쿨캣의 블로그 놀이

* 세계 최초 컴퓨터 바이러스 중 하나 세계최초 컴퓨터 바이러스 얘기 중에 빠지지 않는 바이러스가 Richard Screnta 의 Elk Cloner 바이러스입니다. 1981년 8비트 애플2 컴퓨터용으로 제작되어 1982년 퍼집니다. 1986년 제작된 브레인 바이러스보다 5년 정도 빠릅니다. 하지만, 애플2는 8 비트 컴퓨터로 현재 흔히 PC라 불리는 IBM PC와는 다릅니다. 따라서, 기준에 따라 최초의 컴퓨터 바이러스는 Elk Cloner 혹은 브레인 바이러스가 되기도 합니다. 1990년 제작자가 직접 글을 남기기도 했습니다.http://www.skrenta.com/cloner/clone-post.html * 감염 디스크와 소스코드 제작자는 자신의 홈페이지에 감염 디스크와 소스코드를 올려두었습니다. ..

첫 설치 제품은 방화벽 프로그램인 아웃포스트 (Outpost)로 유명한 러시아의 Agnitum 입니다. http://www.agnitum.com/index.php Yandex가 2015년 Agnitum를 인수했습니다. 별도로 제품을 공개하지는 않고 얀덱스 브라우저에 들어가게 되었습니다. 2017년 1월 9일까지 지원 한다고하네요. 그래서 지원 종료 전에 기록을 남기기 위해 설치해 봤습니다. * 설치 32 비트와 64 비트 설치 파일이 존재하고 당연히 32 비트 설치판은 64 비트 시스템에서 설치되지 않습니다. 2017년 1월까지 지원되어서 더 이상 공식 홈페이지에서 설치 파일을 다운로드 할 수 없어 인터넷에서 설치판을 구했습니다 7.1의 설치 화면입니다. 8.0 설치 후 업데이트 화면입니다업데이트 시간이..

바이러스블루틴(Virus Bulletin)의 VB100 테스트를 보다가 모르는 백신 프로그램이 너무 많아졌네요. https://www.virusbulletin.com/testing/vendors/active/vb100-antimalware 이 프로그램을 한번 테스트 해봐야겠다는 생각이 들었습니다 시간 날 때 틈틈히 테스트 해봐야겠네요. - 테스트 환경 : VMware 12 내 한글 Windows 7 64 비트 버전

[발표자료] 2016년 4분기 주요 정보보안 소식 오랫만에 포스팅 하네요.발표자료를 계속 만들긴 했지만 블로그 작업을 자주 못하니 보니 (...) 2016년 4분기에는 국내 이슈 보다 외국 이슈가 더 많았습니다.IoT 를 이용한 DDoS 공격, 미국 대선 개입 의혹 등 러시아의 미국 대선 개입 의혹은 관련 악성코드도 공개되었으니 2017년 1분기 때 한번 파 봐야겠네요. http://www.slideshare.net/JackyMinseokCha/2016-4-20170101

7월 말 인터넷 쇼핑몰 I사 해킹이 알려졌습니다.언론에서는 APT 공격이며 따라서 막기 어려운 혹은 막을 수 없다고 보도 했습니다.(심지어 APT 공격을 메일을 이용한 공격 이라는 등의 잘못 된 내용으로 보도 한 경우도 있습니다.) - 인터파크, 해킹으로 고객정보 1030만건 유출… 미래부, 조사단 구성(종합)http://biz.chosun.com/site/data/html_dir/2016/07/25/2016072502153.html - 인터파크, APT해킹에 1030만명 개인정보유출… '2차피해' 우려http://mnb.moneys.news/mnbview.php?no=2016072618018023326 우선 APT 공격이 맞을까요 ? APT 는 'Advanced persistent threat'로 '지..

저의 첫 책이 세상에 나옵니다. - 보안에 미쳐라 : 유쾌 상쾌 통쾌한 보안 이야기http://www.yes24.com/24/goods/29333992?scode=032&OzSrank=1 보안에 관심 가진 사람들 대상(취업 준비생...)이라 기술적인 내용은 별로 없습니다.그래서 재미있게 쓰려다보니 저자 소개에 덕밍아웃을 했는데...살짝 부끄럽네요 ㅋ 많이 팔렸으면 좋겠네요 ㅋㅋ

파이어아이가 2016년 침해사고 대응 서비스를 실시한다고 합니다. - 파이어아이, 내년 국내 침해사고대응서비스 진출 (ZDNet, 2015년 12월 18일자)http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151218114315 그동안 국내에는 침해사고 조사 시장이 거의 없었는데 파이어아이의 진출이 어떤 결과를 가져올지 자뭇 궁금합니다.국내 업체들이 몇년간 시장을 만들기 위해 노력했지만 사실상 실패했는데 외국 업체를 통해 시장이 형성될까요 ? 만약 외국계 업체에서도 제 값을 받지는 못하고 국내 보안업체에도 기본적으로 원하는 사안이 된다면 국내 업체들에게는 부담이 될 수도 있을 듯 합니다. 침해사고 대응 서비스 진출 소식을 사람들(업계)에 전하니 "사람 뽑는..

2015년 8월 17일 SERICEO 홈페이지 [경영에 보안을 입히다] 시리즈 중 '악성코드, 당신의 컴퓨터를 노린다'가 올라갔습니다. 동영상이 올라간 후 회사 여러분이 동영상 잘 봤다고 말씀하시더군요.모 상무님은 직접 동영상을 틀어주셨는데 민망해서 제대로 못봤습니다. (동영상으로 자신의 모습을 보는건 참 부끄러운 일입니다.) 시작은 2015년 5월 정도로 기억하는데 SERICEO에 보안과 관련된 동영상을 올리기로 결정되고 몇 번의 회의로 업체별로 주제가 선정되고 글을 쓰고 교정을 거쳤습니다. 저의 글은 경영자가 알아야 할 악성코드에 대한 일반적 사항과 대처법입니다. 그렇게 준비해서 2015년 7월 촬영을 했습니다.파란색 배경에서 2시간 정도 고생해서 동영상 촬영을 마무리했죠.제가 쓴 글을 제가 읽는데 ..

모 교수님 페이스북으로 수상한 메일이 접수되었다는 글이 올라왔습니다. 해당 문서가 표적공격이 아닐까 싶어 워드 문서 받아서 한번 봤습니다.매크로(Macro)도 없고 딱히 취약점에 눈에 띄지는 않더군요. 하지만, 내용을 보고 바로 피싱이 아닐까 싶었습니다. 일단 오타도 보이네요. (금융사긴집단, 잇는지, 개설되셧는지) 그외 제목에 한자가 있고 만든이는 use, 회사는 PRC .... 웬지 중국쪽에서 작업한 느낌이 드네요. '02-1544-8136' 으로 연락하라고 되어 있어 검색해보니 네이버에서는 피싱이라는 글이 6월 19일에 올라왔습니다.(http://cafe.naver.com/weathermasterlab/121002) 좀 더 검토해봐야겠지만 피싱 메일일 가능성이 높습니다.피싱이 점점 진화해 문자에 이..

2015년 6월 12일 금요일메르스로 어린이 집이 쉬어서 집에서 애 보고 있는데메르스 정보로 가장한 악성코드를 주의하자는 기사가 계속 떴습니다. 어제부터 북한 IP로 접속하는 메르스 관련 내용으로 가장한 악성코드가 있었다는 얘기는 들었지만 본적이 없어 궁금했었습니다. 처음 북한 IP 접속 얘기를 들었을 때 '북한 IP ? 우리나라에서 접속이나 될까 ?' 였습니다.확인해보니 최초 샘플은 6월 초에 접수되었지만 이미 V3에서는 2012년 엔진에서 진단되고 있었습니다.더욱 이상한 생각이 들었습니다. 아니 북한에서 만든거면 접속도 잘 안될 듯한 주소에 국내에서 가장 많이 사용되는 백신 중 하나인 V3에서 이미 진단되는걸 배포해 ?!미친걸까 ... 실수한 걸까.. 아니면 누군가 북한한테 뒤집어 씌우려고 한건가....

치후360 (Qihoo360)은 6월 중국을 목표로한 오션로터스(OceanLotus) 분석 보고서를 냈습니다이어 보안 뉴스에 '중국도 몇 년씩 해킹을 당해왔다고, 진실 맞아?'란 기사가 뜹니다. 이는 Chinese ISP: China Is Victim Of Foreign State-Backed APT Group 의 번역 기사로 보입니다.http://www.darkreading.com/vulnerabilities---threats/chinese-isp-china-is-victim-of-foreign-state-backed-apt-group/d/d-id/1320716 서방 언론의 러시아와 중국에 대한 신뢰가 바닥임을 여실히 보여주는 기사가 아닐까 합니다. 제 상식에서는 현재 세계 각국은 사이버첩보를 직접 혹..

'프랑스 국영 TV 해킹 악성코드, 실체를 밝힌다'http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23629&dir_group_dist=0 월간 안 2015년 5월호 [Threat Analysis] 제목입니다.언제나 처럼 제목은 월간 안 편집 흥미롭게(?) 지었습니다. 2015년 4월 8일 떼베생몽드(TV5 Monde) 침해 사고 관련해서는 처음에 악성코드 부터 먼저 접했습니다.관련 악성코드를 보다가 2013년 3월 20일 국내 방송국 시스템에 문제가 생긴 것 처럼 떼베생몽드 내부 시스템 장애가 발생했고 방송 송출도 중단되었다는걸 알게 되었습니다. 직접 연관성을 확인하긴 어렵지만 Njr..

매크로 악성코드의 증가가 눈에 띄게 느껴진건 작년 하반기 부터입니다.2015년에는 갑자기 급격히 증가하게 되었습니다.- 하루에 100개 가까지 접수 된 적도 잇습니다. 그래서 매크로 악성코드 관련 콘텐츠를 작성해야겠다고 생각하고 신입 분석가 JYP와 같이 작업했습니다. 원래는 설 전에 작성하려 했지만 매크로에 암호 걸린 문서 깨기, XML 형태 등장 등 몇가지 돌발(?) 변수가 발생해 더 보강된다고 늦어졌습니다. 내부판을 일단 만들고 공개 가능한 내용으로 월간 안 2015년 4월호에 실렸고 일부를 정리해서 ASEC 블로그에 올렸습니다. 사회공학 기법 사용하는 매크로 악성코드 주의 (http://asec.ahnlab.com/1027) [Threat Analysis] 매크로 악성코드 증가…올드보이의 귀환? ..

Embedded Linux 악성코드 동향 인터넷 공유기 악성코드 동향입니다.앞으로 NAS 등으로도 넓히고 최종적으로는 IoT 악성코드에 대해서도 추가할 예정입니다. 공개용이라 안랩 내부 발표 때 보다 삭제된 내용이 많습니다. http://www.slideshare.net/JackyMinseokCha/embedded-linux-20150323-v10 Embedded Linux 악성코드 동향_20150323_v1.0 공개판.pdf 개인적으로는 제목 정하기가 참 어려웠습니다처음 인터넷 공유기 악성코드 였는데... 외국에서는 홈 라우터(Home Router) 등으로 부르더군요.그래서 Home Router 라고 했다가 이게 대부분 임베디드 리눅스와 연관되더군요.그래서 임베디드 리눅스 악성코드라고 했다가 사실 임베..

외장하드를 알아보다 '바이러스 원천차단'과 같은 광고 문구가 있더군요. 바이러스 원천차단 ?그런 기술이 어떻게 가능하지 ?OS에서 지금 쓰려고 하는 자료가 악성코드(바이러스)인지 아닌지 어떨게 알지 ?! 이런 생각이 드네요. 읽어보니 '공인인증서 완벽 보안 관리 - 감염된 PC에 연결해도 바이러스 원천 차단'이라고 되어 있네요.(이외에 바이러스 원천 차단에 대한 내용은 못 찾았습니다.) 아마도 외장하드에 저장된 공인인증서를 완벽 보호 한다는 의미 같습니다.이건 공인인증서 보호이지 악성코드 원천 차단이라고 보기는 어렵다고 생각됩니다. 개인적으로는 악성코드에 감염된 상태에서 공인인증서를 보호하기는 어려울 것 같지만 제가 모르는 새로운 기술이 있을 수 있겠죠.(암호화는 악성코드 예방에는 큰 도움이 안됩니다.)..

POS System 노리는 악성코드 공개판입니다. 2014년 11월 16일(일) 외부에서 발표하는 내용 공개판입니다.

이른 바 shellshock로 알려진 Bash 취약점이 발견된지 며칠지났습니다. Apple에서도 9월 29일 Mac의 OS X 패치를 공개했습니다.아쉽게도 자동 업데이트로 적용되지 않고 프로그램을 다운로드 받아 실행 해야만 합니다. 게다가 버전별로 따로 다운로드 받아야 합니다. - OS X 10.7 Lionhttp://support.apple.com/kb/DL1767 - OS X 10.8 Mountain Lionhttp://support.apple.com/kb/DL1768 - OS X 10.9 Mavericks http://support.apple.com/kb/DL1769 애플에서는 보안 위험이 낮다고 생각해 저렇게 배포하는 듯 한데 조금 아쉽네요.