쿨캣의 블로그 놀이

AutoIt은 자동 명령을 수행해주는 프로그램으로 자동 수행할 내용을 EXE로 변환할 수 있습니다. http://www.autoitscript.com/autoit3/ 악성코드 제작자들이 AutoIt을 이용해 악성코드를 제작하고 있고 백신 업체에서 AutoIt 으로 작성된 악성코드를 진단하고 있습니다. 오늘 샘플을 보다가 다음과 같은 문구가 있네요. 'This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support.' (컴파일된 AutoIt 스크립트 입니다. AV 연구가들은 avsupport@autoitscript.com으로 연락주세요.) 아마 백신에서 AutoIt으로 작성된 파일을 오진하는..

2007년에 발견된 바이러스 샘플이지만 확인이 필요해서 타사 진단명을 보다가 Xema가 보이네요. V3 진단명을 유심히 본 사람들이라면 V3에 유독(?) Xema가 많은걸 알 수 있습니다. Xema(안랩에서는 제마라고 읽습니다.) 의 비밀을 살짝 얘기하자면... 안랩 분석가가 마땅히 지을 이름이 없을 때 붙이기 위해 만든 진단명입니다. - 참고로 Xema는 순우리말을 변형한 겁니다. Win-Trojan/Xema.variant (이건 다수의 변형을 1개의 진단명으로 사용해서 증상이 제각각입니다.) Win-Trojan/Xema 등은 모두 지을 이름이 마땅하지 않아 지은거죠. 이 악성코드 제일 첫 이름이 V3에서 Win-Trojan/Xema였을 겁니다. 안랩에서 이후 추가 분석하다가 바이러스임이 밝혀졌고 진단..

악성코드를 분석할 때 증상위주로 파악하기 위해서 자동분석을 많이 사용합니다. 이때 문제가 발생하는건 크게 다음과 같습니다. 1. 자동분석 탐지 (가상환경, 모니터링 도구 등의 유무) 2. 인자 값 필요 3. 특정 환경 필요 (설치된 다른 프로그램 등) 4. 기타 (더 있을텐데 생각이 안나서..) 2,3번의 경우도 많은데 자동분석 시스템에서는 지극히 평범하고 정상적인 프로그램처럼 나옵니다. 하지만, 코드를 분석하면 원인을 알 수 있습니다. Ollydbg로 열어보면 실제 코드가 0x00401000 에서 시작하는 전형적인 비주얼 C 로 작성된 코드임을 알 수 있습니다. 0x00401000에 브레이크포인트(F9)를 걸고 달립니다. 0x00401045 에서 레지스트리를 읽어서 특정 값인지 비교합니다. 악성코드가 ..

포티넷(Fortinet)에서 자사의 보안 프로그램을 무상 제공하고 있다. [기사] - 포티넷 코리아, 포티클라이언트 4.1 버전 무상 제공 http://newswire.ytn.co.kr/newsRead.php?md=A01&tm=1&no=428108 한글도 지원된다. http://www.forticlient.com/download.html 에서 다운로드 할 수 있다.

- 그날이 온다? 특정일 활동 악성코드 http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=1&seq=15002 ---- 원래 8월에 완료하는게 계획이었는데... 여름이라 그런지 통 글도 잘 안써지고 쓸 내용도 잘 안떠올라 지난 주에 종료했더니 달랑 2페이지의 짧은 글이 되었습니다. - 글이 짧으면 올리는 분들은 좋아하십니다만... 주변에 컴퓨터에 대해 잘 모르는 분들이 특정일에 활동하는 악성코드에 대해 오해하는 부분이 많아 글을 써봤습니다. 그리고, 예전에는 쉽게 볼 수 있던 바이러스 달력 관련 자료 찾기도 참 힘들더군요. 인터넷 검색해서 기사 내용 하나 겨우 찾았습니다. - ..

스페인 판다시큐리티에서 지난 20년간 가장 위험한 컴퓨터 위협을 발표했습니다. - Ranking of the most dangerous computer threats of the last 20 years http://www.pandasecurity.com/emailhtml/oxygen/090509_ENG_in.htm 1위는 예루살렘 바이러스(Jerusalem virus)인데 보통 1987년 이스라엘에서 제작되었다고 얘기되고 있지만 이탈리아에서 제작되었다는 설도 있습니다 2위의 Barrotes 바이러스는 국내에서도 발견되었지만 아무래도 스페인 회사다보니 스페인에서 제작되고 세계로 퍼저나간 바이러스를 선정한게 아닐가 합니다. 자료 중 잘못된게 있네요. Cascade 바이러스는 1997년이 아니라 1987년에..

- 백신 안깔면 접속 차단 법제화되나 (미디오 오늘, 2009년 9월 4일) http://www.mediatoday.co.kr/news/articleView.html?idxno=82663 - 방통위, 악성프로그램 확산방지법 제정작업 착수 (디지털타임스, 2009년 9월 3일) http://www.dt.co.kr/contents.html?article_no=2009090402010431693003 9월 7일 방통위.인터넷진흥원, 악성프로그램 확산방지법률안 토론회가 서울 명동에서 열립니다. 토론회 참석 요청을 받았는데 당일 대응업무라 전 참석하기 힘들겠네요. - 무슨 얘기가 오고가는지 궁금하긴 하지만... * 법률 주요 내용 - 이용자 컴퓨터의 보안프로그램 설치 및 업데이트 - 침해사고 발생 시 감염 컴퓨터..

- 기무사-국방부 '사이버사령부' 추진 논란 (한겨레, 2009년 9월) http://www.hani.co.kr/arti/politics/defense/374897.html 사이버 위협이 커지면서 보안, 국가 안보 등을 생각하면 인력은 필요할 겁니다. 논란에 대해서는 제가 논할 부분은 아닌 듯 싶구요. 기사 중 눈에 띄는게 대응센터(80여명)와 사이버보안 관련 인력(100여명) 등 모두 500명 국내 최대 보안업체라는 안랩 인력이 500명 정도 단순 비교하기에는 하는 일이 다르겠지만 분명 큰 규모일 겁니다. 문득 드는 생각은. 1. 실무 인력은 몇명일까 ? 2. 그중 실력있는 실무 인력은 얼마나 될까 ? 3. 설마 관련 업무를 민간업체에 맡기지는 않겠지... 이런 쓸데 없는(?) 생각들이 드네요. 아무쪼..

국내 발견 악성코드 중 안랩 제품이나 다른 백신 프로그램을 가장한 악성코드들이 종종 발견되는데 중국 제품인 360안전위사/360보험박스 파일을 위장한 악성코드가 발견되었습니다. 360안전중심(www.360.cn)은 중국의 백신업체입니다. (라고 했는데... 이래저래 도매상 개념이라고도 하네요. 다른 회사 제품도 팔고...) 처음에 외산 엔진을 사용하는 것으로 알려졌는데 제품을 설치해보니 잘 몰라 중국쪽에 물어보니 자체 엔진 + 중국산 엔진을 사용할 거라고 하는군요. 이부분은 확인이 필요해 보이네요. 이 제품을 가장한 것으로 봐서는 중국내에 배포되었는데 국내에도 흘러들어온(?) 것으로 보입니다. 실제 360Safebox.exe 1 MB 가 넘는 길이를 가지고 있으며 아래와 같은 파일 정보를 가지고 있습니다.

우리나라는 일을 많이 하는 걸로 알려져있죠. 하루에 얼마나 일하느냐는 메일이 와서 10시간 정도로 답변했죠. - 점심/저녁 포함하면 12시간 이상인 경우도 많습니다만... 아직 답변이 18명이라 너무 적습니다만... 10시간 정도가 가장 많고 정확하게 8시간은 0%네요. 외국은 보통 8시간 근무 및 휴가 많은 걸로 알려져있는데... 보안업체는 그것도 아닌가 봅니다........ - 그래서 기피 업종일지도.... 그리고 자율출퇴근제가 27%나 되네요. 보안업체 중 보안 연구원들이 집중되어서 가능한게 아닐까 싶네요. http://polls.linkedin.com/p/54447/tyorp (계정 필요)

샘플을 분석하다보면 정상파일 처럼 위장한 악성코드도 종종 받게 됩니다. 1. 타사 진단 정보 타사 진단 정보를 보면 몇몇 업체에서 진단하고 있습니다. 물론, 이때도 오진 가능성을 항상 염두 해야합니다. 2. 파일 등록정보 확인 nVidia 에서 배포한 정상 파일로 착각할 수 있습니다. 3. 검색을 통한 정상 파일과 비교 다행히 이런 파일은 인터넷을 검색해보면 비교해 볼 수 있습니다. 4. 의심사항 파일을 퀵하게 봅니다. 수상한 스트링은 없습니다만 다음 내용이 이상하네요. - 디버깅 버전 : nVidia 에서 정식 배포한 파일이라면 release 버전이어야함. 개발자 버전이 접수되었을 수 있음. 이때는 접수된 고객 등을 확인해봄 - 인터넷 접속 기능 : nVidia Movie Accelerator가 왜 인..

델파일 컴파일하면 생성되는 바이러스인 Win32/Induc 바이러스 소동이 있었습니다. 백신 프로그램에서 일부 감염된 파일을(제품에 따라 모든 감염 파일을) 삭제해 버린 문제가 발생한 겁니다. 해당 바이러스의 진단/치료가 들어가면서 많은 업체에서 문의가 왔고 개발자 모임인 델마당에서도 한동안 이슈가 되었습니다. http://www.delmadang.com/ - 델파이 바이러스 ‘백신’ 과잉대응 논란 (디지털데일리, 2009년 8월 23일) http://www.ddaily.co.kr/news/news_view.php?uid=53343 - 보안뉴스: 변형된 델파이 바이러스 대응책 마련 시급! http://www.boannews.com/media/view.asp?idx=17550&kind=1 기사 내용의 정확..

2009년 8월 19일 Win32/Induc 바이러스가 발견되었습니다. 처음에는 그저그런 바이러스라고 생각했는데 감염 방식을 듣고 개념증명 형태로 생각했는데 각종 자료와 쏟아지는 샘플을 통해 델파이 제작자들에게 널리 퍼져있음을 알 수 있습니다. [관련자료] - 에스지어드밴텍 '델파이 개발자, 바이러스 주의' 경고 http://ddaily.co.kr/news/news_view.php?uid=53211 - Delphi 4~7을 감염시키는 바이러스 유행중 http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415299&keyword1=&keyword2=&page=1 - W32/Induc-A virus being ..

이번 블랙햇 2009(Black Hat 2009)에서는 새로운 부트 감염 악성코드가 등장했습니다. - 바이러스는 아니고 트로이목마입니다. 2009년 8월 12일 맥아피는 아래와 같이 경고했네요. - StonedBootkit.dr http://vil.nai.com/vil/content/v_200078.htm [관련기사] - Bootkit bypasses hard disk encryption http://www.heise.de/english/newsticker/news/142881 파일에 대한 V3 진단명은 Win-Trojan/Stoned.329216 입니다. 다른 이름은 StonedBootkit.dr, Boot.Stonedbootkit, Rootkit.Win32.Stoned.a 등입니다. * 부트 악성코드..

접수된 파일을 분석하다 몇 몇 제품에서 바이럿 바이러스(Virut virus)라고 진단이 되었습니다. 파일을 보니 윈도우 로그온에 사용되는 LOGONUI.EXE 파일이더군요. 파일을 비교해보니 과거 바이럿 바이러스에 감염되었다가 치료된 파일이었습니다. 바이러스에서 감염 여부를 확인할 때 사용하는 지문을 진단에 이용한 걸로 보이는데... 이런 진단 방법은 바이러스에 치료된 파일을 오진하는 문제가 발생할 수 있습니다.

SonicWALL에서 연구원을 모집하고 있네요. http://www.sonicwall.com/us/company/4136_395.html 다른 유럽 업체와 달리 국가별 제한은 없어 보입니다. 몇몇 유럽 백신 업체에서는 EU 국가만 가능했었죠. 네트워크 관련 회사다보니... 필요한 기술이 다음과 같네요. REQUIREMENTS Strong understanding of Unix and Windows Operating Systems, and TCP/IP internetworking Technical documentation experience Knowledge of scripting languages (Perl, Tcl, awk, etc.) C/C++ programming experience and Unix..

개인적으로도 국내 웹사이트 방문 할 때 액티브 X 컨트롤(Active-X Control)이 설치되는거 짜증납니다. 하지만, 액티브 X가 마치 절대악인것 처럼 주장하는데는 동의할 수 없네요. 액티브 X 를 반대하는 측의 기사가 최근 많이 보입니다. - "액티브X를 타고 오는 악성코드 주의해야" http://itnews.inews24.com/php/news_view.php?g_serial=432828&g_menu=020200 - '액티브X' 습관적 설치..."한국은 해커들의 놀이터" http://news.hankooki.com/lpage/it_tech/200907/h2009071003353223700.htm - 인터넷 강국? Active-X 왕국! http://www.hani.co.kr/arti/cultur..