쿨캣의 블로그 놀이

'프랑스 국영 TV 해킹 악성코드, 실체를 밝힌다'http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23629&dir_group_dist=0 월간 안 2015년 5월호 [Threat Analysis] 제목입니다.언제나 처럼 제목은 월간 안 편집 흥미롭게(?) 지었습니다. 2015년 4월 8일 떼베생몽드(TV5 Monde) 침해 사고 관련해서는 처음에 악성코드 부터 먼저 접했습니다.관련 악성코드를 보다가 2013년 3월 20일 국내 방송국 시스템에 문제가 생긴 것 처럼 떼베생몽드 내부 시스템 장애가 발생했고 방송 송출도 중단되었다는걸 알게 되었습니다. 직접 연관성을 확인하긴 어렵지만 Njr..

매크로 악성코드의 증가가 눈에 띄게 느껴진건 작년 하반기 부터입니다.2015년에는 갑자기 급격히 증가하게 되었습니다.- 하루에 100개 가까지 접수 된 적도 잇습니다. 그래서 매크로 악성코드 관련 콘텐츠를 작성해야겠다고 생각하고 신입 분석가 JYP와 같이 작업했습니다. 원래는 설 전에 작성하려 했지만 매크로에 암호 걸린 문서 깨기, XML 형태 등장 등 몇가지 돌발(?) 변수가 발생해 더 보강된다고 늦어졌습니다. 내부판을 일단 만들고 공개 가능한 내용으로 월간 안 2015년 4월호에 실렸고 일부를 정리해서 ASEC 블로그에 올렸습니다. 사회공학 기법 사용하는 매크로 악성코드 주의 (http://asec.ahnlab.com/1027) [Threat Analysis] 매크로 악성코드 증가…올드보이의 귀환? ..

Embedded Linux 악성코드 동향 인터넷 공유기 악성코드 동향입니다.앞으로 NAS 등으로도 넓히고 최종적으로는 IoT 악성코드에 대해서도 추가할 예정입니다. 공개용이라 안랩 내부 발표 때 보다 삭제된 내용이 많습니다. http://www.slideshare.net/JackyMinseokCha/embedded-linux-20150323-v10 Embedded Linux 악성코드 동향_20150323_v1.0 공개판.pdf 개인적으로는 제목 정하기가 참 어려웠습니다처음 인터넷 공유기 악성코드 였는데... 외국에서는 홈 라우터(Home Router) 등으로 부르더군요.그래서 Home Router 라고 했다가 이게 대부분 임베디드 리눅스와 연관되더군요.그래서 임베디드 리눅스 악성코드라고 했다가 사실 임베..

외장하드를 알아보다 '바이러스 원천차단'과 같은 광고 문구가 있더군요. 바이러스 원천차단 ?그런 기술이 어떻게 가능하지 ?OS에서 지금 쓰려고 하는 자료가 악성코드(바이러스)인지 아닌지 어떨게 알지 ?! 이런 생각이 드네요. 읽어보니 '공인인증서 완벽 보안 관리 - 감염된 PC에 연결해도 바이러스 원천 차단'이라고 되어 있네요.(이외에 바이러스 원천 차단에 대한 내용은 못 찾았습니다.) 아마도 외장하드에 저장된 공인인증서를 완벽 보호 한다는 의미 같습니다.이건 공인인증서 보호이지 악성코드 원천 차단이라고 보기는 어렵다고 생각됩니다. 개인적으로는 악성코드에 감염된 상태에서 공인인증서를 보호하기는 어려울 것 같지만 제가 모르는 새로운 기술이 있을 수 있겠죠.(암호화는 악성코드 예방에는 큰 도움이 안됩니다.)..

POS System 노리는 악성코드 공개판입니다. 2014년 11월 16일(일) 외부에서 발표하는 내용 공개판입니다.

이른 바 shellshock로 알려진 Bash 취약점이 발견된지 며칠지났습니다. Apple에서도 9월 29일 Mac의 OS X 패치를 공개했습니다.아쉽게도 자동 업데이트로 적용되지 않고 프로그램을 다운로드 받아 실행 해야만 합니다. 게다가 버전별로 따로 다운로드 받아야 합니다. - OS X 10.7 Lionhttp://support.apple.com/kb/DL1767 - OS X 10.8 Mountain Lionhttp://support.apple.com/kb/DL1768 - OS X 10.9 Mavericks http://support.apple.com/kb/DL1769 애플에서는 보안 위험이 낮다고 생각해 저렇게 배포하는 듯 한데 조금 아쉽네요.

[Special Report] POS 시스템도 해킹 안전지대 아니다 (월간 안, 2014년 9월호) http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22820&dir_group_dist=0 ------- 올해는 POS 시스템 악성코드로 상반기를 다 보냈네요. 사실 이 글까지 오게 된건 2013년 11월 발생한 미국 Target 사 해킹에 사용된 악성코드에서 'Korea'라는 문자열을 발견해서 입니다. "악성코드 내에 Korea' 라는 문자열이 있습니다.""그래 ? 좀 더 파봐..." Target 사 공격 악성코드를 보면서 Target 해킹 방식을 파악하고 2014년 4월에는 국내 POS..

2014년 2분기 주요 정보보안 소식입니다. case study는 국내 POS 시스템 관리 업체 서버 해킹 관련 정보입니다. 해당 내용은 월간 안에도 실릴 예정입니다글은 7월 말 완료되었는데 내부 사정으로 월간 안에는 다음 달에 실릴 예정입니다. 원래 월간 안과 이 자료를 동시에 공개하려 했는데 한달 늦어져 일단 일부 자료만 공개합니다 결론은 국내 POS 시스템 관리 업체 보안은 .... TT

매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠. 뭔가 이상한 샘플이 눈에 띄었습니다. Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다. 변형을 검색해보니 6개나 있더군요. 그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다. 요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝... IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다. 이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요. 악성코드에서 웬..

- 구글 선임 엔지니어 "안드로이드 보안 앱 까느니, 방탄 조끼 입고 침대에서 나서라"http://techneedle.com/archives/17503 물론 구글 엔지니어가 "우리 제품 보안에 취약합니다."라고 말할 수는 없을 겁니다.하지만, 현실을 제대로 보지 못하는 문제가 크네요.(애써 외면하는 걸로 보이네요.) 현존하는 모바일 악성코드 대부분이 Android 기반입니다.국내에서는 인터넷 뱅킹 탈취 악성코드가 문제가 심하지만 외국도 각종 사용자가 불편하게 느끼는 광고 앱, 백도어가 출몰하고 있습니다. 게다가 구글 앱을 통해서도 악성 앱이 배포된 사례가 있으니 앱 자체도 마음놓고 설치하기 어렵습니다. 물론 확률의 문제이긴 합니다.하지만, 확률을 낮추는 환경을 만들고 나서 저런 얘기를 해야 하지 않을까 ..

2014년 6월 14일 wowhacker 세미나에서 발표한 'PE 파일은 시작일 뿐..'입니다.소개, 짤방 등을 제거했습니다. 제목도 다소 밋밋하게 바꿨습니다. 시간을 잘못봐서 폭주해서 1시간 20분 동안 발표한 자료입니다 ㅋ시간 관계상 몇몇 악성코드는 빠져있고 대충 넘어간 파일 종류도 많은데 이후 업데이트 예정입니다.

백신 시리즈입니다. 순서는 백신(Vaccine) -> 백신2 (Vaccine) -> V2Plus -> V3 -> V3+ -> V3+ Neo 입니다. 먼저 1988년 Brain 바이러스 퇴치를 위해 제작된 백신(Vaccine) 프로그램입니다. 1989년 발견된 LBC 바이러스를 퇴치하기 위해 백신 II (Vaccine II)가 제작됩니다. 예루살렘 바이러스(Jerusalem virus)가 발견되면서 파일을 검사 할 수 있는 기능이 추가된 백신2 플러스 (V2Plus) 1.0 입니다. V2Plus 의 진단법 등을 새롭게 개선한 백신3(Vaccine III, 줄여서 V3) 입니다.정식버전은 37개 바이러스를 진단/치료 할 수 있었습니다. 1995년 안철수컴퓨터바이러스연구소(헉.. 길다)가 만들어지면서 어셈블리..

2014년 1분기 주요 정보보안 소식입니다. 분기별로 자료를 정리하다 보면 늘 빼먹는게 늦게 발견되네요.그리고 시간과 노력에 비해 페이지 수는 크지 않네요 ...

Injection 기법 및 분석법입니다. 숭실대 수업 자료 중 일부로 공개 버전을 만들었습니다. 최근 유행하는 기법은 아직 반영되어 있지 않습니다.(추후 업데이트 예정입니다.) * 자료의 일부는 팀 사람들 발표 자료를 복사했습니다 ~

페북 모님으로 부터 패킷을 받았습니다.(다시 한번 감사합니다.) fiddler에서 사용하는 saz 이군요.(실제 파일은 zip 파일입니다.) 1. fiddler 설치 fiddler은 .Net 을 필요로 합니다.윈도우 7에서는 닷넷 4.x가 포함되어 있으니(저는 별도 설치한 기억이 없으니) fiddler v4 버전을 설치합니다. http://www.telerik.com/download/fiddler 에서 다운로드 합니다. 회사에서는 대체로 자동화된 시스템에서 샘플이 수집 되어서 패킷을 보는 경우는 많지 않은데 요즘은 fiddler 를 많이 사용하더군요. 몇 번 사용 안 해봐서 아직 익숙하지는 않습니다. 2. saz 열기 [File] -> [Load Archive]로 saz 파일을 엽니다. 그럼 주고 받은 ..

* 2014년 3월 15일 tistory가 차단 당했는데요. 이에 대한 분석 내용입니다. 일반분은 이번 내용만 보면 되고 분석가 혹은 분석에 관심 있는 분들은 그 다음 글도 읽으시면 됩니다. 2014년 3월 15일 블로그에 글 올리려고 들어왔더니 파이어폭스(Firefox)가 차단해 버립니다. '오진인가.. 아니면 티스토리나 포함된 플러그인으로 악성코드가 배포되나'하는 생각이 들더군요. 아무래도 이렇게 라이브한건(?) 처음보다 보니 신기해서 [차단 이유 상세 정보]를 클릭해 봅니다.하지만, 이쪽 일을 하는 저도 헷갈리는 문구 뿐이네요. (...) 제 블로그가 악성코드를 배포한적은 없고 실제 악성코드는 다른 곳(happy*.co.kr, car*.net)에서 배포 -> 1개 도메인(allb*.net)이 그 악..

2014년 3월에 공개된 칼럼은 '사진관에서 발견한 몇 가지 보안 문제' 입니다. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22263&dir_group_dist=0 어느 순간 부터 칼럼이 다음과 같이 흘러가는 듯 합니다.어디감 -> 일상에서 보안 문제 발견 -> 걱정이다 -.-;;; 이번도 그런데... 50일 된 아기 사진을 찍으러(50일 밖에 안된 아기를 왜 !!!!) 사진관에 갔다가 경험한 일입니다 사실 개인 병원이나 사진관 같은 조그마한 (그래도 종업원 10명 가까이 되는) 사업장은 보안이 엉망입니다.내부는 컴퓨터로 운영되도록 했지만 거의 외주 줬을 테고 그 외주 업체가 보..