>
연구(Insikt)

그물에 걸려들다: 인포스틸러 로그를 사용하여 CSAM 소비자 마스킹 해제하기

게시일: 2024년 7월 2일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

요약

이 개념 증명 보고서에서 Recorded Future의 Identity Intelligence는 인포스틸러 멀웨어 데이터를 분석하여 아동 성적 학대 자료(CSAM)의 소비자를 식별했습니다. 약 3,300명의 고유 사용자가 알려진 CSAM 소스의 계정을 가지고 있는 것으로 확인되었습니다. 특히 4.2%는 여러 출처의 자격 증명을 보유하고 있어 범죄 행위 가능성이 높다는 것을 알 수 있습니다. 이 연구는 인포스틸러 로그가 수사관이 다크웹에서 CSAM 활동을 추적하는 데 어떻게 도움이 되는지 보여줍니다. 추가 조치를 위해 데이터가 법 집행 기관에 에스컬레이션되었습니다.

그물에 걸려들다: 인포스틸러 로그를 사용하여 CSAM 소비자 마스킹 해제하기

배경

인포스틸러 멀웨어는 로그인 자격 증명, 암호화폐 지갑, 결제 카드 데이터, OS 정보, 브라우저 쿠키, 스크린샷, 자동 완성 데이터와 같은 민감한 사용자 정보를 훔칩니다. 일반적인 배포 방법에는 피싱, 스팸 캠페인, 가짜 업데이트 웹사이트, SEO 중독, 멀버타이징 등이 있습니다. 인기 있는 감염 경로로는 라이선스가 있는 소프트웨어를 불법으로 구하려는 사용자에게 판매되는 '크랙' 소프트웨어가 있습니다. '인포스틸러 로그'로 알려진 도난 데이터는 종종 사이버 범죄자가 이를 구매할 수 있는 다크 웹 소스로 이동하여 네트워크나 시스템에 액세스할 수 있는 권한을 얻게 됩니다.

.onion 도메인을 가진 토르 기반 웹사이트가 제공하는 익명성은 CSAM의 생산과 소비를 촉진합니다. 연구 결과에 따르면 .onion 웹 사이트가 CSAM을 호스팅하기 때문에 다크웹 브라우징 활동의 대부분은 이러한 사이트를 대상으로 합니다.

방법론

이 개념 증명 보고서에서 Recorded Future의 Identity Intelligence는 인포스틸러 멀웨어 데이터를 활용하여 아동 성적 학대 자료(CSAM)의 소비자를 식별하고, 추가 출처를 파악하고, 지역 및 행동 추세를 파악했습니다. 저희의 높은 신뢰도 평가는 인포스틸러 로그 데이터의 특성과 후속 연구 결과에서 비롯된 것입니다.

여러 아동 성착취물 소스에 계정을 보유한 3명의 샘플 조사 결과, 여러 개의 아동 성착취물 계정을 보유할수록 아동 대상 범죄를 저지를 가능성이 높은 것으로 나타났습니다. 이 연구는 인포스틸러 로그가 법 집행 기관이 추적하기 어려운 다크 웹에서 아동 착취를 추적하는 데 도움이 될 수 있음을 보여줍니다. 모든 관련 조사 결과는 당국에 보고되었습니다.

저희의 연구에는 알려진 고충실도 CSAM 도메인 목록을 생성하고, 기록된 미래 신원 정보 데이터를 쿼리하여 이러한 도메인에 대한 자격 증명을 가진 사용자를 식별하는 작업이 포함되었습니다. 인식트 그룹은 세계어린이재단, 인신매매 방지 정보 이니셔티브(ATII) 등 비영리 단체와 협력하여 레코드드 퓨처 인텔리전스 클라우드에 쿼리하여 이 목록을 확장했습니다. 이 반복적인 프로세스를 통해 추가 CSAM 소스를 식별하는 데 도움이 되었습니다.

인식트 그룹은 인포스틸러 로그 정보에 대한 실시간 액세스를 제공하는 레코디드 퓨처의 Identity Intelligence에 2021년 2월부터 2024년 2월까지 알려진 CSAM 소스와 연결된 인증 기록을 쿼리했습니다. 중복 제거는 OS 사용자 이름과 PC 이름을 비교하여 수행되었습니다.

결과

인식트 그룹은 알려진 CSAM 웹사이트에 액세스하는 데 사용되는 3,324개의 고유 인증 정보를 확인했습니다. 이 데이터를 통해 사용자 이름, IP 주소, 시스템 정보 등 개별 소스 및 사용자에 대한 통계를 수집할 수 있었습니다. 이 세분화된 데이터는 법 집행 기관이 CSAM 웹사이트의 인프라를 이해하고, CSAM 소비자가 자신의 신원을 감추기 위해 사용하는 기술을 파악하고, 잠재적인 CSAM 소비자 및 생산자를 식별하는 데 도움이 됩니다.

인식트 그룹은 세 가지 사례 연구에서 인포스틸러 로그와 오픈 소스 인텔리전스(OSINT)에 포함된 데이터를 사용하여 두 명의 개인을 식별하고 세 번째 개인의 암호화폐 주소를 포함한 디지털 아티팩트를 추가로 발견했습니다.

이 PoC 연구는 인포스틸러 로그를 사용하여 CSAM 소비자와 CSAM 커뮤니티의 새로운 소스 및 트렌드를 파악할 수 있음을 보여줍니다.

인포스틸러 로그와 서비스형 멀웨어(MaaS) 생태계에 대한 사이버 범죄의 수요가 계속 증가함에 따라, 인식트 그룹은 인포스틸러 로그 데이터 세트가 CSAM 소비자에 대한 최신의 진화하는 인사이트를 지속적으로 제공할 것으로 예상하고 있습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

관련