HBGary 유출 이메일 입장 분석 보고서

--- title: HBGary 유출 이메일 입장 분석 보고서 tags: BoB 9th 과제, HBGary, Customer description: 이 문서는 Anonymous의 HBGary사 공격을 통해 유출된 이메일 중 일부에서 HBGary와 고객사이에 발생한 문제에 대해 분석한 내용입니다. --- <div style="background:linear-gradient(45deg, #4568dc, #b06ab3);color:#fff;text-align:center;padding:0.75rem;margin-bottom:2rem;"> <h3 style="border:0;margin:1rem">HBgary 유출 이메일 입장 분석 보고서 </h2> <i style="font-size:1.3rem">- from WikiLeaks - </i> <p style="font-weight:bold;margin:0.5rem 0 1rem 0">Created by Team 1</p> </div> <div style="text-align:center;padding:0.75rem;margin-bottom:2rem;"> ![bob logo](https://i.imgur.com/95V6sWU.png =300x300) </div> ---------------------------------------------------------------------- # Information **유출메일 전문은 [WikiLeaks](https://wikileaks.org/hbgary-emails/emailid/64323)에서 확인할 수 있습니다.** ## 참여 구성원 | <center>이름(전화번호 끝자리)</center> | <center>참여도</center> | |:--------|:--------:| <center>구본근(7061) | 100%</center> <center>권순현(9951) | 100%</center> <center>김도훈(5791) | 100%</center> <center>김태룡(5331) | 100%</center> <center>김효진(0071) | 100%</center> <center>노시은(5531) | 100%</center> <center>박상수(6151) | 100%</center> <center>박지현(9721) | 100%</center> <center>석지원(0751) | 100%</center> <center>신동준(5631) | 100%</center> <center>오수현(0471) | 100%</center> <center>윤현석(1441) | 100%</center> <center>유정규(6221) | 100%</center> <center>윤형준(4911) | 100%</center> <center>이승형(9351) | 100%</center> <center>이시영(3731) | 100%</center> <center>이진우(4991) | 100%</center> <center>장유진(7141) | 100%</center> <center>장종민(0611) | 100%</center> <center>전은영(8201) | 100%</center> <center>진건승(7861) | 100%</center> <center>한택승(0531) | 100%</center> <center>홍지원(4711) | 100%</center> <center>황도현(1701) | 100%</center> <center>황희재(2781) | 100%</center> # HBGary ? - MCSI (ManTech Cyber Solutions International) 의 자회사 중 하나로 보안 솔루션을 판매하는 업체(팀) <div style="text-align:center;padding:0.75rem;margin-bottom:2rem;"> ![image alt](https://i.imgur.com/ceev387.jpg "HBGary Responder") </div> # How was HBGary Hacked ? * Third-party 라이브러리인 CMS에 존재하는 SQL Injection 취약점으로 인해 Hacker들은 DataBase에 접근할 수 있었다. * 추가적으로 DB내 계정의 Password는 MD5 방식으로 저장되어 있었는데, iterative hashing이나 salting이 없어 rainbow-table attack에 취약하였다. * 또한, 일부직원들은 웹서버로 접속하는 ssh 암호를 CMS와 동일하게 사용하여 Hacker들은 서버까지 접속하여 자료를 탈취할 수 있었다. ## Question 1, What's the technical problem? ### 1.1 Clinet 1. Dynamic Analysis 기능의 부재 * 3개의 메뉴 중 Dynamic Analysis에 해당하는 모든 기능이 동작하지 않은 것이 버그 리포팅 메일의 시작점이다. ## Question 2, What was the problem of HBGary? 1. 내부에서 소통이 되지 않았고, 고객의 메일에 대해서 응답하지 않았다. >This Korean customer bought Responder for its runtime features (i.e., the debugger) and found that it doesn't work. He has sent multiple emails to report the problem. Each time I got his emails I forwarded them to support but it appears no one replied to him. * 위의 메일 내용에서도 해당 메일을 담당자에게 전달했지만, 해당 부서에서 처리가 안되었음을 알 수 있다. 따라서, 내부 소통에 문제가 문제가 있을 것이라고 판단했고, 담당 부서는 고객에 메일에 성실히 응답하지 않은 점이 문제이다. 2. 업데이트 지원 종료에 대한 정보를 사전에 공지하지 않았다. >It is my understanding that the Responder debugger will soon have end-of-life status and will be replaced by a different kind of dynamic analysis we are calling Flypaper. It is doubtful that the bugs you reported will be corrected. Here are some of our reasons for the decision: > -- We decided that it didn't make sense to continue developing a debugger when there are several excellent and free debuggers available in the marketplace. > Looks like a refund is in order. Offer to let him evaluate Flypaper once it's released, with a discount on reinstatement of his license if he chooses to start using the product again after Flypaper is working. At this time we do not have a set date for when Flypaper will be ready. * HBGary는 "<u>Responder debugger</u>가 시장 가능성이 없다고 판단하여 새로운 디버거를 준비중이라고 하였다. 그리고 HBGary는 고객에게 환불절차에 앞서 기존의 서비스 지원이 종료될 것이고, 혹시 모르니 Flypaper가 개발되면 평가판 사용 기회를 제공하는 것과 이에 만족할 경우 라이선스 복구 비용을 “할인”해 주는 방향으로 가기를 원한다. 또한, 버그의 발생 원인은 아직 찾지 못했다." 라고 BOB에 보내었다. 여기서 문제는 고객에게 사전에 통보 없이 서비스를 종료하는 것과 HBGray는 프로그램 구현에는 성공하였지만 시험과 검증이 부족했다는 것, 또한 프로그램의 버그에 대응할 전문가의 부재로 인해 버그 픽스가 이루어지지 않는 것과 고객의 질의에 대한 빠른 확답을 하지 못한 것이 문제이다. ## Question 3, The view of each parites ### 3.1 The Provider side (HBGary) 1. 자사 Debugger의 수명만기로 인하여 Flypaper로 대체 준비중임. > It is my understanding that the Responder debugger will soon have end-of-life status and will be replaced by a different kind of dynamic analysis we are calling Flypaper. 2. 이미 고객과의 신뢰관계가 무너져 Bug Fix가 되지 않는다면 환불을 생각해야함. > We simply haven't treated this customer right. > It sounds like our only options will be to either fix the debugger or refund his money. > Or maybe there is another way to make things right with this customer. But we cannot ignore it. 3. 또한 환불을 진행하게 될 경우, 추후 Flypaper의 개발이 완료된다면 체험판을 제공하여 다시 자사의 고객으로 끌어오려고 함 >Offer to let him evaluate Flypaper once it's released, with a discount on reinstatement of his license if he chooses to start using the product again after Flypaper is working. ### 3.2 The Client side (certlab@kftc.or.kr) 1. 기능 수정 * 런타임 분석 기능이 작동하지 않은 이유에 대해 정확한 이유를 원함 > This time I'm going to make my point clear. I want to know the "Exact" reason why "Runtime Analysis" is not working for me and the other various machines I tested, and if other clients of Responder are suffering the same problem. - "Runtime Malware Analysis" 영상에 나온 기능 - 바이너리 분석 후, 전역 변수 섹션에 대한 진행이 불가능하였음 > Unfortunately, I was unable to get the "Global" section after "Analyze Binary" and sent a couple of e-mails to a few people in the support team regarding the problem. > # Final conclusion - 이강석 멘토님 사랑합니다.^^ ---