- 군(軍) 인터넷망 24시간(3월 5~6일) 북(北)해커부대에 뚫렸다 (조선일보, 2009년 10월 17일)
http://news.chosun.com/site/data/html_dir/2009/10/17/2009101700103.html

- 군 인터넷망 해킹 당했다 (디지털타임즈, 2009년 10월 18일)
http://www.dt.co.kr/contents.html?article_no=2009101902010351739002

- 군 PC 해킹 무방비 신종 바이러스 즉각적 차단 어려원 (쿠키뉴스, 2009년 10월 18일)
http://news.kukinews.com/article/view.asp?page=1&gCode=pol&arcid=0921456301&code=11121400


그런데... 총리실은 사실과 다르다고 한다.

- 총리실 "北 군 인터넷 해킹 보도, 사실과 달라" (조선일보, 2009년 10월 19일)
http://news.chosun.com/site/data/html_dir/2009/10/19/2009101900749.html

--------

기사를 보면 지난 3월 육군 모 대령의 개인 PC에서 사용한 인증서가 외부로 유출되었고 이를 이용해 국가 관리 정보 문서가 새나간 것으로 드러났다고 한다.

보안정책보다는 정책을 수행하는 개인의 부주의(사실 일반인이 보안정책을 다 지켜도 문제가 발생할 수 있음)로 발생한 것으로 보인다.

보안이 강화되면 사용자는 불편해지고 사용자는 보안에 소홀해 질 수 있다.
보안과 편의성의 조화를 잘 이뤄야 할 것이다.



안전한 인터넷을 이용하기 위해서는 어떻게 해야할까 ?

이번에 컴퓨터를 새로 구매하면서(5년 만에...) 가상환경을 구축할 수 있어 인터넷을 접속하는 일은 가상환경을 통해 작업하고 있다. (이 글도 테스트 컴퓨터에서 가상 머신으로 작성)

집 컴퓨터라 야동 빼고는 민감한(?) 자료가 없지만 이제 인터넷 접속은 가상환경에서 작업해야할 듯 싶다.
- 공격이 심해지므로 인터넷 접속, 그림보기, 문서 보기는 모두 가상환경에서만 수행

특히 공인인증서를 사용하는 경우에는 인터넷 접속 가상 환경 외에 별도 시스템에서 작업해야 할 듯 싶다.
기회되면 가상머신을 이용한 조금 더 안전한 인터넷 이용 방안을 알아보겠다.

 

 

 

 

Posted by mstoned7

댓글을 달아 주세요



악성코드 샘플을 보다보면 다양한 나라에서 제작된 것을 알 수 있습니다.
- 물론 국가를 유추할 수 있는 경우에만 그렇지만요.

과연 이 샘플이 해당 국가를 벗어날까하는 경우도 있습니다.


보통 국내 분석가들이 접하는 샘플들은 대체로 중국, 미국, 유럽산 샘플이 많을 겁니다.
간혹 생소한 나라들 샘플이 있습니다. 그때는 웬지 모르게 국가 정보를 검색해 보게 되더군요.

이번에 본 샘플은 전형적인 VB 스크립트 웜입니다.
USB 메모리 드라이브에 autorun.inf 파일을 생성하구요.

샘플을 보다가 lk 라는 국가 코드를 보고....
처음보는 나라가 이 악성코드에 감염되면 변경되는 홈페이지인 http://www.rjt.ac.lk/aps에 접속해보니 스리랑카에 있는 대학이네요.

스리랑카라...
들어는 본적이 있는 나라인데 아프리카라 아니라 인도 남부에 있는 나라군요.
- 왜.. 아프리카라고 생각했을까 ?!

흥미로운건 killvbs.vbs, VirusRemoval.vbs 등을 찾아서 삭제합니다.
스리랑카에서 널리 이용되는 악성코드 제거 스크립트가 아닐까 생각해봅니다
아니면.. I remove your virus but I want hack you. 처럼 다른 악성코드가 생성한 파일일지도 모릅니다.

V3에서는 VBS/Autorun 으로 진단/치료(삭제)합니다.
문득 스리랑카에는 어떤 백신이 사용될까 궁금하네요.


Posted by mstoned7

댓글을 달아 주세요


스페인 판다시큐리티에서 지난 20년간 가장 위험한 컴퓨터 위협을 발표했습니다.

- Ranking of the most dangerous computer threats of the last 20 years
http://www.pandasecurity.com/emailhtml/oxygen/090509_ENG_in.htm



1위는 예루살렘 바이러스(Jerusalem virus)인데 보통 1987년 이스라엘에서 제작되었다고 얘기되고 있지만 이탈리아에서 제작되었다는 설도 있습니다

2위의 Barrotes 바이러스는 국내에서도 발견되었지만 아무래도 스페인 회사다보니 스페인에서 제작되고 세계로 퍼저나간 바이러스를 선정한게 아닐가 합니다.

자료 중 잘못된게 있네요.

Cascade 바이러스는 1997년이 아니라 1987년에 독일에서 제작된 바이러스입니다. 최초의 암호화 바이러스이기도 하구요.

시만텍에서도 관련 자료를 냈나보군요.

- 인터넷 사상 최고의 위협은 I Love you (쿠키뉴스, 2009년 9월 7일)
http://news.kukinews.com/article/view.asp?page=1&gCode=eco&arcid=0921412703&code=41141111


Posted by mstoned7

댓글을 달아 주세요


국내 발견 악성코드 중 안랩 제품이나 다른 백신 프로그램을 가장한 악성코드들이 종종 발견되는데 중국 제품인 360안전위사/360보험박스 파일을 위장한 악성코드가 발견되었습니다.

360안전중심(www.360.cn)은 중국의 백신업체입니다.
(라고 했는데... 이래저래 도매상 개념이라고도 하네요. 다른 회사 제품도 팔고...)

처음에 외산 엔진을 사용하는 것으로 알려졌는데 제품을 설치해보니 잘 몰라 중국쪽에 물어보니 자체 엔진 + 중국산 엔진을 사용할 거라고 하는군요. 이부분은 확인이 필요해 보이네요.



이 제품을 가장한 것으로 봐서는 중국내에 배포되었는데 국내에도 흘러들어온(?) 것으로 보입니다.


실제 360Safebox.exe 1 MB 가 넘는 길이를 가지고 있으며 아래와 같은 파일 정보를 가지고 있습니다.



Posted by mstoned7

댓글을 달아 주세요

  1. viruslab 2009.09.02 18:49  댓글주소  수정/삭제  댓글쓰기

    Antiy 엔진을 사용한다고 관계자에게 들었습니다.

  2. 숲속얘기 2009.09.02 20:37  댓글주소  수정/삭제  댓글쓰기

    역시 대륙의 백신이군요.

  3. Juns 2009.09.03 10:26  댓글주소  수정/삭제  댓글쓰기

    절대 중국 백신이라고해서 대충 만들어지지 않았습니다.

    기능도 좋고, 중국에서 인기도 많고, 매출도 좋습니다.
    중국에 컴퓨터 바이러스 백신사에 취직을 희망하는 사람들은 Rising 다음으로 360safe를 선호하기도 합니다.

    • mstoned7 2009.09.03 16:19 신고  댓글주소  수정/삭제

      중국어를 몰라서 그렇지.. 제품보면 꽤 괜찮아 보이더군요. 조만간 중국 백신들 세계로 진출하지 않을까요 ?! (이미 조금씩 하고 있지만)

  4. HAN 2011.10.10 21:33  댓글주소  수정/삭제  댓글쓰기

    좋은거죠? 제가 아는 분이 깔아주고 가셨어요 ws2help.dll 제대로 먹고 포맷했는데

    얘네는 국내로 쓰는 알약이나 네이버백신 V3 안먹히게 한다더군요 그래서 이게 좋다고

    깔아주셨는데 음.. 막 뭐설치 할때 이거 괜찮냐고 묻는 창 나오고하는데 ㅋㅋㅋㅋㅋ중국어라

    하.. 창뜰때마다 뭐눌러야될지 몰라서 그게 좀 곤란한거 치곤 참 괜찮은거같아요 제가보기엔!

    (안전중심 말하는거였음 ^_^)

  5. 0315 2012.08.18 22:26  댓글주소  수정/삭제  댓글쓰기

    이거 어떻게 삭제하는지좀 알려주실수있나요..?

    • mstoned7 2012.08.18 22:43 신고  댓글주소  수정/삭제

      삭제가 안되는 원인은 보통 삭제를 못하게 막고 있기 때문에 삭제를 못하게 막는 녀석을 찾아 중지시켜야 합니다. 삭제되었는데 다시 생성된다면 해당 파일을 다시 생성하는 녀석이 있기 때문입니다. 해당 시스템을 확인하기 전에는 뭐라 말씀드리기 어렵네요.


델파일 컴파일하면 생성되는 바이러스인 Win32/Induc 바이러스 소동이 있었습니다.

백신 프로그램에서 일부 감염된 파일을(제품에 따라 모든 감염 파일을) 삭제해 버린 문제가 발생한 겁니다.




해당 바이러스의 진단/치료가 들어가면서 많은 업체에서 문의가 왔고 개발자 모임인 델마당에서도 한동안 이슈가 되었습니다.

http://www.delmadang.com/



 - 델파이 바이러스 ‘백신’ 과잉대응 논란 (디지털데일리, 2009년 8월 23일)
http://www.ddaily.co.kr/news/news_view.php?uid=53343


- 보안뉴스: 변형된 델파이 바이러스 대응책 마련 시급!
http://www.boannews.com/media/view.asp?idx=17550&kind=1

기사 내용의 정확성은 보안뉴스가 잘되어 있습니다.

기사를 읽으면 백신 업체에서 해당 바이러스를 진단에서 제외한 것으로 오해할 수 있지만 절대 백신 업체에서 해당 바이러스를 진단에서 제외한게 아닙니다. 

V3의 경우 진단/치료를 정상적으로하며 실행 압축 파일의 경우 치료를 못해 삭제하는 문제가 있어 실행 압축되어 있을 때만 진단을 제외했습니다.

이전에도 실행 압축 안에 바이러스가 감염된 경우가 있었지만 그 경우에는 소수였기 때문에 삭제를 권장했었죠.
- 프로그램 제작자의 잘못이기도 하구요.

* 생각할 문제

아무래도 새로운 기법을 사용하는 바이러스이다보니 혼란이 있었지만 백신업체, 개발업체(개발자), 고객들이 고민할 문제가 있습니다.

첫째, 악성코드는 악성코드

예전에 정부에서 수사목적으로 백도어를 제작할 때 백신 업체에서 진단해야하는가 논란이 있었던 적이 있습니다. 이때 몇몇 업체는 정부에 협력하기로 했고 수사목적으로 사용되는 백도어도 백도어이므로 진단해야한다고 했습니다. 비슷한 얘기이지만 특정 환경에서만 전파되지만 바이러스는 바이러스이고 백신 업체는 당연히 진단해야합니다.

둘째, 백신에서 진단/치료 기능을 제공

감염된 실행 압축 파일을 삭제 했기 때문에 문제가 발생했지 적어도 V3 를 포함한 여러 백신 업체에서는 바이러스 진단/치료는 정상적으로 이뤄졌습니다.

셋째, 감염된 파일의 삭제는 회사 정책

전통적으로 (지난 20년 간 !) 바이러스에 감염된 파일을 치료가 아닌 삭제를 하는 업체도 있습니다.
이건 회사 정책적인 문제입니다. 주로 외국 업체가 이런 정책을 가지고 있는 경우가 많습니다.

아래는 감염된 파일에 대한 삭제 권고하는 외국 백신 업체의 글입니다.

특히 이번 바이러스의 경우 정상 파일에 바이러스 감염이 아니라 컴파일러에 의해 생성되는 것이므로 감염된 파일을 치료해도 비정상적인 행동을 할 수 있다는 이유로 삭제를 권합니다.


이런 회사 정책에 다른 생각이 있다면 정책 수정을 요구하거나 사용하는 제품을 변경해야겠죠.
(그점에서는 국내 업체가 고객말 잘 듣는다고 생각하지 않나요 ? 저만 그렇게 생각하는건가요 ? 외국은 우리 정책이다하고 끝인 경우가 많은데....)


다만, 백신 업체가 예측하지 못한 점이라면 델파이로 제작하고 실행 압축 프로그램을 이용해 압축 후 고객에게 제공하는 경우가 엄청(!) 많았다는 점입니다. 국내 업체는 문제를 인식하고 실행 압축된 파일은 진단하지 않는 형태로 바로 해결이 가능했지만 바이러스에 감염된 파일의 치료보다는 삭제라는 다른 문화를 가진 제품도 수정될지는 미지수 입니다. (물론 최근에는 바이러스에 감염된 파일을 치료하는 업체들이 많이 증가했습니다.)


넷째, 이번 경우와 같이 실행 압축 파일 내에 바이러스를 포함한 경우 어떻게 처리해야하는가하는 문제도 백신업체는 고민해야 할 것입니다. (삭제를 할지.. 그대로 둘지....) 하지만, 이번 사건이 특이한 경우이고 바이러스 감염된 파일을 삭제 위주로하거나 압축된 내에 있는 바이러스 감염을 굳이 치료할 필요가 없어 그리 크게 논의 되지는 않을 것 같습니다.



--------

마지막으로 적당한 내용이 있네요.

- 델파이 사태, 새로운 보안 위협의 발견 (디지털데일리, 2009년 8월 24일)
http://www.ddaily.co.kr/news/news_view.php?uid=53389

문득 외국 업체들 중에는 '감염 파일 삭제가 우리 정책이다'로 삭제를 고수하는 업체도 있는걸로 알고 있는데..
이럴 때는 말잘듣는(?) 국내 업체가 있는게 좋은게 아닐까 싶네요.







Posted by mstoned7

댓글을 달아 주세요

  1. ByJJoon 2009.08.24 16:37  댓글주소  수정/삭제  댓글쓰기

    속 시원한 글입니다! 항상 잘 보고 있습니다.
    수고하세요.

    • mstoned7 2009.08.24 18:06 신고  댓글주소  수정/삭제

      이번 일도 각자 입장이 달라서 발생한 일이겠죠. 한편으로 백신 업체(사실 제 개인의견이지만) 얘기가 너무 없어서 한번 남겨봤습니다.


2009년 8월 19일 Win32/Induc 바이러스가 발견되었습니다.
처음에는 그저그런 바이러스라고 생각했는데 감염 방식을 듣고 개념증명 형태로 생각했는데
각종 자료와 쏟아지는 샘플을 통해 델파이 제작자들에게 널리 퍼져있음을 알 수 있습니다.

[관련자료]

- 에스지어드밴텍 '델파이 개발자, 바이러스 주의' 경고
http://ddaily.co.kr/news/news_view.php?uid=53211


- Delphi 4~7을 감염시키는 바이러스 유행중
http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415299&keyword1=&keyword2=&page=1



- W32/Induc-A virus being spread by Delphi software houses
http://www.sophos.com/blogs/gc/g/2009/08/19/w32induca-spread-delphi-software-houses/




샘플을 확인해보니 이미 6월에도 이 바이러스는 활동하고 있었습니다.
다른 바이러스와 달리 일반 파일을 감염시키지 않고 델파이 개발자를 대상으로 했서 발견이 늦어 진 것으로 보입니다.
특정 목표를 대상으로 하는 악성코드는 발견되기 힘들다는 사실을 다시 한번 알 수 있습니다.


[새로운 기법 ?!]

Win32/Induc 바이러스가 사용한 방법은 델파이가 설치되어 있으면 sysconst.pas에 소스코드를 삽입하고 dcc32.exe를 이용해 라이브러리 파일을 생성해서 컴파일되는 모든 파일에 바이러스 코드를 포함하게 하는 방법입니다.

이런 방법이 이전에도 있었는지 아직 확인되지 않았지만 이전에도 C 소스 코드에 바이러스 소스코드를 include 시키는 방법이나 바이러스에 소스 코드를 포함하고 있고 컴파일러가 설치된 시스템에서 그 소스를 변형해 컴파일해 새로운 변종을 만들어 내는 바이러스는 존재했었습니다.

재 컴파일을 통해 변형을 만들어내는 바이러스로는 Apparition 바이러스 시리즈가 있습니다.

아래는 V3에서 Win32/Apparition.96239로 진단되는 바이러스에 포함된 압축된 바이러스 소스코드 입니다.


그런데... 이 바이러스도 BCC32.EXE를 컴파일에 이용하네요.
볼랜드 제품은 이래저래 악성코드 제작자들에게 사랑(?) 받고 있나봅니다.



[감염 확인]

백신 프로그램을 이용해서 검사해 보는 방법이 있지만 아직 진단 추가가되지 않은 제품도 존재하고 일부 파일의 경우 미진단하는 경우도 발견되고 있습니다.
(아무래도 컴파일러가 바이러스를 만들다보니 컴파일되는 파일마다 형태가 달라져서 진단에 어려움이 있습니다.)

감염된 파일에는 아래와 같은 문자열이 존재합니다.

sysconst 와 dcc32.exe가 존재하면 감염되었다고 생각하시면 됩니다.


하지만, 컴파일 후 실행 압축으로 배포한 형태도 많아 백신에 따라 실행 압축된 파일은 진단하지 못할 수 있습니다.
혹은 진단해도 실행압축 때문에 파일을 지워버려 사용자 입장에서는 낭패를 겪을 수 있습니다.
(오진 아닌 오진이 되어 버린거죠.)

[델파이 설정 확인]

현재까지 알려진 델파이 개발자가 취할 방법은 다음과 같습니다.

1. 델파이가 설치된 디렉토리에서 sysconst.bak 파일 찾기
2. sysconst.dcu 파일 삭제 후 sysconst.bak를 sysconst.dcu 로 변경
3. 기존 파일 재컴파일

이미 배포된 파일은 치료보다는 재컴파일을 통한 배포가 바람직해 보입니다.



기존에 정상으로 분류되었던 파일에서도 이 바이러스가 무더기로 나오네요.
- 언제부터 퍼진걸까요 ?!?!?!?!?!

속담을 하나 만들어야겠네요.

'정상으로 분석된 샘플도 다시 보자.' ..... @.@

그리고, 내일 출근하면 오진아니냐며 연락 올 많은 개발자 및 업체 여러분.....
감염된겁니다 TT

ps.

향후에는 이런 컴파일러 감염 형태에 일반 파일도 감염시킬 수 있는 기능이 포함된다면.... 아찔 하군요.

Posted by mstoned7

댓글을 달아 주세요

  1. XeroNic(HS) 2009.08.20 09:59 신고  댓글주소  수정/삭제  댓글쓰기

    '정상이라 분석된 샘플도 다시 보자.' ..... @.@
    이말에 적극 공감합니다... ^^;;;;;

    정말이지 이런 방식에 좀 더 악성적인 코드가 들어간다면;;; 아찔하네요;;ㅡㅜ

    • mstoned7 2009.08.20 11:32 신고  댓글주소  수정/삭제

      제 예상에는 다른 백신 업체에서도 정상으로 분류했던 파일들에서 바이러스가 발견되어 혼란(?)을 겪고 있을 겁니다. 또 역시 아침부터 잘 사용하고 있는 우리 파일이 바이러스 걸렸다고나오는데 오진아니냐는 문의가 엄청 들어오고 있네요.

  2. viruslab 2009.08.20 13:42  댓글주소  수정/삭제  댓글쓰기

    Virus Total Collection 확인해 보니 2월 21일에 감염된게 들어왔었네요.

    한참 오래전 부터 활동했다고 봐야 할 것 같네요.

    MD5 : bebeb5ba2b7e1f513bdaca2dfd962e23

  3. 료츠키 2010.05.29 13:20  댓글주소  수정/삭제  댓글쓰기

    그럼 델파이로 컴파일한 파일을 사용했을때 그 바이러스에 컴이 감염되어 이상이 생기나요?


이번 블랙햇 2009(Black Hat 2009)에서는 새로운 부트 감염 악성코드가 등장했습니다.
- 바이러스는 아니고 트로이목마입니다.

2009년 8월 12일 맥아피는 아래와 같이 경고했네요.

- StonedBootkit.dr
http://vil.nai.com/vil/content/v_200078.htm

[관련기사]

- Bootkit bypasses hard disk encryption
http://www.heise.de/english/newsticker/news/142881

파일에 대한 V3 진단명은 Win-Trojan/Stoned.329216 입니다.
다른 이름은 StonedBootkit.dr, Boot.Stonedbootkit, Rootkit.Win32.Stoned.a 등입니다.


* 부트 악성코드의 부활

1986년 브레인 바이러스(Brain virus)가 최초로 등장했고 1988년 부터 전세계를 강타했습니다.
이때 부트 바이러스가 선두에 있었는데...

부팅시 1/8 확률로 Your PC is now Stoned! (너의 컴퓨터는 대마에 취했다 ! - Stoned는 술/약물에 취하다라는 속어인데 대마초를 합법화하라는 문자열도 있기 때문에 대마에 취하다라고 할 수 있겠죠.)을 출력하는 뉴질랜드 고등학생이 만든 Stoned 바이러스도 전세계적으로 퍼졌습니다

제작자는 Stoned 바이러스를 기념하는 의미로 다시 Your PC is now Stoned! .. again 를 추가한 것이죠.




이런 부트 감염 악성코드는 계속 발전하고 있습니다.


* 분석

이는 7.7 DDoS 공격에 사용된 악성코드 중 하드디스크 데이터를 파괴하는 악성코드가 사용한 윈도우 실행 파일에서 부트 섹터에 접근하는 방식을 이용하고 있습니다.

상세 분석을 해봐야겠지만 실행되면 부트 섹터를 읽기/쓰기로 엽니다.
그후 다음 디렉토리를 만듭니다.

C:\Stoned
C:\Stoned\Applications
C:\Stoned\Drivers
C:\Stoned\Plugins

원래 부트 레코드를 백업 후 다음 파일을 생성합니다.

C:\\Stoned\\Applications\\Forensic Lockdown Software.sys
C:\\Stoned\\Applications\\Hibernation File Attack.sys
C:\\Stoned\\Applications\\Sinowal Loader.sys
C:\\Stoned\\Applications\\Windows.sys
C:\\Stoned\\Drivers\\Sinowal.sys
C:\\Stoned\\Drivers\\Sinowal Extractor.sys
C:\\Stoned\\Drivers\\Black Hat Europe 2007 Vipin Kumar POC.sys

이후 마스터 부트 레코드(Master Boot Record)를 조작 한 후 새로운 부트 레코드를 씁니다.

실행 된 후에는 'Written successful' 메시지 창이 뜹니다.

설치된 드라이버 파일은 더 분석해봐야 할 겁니다
- 그러기에는.. 드라이버쪽을 더 공부해야겠다는.. @.@


* 전망

윈도우 시대가 열리면서 부트 바이러스는 사라졌는줄 알았는데 여러 제작자들이 부트 감염 악성코드를 무덤에서 부활시키고 있네요.

다시 복고풍(예전과는 분명 다르지만)으로 돌아가는게 아닐까하는 걱정도 해봅니다.
하지만, 부트 섹터, 드라이버 제작 등 일반 실력을 가진 악성코드 제작자가 제작하기에는 어려움이 있습니다








Posted by mstoned7

댓글을 달아 주세요

  1. viruslab 2009.08.17 08:27  댓글주소  수정/삭제  댓글쓰기

    시만텍은 7월말에 보고했었지요.

    http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072815-0454-99

    http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072815-0036-99


이번 DDoS 공격을 계기로 다른 나라의 사이버 안보에 대해 눈여겨 볼만 합니다.

우리나라에 많은 영향을 끼치는 미국에 대해 알아보겠습니다.
2009년 5월 29일 미국 오바마 대통령의 지시로 사이버 안보 보좌관이 선임되었습니다.

[관련기사]

美, 사이버안보관련 보고서 발표 예정 (보안뉴스, 2009년 5월 28일)
http://www.boannews.com/media/view.asp?idx=16354&kind=&sub_kind=

이부분이 눈에 띄네요.

'로이터 통신에 따르면 이 같은 사이버안보의 임무가 국토안보국(Department of Homeland Security)에 주어져야 하는지 또는 국가안전국(National Security Agency)에 주어져야 하는지가 논란의 핵심이다.
또한 사이버보안 담당관들이 백악관에 주재해야하는지에 관한 점도 이슈가 되고 있다고 로이터는 전했다'


5월 29일 결과가 발표되었습니다.

- 오바마 정부의 새로운 사이버 보안 계획, “규제보다는 조정”
http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=56307

- Securing Cyberspace (F-Secure 블로그, 2009년 5월 30일)
http://www.f-secure.com/weblog/archives/00001693.html

- [외신] 美, 관련 최고부서 신설 등 사이버보안에 총력! (보안뉴스, 2009년 6월 1일)
http://www.boannews.com/media/view.asp?idx=16418&kind=&sub_kind=

많은 금액이 투입될 듯 해 미국 방산업체가 뛰어들지도 모른다는 얘기가 나옵니다.

- 미국 방산업체들, 사이버 보안 분야에 눈길 (보안뉴스)
http://www.boannews.com/media/view.asp?idx=16426&kind=&sub_kind=

하지만, 이런 행동에 다소 부정적인 견해도 있습니다.

컴퓨터바이러스 히스테리에 반대하는 Vmths의 Rob Rosenberger가 대표적 부정적 의견입니다.

- Obama (!) spouts an urban legend in his cybersecurity speech (2009년 5월 29일)
http://vmyths.com/2009/05/29/obama/

- Obama part 2: where did his “$1 trillion” guesstimate come from?
http://vmyths.com/2009/05/29/obama-2/

- Obama part 3: a plagiary of President Clinton’s virus hype, 11 years later
http://vmyths.com/2009/06/07/obama-3/

그는 오바마 대통령의 연설은 11년 전 빌 클린턴 전 대통령이 했던 내용에 바탕을 두고 있으며
일조 달러 피해 예상은 근거자료가 맥아피 보도자료에서 나와서 신빙성이 떨어진다고 생각하는 듯 합니다.
- 사실 악성코드 관련해서 정확한 피해 시스템 대수와 피해액이 나오긴 힘들겠죠.

 

 

 

Posted by mstoned7

댓글을 달아 주세요

  1. 숲속얘기 2009.07.20 09:47  댓글주소  수정/삭제  댓글쓰기

    있는 정통부도 부시는 나라에 바라는건 없습니다. ㅡㅡ; 천대하다보면 귀해질날도 있겠죠.


2009년 7월 8일 목요일 저녁부터 Memory Of... 라는 제목의 메일이 뿌려지기 시작합니다.


 
- DDOS와 관련된 수상한 메일?
  http://arrestlove.tistory.com/186

- 정체불명 스팸메일 확산 (디지털 타임스)
http://www.dt.co.kr/contents.html?article_no=2009071002010251739002



저도 목요일 저녁에 메일을 받았고 당시 DDoS 공격 악성코드 내에서 'Memory of the Independence Day'라는 문자열이 발견되었기 때문에 연관상을 의심했습니다.

현재 악성코드 구성 파일 중 mstimer.dll 에서 이 메일을 발송하는 것으로 확인되었습니다.

메일 형태는 아래와 같습니다.

- 보낸사람 : Independence
- 제목 : Memory Of...
- 본문 : last
- 첨부 파일 : memory.rar (22 바이트)



메일 헤더를 보면 보낸 'Independence' 로 되어 있으며 도메인은 받는 사람과 동일합니다.
메일을 보낸 사람은 존재하지 않는 계정입니다.




첨부된 memory.rar 파일은 의미 없는 RAR 파일입니다.
의도된 것인지 버그로 발송되는지는 추가로 확인해봐야 합니다.


* 조치 사항

해당 메일을 받았다고해서 자신의 컴퓨터가 해킹되었거나 해킹되지 않습니다.
따라서, 너무 겁먹을 필요 없고 스팸 메일 처럼 삭제하시면 됩니다.
그리고, 혹시 악성코드가 포함된 제대로된 첨부 파일이 도착할 수 있으므로 첨부 파일은 절대 열어보시면 안됩니다
Posted by mstoned7

댓글을 달아 주세요

  1. H.F.Kais 2009.07.10 12:39  댓글주소  수정/삭제  댓글쓰기

    저도 같은 메일을 받았는데 RAR 파일을 열어도 아무런 일도 일어나지 않더군요. 백신의 실시간 감시를 켜놨는데도 아무런 메시지가 나타나질 않고...그냥 지워버렸습니다.;

    • mstoned7 2009.07.10 13:24 신고  댓글주소  수정/삭제

      네, 보통 첨두된 rar 파일은 빈 내용이기 때문에 열어도 별다른 문제 없습니다. (그런데, 보안을 위해서는 앞으로 이런 메일의 첨부 파일은 안 열어보시는게 좋을 듯 합니다 ^^) 스팸 메일이라고 생각하시고 그냥 지우시면 됩니다.

  2. Hans 2009.07.10 21:07  댓글주소  수정/삭제  댓글쓰기

    관리자의 승인을 기다리고 있는 댓글입니다

  3. mstoned7 2009.07.11 17:08 신고  댓글주소  수정/삭제  댓글쓰기

    Ha** 님 죄송합니다. 현재 메일을 지워버려 보내드릴 수 없네요.

  4. 손띵구리 2009.07.11 18:42  댓글주소  수정/삭제  댓글쓰기

    쿨캣님 글들 잘 읽고 있습니다. :) 쿨캣님의 글과 KISA에 나온 7월 8일자 보고서에 보면 msiexec*파일에 의해 *.dll과 *.nls 파일로 작동되는 것으로 보입니다. 5종류된다고 기사도 얼핏 본 것 같은데 2종류정도만 알고 있습니다.

    이번이 DDoS와 하드MBR을 망가트리고 대량 이멜을 보내는 wversion.exe과는 어려움없이... 모두 같은 곳의 소행으로 파악되고 있는 곳으로 보고 있는데, 어떠한 근거를 가지고 있는지 궁금합니다.

    또 이번에 제시한 분한의 윤모씨 해커(지난번 금전 거래를 요구했었다)는 기사로 연관시키는 것으로 보이며 그 패턴이라고 이야기하는 mls 확장자 파일은... 8일자 보고서와 여기 블로그를 참고하여 아직 본 적이 없습니다. 이 mls 파일은 확인하셨고, 지금 백신들에 의해 이번 기회에 새로 추가된 것인가요?

    위 DDoS와 Wversion(?)중 mls는 어디에 속하는 것인가요? 질문만을 갑자기 드려 죄송합니다. :)

    • mstoned7 2009.07.11 20:03 신고  댓글주소  수정/삭제

      1. 국내 공격에 사용된건 2개이지만 7월 7일 이전에 미국 사이트 공격이 있었고 이때 3개 파일이 사용되었습니다. 저는 양국가 공격에 사용된 모두를 얘기한 겁니다.

      2. 안철수연구소 ASEC 블로그(http://blog.ahnlab.com/asec/50?TSSESSIONblogahnlabcom=6732380a3241e0bf239d27575bee3393)을 보시면 DDoS 악성코드 상관 관계도가 있습니다 이 그림을 보면 DDoS 공격과 하드디스크 데이터를 손상시키는 악성코드는 같은 뿌리에서 나옵니다.

      3. mls 에 대해서는 알지 못합니다.

      아래 기사에 따르면 mls 가 아니라 nls 이네요.

      http://www.ytn.co.kr/_ln/0101_200907111738500527

      4. wversion과 nls(mls)는 ASEC 블로그 그림에서처럼 전체 DDoS 공격 악성코드에 포함됩니다.

  5. 손띵구리 2009.07.11 20:33  댓글주소  수정/삭제  댓글쓰기

    앗 감사합니다. ㅋㅋ 이런 단순한 오자(보)였네요.

    혹시해서 물어보는 김에 추가했는데 관계도를 보니 궁금한점이 사라졌습니다. ^.^

    • mstoned7 2009.07.11 20:39 신고  댓글주소  수정/삭제

      저도 관계도를 보고... 머리에 쏙쏙 이해되더군요. 게다가 제 기준에서는 이정도 관계도 그리는 것도 대단합니다. (저는 그림에 소질이 없어서...)



앞서 밝힌 디스크 데이터 파괴 증상이 7월 10일 0 시로 밝혀졌습니다.

[관련기사]

- "좀비 PC, 10일 0시 이후 하드디스크 스스로 삭제" (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=51873

- 좀비PC 하드디스크 스스로 파괴, 파장 얼마나 미칠까 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=51874

- DDoS 3차 공격 약화 ... 좀비 PC 파괴시작(연합뉴스)
http://www.yonhapnews.co.kr/economy/2009/07/10/0303000000AKR20090710001300017.HTML?template=2085

- DDoS 대란 너머 PC 대란 오나 (머니투데이)
http://www.mt.co.kr/view/mtview.php?type=1&no=2009071000564147791&outlink=1

[경고]

문서 등 주요 문서를 파괴하고 디스크(USB 메모리 포함) 데이터를 파괴하는 기능이 언제 실행되는지를
계속 확인하던 중 재현에 성공했을 때 10월 0이 까지 얼마 안 남은 11시가 훌쩍 넘긴 시점이었습니다.

10월 0시를 얼마 안남겨둔 시점에서 TV 자막 등을 통해 긴급하게 주의가 알려졌습니다.

안철수연구소에서도 이에 대한 경고를 올렸습니다.



[파괴 증상]

이번에 디스크를 데이터를 파괴하는 악성코드는 Win-Trojan/Destroyer.37264 (V3 2009.07.09.00 엔진에 추가)이며 7월 8일 늦게 최초 발견되었습니다.

몇가지 조건이 맞을 경우 A-Z 드라이브에서 주요 파일 파괴 작업을 하고 디스크의 앞부분을 'Memory of the Independence Day'와 같은 문자열로 덮어써 파괴합니다.



이동식 디스크 (USB 드라이브)가 연결되어 있을 경우에도 데이터가 파괴됩니다. 손상된 이동식 디스크는 포맷하면 다시 사용할 수 있습니다.

당연한 얘기지만 V3 등의 백신을 최신 엔진으로 유지하고 있으면 이 악성코드의 피해를 입지 않습니다.

아쉽게도 문제는 DDoS 공격에 사용된 컴퓨터에는 백신이 설치되어 있지 않겠지만요.

[이 일을 교훈 삼아...]

며칠 동안 계속 언론을 통해서 알려져도 공격 이용된 시스템 사용자는 몰랐거나 귀찮아서 백신 검사를 안했을 수 있습니다. 데이터 손상이 얼마나 발생할지 모르지만 자신의 컴퓨터는 자신이 지키는 능력을 길렀으면 합니다.

하지만, 이런 일도 1999년 CIH 대란, 2003년 1.25 인터넷 대란 처럼 조금만 시간 지나면 잊혀 질 겁니다.
슬픈 현실이죠.

7월 10일 아침 큰 문제 없길 기도합니다.





Posted by mstoned7

댓글을 달아 주세요

  1. 숲속얘기 2009.07.10 13:45  댓글주소  수정/삭제  댓글쓰기

    며칠간 그토록 시끄러웠는데 감염된 PC수가 크게 줄지 않았던 이유가 뭘까요?