px auto;padding:0px;line-height:23.3999996185303px;">*****</span></p> <p style="margin:0px auto;padding:0px;font-family:'굴림', gulim, sans-serif;font-size:12.7272720336914px;line-height:23.3999996185303px;color:#333333;"><font color="#0900ff" face="NanumGothic"><span style="margin:0px auto;padding:0px;font-size:13.63636302948px;line-height:21px;"><a target="_blank" href="https://www.facebook.com/TheNewsPro" target="_blank" class="tx-link" style="text-decoration:none;color:#333333;"><span style="margin:0px auto;padding:0px;color:#0900ff;"><b>https://www.facebook.com/TheNewsPro</b></span></a></span></font><br></p> <p style="margin:0px auto;padding:0px;font-family:'굴림', gulim, sans-serif;font-size:12.7272720336914px;line-height:23.3999996185303px;color:#333333;"><br></p> <p style="margin:0px auto;padding:0px 0px 1em;font-family:'굴림', gulim, sans-serif;font-size:13px;line-height:23.3999996185303px;color:#222222;list-style:none;border:0px none;"><a target="_blank" href="https://twitter.com/thenewspro" target="_blank" class="tx-link" style="text-decoration:none;color:#333333;font-family:NanumGothic;font-size:13.63636302948px;line-height:21px;"><span style="margin:0px auto;padding:0px;color:#0900ff;"><b>https://twitter.com/thenewspro</b></span></a></p>