사이버 위협 추적, 공격자의 단서를 포착하다

악성코드/나의 글 2021. 2. 1. 18:00

 

사이버 위협 추적, 공격자의 단서를 포착하라

 

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29904

 

사이버 위협 추적, 공격자의 단서를 포착하라

서로 다른 보안 사고 간 연관성을 논할 때, 많은 사람들이 공격의 배후를 먼저 궁금해한다. 이 논제는 사람들의 ..

www.ahnlab.com

 

해킹방지워크샵 2020 (concert.or.kr/suf2020/main/index.php)에서 발표한 내용으로 글을 작성했습니다.

제목은 멋지게 뽑아줬네요. 저는 '사이버 위협 정보를 활용한 연관 보안위협 찾기'라는 밋밋한(?) 제목으로 작성했습니다.

 

이제는 보안팀에 분석가가 필요하다는 내용을 강조했는데 우리나라 현실상 대기업 아니면 보안팀에 분석가까지(!) 존재하기는 힘듭니다. 분석가가 있으면 이런 점이 좋다는 내용을 포함했지만 편집 과정에서 삭제되어 블로그에 정리해 봅니다.

 

----------------------------------------------------------------------------------------------------------------------------------------

 

기업이나 조직의 보안팀에서 사이버 위협 정보를 이용해 대응하고 나아가 적극적으로 위협을 찾기 위해서 어떻게 해야 할까?


보안팀은 내부 장비 현황 파악, EDR 등을 통한 내부 시스템 모니터링, 장기간 로그 수집, 내부에서 발견된 악성코드 보관 등을 준비하면 침해사고가 발생했을 때 분석에 도움이 된다. 이상 시스템에서 의심 파일을 찾을 수 있다면 보안업체에서 제공하는 정보 수집 도구를 보내고 결과를 받아 수상한 파일을 찾아 전송하는 커뮤니케이션 시간을 단축할 수 있다. 

공격자는 사용하는 보안 제품을 파악해 우회를 시도하며 공격을 진행한다. 보안 제품에서 일부 공격을 방어할 수 있지만 보안 제품만으로 모든 공격을 완벽하게 방어할 수 없다. 내부에서 발생하는 공격 시도와 침해 사고를 조사하고 관련 악성코드를 분석할 수 있는 분석가가 필요하다. 보안 업체의 도움을 받을 수 있지만 내부 시스템을 볼 수 있는 권한이 제한적이기 때문에 일정 규모 이상 되고 지속적인 공격을 받는 곳이라면 자체 분석가가 필요하다.

분석가는 각종 기사, 보안 업체와 보안 기관에서 공개하는 위협 분석 정보, 사이버 위협 인텔리 전스(TI) 서비스를 등을 통해 다양한 위협 정보를 수집하고 자사에서 발생하는 침해사고와 악성코드를 비교해 대응 방안을 마련해야 한다. 보안팀의 분석가가 모든 위협 정보를 파악하는 건 불가능에 가깝다. 따라서 자신의 업종이나 조직을 주로 공격하는 위협 그룹에 대해서는 공격 방식 등의 관련 정보를 비교적 상세하게 파악하고 있어야 한다. 보안팀에 사이버 위협 인텔리전스 서비스의 정보를 활용할 분석가가 없다면 TI 서비스의 활용은 떨어질 수밖에 없다. 

침해사고를 대응하고 분석할 수 있는 인력이 확보된 조직에서도 발생하는 침해사고 대응에 급급해 공격자가 누구인지 어떤 공격 방식을 구사하는지 제대로 파악하지 못하는 경우도 많다. 일반 기업은 보안회사 보다 악성코드 샘플이나 다양한 피해 사례 정보는 적을 수 있다. 하지만, 보안팀은 보안업체에서는 파악할 수 없는 내부 상황을 알 수 있고 지속적으로 공격하는 악성코드를 빨리 파악할 수 있는 장점이 있다. 보안 회사의 경우 여러 분석가가 다양한 샘플을 보기 때문에 지속적인 공격이 있을 때 동일한 분석가가 관련 샘플을 분석하지 않으면 모르고 지나 칠 수 있다. 공격자가 동시에 여러 곳을 활발하게 공격하지 않는 이상 어떤 악성코드를 추적하기로 결정하기 전까지는 모를 수 있다. 

각종 위협 정보는 내부 상황에 맞게 활용해 적극적으로 사이버 위협 사냥을 진행할 수 있다. 최근 위협분석 보고서에는 야라 룰(Yara rule)을 포함하는 경우가 있다. 내부에서 발견되는 샘플을 수집된 야라 룰로 진단해 관련된 정보가 파악되는 해당 악성코드 분석 내용을 바탕으로 공격자의 전술, 기법 및 절차 (TTPs, Tactics Techniques Procedures)를 파악해 방어 체계를 수립 할 수 있다. 또 발생하는 악성코드를 분석해 자사를 지속적으로 노리고 있다고 판단되면 야라 룰을 만들어 유사한 변형을 빨리 발견할 수 있도록 한다. 이외 MITRE ATTACK에서 정리한 공격 방법을 사내 보안 테스트에 활용해 어떤 부분에서 취약한지 확인 수 있다. 보안업체는 악성코드만으로는 공격 방식, 관련 취약점 등을 파악하는데 한계가 있으므로 보안팀의 역할이 필요하다.

변화하는 사이버 위협에 맞춰 이상적인 보안팀의 역할을 정리했지만 현실적으로 보안팀을 강화하기 위해서는 추가적인 인력이 필요해 일정 규모의 기업이나 조직이 아니라면 보안팀에 별도 대응 및 분석 조직을 함께 갖추지는 못한다. 기업이나 조직의 보안팀에 대한 인식 개선이 필요하다. 

 

----------------------------------------------------------------------------------------------------------------------

 

TI를 도입하려는 기업이 있다면 분석가가 없으면 도입한 TI를 IOC 정도의 반쪽만 활용 할 수 밖에 없습니다

 

국내에서도 기업 보안팀 내 분석가들과 협력하는 모습을 기대해 봅니다.

 

 

'악성코드 > 나의 글' 카테고리의 다른 글

사이버 위협 추적, 공격자의 단서를 포착하다  (0) 2021.02.01
드디어 세상에 나오는 '보안에 미쳐라 (2016)'  (7) 2016.07.07
SERICEO 경영에 보안을 입히다 촬영 후기  (1) 2015.08.21
떼베생몽드(TV5 Monde) 침해 사고 분석  (0) 2015.05.21
올드 보이의 귀환 ? 매크로 악성코드 증가  (0) 2015.04.07
Embedded Linux 악성코드 동향  (0) 2015.03.20
Posted by xcoolcat7
TAG threatintelligence, 보안팀분석가, 사이버위협분석, 사이버위협추적
트랙백 0, 댓글 0개가 달렸습니다

댓글을 달아 주세요

드디어 세상에 나오는 '보안에 미쳐라 (2016)'

악성코드/나의 글 2016. 7. 7. 20:53


저의 첫 책이 세상에 나옵니다.


- 보안에 미쳐라 : 유쾌 상쾌 통쾌한 보안 이야기

http://www.yes24.com/24/goods/29333992?scode=032&OzSrank=1




보안에 관심 가진 사람들 대상(취업 준비생...)이라 기술적인 내용은 별로 없습니다.

그래서 재미있게 쓰려다보니 저자 소개에 덕밍아웃을 했는데...

살짝 부끄럽네요 ㅋ






많이 팔렸으면 좋겠네요 ㅋㅋ



저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

사이버 위협 추적, 공격자의 단서를 포착하다  (0) 2021.02.01
드디어 세상에 나오는 '보안에 미쳐라 (2016)'  (7) 2016.07.07
SERICEO 경영에 보안을 입히다 촬영 후기  (1) 2015.08.21
떼베생몽드(TV5 Monde) 침해 사고 분석  (0) 2015.05.21
올드 보이의 귀환 ? 매크로 악성코드 증가  (0) 2015.04.07
Embedded Linux 악성코드 동향  (0) 2015.03.20
Posted by xcoolcat7
TAG 백신 회사 입사, 보안 입문서, 보안에 미쳐라, 악성코드 분석, 악성코드 분석가, 악성코드 분석가 되기
트랙백 0, 댓글 7개가 달렸습니다

댓글을 달아 주세요

  1. 2016.07.08 02:09  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 애뽀 2016.07.25 16:22  댓글주소  수정/삭제  댓글쓰기

    저 책은 꼭사봐야겠네요!

  3. 컴도사 2016.08.10 13:15  댓글주소  수정/삭제  댓글쓰기

    우와
    존경합니다!~^^

  4. 애뽀 2017.11.11 21:07  댓글주소  수정/삭제  댓글쓰기

    나오자마자 사서 읽었습니다 어느덧 1년이 지났네요... 책이 너무 재밌습니다! 1년이 지나서야 댓글을 달아보네요.. ㅠㅠ

SERICEO 경영에 보안을 입히다 촬영 후기

악성코드/나의 글 2015. 8. 21. 22:02


2015년 8월 17일 SERICEO 홈페이지 [경영에 보안을 입히다] 시리즈 중 '악성코드, 당신의 컴퓨터를 노린다'가 올라갔습니다.





동영상이 올라간 후 회사 여러분이 동영상 잘 봤다고 말씀하시더군요.

모 상무님은 직접 동영상을 틀어주셨는데 민망해서 제대로 못봤습니다. (동영상으로 자신의 모습을 보는건 참 부끄러운 일입니다.)





시작은 2015년 5월 정도로 기억하는데 SERICEO에 보안과 관련된 동영상을 올리기로 결정되고 몇 번의 회의로 업체별로 주제가 선정되고 글을 쓰고 교정을 거쳤습니다.


저의 글은 경영자가 알아야 할 악성코드에 대한 일반적 사항과 대처법입니다.


그렇게 준비해서 2015년 7월 촬영을 했습니다.

파란색 배경에서 2시간 정도 고생해서 동영상 촬영을 마무리했죠.

제가 쓴 글을 제가 읽는데 막 버벅 거렸습니다.

- 너무 쉽게 생각했다고나 할까요...


모든걸 잊고 지내던 8월 담당 PD님으로 부터 문자가 옵니다.


손을 너무 떨어 재촬영 해야겠다고 하네요 (털썩...)

외부 발표도 많이하고 TV 인터뷰도 종종해서 긴장을 많이 안할 줄 알았는데 

결혼식 축가 부를 때만큼 손을 엄청 떨었나 봅니다.


결국 재촬영했고 초반에 약간 떨다가 손을 자유롭게 하면서 무사히 촬영 완료해서 1시간 정도 만에 촬영 끝 !


교훈이라면..

역시 방송은 아무나 하는게 아니라는 점 입니다.




저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

사이버 위협 추적, 공격자의 단서를 포착하다  (0) 2021.02.01
드디어 세상에 나오는 '보안에 미쳐라 (2016)'  (7) 2016.07.07
SERICEO 경영에 보안을 입히다 촬영 후기  (1) 2015.08.21
떼베생몽드(TV5 Monde) 침해 사고 분석  (0) 2015.05.21
올드 보이의 귀환 ? 매크로 악성코드 증가  (0) 2015.04.07
Embedded Linux 악성코드 동향  (0) 2015.03.20
Posted by xcoolcat7
TAG SERICEO, SERICEO 악성코드, 경영에 보안을 입히다, 악성코드 당신의 컴퓨터를 노린다
트랙백 0, 댓글 1개가 달렸습니다

댓글을 달아 주세요

  1. 2015.11.28 15:16  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

떼베생몽드(TV5 Monde) 침해 사고 분석

악성코드/나의 글 2015. 5. 21. 22:51


'프랑스 국영 TV 해킹 악성코드, 실체를 밝힌다'

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23629&dir_group_dist=0


월간 안 2015년 5월호 [Threat Analysis] 제목입니다.

언제나 처럼 제목은 월간 안 편집 흥미롭게(?) 지었습니다.


2015년 4월 8일 떼베생몽드(TV5 Monde) 침해 사고 관련해서는 처음에 악성코드 부터 먼저 접했습니다.

관련 악성코드를 보다가 2013년 3월 20일 국내 방송국 시스템에 문제가 생긴 것 처럼 떼베생몽드 내부 시스템 장애가 발생했고 방송 송출도 중단되었다는걸 알게 되었습니다.


직접 연관성을 확인하긴 어렵지만 Njrat, Njworm 으로 불리는 트로이목마도 발견되었습니다. 악성코드 분석가 입장에서 한번쯤 들어봤지만 익숙하지 않은 녀석입니다. 


여기에는 악성코드의 지역화 특징이 있습니다. 아무래도 국내 고객 샘플 위주로 샘플을 분석하다보니 아랍어권에서 유행하는 악성코드는 아무래도 볼 기회가 없거나 적었던 거지요.


그래서 결국 월간 안에 실을 글을 작성하게되었습니다.


VB 스크립트 트로이목마에 끌린 연구원에게 같이 쓰자고 하면서요.

- 유럽 여행을 목전에 두고 있는 상황이었는데 분석 보고서라니 조금 다급했겠죠 ?! 살짝 미안한 마음도 드네요.


사건 경위는 제가 작성하고 VB 스크립트는 신규 연구원이 작성했습니다.


저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

드디어 세상에 나오는 '보안에 미쳐라 (2016)'  (7) 2016.07.07
SERICEO 경영에 보안을 입히다 촬영 후기  (1) 2015.08.21
떼베생몽드(TV5 Monde) 침해 사고 분석  (0) 2015.05.21
올드 보이의 귀환 ? 매크로 악성코드 증가  (0) 2015.04.07
Embedded Linux 악성코드 동향  (0) 2015.03.20
[발표자료] 포스 시스템(POS System) 노리는 악성코드  (0) 2014.11.15
Posted by xcoolcat7
TAG Njworm, TV5 Monder Hacked, TV5 Monder 침해 사고, 떼베생몽드 침해 사고, 떼베생몽드 해킹
트랙백 0, 댓글 0개가 달렸습니다

댓글을 달아 주세요

올드 보이의 귀환 ? 매크로 악성코드 증가

악성코드/나의 글 2015. 4. 7. 09:31



매크로 악성코드의 증가가 눈에 띄게 느껴진건 작년 하반기 부터입니다.

2015년에는 갑자기 급격히 증가하게 되었습니다.

- 하루에 100개 가까지 접수 된 적도 잇습니다.

그래서 매크로 악성코드 관련 콘텐츠를 작성해야겠다고 생각하고 신입 분석가 JYP와 같이 작업했습니다.


원래는 설 전에 작성하려 했지만 매크로에 암호 걸린 문서 깨기, XML 형태 등장 등 몇가지 돌발(?) 변수가 발생해 더 보강된다고 늦어졌습니다.


내부판을 일단 만들고 공개 가능한 내용으로 월간 안 2015년 4월호에 실렸고 일부를 정리해서 ASEC 블로그에 올렸습니다.


사회공학 기법 사용하는 매크로 악성코드 주의

(http://asec.ahnlab.com/1027)


[Threat Analysis] 매크로 악성코드 증가…올드보이의 귀환?


http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=2&seq=23501


월간 안 2015년 4월 호는 아래에서 다운로드 가능합니다.

http://download.ahnlab.com/kr/site/magazineAhn/ahn_201504.pdf

저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

SERICEO 경영에 보안을 입히다 촬영 후기  (1) 2015.08.21
떼베생몽드(TV5 Monde) 침해 사고 분석  (0) 2015.05.21
올드 보이의 귀환 ? 매크로 악성코드 증가  (0) 2015.04.07
Embedded Linux 악성코드 동향  (0) 2015.03.20
[발표자료] 포스 시스템(POS System) 노리는 악성코드  (0) 2014.11.15
POS 시스템 악성코드 종류  (2) 2014.09.01
Posted by xcoolcat7
TAG Macro downloader, Macro Dropper, Macro malware, VBA 악성코드, 매크로 악성코드
트랙백 0, 댓글 0개가 달렸습니다

댓글을 달아 주세요

Embedded Linux 악성코드 동향

악성코드/나의 글 2015. 3. 20. 10:13


Embedded Linux 악성코드 동향 




인터넷 공유기 악성코드 동향입니다.

앞으로 NAS 등으로도 넓히고 최종적으로는 IoT 악성코드에 대해서도 추가할 예정입니다.


공개용이라 안랩 내부 발표 때 보다 삭제된 내용이 많습니다.


http://www.slideshare.net/JackyMinseokCha/embedded-linux-20150323-v10


 Embedded Linux 악성코드 동향_20150323_v1.0 공개판.pdf


개인적으로는 제목 정하기가 참 어려웠습니다
처음 인터넷 공유기 악성코드 였는데... 외국에서는 홈 라우터(Home Router) 등으로 부르더군요.
그래서 Home Router 라고 했다가 이게 대부분 임베디드 리눅스와 연관되더군요.
그래서 임베디드 리눅스 악성코드라고 했다가 사실 임베디드 리눅스가 또 IoT 와 연관되고
인터넷 공유기도 IoT 라고 하는 사람들이 많다보니 IoT 까지 가버렸습니다 TT






저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

떼베생몽드(TV5 Monde) 침해 사고 분석  (0) 2015.05.21
올드 보이의 귀환 ? 매크로 악성코드 증가  (0) 2015.04.07
Embedded Linux 악성코드 동향  (0) 2015.03.20
[발표자료] 포스 시스템(POS System) 노리는 악성코드  (0) 2014.11.15
POS 시스템 악성코드 종류  (2) 2014.09.01
2014년 2분기 주요 정보보안 소식  (1) 2014.08.01
Posted by xcoolcat7
TAG Embedded Linux 악성코드, Home Router 악성코드, IoT 악성코드, 공유기 보안, 공유기 악성코드, 인터넷 공유기 악성코드, 임베디드 리눅스 악성코드
트랙백 0, 댓글 0개가 달렸습니다

댓글을 달아 주세요

[발표자료] 포스 시스템(POS System) 노리는 악성코드

악성코드/나의 글 2014. 11. 15. 21:58


POS System 노리는 악성코드 공개판입니다.


2014년 11월 16일(일) 외부에서 발표하는 내용 공개판입니다.






POS System 노리는 악성코드_차민석_20141115_공개판.pdf





저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

올드 보이의 귀환 ? 매크로 악성코드 증가  (0) 2015.04.07
Embedded Linux 악성코드 동향  (0) 2015.03.20
[발표자료] 포스 시스템(POS System) 노리는 악성코드  (0) 2014.11.15
POS 시스템 악성코드 종류  (2) 2014.09.01
2014년 2분기 주요 정보보안 소식  (1) 2014.08.01
악성코드 파일 종류  (3) 2014.06.18
Posted by xcoolcat7
TAG POS Security, POS system Security, POS System 보안, Target 악성코드, 타겟 악성코드, 포스 말웨어, 포스 바이러스, 포스 시스템 보안, 포스 시스템 악성코드, 포스 악성코드, 플라스틱 도둑
트랙백 1, 댓글 0개가 달렸습니다

댓글을 달아 주세요

POS 시스템 악성코드 종류

악성코드/나의 글 2014. 9. 1. 23:53


[Special Report] POS 시스템도 해킹 안전지대 아니다 (월간 안, 2014년 9월호)


http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22820&dir_group_dist=0





-------


올해는 POS 시스템 악성코드로 상반기를 다 보냈네요.


사실 이 글까지 오게 된건 2013년 11월 발생한 미국 Target 사 해킹에 사용된 악성코드에서 'Korea'라는 문자열을 발견해서 입니다.


"악성코드 내에 Korea' 라는 문자열이 있습니다."

"그래 ? 좀 더 파봐..."


Target 사 공격 악성코드를 보면서 Target 해킹 방식을 파악하고 2014년 4월에는 국내 POS 시스템 관리 업체를 해킹한 일당이 검거도 알려집니다. 해당 악성코드 정보를 얻어 차근차근 따라가보니 바꿔치기 된 파일 등도 알 게 되었습니다.


그러다가 결국 2009년 - 현재까지 주요 POS 시스템 노린 악성코드를 쓰게 되었습니다.



당분간 POS 시스템에서 카드 긁을 때 한번 더 고민해야 하지 않을까 합니다.

보다 안전한 POS 시스템이 되었으면 합니다.






저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

Embedded Linux 악성코드 동향  (0) 2015.03.20
[발표자료] 포스 시스템(POS System) 노리는 악성코드  (0) 2014.11.15
POS 시스템 악성코드 종류  (2) 2014.09.01
2014년 2분기 주요 정보보안 소식  (1) 2014.08.01
악성코드 파일 종류  (3) 2014.06.18
2014년 1분기 주요 정보보안 소식  (2) 2014.05.03
Posted by xcoolcat7
TAG Backoff, pos system, POS system 악성코드, pos 시스템, POS 시스템 악성코드 종류, Target 해킹, 포스 단말기 보안, 포스 단말기 악성코드, 포스 시스템 보안, 포스 시스템 악성코드
트랙백 1, 댓글 2개가 달렸습니다

댓글을 달아 주세요

  1. 잡다한 처리 2014.09.02 09:36 신고  댓글주소  수정/삭제  댓글쓰기

    궁금했던 부분이 이 글로 인해 풀렷네요 ㅎㅎㅎ
    잘봤습니다^^

2014년 2분기 주요 정보보안 소식

악성코드/나의 글 2014. 8. 1. 22:54

2014년 2분기 주요 정보보안 소식입니다.




case study는 국내 POS 시스템 관리 업체 서버 해킹 관련 정보입니다.


해당 내용은 월간 안에도 실릴 예정입니다

글은 7월 말 완료되었는데 내부 사정으로 월간 안에는 다음 달에 실릴 예정입니다.


원래 월간 안과 이 자료를 동시에 공개하려 했는데 한달 늦어져 일단 일부 자료만 공개합니다


결론은 국내 POS 시스템 관리 업체 보안은 .... TT 






2014년 2분기 주요 정보보안 소식_공개판_차민석_20140801.pdf



저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

[발표자료] 포스 시스템(POS System) 노리는 악성코드  (0) 2014.11.15
POS 시스템 악성코드 종류  (2) 2014.09.01
2014년 2분기 주요 정보보안 소식  (1) 2014.08.01
악성코드 파일 종류  (3) 2014.06.18
2014년 1분기 주요 정보보안 소식  (2) 2014.05.03
[발표자료] Injection 기법 및 분석법  (2) 2014.04.21
Posted by xcoolcat7
TAG 2014년 2분기 보안 동향, 2014년 2분기 정보보안 동향, 2014년 2분기 주요 정보보안 소식
트랙백 0, 댓글 1개가 달렸습니다

댓글을 달아 주세요

  1. 또만났네 2014.08.04 17:19 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 블로그 내용이 좋아서♡ 블로그모음 서비스인 블로그앤미(http://blogand.me) 에 등록했습니다. 원하지 않으시면 삭제하겠습니다. 좋은 하루 되세요. ^^

악성코드 파일 종류

악성코드/나의 글 2014. 6. 18. 23:21

2014년 6월 14일 wowhacker 세미나에서 발표한 'PE 파일은 시작일 뿐..'입니다.

소개, 짤방 등을 제거했습니다.


제목도 다소 밋밋하게 바꿨습니다.


시간을 잘못봐서 폭주해서 1시간 20분 동안 발표한 자료입니다 ㅋ

시간 관계상 몇몇 악성코드는 빠져있고 대충 넘어간 파일 종류도 많은데 이후 업데이트 예정입니다. 



악성코드 파일 종류_차민석_20140618.pdf



저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

POS 시스템 악성코드 종류  (2) 2014.09.01
2014년 2분기 주요 정보보안 소식  (1) 2014.08.01
악성코드 파일 종류  (3) 2014.06.18
2014년 1분기 주요 정보보안 소식  (2) 2014.05.03
[발표자료] Injection 기법 및 분석법  (2) 2014.04.21
사진관에서 발견한 몇 가지 보안 문제  (1) 2014.03.16
Posted by xcoolcat7
TAG malware platform, 악성코드 종류, 플랫폼별 악성코드
트랙백 0, 댓글 3개가 달렸습니다

댓글을 달아 주세요

  1. Codetronik 2014.06.19 08:41 신고  댓글주소  수정/삭제  댓글쓰기

    감사히 잘 보겠습니다

  2. penguin 2014.06.19 14:34  댓글주소  수정/삭제  댓글쓰기

    감사합니다. 잘 볼께요!

  3. 로그에 2014.06.23 14:49  댓글주소  수정/삭제  댓글쓰기

    휴리스틱 오진인 것 같은데...5월30일도 있는 거 봐서...antivir쪽에 빨리좀 해주셨으면...
    Virus or unwanted program 'HEUR/Malware [heuristic]'
    detected in file 'C:\Program Files\V3Lite\ASC\79\fse_file.dll.
    Action performed: Deny access

2014년 1분기 주요 정보보안 소식

악성코드/나의 글 2014. 5. 3. 13:32


2014년 1분기 주요 정보보안 소식입니다.


분기별로 자료를 정리하다 보면 늘 빼먹는게 늦게 발견되네요.

그리고 시간과 노력에 비해 페이지 수는 크지 않네요 ...






2014년 1분기 주요 정보보안 소식(공개판)_20140503.pdf


저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

2014년 2분기 주요 정보보안 소식  (1) 2014.08.01
악성코드 파일 종류  (3) 2014.06.18
2014년 1분기 주요 정보보안 소식  (2) 2014.05.03
[발표자료] Injection 기법 및 분석법  (2) 2014.04.21
사진관에서 발견한 몇 가지 보안 문제  (1) 2014.03.16
걸프전은 최초의 사이버 전쟁일까?  (0) 2014.02.13
Posted by xcoolcat7
TAG 2014년 1분기, 2014년 보안 이슈, 국내 보안 이슈, 보안 이슈, 외국 보안 이슈, 주요 정보보안 소식, 해외 보안 이슈
트랙백 0, 댓글 2개가 달렸습니다

댓글을 달아 주세요

  1. 2014.05.17 14:43  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. earth 2014.05.17 18:57  댓글주소  수정/삭제  댓글쓰기

    계속 시비와 딴지를 건다면, 그건 좌던,우던,
    언론이 아니라, 공산x+쪽xx+찌xx 뿐 (반대를 위한 반대)
    자기네 편에겐 관대하고, 반대파만 디스하고,
    ,
    와~ 참세o,여성oo 등은 봐주더라도,
    ,
    한~,프~,경~,등, 다시 보게 됐음, 이건 좌 신문도 아니야~ ㅂㅅㅁ,
    ,
    ps>진실 포함된 기사 찾기가 좀 힘드네요
    http://news.naver.com/main/read.nhn?oid=008&aid=0003256961
    http://news.naver.com/main/read.nhn?oid=023&aid=0002742359
    http://news.naver.com/main/read.nhn?oid=088&aid=0000341752
    ,
    ps>이분 사퇴하신다더니 말바꾸신듯, 보소, 어느나라 나리들쇼?
    ,
    http://news.naver.com/main/read.nhn?oid=047&aid=0002055855
    ~ - '새누리당은 기초연금법 처리하지 말라, '배째라'는 식이었다,
    이런 상황에서 우리가 받아낼 게 없다'고 하더라.
    새정치연합이 무언가를 얻어낼 수 있는 상황이 아니었다는 것이다.
    ->
    :그렇다면 기초연금법 처리가 안 된 상태에서 지방 선거를 치렀어야 했다.
    이미 세월호 때문에 모든 이슈가 그 쪽으로 흘러갔고 정세 분석가들도,
    지방 선거에서 세월호 이외의 것들이 쟁점화되리라고 보지 않고 있었다.
    ...통과가 안 됐을시,
    그게 무조건 야당 탓이 되겠나. 야당만 일방적으로 욕 먹는 상황은 아니었다.~

[발표자료] Injection 기법 및 분석법

악성코드/나의 글 2014. 4. 21. 22:35


Injection 기법 및 분석법입니다.


숭실대 수업 자료 중 일부로 공개 버전을 만들었습니다.


최근 유행하는 기법은 아직 반영되어 있지 않습니다.

(추후 업데이트 예정입니다.)


* 자료의 일부는 팀 사람들 발표 자료를 복사했습니다 ~



Injection 기법_20140417_공개 버전.pdf






저작자표시

'악성코드 > 나의 글' 카테고리의 다른 글

악성코드 파일 종류  (3) 2014.06.18
2014년 1분기 주요 정보보안 소식  (2) 2014.05.03
[발표자료] Injection 기법 및 분석법  (2) 2014.04.21
사진관에서 발견한 몇 가지 보안 문제  (1) 2014.03.16
걸프전은 최초의 사이버 전쟁일까?  (0) 2014.02.13
백신 vs 바이러스 기사 뒷이야기  (2) 2013.08.05
Posted by xcoolcat7
TAG Code Injection, DLL Injection, DLL 인젝션, 인젝션 기법, 코드 인젝션
트랙백 0, 댓글 2개가 달렸습니다

댓글을 달아 주세요

  1. 질문글 2016.06.13 16:32  댓글주소  수정/삭제  댓글쓰기

    강의글 재미있게 봤습니다.
    injection 기법에 대해서 공부하고있는데
    최근 유행하는 기법에 대해서도 궁금해서 그런데
    혹시 자료 공유가능할까요??

사진관에서 발견한 몇 가지 보안 문제

악성코드/나의 글 2014. 3. 16. 19:01


2014년 3월에 공개된 칼럼은 '사진관에서 발견한 몇 가지 보안 문제' 입니다.


http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22263&dir_group_dist=0




어느 순간 부터 칼럼이 다음과 같이 흘러가는 듯 합니다.

어디감 -> 일상에서 보안 문제 발견 -> 걱정이다 -.-;;;


이번도 그런데...

50일 된 아기 사진을 찍으러(50일 밖에 안된 아기를 왜 !!!!) 사진관에 갔다가 경험한 일입니다


사실 개인 병원이나 사진관 같은 조그마한 (그래도 종업원 10명 가까이 되는) 사업장은 보안이 엉망입니다.

내부는 컴퓨터로 운영되도록 했지만 거의 외주 줬을 테고 그 외주 업체가 보안까지 신경 쓰지는 못해서 발생하는 악순환이 계속되고 있습니다. 보안 신경 쓰면 이용자는 불편하다고 분명 그러겠죠.


앞으로 이런 걱정 시리즈는 계속 된 소재가 될 듯 합니다. @.@...

좀 질리는 소재입니다만...


ps.


사진관 보안도 보안 문제지만...

100일 된 아기 키우는 제 입장에서는 이유 없이 울어대는 아기를 달래는게 더 급합니다.


'악성코드 > 나의 글' 카테고리의 다른 글

2014년 1분기 주요 정보보안 소식  (2) 2014.05.03
[발표자료] Injection 기법 및 분석법  (2) 2014.04.21
사진관에서 발견한 몇 가지 보안 문제  (1) 2014.03.16
걸프전은 최초의 사이버 전쟁일까?  (0) 2014.02.13
백신 vs 바이러스 기사 뒷이야기  (2) 2013.08.05
[발표자료] 0과 1의 비밀을 밝히는 악성코드 분석가  (2) 2013.04.15
Posted by xcoolcat7
TAG 사진관 보안
트랙백 0, 댓글 1개가 달렸습니다

댓글을 달아 주세요

  1. 벌새 2014.03.16 20:47 신고  댓글주소  수정/삭제  댓글쓰기

    분명 이유가 있어서 울겁니다. 머라고 표현할 수 없다는게..^^

걸프전은 최초의 사이버 전쟁일까?

악성코드/나의 글 2014. 2. 13. 13:13

신문 기사에서 걸프전이 최초의 사이버전이라는 내용을 보고 "또 !"라는 생각이 들었습니다.


제가 알기로 걸프전 때 미국에서 바이러스로 이라크 방공망을 무력화 했다는건 사실이 아니라고 알고 있었죠.



내용을 한번 정리해 봐야 겠다고 생각해 자료 조사를 해봤습니다.



- 걸프전은 최초의 사이버 전쟁일까?

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22158&dir_group_dist=0




생각보다 시간이 오래 걸린건 사실 유무 확인이었습니다.


1. 인포월드의 1991년 4월 1일 만우절 장난 내용은 알고 있었고 구글신의 도움으로 당시 기사까지 확보 했습니다.


2. 1992년 1월 미국의 US 뉴스 월드 리포트(US News & World Report)의 ‘승리 없는 승리 : 페르시안 걸프 전의 미공개 역사(Triumph Without Victory: The Unreported History of the Persian Gulf War)’에 비슷한 내용이 실렸고 관련 내용이 다른 언론을 통해서 광범위하게 퍼졌죠. 문제는 인포월드와 내용이 비슷하지만 확실히 거짓인지 확인하지는 못했습니다. 게다가 일부에서는 관련 공격 시도가 있었는데 실패했다고 주장하는 사람도 있긴 하더군요.


3. 기술적으로 가능한가에 대해서는 당시 통신 방식에 대해 공부 하기 위해 책도 사고 했는데 솔직히 다 알지 못해 다른 사람의 자료를 참고 했습니다. 기술적으로 안될거라고 생각했는데 일부 시스템에서 전혀 불가능한건 아니더군요.


그래서 처음에는 없었고 사람들이 잘못 알고 있는거다라고 정리했다가 (어떻게 보면 선입견을 가지고 시작한거죠) 마무리는 아직까지 확인되지 않았다로 살짝 비켜났습니다. 


아직 확인되지 않았으니 걸프전이 최초의 사이버전쟁이었다라고 얘기할 필요는 없습니다


ps.


이번 글부터 편집자가 변경되면서 제 글이 별로 변화가 없습니다.

제목도 제가 처음 제안한 이름하고 같네요.






'악성코드 > 나의 글' 카테고리의 다른 글

[발표자료] Injection 기법 및 분석법  (2) 2014.04.21
사진관에서 발견한 몇 가지 보안 문제  (1) 2014.03.16
걸프전은 최초의 사이버 전쟁일까?  (0) 2014.02.13
백신 vs 바이러스 기사 뒷이야기  (2) 2013.08.05
[발표자료] 0과 1의 비밀을 밝히는 악성코드 분석가  (2) 2013.04.15
울산시 제2회 과학기술 멘토와의 만남 발표  (2) 2013.04.11
Posted by xcoolcat7
TAG AF/91, 걸프전, 사이버전쟁, 최초 사이버전
트랙백 0, 댓글 0개가 달렸습니다

댓글을 달아 주세요

백신 vs 바이러스 기사 뒷이야기

악성코드/나의 글 2013. 8. 5. 08:20


8월 1일 보안뉴스에 '백신 Vs 바이러스 - 끝없는 싸움이 시작하다' 글이 올라와서 읽다보니 저자가 본인이네 ?!


제가 쓰고 있는(10년 넘게.. 하지만 언제 출간될지는 모르는) 책 앞부분에 해당하는 내용입니다.

예전에 진단법과 관련한 자료를 달라고해서 전달해줬는데 거기에 글이 보강되어 나갔네요.

(다시 한번 글 공개될 때는 검토 좀 부탁한다고 얘기해야겠네요. 자칫 잘못 나가면 글 쓴 사람만 욕 먹게되니...)


백신 무용론과 대응법은 추가된 내용입니다.


지금까지 경험상 컴퓨터를 잘아는 소위 전문가라고 하는 사람에게도 백신 프로그램의 원리와 한계를 이해 시키기 힘든데 일반인에게 이해시키는게 얼마나 어려운 일인가라는 생각을 해봅니다.






'악성코드 > 나의 글' 카테고리의 다른 글

사진관에서 발견한 몇 가지 보안 문제  (1) 2014.03.16
걸프전은 최초의 사이버 전쟁일까?  (0) 2014.02.13
백신 vs 바이러스 기사 뒷이야기  (2) 2013.08.05
[발표자료] 0과 1의 비밀을 밝히는 악성코드 분석가  (2) 2013.04.15
울산시 제2회 과학기술 멘토와의 만남 발표  (2) 2013.04.11
사이버범죄 핵티비즘 그리고 사이버전  (0) 2013.03.10
Posted by xcoolcat7
TAG 백신 vs 바이러스, 백신 무용론, 보안뉴스
트랙백 0, 댓글 2개가 달렸습니다

댓글을 달아 주세요

  1. 2013.08.08 23:09  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

[발표자료] 0과 1의 비밀을 밝히는 악성코드 분석가

악성코드/나의 글 2013. 4. 15. 12:41


2013년 4월 13일(토) 울산 테크노파크 주최 강연을 무사히 마쳤습니다.

많이 참석하신 울산 지역 중,고등학생 여러분 감사합니다.


발표자료 요청이 있어 올립니다.


보안쪽 일을 하고 싶은 분들에게 도움되는 자료되었으면 합니다.

그리고, 어디까지나 참고용 자료이며 다양한 경로로 자신의 꿈을 키우실 수 있을 겁니다.






0과 1의 비밀을 밝히는 악성코드 분석가(공개용)_차민석_20130413.pdf



'악성코드 > 나의 글' 카테고리의 다른 글

걸프전은 최초의 사이버 전쟁일까?  (0) 2014.02.13
백신 vs 바이러스 기사 뒷이야기  (2) 2013.08.05
[발표자료] 0과 1의 비밀을 밝히는 악성코드 분석가  (2) 2013.04.15
울산시 제2회 과학기술 멘토와의 만남 발표  (2) 2013.04.11
사이버범죄 핵티비즘 그리고 사이버전  (0) 2013.03.10
[칼럼] 보안 강박남과 위생 철저녀의 생확속 보안 이야기  (0) 2013.02.14
Posted by xcoolcat7
TAG 0과 1의 비밀을 밝히는 악성코드 분석가, 보안전문가 되기, 울산 테크노파크, 울산시 제2회 과학기술 멘토와의 만남, 정보보안, 정보보안 연구원, 정보보안 전문가, 태그를 입력해 주세요., 해커
트랙백 1, 댓글 2개가 달렸습니다

댓글을 달아 주세요

  1. happycloude 2013.08.05 09:01  댓글주소  수정/삭제  댓글쓰기

    악성코드 분석가가 되려고 노력중인데 좋은 자료네요
    감사하게 잘봣습니다.

울산시 제2회 과학기술 멘토와의 만남 발표

악성코드/나의 글 2013. 4. 11. 23:43


13일 (토)  울산 내려갑니다.

부모님 결혼 기념일 축하겸.. 발표였는데...


이런 기사까지 났네요 @.@...






- http://www2.enewstoday.co.kr/sub_read.html?uid=285165&section=sc1


- http://www.newsis.com/ar_detail/view.html?cID=&ar_id=NISX20130411_0011993311



가끔 인터뷰 등으로 언론에 실릴 때는 별 감동(?)이 없었는데 이렇게 기사 뜨니 새롭네요.


갑자기 압박이 (....) ㅎㅎ

욕먹고 춥고 배고픈 직업이라고 얘기하려 했는데...

어떻게 돌려 말해야 하나 ~ ㅋ




'악성코드 > 나의 글' 카테고리의 다른 글

백신 vs 바이러스 기사 뒷이야기  (2) 2013.08.05
[발표자료] 0과 1의 비밀을 밝히는 악성코드 분석가  (2) 2013.04.15
울산시 제2회 과학기술 멘토와의 만남 발표  (2) 2013.04.11
사이버범죄 핵티비즘 그리고 사이버전  (0) 2013.03.10
[칼럼] 보안 강박남과 위생 철저녀의 생확속 보안 이야기  (0) 2013.02.14
[칼럼] 영화 '007 스카이폴' 속 사이버 공격 현실 가능성은?  (0) 2013.01.10
Posted by xcoolcat7
TAG 과학기술 멘토와의 만남, 안랩, 울산시
트랙백 1, 댓글 2개가 달렸습니다

댓글을 달아 주세요

  1. 잡다한 처리 2013.04.12 10:01 신고  댓글주소  수정/삭제  댓글쓰기

    사실대로 말씀하시면 꿈나무가 안클듯 ㅎㅎ 좋은 이야기 많이 해주시고 오세요^^