none028

오늘은 딥웹에 있는 언더그라운드 포럼에 대한 전반적인 소개와 어떤 데이터들이 주로 올라오는 지에 대해서 다루고자 합니다.

먼저 게시글에서 다룰 Nulled와 Raidforums는 이미 이전에 한국 관련 데이터 셋이 유출되어서 기사에 참고 자료로 올라올 정도로 많이 알려져 있습니다.

1. Nulled

Nulled는 딥웹에 있는 언더그라운드 포럼 중에서도 많은 회원 수를 보유하고 있습니다. 그리고 글의 리젠 속도 또한 다른 포럼에 비해 많습니다. 비교하자면, Raidforums가 하루에 2000-3000개 정도의 게시글이 업데이트되고, Nulled는 100,000개 정도의 게시글이 업데이트됩니다. Nulled는 AQUA 등급이 되면 모든 게시글의 Hidden contents를 무제한으로 조회할 수 있습니다.

Nulled는 정말 다양한 유출 데이터에 대한 게시글들이 올라옵니다. 아래 이미지는 2020년 6월 20일 오후 3시 15분에 캡쳐한 게시판입니다.

이 중에 주로 Fresh 키워드가 붙은 데이터는 게시자가 가장 최근에 얻은 유출 데이터 정보입니다. 언더그라운드 포럼을 모니터링하는 방법에 대해서는 다음 주, "언더그라운드 포럼 모니터링 방법" 포스트에서 다루도록 하겠습니다.

2. Raidforums

한국 관련 데이터가 Nulled 보다 많이 올라오는 사이트입니다. 최근 1년 전 유출된 '야놀자펜션' 개인정보 판매글 등장 [링크] 제목의 기사에서 참고 자료로 제시된 이미지에 나온 포럼이 Raidforums 입니다. 2번째 이미지로 제시된 이미지는 Genesis Store 인데, 이건 다음 포스트에서 자세히 다루도록 하겠습니다. 

Raidforums는 Nulled와 비슷하게 생겼지만 멤버쉽과 데이터를 구매하는 방식이 다릅니다. Raidforums는 credit을 미리 선결제해서 credit을 차감시켜 hidden contents를 조회할 수 있는 권한을 획득하여 데이터를 확보할 수 있습니다.

다음 포스트에서는 Nulled / Raidforums 와 같은 언더그라운드 포럼에서 데이터를 검색하는 방법과 데이터를 얻기 위해서 보통 어떤 방식들이 있는 지에 대해서 작성하겠습니다.

목표

국내/외 다크웹, 데이터 유출 관련 이슈 총 정리

- 월간 이슈 포스트 작성하기

1주일에 1 포스트 실천하기

- 잘하자

Cyber Threat Intelligence에서 가장 핵심적인 요소인 Threat Actor에 대해서 기존에 있는 자료들을 수집했다. (그냥 자료 모으기용 포스트)

1. Malpedia - Malware Wikipedia (?) [link]

Threat Actor와 관련된 간략한 정보와 함께 최근 뉴스들을 확인할 수 있다.

2. Threat Group Cards: A Threat Actor Encyclopedia by ThaiCert [link]

해당 보고서는 다른 자료들과는 다르게 Threat Actor별로 중요한 요소들을 한번에 요점정리한 느낌이였다.

3. MITRE ATT&CK [link]

MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private sector, in government, and in the cybersecurity product and service community.

With the creation of ATT&CK, MITRE is fulfilling its mission to solve problems for a safer world — by bringing communities together to develop more effective cybersecurity. ATT&CK is open and available to any person or organization for use at no charge.

MITER ATT & CK®는 실제로 일어나는 적의 전술과 기술에 대한 전 세계적으로 액세스 가능한 자료이다. ATT & CK 자료는 민간 부문, 정부 및 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법론 개발을 위한 기반으로 사용된다.

ATT & CK의 설립으로 MITER는 보다 효과적인 사이버 보안을 만들어 가기 위해 다함께 커뮤니티에 모아서 보다 안전한 세상을 위한 문제를 해결하는 사명을 완수하고 있다. ATT & CK는 모든 사람이나 조직이 무료로 사용할 수 있도록 개방되어 있다.

MITRE ATT&CK는 앞서 언급된 자료보다 더 디테일하게 정리되어 있었다. 위에서 ThaiCert 보고서에서 나온 APT37 관련 자료를 MITRE에서 찾아보면 아래와 같이 나온다.

그리고, APT37을 클릭하면 해당 TA (e.g. Threat Actor)에 대한 간단한 정보와 이들이 사용하는 테크닉에 대해서 상세하게 정의되어 있다.

목표

OSINT Tool 사용법 업로드

- onion scan

- recon ng

셀프 OSINT Tool 개발 방법 업로드

- DarkWeb OSINT for detect crypto, breach

* 이런 거 할 시간 없어... 너무 힘들어...