쿨캣의 블로그 놀이

최초 리눅스 UEFI 부트킷 (Bootkit) Bootkitty 소동 (?)

2024년 11월 27일 ESET은 첫 UEFI 부트킷 'Bootkitty' 정보를 공개했습니다.   . Bootkitty: Analyzing the first UEFI bootkit for Linux (ESET, 2024.11.27)https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/ Bootkitty: Analyzing the first UEFI bootkit for LinuxESET's discovery of the first UEFI bootkit designed for Linux sendss an important message: UEFI bootkits are no longer c..

2025년 1월 8일 일본 경찰이 MirrorFace 그룹이 일본을 공격하고 있다고 보도됩니다   . Japan police, govt warn of cyberattacks by group suspected to be linked to China (NHK World)https://www3.nhk.or.jp/nhkworld/en/news/20250108_22/ Japan police, govt warn of cyberattacks by group suspected to be linked to China | NHK WORLD-JAPAN NewsPolice in Japan and the government's cybersecurity center have warned that a group suspected ..

. (2023.09.03) 업데이트 : 오후 2시에 '대상 조회' hxxp://nnhaysha.lol 으로 문자를 받았습니다. 역시 국민건강 보험을 가장한 스미싱 공격입니다. . (2023.08.26) 업데이트 : 며칠 동안 스미싱 앱 관련 검색이 증가하더니 오늘은 급격이 증가했네요. 아무래도 스미싱 관련 피해가 기사화되어서 그런가 보네요. 악성 APK 앱까지 설치하셨다면 공격자에게 폰의 여러 정보(SMS, 연락처, 통화목록)가 넘어가고 해당 폰은 원격 조종을 받을 수 있기 때문에 모바일 백신이나 앱 삭제로 빨리 악성 앱을 제거해주셔야 합니다. 찝찝하면 폰 초기화도 권해드립니다. * 스미싱 관련 기사 1) 2023년 8월 26일 . "택배 주소 정정" 문자 눌렀다가 3억 8천만 원 빠져나가 (2023.0..

모 교수님 페이스북으로 수상한 메일이 접수되었다는 글이 올라왔습니다. 해당 문서가 표적공격이 아닐까 싶어 워드 문서 받아서 한번 봤습니다.매크로(Macro)도 없고 딱히 취약점에 눈에 띄지는 않더군요. 하지만, 내용을 보고 바로 피싱이 아닐까 싶었습니다. 일단 오타도 보이네요. (금융사긴집단, 잇는지, 개설되셧는지) 그외 제목에 한자가 있고 만든이는 use, 회사는 PRC .... 웬지 중국쪽에서 작업한 느낌이 드네요. '02-1544-8136' 으로 연락하라고 되어 있어 검색해보니 네이버에서는 피싱이라는 글이 6월 19일에 올라왔습니다.(http://cafe.naver.com/weathermasterlab/121002) 좀 더 검토해봐야겠지만 피싱 메일일 가능성이 높습니다.피싱이 점점 진화해 문자에 이..

2015년 6월 12일 금요일메르스로 어린이 집이 쉬어서 집에서 애 보고 있는데메르스 정보로 가장한 악성코드를 주의하자는 기사가 계속 떴습니다. 어제부터 북한 IP로 접속하는 메르스 관련 내용으로 가장한 악성코드가 있었다는 얘기는 들었지만 본적이 없어 궁금했었습니다. 처음 북한 IP 접속 얘기를 들었을 때 '북한 IP ? 우리나라에서 접속이나 될까 ?' 였습니다.확인해보니 최초 샘플은 6월 초에 접수되었지만 이미 V3에서는 2012년 엔진에서 진단되고 있었습니다.더욱 이상한 생각이 들었습니다. 아니 북한에서 만든거면 접속도 잘 안될 듯한 주소에 국내에서 가장 많이 사용되는 백신 중 하나인 V3에서 이미 진단되는걸 배포해 ?!미친걸까 ... 실수한 걸까.. 아니면 누군가 북한한테 뒤집어 씌우려고 한건가....

2013년 6월 25일 하필 6.25 전쟁 일어난 날 남북 정부쪽에 사이버 공격이 있었습니다.- 북한도 공격 당했겠죠 ? 일베(일간베스트)에 접속하면 새누리당, 국정원이 접속되는 듯 해 뭔가 연결 고리가 있는게 아닌가하는 얘기가 나왔습니다. http://todayhumor.co.kr/board/view.php?table=humorbest&no=702241&s_no=702241 http://www.parkoz.com/zboard/view.php?id=express_freeboard2&no=222078&category=1 하지만, 사실 이건 공격자가 일베 사이트에 청와대, 새누리당, 국정원을 DDoS 공격하는 코드를 심어둔 걸로 보입니다. - 웹 사이트 접속만으로도 디도스 공격 발생시키는 공격방식 확인 (안..

Richard Stallman이 Ubuntu에서 사용자가 검색한 내용이 Amazon으로 전달된다며 스파이웨어(spyware) 논란이 발생했습니다. http://www.fsf.org/blogs/rms/ubuntu-spyware-what-to-do 악의성으로 따지면 크지 않겠지만 자신이 검색한 내용이 정확하게 모르며 업체에 전달되는건 찝찝하겠죠. (뭐.. 포털에서 검색은 뭐냐라고 할 수도 이겟지만요.) 이런 기능이 추가된건 사용자들이 무엇을 검색하는지 알고 싶어하는 업체들과 다수의 사용자를 가진 소프트웨어 업체의 이해 관계가 맞아서 발생했겠지만 크게보면 사용자들이 자신이 감시 받고 있다고 느낄 수 있습니다. 하지만, 사용자와 개발자들의 이런 우려와 다르게 큰 문제 없다고 생각하는 사람들(기획자 ? 영어 ?)..

유령 5회에서는 무려 기간망을 공격하는 내용이 나옵니다. 5,6 회는 개인적으로 가장 기대했습니다. - 사실 5,6 회부터 참여해서 앞부분은 내용을 알지 못했지만요. 트위터에도 여러 내용이 올라오네요. 그렇죠. 현재 기술로도 발생할 수 있는 일들이 조금은 과장될 수 밖에 없겠죠. 어디까지나 드라마이니까요. * 기간망 공격 ?! DDoS 공격은 그냥 분산시키기 위한 가짜이고 실제 공격은 수도권에 전력을 공급하는 회사에 대한 공격이죠. 사실.. 처음에는 대한전력을 외부에서 그냥 해킹하는 설정이었다고 하더군요. 그래서 "망 분리되어 있어서 안되는데요."라고 대답해서 당황해 했었다고 하더군요. 덕분에 2010년 이란 원전 가동을 방해한 걸로 알려진 스턱스넷(Stuxnet)이 나왔습니다. 하지만, 스턱스넷은 원전..

전자신문 맥 악성코드와 관련된 기사가 떴습니다. - 맥 바이러스, 국내 피해 100여건 발생 (전자신문, 2012년 5월 28일) http://www.etnews.com/news/computing/security/2595137_1477.html 이부분이 흥미롭네요. '러시아 바이러스보안업체인 닥터웹이 세계 맥 바이러스 감염현황을 조사한 결과, 한국에서도 100여대의 PC가 감염됐다고 28일 밝혔다.' '사실은 국내 보안업체 안랩 연구원이 닥터웹에 문의한 결과 밝혀졌다.' 흠... 문의한 사람이 접니다. @.@ 이거 4월 6일 Dr. Web CEO인 Boris Shaov에서 물어본 내용이네요.

전자신문에 중국에서 한글화한 DDoS 공격 프로그램이 판매중이라는 기사가 떴습니다. - 한글화한 외산 DDoS 공격 프로그램 중국서 판매중 (전자신문, 2011년 11월 7일) http://www.etnews.com/news/detail.html?id=201111070227 잉카인터넷 대응팀 블로그에 관련 내용이 올라와 있습니다. - [정보] 외산 DDoS 공격 프로그램 한글화 판매 시도 중 (잉카인터넷, 2011년 11월 7일) http://erteam.nprotect.com/211 안철수연구소 대응 현황은 아래와 같습니다. - Win-Trojan/Black.906752 (진단버전:2011.11.07.03/치료버전:2011.11.07.03) - Backdoor/Win32.PcClient (진단버전:20..

POC 2011에서 SCADA (Supervisory Control and Data Acquisition) 취약점 발표가 있었습니다. 몇 군데서 기사화 되었습니다. - 명령어만 입력하면 미사일기지 쾅! (한겨레, 2011년 11월 5일) http://www.hani.co.kr/arti/economy/it/504122.html - 스카다 시스템 치명적 허점 드러나...손쉽게 해킹돼 (데일리시큐, 2011년 11월 4일) http://dailysecu.com/news_view.php?article_id=992 인터넷을 검색해보면 관련 취약점이 많이 공개되어 있음을 알 수 있습니다. 운영시스템 조작은 스턱스넷 웜 등을 통해 이론이 아닌 실제로 가능한게 확인된게 사실입니다. 최근 관련 취약점도 많이 나오고 있죠..

'당신이 사용하는 백신프로그램은?' 투표가 올라왔네요. http://www.panelnow.co.kr/vote/result/360 결과가 궁금해서 한번 확인해 보니 평소 알고 있는 바와 비슷했습니다. V3와 알약(둘다 무료 버전이겠죠)이 대부분을 차지하고 다음 네이버백신입니다. 그리고, MSE, 시만텍, Avast!, 카스퍼스키랩, AVG 등이네요. 시만텍과 카스퍼스키랩을 제외하고는 모두 무료이네요. 역시 개인은 무료 버전이 대세라 아닐까 싶네요. 기타가 623건인데 아무래도 개인 무료 제품인 Avira가 포함되어 있을 듯 합니다.

추석 연휴 때 Award 롬바이오스에 감염되는 악성코드가 등장해서 놀라게(예상은 했지만) 했습니다. http://www.symantec.com/connect/blogs/bios-threat-showing-again 추석 연휴 국내에도 새로운 마스터부트레코드(MBR)을 감염시키는 악성코드가 등장했습니다. - MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 (안철수연구소 대응팀 블로그, 2011년 9월 16일) http://core.ahnlab.com/326 퇴근 시간에 해당 악성코드를 들어서 자세히 보지는 못했습니다. (다른 분들이 이미 보셨다는...) * 감염 확인 악성코드에 감염되면 마스터부트레코드가 변조되고 다음 파일이 생성됩니다. - 윈도우폴더(보통 C:\Wi..

M86 시큐리티랩 블로그에 스팸이 다시 증가하고 있다고 밝혔습니다. - http://labs.m86security.com/2011/08/massive-rise-in-malicious-spam/ 2010년에 일부 봇넷을 중지 시켰습니다. - http://labs.m86security.com/2010/10/spam-volumes-drop-after-spamit-shakeup/ 대부분의 스팸은 Cutwail(Pushdo, Pandex), Festi, Asprox 등의 봇넷에서 발생하고 있다고 합니다. 스팸 감소가 잠깐 효과가 있다가 최근 다시 복구 되고 있습니다. 이런걸 모니터링 할 수 있는 이들이 살짝 부럽기도 합니다. 문득 한글 스팸도 이들 봇넷으로 배포되는지 궁금하네요. 요즘은 영문 스팸은 별로 받은 적..

F-Secure에서 2011년 3월 발생한 RSA 해킹 사건과 관련된 내용을 공개했습니다. - How we found the file that was used to Hack RSA http://www.f-secure.com/weblog/archives/00002226.html 관련 기사도 나오고 있습니다. - Is this the phishing email that caused the RSA breach? http://www.net-security.org/secworld.php?id=11521 파일명은 survey-questions_2011.xls 였으며 V3 진단명은 Dropper/Cve-2011-0609 로 2011.03.16.02 이후 엔진에서 진단되고 있습니다. 보안업데이트가 적용된 최신 한글판 ..

- "액티브X 기술 종속, SK컴즈 해킹사고 불렀다" (머니투데이, 2011년 8월 16일) http://www.mt.co.kr/view/mtview.php?type=1&no=2011081615492123773&outlink=1 내용은 사실에 가깝고 인터뷰 한사람도 일반적인 위험에 대해서 언급 하셨는데.. 획일적인 환경은 공격자 입장에서 좀 더 쉽긴 하죠. 성 기장님 혹은 편집장께서 평소 액티브X 기술에 반감이 많으셨나 보네요. 제목을 저렇게 뽑으시고... 제 느낌에는 내용에도 억지로(?) 액티브X를 넣은 듯 하네요. - 물론 액티브X를 이용한 공격이 있지만 다른 공격에 비하면 새발의 피이죠. 아래 내용은 사실 관계를 좀 더 확인 해야 하지 않을까 합니다. 경찰청 중간 수사결과 발표에 따르면, 이번 네이..

2011년 7월 23일 중국에서 발생한 고속철도 추돌 사건이 벼락이 아닌 악성코드 때문이라는 소문이 나돌았습니다. - 중국 고속철도 제어시스템 '미국스파이에 의해 웜에 감염된 것으로 의심' http://www.cnsec.co.kr/board/bbs/board.php?bo_table=news&wr_id=312 실제 악성코드 때문에 발생했을 가능성과 중국 측에서 자신의 잘못을 외부의 공격으로 몰아가려는 음모 아니냐는 의견으로 나뉘었습니다. 하지만, 스턱스넷에 의한 이란 원전 가동 중지가 사실상 진실로 밝혀져서 관심이 집중되고 있습니다. 기사가 나간 이후 한동안 조용했는데 소문에는 악성코드를 분석하는 중이었다고 합니다. 8월 14일에 추가적인 정보가 공개되었습니다. (원래 글은 CN Security에서 8월 ..