모 교수님 페이스북으로 수상한 메일이 접수되었다는 글이 올라왔습니다.




해당 문서가 표적공격이 아닐까 싶어 워드 문서 받아서 한번 봤습니다.

매크로(Macro)도 없고 딱히 취약점에 눈에 띄지는 않더군요.


하지만, 내용을 보고 바로 피싱이 아닐까 싶었습니다.


일단 오타도 보이네요. 

(금융사긴집단, 잇는지, 개설되셧는지)



그외 제목에 한자가 있고 만든이는 use, 회사는 PRC .... 웬지 중국쪽에서 작업한 느낌이 드네요.





'02-1544-8136' 으로 연락하라고 되어 있어 검색해보니 네이버에서는 피싱이라는 글이 6월 19일에 올라왔습니다.

(http://cafe.naver.com/weathermasterlab/121002)


  

좀 더 검토해봐야겠지만 피싱 메일일 가능성이 높습니다.

피싱이 점점 진화해 문자에 이어 이제 첨부 파일로도 오네요.

(외국에서는 흔한 수법이긴 합니다.)



Posted by xcoolcat7

댓글을 달아 주세요

  1. 2015.06.20 14:45  댓글주소  수정/삭제  댓글쓰기

    저도 와서보니 ㅋ 같은 분이 있네요

  2. zz 2015.06.22 13:05  댓글주소  수정/삭제  댓글쓰기

    저도 받았습니다~ㅋ

  3. 효효 2015.06.23 10:55  댓글주소  수정/삭제  댓글쓰기

    저는문자로왓네요ㅋㅋ

  4. 증증습 2015.06.23 12:16  댓글주소  수정/삭제  댓글쓰기

    저도 받았습니다.
    전 첨부파일은 아니고 그냥 내용이 텍스트로 적혀 있는데 내용이 비슷하네요.
    거기다가 결정적으로 법무부장관 권재진 이라고 왔는데 이분 현 법무부 장관도 아닌데...

  5. ㅠㅠ 2015.06.23 12:37  댓글주소  수정/삭제  댓글쓰기

    저도 똑같이 메일 받았습니다.. 몇일전에 온건데 오늘 이메일 확인해보니 이게 뭔가싶어서 검색해보니..
    보이스피싱 이메일이었군요.. 방금 막 검찰청 찾아보고 그러는 중이었어요 ㅋㅋ 누군가 제껄 도용했나 싶기도하고.. 확인 잘 하고갑니다 !

  6. Ec0nomist 2015.06.23 23:38 신고  댓글주소  수정/삭제  댓글쓰기

    기존의 대검찰청 피싱 사이트에 나오던 것과 다수 유사한 점을 고려하면 일부 문장를 조금 수정해서 유포하는 것 같습니다. 이런 방식으로 유포하는건 오늘 알았습니다..ㅎㅎ


2015년 6월 12일 금요일

메르스로 어린이 집이 쉬어서 집에서 애 보고 있는데

메르스 정보로 가장한 악성코드를 주의하자는 기사가 계속 떴습니다.




어제부터 북한 IP로 접속하는 메르스 관련 내용으로 가장한 악성코드가 있었다는 얘기는 들었지만 본적이 없어 궁금했었습니다.


처음 북한 IP 접속 얘기를 들었을 때 '북한 IP ? 우리나라에서 접속이나 될까 ?' 였습니다.

확인해보니 최초 샘플은 6월 초에 접수되었지만 이미 V3에서는 2012년 엔진에서 진단되고 있었습니다.

더욱 이상한 생각이 들었습니다.


아니 북한에서 만든거면 접속도 잘 안될 듯한 주소에 국내에서 가장 많이 사용되는 백신 중 하나인 V3에서 이미 진단되는걸 배포해 ?!

미친걸까 ... 실수한 걸까.. 아니면 누군가 북한한테 뒤집어 씌우려고 한건가... 등등 여러 생각이 나더군요.


악성코드 분석을 어느 정도 마무리한 밤 10시 쯤 KBS에서 단독 기사를 냈습니다. 


- [단독] ‘메르스 악성코드 이메일’ 북한 연계 포착 (2015년 6월 12일, KBS)

http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A


하지만, 단독이라고 얘기하지만 이미 보안뉴스에 6시 5분에 비슷한 내용이 기사로 올라갔습니다.

(공중파에서 단독 기사 중에 이미 전문지에서 공개된 내용도 간혹 있습니다.)




- 메르스 사칭한 악성파일 유포 확산...북한 IP와의 통신 정황 포착 (2015년 6월 12일, 보안뉴스)

http://www.boannews.com/media/view.asp?idx=46600&kind=1


물론 실제 보도는 KBS가 빨랐지만 홈페이지에 늦게 올라갔을 수도 있습니다.


이런 기사가 블로그나 전문지로 나가는 것과 공중파 다뤄지는건 파장이 다를 수 밖에 없습니다

이거 뭔가 준비해야하는거 아닌가하는 생각이 들었죠. 


회사에 정보 공유한 후 밤 10시 23분에 연합뉴스가 2보로 올라가면서 황당한(?) 결론이 나왔습니다.



- '메르스 공포' 노린 스미싱·악성코드 등장 (2015년 6월 12일, 연합뉴스)

http://www.yonhapnews.co.kr/bulletin/2015/06/12/0200000000AKR20150612084152017.HTML?input=1195m



종합 2보에는 아래 내용이 추가되었습니다.



'한편 유포 경로가 불분명한 문서 위장 악성코드 중에는 접속 시 북한 IP로 연결되는 경우가 있어 일각에서는 북한의 소행이라는 의혹이 제기됐다.


그러나 KISA 확인 결과 이 악성코드는 한 보안업체에서 교육용으로 만들어 교육생들에게 배포한 것으로 확인됐다. 


이후 알 수 없는 경로로 전 세계 보안 전문가들이 항상 주시하는 유명 웹사이트에 해당 악성코드가 올라오면서 오해가 빚어진 것으로 KISA는 파악하고 있다. 교육생 중 한 명이 올렸을 가능성이 큰 상황이다.'



어떤 보안업체에서 교육용으로 만들어 교육생들에게 배포했었다고 합니다. 들리는바로는 악성코드 생성 프로그램(Generator, Constructor)으로 만들었다고 합니다. 그래서 안랩 V3 에서는 2012년 엔진에서 진단되고 있는게 아닐까 하는 생각도 드네요. 교육생 중 한명이 해당 샘플을 바이러스토털(Virustotal)에 올렸고 해당 샘플이 보안 업체에 공유되면서 한바탕 소동이 있었나 봅니다.


대한민국 정보보안에서 북한 이슈는 언젠가 부터 매우 크게 되었습니다. 그러다보니 북한 IP가 들어간 악성코드가 크게 주목 받은게 아닐까 합니다. 


그리고 몇몇 보안업체 교육 때 수강생들에게 실제 악성코드 샘플로 교육하는게 맞는가 하는 고민도 필요해 보입니다. 윤리적인 측면에서 교육을 위해 새로운 악성코드를 만드는건 더욱 고민해 봐야 할 듯 합니다. 참고로 저는 실제 악성코드를 보여주기도 하지만 수강생들에게 주지는 않습니다. 분석 교육의 경우 악성코드 기법 중 일부만 담았거나 실제 악성코드 기능은 살짝 피한 (다운로드를 시도하지만 실제로 없는 주소라거나 자동실행되도록 하지만 파일 이름이 다르거나 등) 별도 프로그램을 만들어 제공합니다.



---


추가)


보안뉴스에서 교육용으로 만든거 최종 확인해 줬네요. 


- 교육용으로 제작된 메르스 악성파일 사태 일파만파 (보안뉴스, 2015년 6월 13일)

http://www.boannews.com/media/view.asp?idx=46606



















Posted by xcoolcat7

댓글을 달아 주세요


2013년 6월 25일 하필 6.25 전쟁 일어난 날 남북 정부쪽에 사이버 공격이 있었습니다.

- 북한도 공격 당했겠죠 ?


일베(일간베스트)에 접속하면 새누리당, 국정원이 접속되는 듯 해 뭔가 연결 고리가 있는게 아닌가하는 얘기가 나왔습니다.



http://todayhumor.co.kr/board/view.php?table=humorbest&no=702241&s_no=702241


http://www.parkoz.com/zboard/view.php?id=express_freeboard2&no=222078&category=1



하지만, 사실 이건 공격자가 일베 사이트에 청와대, 새누리당, 국정원을 DDoS 공격하는 코드를 심어둔 걸로 보입니다.


웹 사이트 접속만으로도 디도스 공격 발생시키는 공격방식 확인 (안랩, 2013년 6월 26일)

http://www.ahnlab.com/company/site/pr/comPressRelease/comPressReleaseView.do?seq=143848





일베 사이트가 지금 접속이 되지 않는다고하니 정확한 사실 확인은 어렵습니다.


하지만, 공격자 추정 트위터에서 일베 공격 언급이 있고 일베에 접속하면 나타나는 주소가 웹 사이트 접속만 해도 디도스 공격 발생하는 주소와 일치하기 때문에 가능성 높아 보입니다.




일베 사용자들을 이용해 청와대, 국정원, 새누리당을 공격한다....

묘한 상황이 되었네요.


전 이제 퇴근했으니 자야겠습니다.

제가 잠든 26일 큰 일이 없었으면 합니다.




Posted by xcoolcat7

댓글을 달아 주세요

  1. 벌새 2013.06.26 11:53 신고  댓글주소  수정/삭제  댓글쓰기

    아~ 저 얘기가 그 스크립트였나 보군요.

  2. XRumerTest 2013.06.26 16:25  댓글주소  수정/삭제  댓글쓰기

    Hello. And Bye.

Richard StallmanUbuntu에서 사용자가 검색한 내용이 Amazon으로 전달된다며 스파이웨어(spyware) 논란이 발생했습니다.


http://www.fsf.org/blogs/rms/ubuntu-spyware-what-to-do


악의성으로 따지면 크지 않겠지만 자신이 검색한 내용이 정확하게 모르며 업체에 전달되는건 찝찝하겠죠. (뭐.. 포털에서 검색은 뭐냐라고 할 수도 이겟지만요.)


이런 기능이 추가된건 사용자들이 무엇을 검색하는지 알고 싶어하는 업체들과 다수의 사용자를 가진 소프트웨어 업체의 이해 관계가 맞아서 발생했겠지만 크게보면 사용자들이 자신이 감시 받고 있다고 느낄 수 있습니다. 하지만, 사용자와 개발자들의 이런 우려와 다르게 큰 문제 없다고 생각하는 사람들(기획자 ? 영어 ?)도 존재하죠.




Posted by xcoolcat7

댓글을 달아 주세요

유령 5회에서는 무려 기간망을 공격하는 내용이 나옵니다.

5,6 회는 개인적으로 가장 기대했습니다.

- 사실 5,6 회부터 참여해서 앞부분은 내용을 알지 못했지만요.

 

트위터에도 여러 내용이 올라오네요.

 

그렇죠.

현재 기술로도 발생할 수 있는 일들이 조금은 과장될 수 밖에 없겠죠.

어디까지나 드라마이니까요.

 

 

* 기간망 공격 ?!

 

DDoS 공격은 그냥 분산시키기 위한 가짜이고 실제 공격은 수도권에 전력을 공급하는 회사에 대한 공격이죠.

 

사실.. 처음에는 대한전력을 외부에서 그냥 해킹하는 설정이었다고 하더군요.

그래서 "망 분리되어 있어서 안되는데요."라고 대답해서 당황해 했었다고 하더군요.

덕분에 2010년 이란 원전 가동을 방해한 걸로 알려진 스턱스넷(Stuxnet)이 나왔습니다.

하지만, 스턱스넷은 원전쪽에만 영향을 주게되어 있어 드라마처럼 바로 영향을 못 줍니다.

그래서...

 

이연희 씨가 "스턱스넷류예요!"라고 대답했죠.

이부분은 제가 얘기한겁니다. (쿨럭)

단순히 Process Explorer 따위(?)로는 스턱스넷 찾기가 힘들지만...

그냥 공격자들이 스턱스넷에서 아이디어를 얻어서 만들었다 정도로 생각하면 되겠죠.

 

기간망쪽은 정보가 한정되다보니 공격하려면 공격자 중에 해당 분야 일을한 사람이 필요할 가능성이 높습니다.

어쨌든 공격자들은 상당한 기간 정보도 수집하고 준비했다고 생각하시면 됩니다.

 

현실성 문제에 있어서..

이란 원전 가동 중단에 악성코드가 사용될거라고 누가 상상이나 아니..

상상은 했어도 누가 현실화 시킬꺼라고 생각했을까요 ?!

 

스턱스넷은 이걸 참고하시면 좋습니다. (한국어 자막 지원합니다.)

 

 

 

- 랄프 랭그너: 21세기 사이버 무기, 스턱스넷을 파헤치다http://www.ted.com/talks/lang/en/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon.html

 

 

 

 

* USB 반입 문제

 

 

 
사실... 맞는말이죠.
회사에 USB메모리를 들고가는게 좀 그렇습니다만...
결국 보안 문제를 일으키는건 규정을 안지키는 사람이라는걸 나타내겠죠.

- 작가 입장에서는 딱히 방법이 없는 것도 있겠죠 ㅋㅋ

 
원래 대본에는 보안부서 근무자는 아니고 경비부서였는데 그쪽은 USB 꽂을 일이 없다고 해서 변경했습니다만 지금 생각해보니 시스템 관리 부서가 더 어울릴 듯 싶네요.

내부 시스템도 업데이트가 필요해서 어쩔 수 없이 외부에서 프로그램이 반입되겠죠. 

 
스턱스넷 이전에도 2009년 쯤 외부와 네트워크가 단절된 공장 시스템이 Conficker 웜에 감염되어 공장 가동에 차질을 일으킨 적이 있었습니다.

 

확인해보니 시스템 관리 업체 직원들이 반입이 허락된 USB에 악성코드가 감염되어 있었고 한대의 시스템이 감염되면서 같은 망내 다른 시스템이 감염된 겁니다. 

 

공장에 들어갈 때도 인가된 USB 인지만 검사하고 USB 내용물은 검사하지 못하죠.

 

저는 이부분도 시청자들이 뭐라고 할 수 있어 다른 방안도 얘기했었습니다.

예를들어 몇년 전부터 준비해서 전력회사에 납품되는 시스템에 악성코드를 미리 심어두는거죠.

실제로 판매된 제품 중에 악성코드가 포함된 경우도 있었습니다.

(제가 쓴 정품의 안정성을 한번 읽어보시길 권합니다.)

 

 

* 정품의 안정성 (2007년)

 

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=5&menu_dist=3&seq=11281

 

 

결국 손쉽게(?) 그냥 스턱스넷으로 끝났지만요.

 

 

 

 

 

 

Posted by xcoolcat7

댓글을 달아 주세요

  1. 2012.06.17 18:21  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 하지 2012.06.17 18:25  댓글주소  수정/삭제

      보이스피싱 관련 드라마도...
      방송 3사 모두 나오면...
      좋을 것 같아요...
      ...
      아직도 피 같은 돈 날리는 우리나라 사람들 계실테니...
      ...
      ps> 그리고...cctv도 좀 많이 늘리고...
      수상한 외국인/조선족/기타 친일파들도 좀 모두 방출했으면...

    • xcoolcat7 2012.06.18 10:03 신고  댓글주소  수정/삭제

      하데스는 작가분이 정한거 아닐까 싶네요. 저는 5화부터 참가해서 앞부분 얘기는 듣지 못했습니다 ^^

 

전자신문 맥 악성코드와 관련된 기사가 떴습니다.

 

 

- 맥 바이러스, 국내 피해 100여건 발생 (전자신문, 2012년 5월 28일)

http://www.etnews.com/news/computing/security/2595137_1477.html

 

 

 

이부분이 흥미롭네요.

 

 

 

'러시아 바이러스보안업체인 닥터웹이 세계 맥 바이러스 감염현황을 조사한 결과, 한국에서도 100여대의 PC가 감염됐다고 28일 밝혔다.'

 

'사실은 국내 보안업체 안랩 연구원이 닥터웹에 문의한 결과 밝혀졌다.'

 

흠... 문의한 사람이 접니다. @.@

 

이거 4월 6일 Dr. Web CEO인 Boris Shaov에서 물어본 내용이네요.

 

 

 

 

 

 

 

 

 

 

Posted by xcoolcat7

댓글을 달아 주세요

  1. 2012.06.10 09:37  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다


전자신문에 중국에서 한글화한 DDoS 공격 프로그램이 판매중이라는 기사가 떴습니다.

- 한글화한 외산 DDoS 공격 프로그램 중국서 판매중 (전자신문, 2011년 11월 7일)
http://www.etnews.com/news/detail.html?id=201111070227

잉카인터넷 대응팀 블로그에 관련 내용이 올라와 있습니다.

- [정보] 외산 DDoS 공격 프로그램 한글화 판매 시도 중 (잉카인터넷, 2011년 11월 7일)
http://erteam.nprotect.com/211


안철수연구소 대응 현황은 아래와 같습니다.

- Win-Trojan/Black.906752 (진단버전:2011.11.07.03/치료버전:2011.11.07.03) 
- Backdoor/Win32.PcClient (진단버전:2011.11.05.02/치료버전:2011.11.05.02)

마침 제가 2011년 11월 17일(목) 15회 해킹방지워크샵 발표 자료에 관련 내용 있어 공유합니다.

2010년 여름 캡쳐 장면이며 이전부터 한글화된 홈페이지가 존재하는 걸로 예상됩니다.
역시 다소 어색한 한국어 표현이 있습니다.

중국내 한국인/한국 대상 악성코드 제작 및 판매 사이트

중국내 한국인/한국 대상 악성코드 제작 및 판매 사이트


Posted by xcoolcat7

댓글을 달아 주세요

  1. 2011.11.08 16:14  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 카레 2011.11.10 14:07  댓글주소  수정/삭제  댓글쓰기

    한참 유행 지난 툴입니다. -_-; 제작 연도가 2009년인걸 보면 이미 다 막혀있다고 봐야겠죠.

  3. ㄱㄱㄱ 2012.08.26 17:30  댓글주소  수정/삭제  댓글쓰기

    좋은툴 밭는곳 알려드려요~
    http://mfiles.naver.net/1b8e07b4a1fdff230aed8db083621066c2936e89ff/20120826_271_blogfile/mky1002_1345962742614_51VSN6_exe/Toyouran+By+BootingFailuretool.exe?type=attachment


POC 2011에서 SCADA (Supervisory Control and Data Acquisition) 취약점 발표가 있었습니다.

몇 군데서 기사화 되었습니다. 


 - 명령어만 입력하면 미사일기지 쾅! (한겨레, 2011년 11월 5일)
http://www.hani.co.kr/arti/economy/it/504122.html

- 스카다 시스템 치명적 허점 드러나...손쉽게 해킹돼 (데일리시큐, 2011년 11월 4일) 
http://dailysecu.com/news_view.php?article_id=992


인터넷을 검색해보면 관련 취약점이 많이 공개되어 있음을 알 수 있습니다.



운영시스템 조작은 스턱스넷 웜 등을 통해 이론이 아닌 실제로 가능한게 확인된게 사실입니다. 최근 관련 취약점도 많이 나오고 있죠. 하지만, 문제는 대체로 망이 분리되어 있어 내부에 침입하기가 어렵습니다.

처음 기사 제목을 봤을 때 새로운 침투 방식이 있는게 아닐까하는 생각이 들더군요. 하지만, 감염은 인터넷이 연결되어있어 이미 내부 시스템에 접근 가능한 가정에서 시작됩니다.


그래서, 내부 침입을 위해 대체로 사람의 실수 혹은 부주의(USB 메모리 연결이나 프로그램 다운 등), 프로그램 업데이트 등을 통해 이뤄집니다. 내부망을 과신하는 경향도 있습니다만 인터넷이 단절되거나 업데이트 때도 수작업으로 하는 경우가 많기 때문에 말하는 방식으로는 쉽지 않습니다. (구체적으로 어떤 방식으로 침투했는지 못봐서 단정지을 수는 없습니다.) 

스턱스넷(Stuxnet)이 USB 메모리를 통해 전파되는 웜 형태로 제작된 건 사용자의 부주의로 내부망에 침투하기 위해서입니다.

내부망에 무사히 들어가면 조작은 어렵지 않을 겁니다.

이런 기사와 유사한건 인터넷 뱅킹이 위험하다면서 해킹 프로그램이 설치된 상태에서 인터넷 뱅킹이 위험하다와 동일하다고 볼 수 있습니다. 물론 개인 컴퓨터에 악성코드를 설치하는건 더 쉽습니다. 기술적으로는 해킹 프로그램이 일단 설치되면 해킹을 막는다는건 상당히 어렵습니다. 하지만, 실제 공격자 입장에서는 어떻게 감염 시켜야 하는가도 고민해야할 문제입니다.

인터넷 뱅킹을 중간에 가로채는 악성코드를 만들었다고 할 때 위험성은 거의 100%이겠죠. 하지만, 사용자 컴퓨터에 어떻게 감염 시키는가 하는 문제가 있습니다. 저처럼 인터넷 뱅킹만 가상 환경에서 하는 사람이라면 메일이나 일반 웹사이트를 통한 감염 확률은 거의 0 입니다. 하지만, 윈도우 보안취약점이나 인터넷 뱅킹 관련 사이트 혹은 프로그램에 악성코드를 심어 둔다면 다시 성공 확률은 100%에 근접 할 겁니다. 


게다가 한겨레는 '방어 불가능해 정부관게자도 경악', '정부 관계자는 다급했다.' 등의 정부 담당자의 당황한 모습을 묘사해뒀습니다. 개인적으로는 다소 과장된게 아닐까 생각됩니다. 관련 업무를 하는 사람이라면 일단 내부에 들어오면 막기 힘들다는 점과 분리된 망으로 어떻게 침투 할 건인가 ?에 의문 가질 듯 합니다. 해당 프로그램 구해서 테스트 해보고 싶다는 당연히 들겠죠.

그래도 가장 중요한건 이런 주요 시스템은 좀 더 신경을 써야 한다는 점이겠죠.
요즘 미래가 점점 두려워 지고 있습니다.... (덜덜덜)

ps.

너무 한겨레 비판한 듯 한데... 소액이지만 저는 한겨레 주주입니다 ㅎㅎ

Posted by xcoolcat7

댓글을 달아 주세요


'당신이 사용하는 백신프로그램은?' 투표가 올라왔네요.

http://www.panelnow.co.kr/vote/result/360

결과가 궁금해서 한번 확인해 보니 평소 알고 있는 바와 비슷했습니다.


V3와 알약(둘다 무료 버전이겠죠)이 대부분을 차지하고 다음 네이버백신입니다.
그리고, MSE, 시만텍, Avast!, 카스퍼스키랩, AVG 등이네요.
시만텍과 카스퍼스키랩을 제외하고는 모두 무료이네요.
역시 개인은 무료 버전이 대세라 아닐까 싶네요.

기타가 623건인데 아무래도 개인 무료 제품인 Avira가 포함되어 있을 듯 합니다.



Posted by xcoolcat7

댓글을 달아 주세요


추석 연휴 때 Award 롬바이오스에 감염되는 악성코드가 등장해서 놀라게(예상은 했지만) 했습니다.
http://www.symantec.com/connect/blogs/bios-threat-showing-again

추석 연휴 국내에도 새로운 마스터부트레코드(MBR)을 감염시키는 악성코드가 등장했습니다.

- MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 (안철수연구소 대응팀 블로그, 2011년 9월 16일)
http://core.ahnlab.com/326

퇴근 시간에 해당 악성코드를 들어서 자세히 보지는 못했습니다.
(다른 분들이 이미 보셨다는...)

* 감염 확인

악성코드에 감염되면 마스터부트레코드가 변조되고 다음 파일이 생성됩니다.

- 윈도우폴더(보통 C:\Windows)\lpk.dll (다운로더 혹은 백도어 ?, 19,456 바이트)
- 윈도우 시스템 폴더 (보통 C:\Windows\System32)\halc.dll (lpk.dll과 동일)
- 윈도우 시스템 폴더 (보통 C:\Windows\System32)\Disksystem.exe (드롭퍼, 41,984 바이트)
- 윈도우 드라이버 폴더 (보통 C:\Windows\System32\drivers)\FileEngine.sys (드라이버, 14,592 바이트)

다운로드 기능이 있어 다른 파일이 추가로 생성될 수 있습니다.

간단한 확인방법은 시스템 폴더에 Disksystem.exe 존재하고 접근 할 수 없는 겁니다.


루트킷 탐지 프로그램인 GMER로도 확인 가능합니다.

GMER를 통해 검사

GMER를 통한 검사 결과. Disk 항목에서 의심스러움 발견



* 감염 증상

감염된 마스터부트레코드 내용입니다. 감염된 시스템으로 부팅해도 감염된 마스터부트레코드를 볼 수 있어 은폐기법은 사용하지 않는 걸로 보입니다.


다음 문자열에서 국내 유명 백신 프로그램 방해 기능이 존재하겠죠 ? 누군가 국내 사용자를 대상으로 제작했음을 알 수 있습니다.



하드디스크 빈 공간에 악성코드 코드 영역도 쓰여져 있는데 조금 묘한 느낌나네요.


0x9C로 XOR 연산해보면 원래 마스터부트 레코드 임을 알 수 있습니다.


복구 코드를 통해서도 알 수 있습니다.
(0x37 섹터를 읽어 0x9C 로 XOR 연산 후 재부팅합니다.)



* 수동복구

해당 악성코드를 수동조치 하기 위해서는 다른 매체로 부팅해서 정상 마스터부트 레코드의 암호를 풀어서 덮어써주면 됩니다. 하지만, 이 과정을 일반인이 하는건 거의 불가능합니다.

다음 방식으로 수동복구 가능합니다.

1. 윈도우 설치 CD로 복구

http://core.ahnlab.com/326


2. GMER 이용 후 FDISK /MBR

GMER를 실행하면 디스크에서 악성코드와 시스템이 후킹되었음을 알 수 있습니다.

후킹된 항목에 마우스 마우스 버튼을 누르면 복구 할 수 있습니다. 복구 후 악성코드가 생성한 파일을 삭제 할 수 있습니다.




윈도우 98 부팅 디스크가 있다면 FDISK /MBR로도 쉽게 제거 가능합니다.
하지만, 너무 옛날 프로그램이라 최근 마이크로소프트에서 제공하는 마스터부트레코드 재구성 프로그램 이용을 권장합니다. (프로그램 이름이 갑자기 기억 안나네요.)


 


안철수연구소에서는 현재 치료 백신을 제작 중입니다.

안철수연구소에서 전용 백신을 공개했습니다.
http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=106

* 향후 전망

부트킷(Bootkit)이라고 불리는 악성코드가 증가할 것으로 예상되었는데 이렇게 빨리 국내를 목표로 뿌려질지는 몰랐네요. 그리고, 아직 변조된 마스터부트레코드나 생성 파일을 숨기지 않지만 기능이 추가되면 사용자가 찾기 더욱 어려워 집니다.

백신 업체에서도 신입 직원들은 파일 형태의 악성코드만 분석해봤지 이런 형태는 본적이 없을테니 다시 10여년 전 처럼 부트 바이러스에 대한 교육을 해야 할지도 모르겠네요.

앞으로가 걱정입니다.


Posted by xcoolcat7

댓글을 달아 주세요

  1. 2011.09.17 01:11  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • xcoolcat7 2011.09.17 01:12 신고  댓글주소  수정/삭제

      죄송합니다. 회사 정책상 샘플을 제공해 드릴 수는 없습니다. 하지만, 조만간 보안업체들 사이에 샘플이 알려질테니 구할 수 있는 길도 넓혀 질 것으로 예상됩니다 ^^

      lpk.dll이 핵심 기능을 하는데 온라인게임 정보 탈취 기능은 없는 듯 하더군요. 다운로더 기능이 존재해서 받아오는 파일이 어떤건지 확인해 봐야 할 듯 합니다.

    • 2011.09.17 01:15  댓글주소  수정/삭제

      비밀댓글입니다

  2. xcoolcat7 2011.09.17 12:20 신고  댓글주소  수정/삭제  댓글쓰기

    바이토털 진단 현황입니다.

    http://www.virustotal.com/file-scan/report.html?id=247b45b12e0f5921dd08c2a1a8eb837dcd74c0bb9843e1d2c29621d2534bb988-1316037607

  3. 금정산 2012.09.10 15:54  댓글주소  수정/삭제  댓글쓰기

    쿨캣님
    이틀전에 인터넷 속도가 갑자기 느려지는바람에 뭔가 의심스러워서 어베스트 검사를 해봤는데요
    mbr:bootkor-b이 나와서 카스퍼스키 전용 백신으로 지웠습니다.

    재부팅 뒤에 다시 그 전용백신 검사하니깐 검사는 안되는데요
    다시 어베스트 전체검사를 하니까 다시 발견되는것 같습니다

    다른 방법들은 어려울것 같고
    쿨캣님이 언급하신 Gmer 을 이용해서 지워보려하는데요
    어떤걸 건드려야 할까요?


M86 시큐리티랩 블로그에 스팸이 다시 증가하고 있다고 밝혔습니다.
- http://labs.m86security.com/2011/08/massive-rise-in-malicious-spam/

2010년에 일부 봇넷을 중지 시켰습니다.
- http://labs.m86security.com/2010/10/spam-volumes-drop-after-spamit-shakeup/

대부분의 스팸은 Cutwail(Pushdo, Pandex), Festi, Asprox 등의 봇넷에서 발생하고 있다고 합니다.
스팸 감소가 잠깐 효과가 있다가 최근 다시 복구 되고 있습니다.

Voulme of Malware Attachments

Voulme of Malware Attachments (Source : m86security)


이런걸 모니터링 할 수 있는 이들이 살짝 부럽기도 합니다.

문득 한글 스팸도 이들 봇넷으로 배포되는지 궁금하네요.
요즘은 영문 스팸은 별로 받은 적이 없어서요.
- 착각인가..


Posted by xcoolcat7

댓글을 달아 주세요

  1. 2011.09.03 10:49  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다


F-Secure에서 2011년 3월 발생한 RSA 해킹 사건과 관련된 내용을 공개했습니다.

 - How we found the file that was used to Hack RSA
http://www.f-secure.com/weblog/archives/00002226.html

관련 기사도 나오고 있습니다.

 - Is this the phishing email that caused the RSA breach?
http://www.net-security.org/secworld.php?id=11521


파일명은 survey-questions_2011.xls 였으며 V3 진단명은 Dropper/Cve-2011-0609 로 2011.03.16.02 이후 엔진에서 진단되고 있습니다. 보안업데이트가 적용된 최신 한글판 엑셀 2007에서는 빈문서가 열리네요.



관련된 취약점은 ASEC 블로그에 올라가 있습니다.

 - 엑셀 파일로 유포된 어도비 플래쉬 제로 데이 취약점
http://blog.ahnlab.com/asec/501

당시에도 타겟공격으로 알려졌지만 RSA 공격에 이용된건 이제 밝혀졌네요.

문서에 포함된 악성코드는 유명한 백도어인 포이즌아이비(Poisonivy) 변형입니다. 꽤 오래된 악성코드인데 여전히 유용하게 사용되고 있군요. 아무래도 크기가 작다보니 코드 삽입하기 편한게 아닐까 싶네요.

관련된 정보로 미국 군수업체 해킹에 이용되었을 가능성도 존재합니다.










Posted by xcoolcat7

댓글을 달아 주세요



- "액티브X 기술 종속, SK컴즈 해킹사고 불렀다" (머니투데이, 2011년 8월 16일)
http://www.mt.co.kr/view/mtview.php?type=1&no=2011081615492123773&outlink=1


내용은 사실에 가깝고 인터뷰 한사람도 일반적인 위험에 대해서 언급 하셨는데..
획일적인 환경은 공격자 입장에서 좀 더 쉽긴 하죠.

성 기장님 혹은 편집장께서 평소 액티브X 기술에 반감이 많으셨나 보네요.
제목을 저렇게 뽑으시고... 제 느낌에는 내용에도 억지로(?) 액티브X를 넣은 듯 하네요.
- 물론 액티브X를 이용한 공격이 있지만 다른 공격에 비하면 새발의 피이죠.

아래 내용은 사실 관계를 좀 더 확인 해야 하지 않을까 합니다.

 
경찰청 중간 수사결과 발표에 따르면, 이번 네이트 해킹사고에 사용된 악성코드는 내부자 PC에 이용자가 자의적으로 설치한 공개용 프로그램이 침투경로로 악용됐다. 이용자가 액티브X를 이용해 기업이 허가해주지 않은 프로그램도 웹사이트에서 마음대로 깔 수 있는 허점을 악용한 셈이다.

이번에 문제가 된 알집은 사용자가 다운로드해서 직접 설치하는 프로그램으로 알고 있었습니다.
알툴즈 사이트에 가보니 액티브X로 알집 설치 안하네요. 


전 알집과 관련된 액티브X를 찾을 수 없네요.
액티브X는 도대체 어디에 ?!?!?


국내 환경에서 액티브X가 빨리 사라져야겠지만...
모든 보안 문제의 근원인 듯 몰아가는건 좀 아니지 않나 합니다.

ps.

성 기자님..
잘 지내시죠 ? 딱히 악의는 없습니다 ㅎㅎ
웬만한 전국민 컴퓨터에 설치되어 있는 액티브X를 통해 악성코드 배포되면 그때 제대로(?) 씹어주세요.









Posted by xcoolcat7

댓글을 달아 주세요


2011년 7월 23일 중국에서 발생한 고속철도 추돌 사건이 벼락이 아닌 악성코드 때문이라는 소문이 나돌았습니다.

 

- 중국 고속철도 제어시스템 '미국스파이에 의해 웜에 감염된 것으로 의심'
http://www.cnsec.co.kr/board/bbs/board.php?bo_table=news&wr_id=312




실제 악성코드 때문에 발생했을 가능성과 중국 측에서 자신의 잘못을 외부의 공격으로 몰아가려는 음모 아니냐는 의견으로 나뉘었습니다. 하지만, 스턱스넷에 의한 이란 원전 가동 중지가 사실상 진실로 밝혀져서 관심이 집중되고 있습니다.

기사가 나간 이후 한동안 조용했는데 소문에는 악성코드를 분석하는 중이었다고 합니다.

8월 14일에 추가적인 정보가 공개되었습니다.
(원래 글은 CN Security에서 8월 12일에 보도했고 7월 26일 발표라고 하는군요.)

- 中 고속철도 시스템에 바이러스 침투 확인돼 (데일리시큐)
http://dailysecu.com/news_view.php?article_id=415

기사를 보면 전력제어 시스템과 관리자 제어 시스템에 악성코드가 감염된 건 사실로 보입니다. 하지만, 해당 샘플이 아직 외부로 알려지지 않아 정말 이 악성코드 때문인지 아닌지 알 수 없습니다.

결론은 아직 '사고 원인을 알 수 없지만 악성코드에 의한 가능성은 있다' 정도겠죠.

악성코드가 사고를 일으켰다면 코드에 제어 시스템을 혼란하게 하는 의도된 코드가 존재했을 겁니다. 그런 코드가 존재하지 않는다면 사고와의 연관성 입증은 어렵습니다. 관리 소홀로 인한 단순 악성코드 감염 일 수 있습니다. 그렇다면 단순히 자신들의 잘못을 외부 책임(특정국가로 언급되는 미국과 일본)로 돌리려고 한다고 비판 받을 수 있겠죠.
하지만, 추가적인 다른 기사를 보면 음모론일 가능성이 높지 않을까 생각됩니다. (기사 내용이 참...)

- 중국 고속철도 '웜바이러스' 당중앙위원회를 놀라게 하다 (CN Security, 2011년 8월 12일)
http://www.cnsec.co.kr/board/bbs/board.php?bo_table=news&wr_id=314&page=0

이론적으로는 소프트웨어로 이런 사고를 일으킬 수 있다고 해도 외국 국가가(중국에서 얘기하는 미국과 일본) 밝혀지면 치명적일 인명을 살상 할 수 있는 이런 악성코드를 제작했다고는 믿기 어렵네요. 

하지만, 중요 시스템에 악성코드가 침투 한 사실만으로 중국쪽은 난처해 질 수 있습니다. 이와 함께 우리의 시스템은 어떤지 한번 점검해 봐야 할 때가 아닌가 합니다.


 - 코레일, 비밀번호 ‘암호화’ 없었다… 개인정보관리 총체적 부실 (2011년 8월 2일, 아주경제)
http://www.ajnews.co.kr/view_v2.jsp?newsId=20110802000261

사용자 비밀번호도 암호화 안하는데 보안에 얼마나 신경쓸지 걱정이네요.

현재도 많은 제어가 컴퓨터로 이뤄지고 있는데 의도되지 않은 조작에 의해 사고가 발생 할 수 있다는 점을 고려해서 설계해야 할 겁니다. 자칫하면 앞으로 큰일이 발생할지도 모릅니다.





Posted by xcoolcat7

댓글을 달아 주세요


연합뉴스에 흥미로운 기사가 떴습니다.


- 펜타곤 공격 악성코드 '멸종은 커녕 진화'
http://www.yonhapnews.co.kr/international/2011/06/17/0608000000AKR20110617088900009.HTML 



익명을 요구한 미 국토안보부 관계자는 지난 2008년 미 중앙사령부 컴퓨터 시스템을 뚫고 들어온 악성코드 Agent.BTZ가 현재도 퍼지고 있으며 형태는 더욱 다양하게 변형되었다고 16일 밝혔다고 합니다.


어떤 악성코드 인지 검색해 봤습니다.

USB 메모리로 전파되는 Autorun 웜이네요.


- US Army bans USB devices to contain worm (The Register)
http://www.theregister.co.uk/2008/11/20/us_army_usb_ban/

- Agent.btz - A Threat That Hit Pentagon
http://blog.threatexpert.com/2008/11/agentbtz-threat-that-hit-pentagon.html

- Worm:W32/Agent.BTZ (F-Secure)
http://www.f-secure.com/v-descs/worm_w32_agent_btz.shtml

맥아피 자료에 따르면 러시아를 의심할 만하네요.

Agent.btz 감염 분포(맥아피)

맥아피에 따르면 Agent.btz는 러시아와 미국에 가장 널리 전파되어 있음



이 웜은 USB 메모리를 통해서 전파됩니다.

다음과 같은 사항을 알 수 있습니다.

1. 미국 정부쪽도 USB 메모리 반입을 완벽하게 막지는 못하고 있음

바보가 아니라면 미국방부 컴퓨터가 외부 인터넷과 연결되어 있지는 않겠죠.
당연히 내부망이 있을 텐데 Stuxnet 처럼 외부망과 분리된 망에서는 USB 메모리를 통한 전파가 최고 인 듯 합니다.

USB 메모리 반입을 차단하지 않고 있다면 생각보다 보안이 철저하지 않고 금지했는데 들고 왔다면 역시 다른나라 사람들도 말 안듣네요.
- 매번 느끼지만 최고의 취약점은 인간취약점입니다.


2. 타겟 공격 ?!

제 생각에는 러시아, 미국 감염 비율이 높은데 타겟 공격이라기 보다는 그냥 러시아에서 제작된(추정) 악성코드가 미국으로 흘러 들어간게 아닐까 싶네요.

분석 결과를 봐도 시스템 정보 유출형은 없어 보입니다.
보통 타겟공격의 경우 저렇게 널리 퍼지지는 않습니다.


3. 새로운 변형 ?!

이런 내용이 있네요.

'새로운 코드를 다운로드받아 고유의 특징을 계속 바꾸면서 중앙 네트워크의 백신(Anti-virus)프로그램을 회피하고 있다'

이 악성코드는 패킹 되어 있지도 않습니다. 웹사이트를 통해서 다운로드 하는 형태로 자신을 업데이트 할 수 있겠죠.

이점은 미국방부도 외부 인터넷과 완전히 분리되지 않았다고 생각할 수 있고 (인터넷은 할 테니까)
하지만, 그렇게 생각하기에는 미국방부가 너무 보안에 취약하다고 볼 수 있고요.

다른 변형이 계속 유입되는게 아닐까 싶네요.

ThreatExpert 결과를 보면 변형이 참 많이 있네요.
(주소 : http://www.threatexpert.com/reports.aspx?find=update/img0008)



결국...



미국국방부도 악성코드에 감염된 USB 메모리를 들고 들어가는 인간 취약점을 막지는 못하고 있다 정도로 봐야겠네요. 그리고, 미 국방부에 이 악성코드만 있을거라고 생각하지 않습니다.

어차피 그곳에서 보안에 신경쓰지 않거나 잘 모르는 사람들이 컴퓨터를 사용하는 곳일테니까요 ^^
일부 사람들은 망분리되면 안전하다고 생각하고 미국인데라고 생각하겠지만...
보안 앞에서는 그런 환상을 버리는게 좋을 듯 합니다.



참고로 V3 진단명은 Win-Trojan/Autorun.184320 (2008.11.24.01 이후 엔진에서 진단)입니다.
 
Posted by xcoolcat7

댓글을 달아 주세요

  1. 철이 2011.06.17 23:08  댓글주소  수정/삭제  댓글쓰기

    오..계속 변형하며 탐지를 회피한다하여 궁금했는데..좋은글 감사합니다.ㅋ
    그런데 주요기능은 같으면서 바뀌는거라면 ASD&DNA진단 같은것이 잡을 확률이 높겠군요?
    그리고 위에 변형들에 관해서는 v3가 모두 진단하는지요^^

    • xcoolcat7 2011.06.18 00:37 신고  댓글주소  수정/삭제

      일반적인 악성코드라면 generic detection으로 다수 변형에 대해 진단 가능합니다. 하지만, 악성코드 제작자가 백신 프로그램을 테스트하고 만든다면 쉽지 않습니다. 실제로 V3의 경우 Winsoft에 대해 포괄진단 기능을 넣고 있지만 제작자도 알고 계속 변형해 50개 이상의 포괄진단이 있을 정도니까요.

      모든 변형을 진단하는지는 확인하지 못했습니다. 아마 하겠죠 (라고 말하고 싶네요 ㅎㅎ)

  2. 하나뿐인지구 2011.06.20 10:28  댓글주소  수정/삭제  댓글쓰기

    미국서...트러스트가드 같은 거나...백신,방화벽 사용 및...
    usb 차단 같은 건...안 하나요?...
    ...
    아니면...
    농협처럼...노트북 해킹인지...
    현o ooo처럼...내부자 짓인지...

  3. imonsoft 2016.12.08 10:48  댓글주소  수정/삭제  댓글쓰기

    악성코드 예방법 소개
    http://gytni.com/new_gytni/license.php?document_srl=23698&mode=malware&mode2=view&mode3=


바이러스블루틴(Virus Bulletin)에 맥에 백신 프로그램(anti-malware)을 설치해 두었는가 하는 질문이 올라왔습니다. (http://www.virusbtn.com)

저도 맥북 에어를 사용합니다만 아직 백신을 설치하지는 않아 No 를 선택했습니다.
- 하지만, 저도 조만간 백신 프로그램을 설치할 예정입니다.

맥에 백신 프로그램 설치 했나요 ? 예 : 35%, 아니오 : 18%, 맥 사용 안함 : 45 %



애플에서도 하루마다 악성코드 검사를 하는 형태로 바뀌었다고 바이러스블루틴 2011년 6월호에 실렸습니다.

맥용 허위백신 프로그램이 계속 등장하고 있어서 바뀐 정책으로 보입니다.

저도 어제 OSX를 업데이트했는데 아직은 맥용 악성코드가 많이 않아 애플 차원에서 대응이 가능합니다만 악성코드가 쏟아지면 이런 정책은 힘들지 않을까 싶네요.

아... 정말 안전한 세상이 없네요 TT
하지만, 여전히 맥용에는 백신이 필요 없다고 생각하는 분들이 많이 있긴 하죠.





Posted by xcoolcat7

댓글을 달아 주세요


2010년 8월 28일 토요일
네이버 실시간 급상승 검색어에 좀비PC가 있더군요.

오후에 봤는데.. 여전히 상위권에 연관어까지
'보호나라', '좀비PC', '좀비PC 확인법'


방송에 나온 내용은 결국 용어만 바뀌었지 평범한(?) 원격제어 악성코드 관련 내용....

좀비PC 예방법

출처 : http://tjdghks1886.blog.me/40113395747


사실 용어가 '좀비PC'로 바뀌었지 기존에
지난 10 여년 동안 백신 업체에서 늘 얘기하던 악성코드의 위험성 이었습니다. 

용어가 악성코드 이든... 좀비PC 이든... 바이러스이든.... 
사람들이 방송을 보고 좀 더 보안에 신경을 썼으면 좋겠네요.



Posted by xcoolcat7

댓글을 달아 주세요

  1. 초록별 2010.08.30 11:23  댓글주소  수정/삭제  댓글쓰기

    분명히 v3 최신 업데이트 업 및 정밀 검사까지 해서...
    바이러스는 없거든요...
    ...
    그런데...방화벽 로그(전에부터 올려드렸던)에...내부 다른pc 아이피 뜨던데...
    그건 뭔가요?...

  2. 2010.08.30 14:03  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다