잠잠해질거라고 예상했다면 너무 순진했을까요 ?
2009년 7월 8일 수요일 오후 6시 경부터 2차 DDoS 공격이 시작되었습니다.

* 2 차 공격 웹사이트 리스트

2차 DDoS 공격은 총 16개 사이트에 대해 이뤄졌습니다.

www.auction.co.kr (옥션)
www.altools.co.kr (이스트소프트)
www.wooribank.com (우리은행)
www.president.go.kr (청와대)
mail.daum.net (다음 메일)
mail.naver.com (네이버 메일)
mail.paran.com (파란 메일)
www.hanabank.com (하나 은행)
www.ahnlab.com (안철수연구소)
www.chosun.com (조선일보)
www.egov.go.kr (전자민원 G4C)
www.ibk.co.kr (기업은행)
www.kbstar.com (국민은행)
www.mnd.go.kr (국방부)
www.ncsc.go.kr (국정원 사이버안전센터)
www.usfk.mil (주한미군)


불행히도 안랩도 포함되어 있습니다. 전용 백신 배포를 차단하기 위한것일까요 ?

안랩에서 분석한 결과에 따르면 안랩은 2009년 7월 8일 오후 6시부터 2009년 7월 9일 오후 6시까지 공격을 받습니다.
그외 포털과 국민은행, 조선일보, 옥션 등은 2009년 7월 10일 오후 6시까지 공격을 받는다고 합니다.
- 이후 새로운 버전이 등장할 수도 있겠죠.


* Memory of the Independence Day

새롭게 발견된 wversion.exe (V3 진단명 Win-Trojan/Destroyer.37264, 진단버전:2009.07.09.00)에서 데이터 파괴 기능이 발견되었습니다.

- [긴급] 제2차 DDoS공격, 악성코드 일부서 데이터 파괴 기능 발견
http://www.boannews.com/media/view.asp?idx=16981&kind=&sub_kind=

DDoS 공격과 직접 관련있지는 않지만 다음과 같은 의미심장한 문자열이 존재합니다.

'Memory of the Independence Day'


시스템에서 문서나 소스 코드 등의 데이터 파일을 찾아 원래 파일은 파괴해 버립니다.


불행히도 디스크의를 'Memory of the Independence Day'로 덮어써 버려 데이터 파괴 기능을 가지고 있습니다.
디스크가 파괴된 후에 재부팅하면 시스템이 재부팅 되지 않습니다.

아직 이 파일을 실행해주는 기능은 찾지 못해서 언제 이 파일이 실행되는지는 모릅니다.
- 목요일 ? 금요일 ? 혹은 이미.... ?!

이같은 파괴 목적이 단순 데이터 파괴 목적인지 DDoS 공격에 사용된 시스템에서 자신의 흔적을 지우기 위해서는 아닐까요 ?




* 해외 기사

- Updated MyDoom Responsibile for DDOS Attacks, Says AhnLab (PC World)
http://www.pcworld.com/article/168032/updated_mydoom_responsible_for_ddos_attacks_says_ahnlab.html?tk=rss_news

진단명 중 MyDoom이 포함되었는데 이 내용이 기사화 되었다. 그런데, 제 블로그가 링크되어 있습니다.
(다소 당황... 한글로 작성된건데...) 한국어를 할줄 아는건 아닐테고 아마도 번역기로 돌렸나봅니다.


- List of US, South Korean sites targeted in ongoing DDOS (Robert McMillan, Security Blanket)
http://blogs.csoonline.com/list_of_us_south_korean_sites_targeted_in_ongoing_ddos







Posted by mstoned7

댓글을 달아 주세요

  1. viruslab 2009.07.09 02:24  댓글주소  수정/삭제  댓글쓰기

    다들 고생이 참 많으시네요. 제작자가 하루속히 밝혀지고 잡혀야 할텐데요.

    • mstoned7 2009.07.09 02:26 신고  댓글주소  수정/삭제

      잡힐까요 TT 저희쪽에서 과거 샘플을 보다가 6월에 이미 유사 샘플이 접수되었더군요. 거기에는 선명하게 China 가 있던데.... 흠

  2. 네오 2009.07.09 05:17  댓글주소  수정/삭제  댓글쓰기

    고생이 많으셨습니다. 대체 어떻게 뿌린건지.. 암튼 그런 류(?)의 메일도 받다니..ㄷㄷㄷㄷ

  3. ww0jeff 2009.07.09 09:08  댓글주소  수정/삭제  댓글쓰기

    Wow, 소설이 현실로 ..

    첨부파일이 다음번 공격에 쓰일 악성코드에 대한 힌트 아닐까요 ^^;;

    여튼 큰 역할 하고 계십니다.

    건투를 빕니다. 건강 챙기시구요~~

  4. creata 2009.07.09 09:39  댓글주소  수정/삭제  댓글쓰기

    웜이 뿌리는 스팸같군요. 좋은 정보 감사합니다.

    • mstoned7 2009.07.09 10:36 신고  댓글주소  수정/삭제

      메일 관련 내용은 개이적으로 받았지만 오해가 발생할 수 있을 것 같아 일단 ㅈ웠습니다. 개별적으로 올릴까 생각 중입니다. (거의 가십 정도인데...)

  5. 2009.07.09 09:45  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  6. 문의 2009.07.09 09:52  댓글주소  수정/삭제  댓글쓰기

    윈도우7에 카스퍼스키 KIS 2010을 사용중인데, 수시로 네트워크 공격 차단이라고 뜨더군요.

    패턴은 ICMPFlood이고, 2틀 전에는 60여차례, 어제는 20번 정도 공격이 있더군요. 오늘 아침에는 10여차례 정도, 공격이 탐지되었다는 IP를 보니, 공격리스트에 나온 기관도 한두곳도 포함되어 있는것 같습니다.

    이 공격이 감염대상을 찾기위한 공격인지 궁금하여 조언을 구합니다.

    예로 이렇게 나옵니다. 2009-07-09 오전 1:16:28 탐지: DoS.Generic.ICMPFlood 정보 없음 ICMP: 211.233.XXX.52 에서 0 로컬 포트로의 패킷

    보안관련은 먹통이어서 혹시나 하고 글을 남겨봅니다.

  7. 물여우 2009.07.09 10:32 신고  댓글주소  수정/삭제  댓글쓰기

    저도 해당 메일과 동일한 메일을 받았네요. gmail 계정으로 날라왔는데 혹시 이런 메일을 무작위로 뿌리는 악성코드도 있는 것은 아닐까 하는 생각도 듭니다.

  8. ^^ 2009.07.09 11:35  댓글주소  수정/삭제  댓글쓰기

    안녕하세요
    http://viruslab.tistory.com/891에 가보니
    메일은 스팸메일같던데요?

    • mstoned7 2009.07.09 12:35 신고  댓글주소  수정/삭제

      메일은 스팸성으로 큰 문제를 일으키지는 않지만 제목 제목 등이 이번 사건과 연관되어 있는게 아닐까 싶어서요. (추정입니다.)

  9. 허걱 2009.07.09 12:46  댓글주소  수정/삭제  댓글쓰기

    저도 gmail Inbox에 Memory Of...
    Independence <kqpkenb536@gmail.com> to me
    show details 3:01 am (9 hours ago !
    아직 파일을 열어보지는 않았지만 memory.rar
    1K 가 의심스럽네요...ㄷㄷ 네이놈검색에서 여기까지 찾아왔습니다..ㅜ 어째서 제 주소가 유포자들의 손에 들어갔을까요?ㅜ

  10. ^^ 2009.07.09 17:14  댓글주소  수정/삭제  댓글쓰기

    근데 메일 수신처 아이디야 부정확하지만 도메인이 정확하던데
    추가적인 공격대상지가 되는게 아닐까요?

  11. 장성재 2009.07.09 18:23  댓글주소  수정/삭제  댓글쓰기

    차군~
    안녕. 나야... 기억나지?
    여전히 잘 살고 있구만...
    정리해줘서 고마워~
    다들 고생이 많네.

  12. 벌새 2009.07.10 00:53 신고  댓글주소  수정/삭제  댓글쓰기

    이메일의 last는 lastfile=4000을 의미할 것으로 생각됩니다.

    볼일 다 봤으니 파괴하고 사라지겠다는 의미 같아요.


2009년 7월 7일 저녁부터 네이버, 옥션, 청와대 등의 웹사이트에 대한 악성코드 공격이 있었다.
이들의 정체가 밝혀진건 밤 11시 이후 였다.

이후 여러 변형 샘플들이 발견되었고 보안메일링 리스트를 통해 해외 업체와도 정보가 공유되었다.
- 즉, 해외 백신 업체가 모르거나 샘플이 없는건 아니다.

24시간이 지나고 있는 2009년 7월 8일 오후 5시 현재 해외 업체들의 진단 현황은 어떨까 ?
- 자칫 타사를 깎아 내리는 듯 할 수 있어 국내에서 잘 알려진 업체들 위주로 진단 현황만 정리했다.
(참고로 잉카나 하우리 같은 국내 업체는 모두 진단한다.)

결과적으로 국내에서 크게 문제된 이들 악성코드에 대한 해외 백신 업체 대응은 늦다.
국내 시장에 무관심해서 그런걸까..... TT

올초 2090 바이러스로 알려진 Win32/AimBot.worm.15872의 경우에도 국내에서만 사고가 발생했고 해외 업체들의 대응에 며칠 씩 소모되었다.
http://xcoolcat7.tistory.com/418

물론, 국내 백신 제품은 해외 제품에 비해 미흡한 점이 분명 있으며 국내 백신에서는 진단되지 않는데 외산 제품에서 진단되는 경우도 많다. 하지만, 이렇게 국지적으로 발생한 이런 사고에 대한 대응은 국내 업체가 빨라 보인다.

이런저런 이유로 국내 보안업체가 욕을 먹기도 하지만 이런건 인정 해줬으면 싶다. (바램~)
국내 업체가 모두 망하고 해외 업체가 국내 시장을 대부분 점유 한다면... 아마 대응이 빨라지지 않을까 싶다.

V3 진단명

A 사

B 사

C 사

D 사

E 사

F 사

Win-Trojan/Agent.67072.DL

X

O

O

X

O

X

Win-Trojan/Downloader.374651

O

O

O

X

O

X

Win-Trojan/Agent.24576.AVC

X

X

X

X

X

X

Win-Trojan/Agent.24576.AVD

X

X

X

X

X

X

Win-Trojan/Agent.32768.AIK

X

X

X

X

X

X

Win-Trojan/Agent.32768.AIS

X

X

X

X

X

X

Win-Trojan/Mydoom.88064

X

O

X

X

O

X

Win32/Mydoom.worm.33764

X

X

X

X

X

X

Win-Trojan/Agent.33841

X

X

O

X

X

X

BinImage/Host

X

X

X

X

X

X

Win-Trojan/Agent.65536.VE (공격에 사용됨 샘플)

X

O

O

X

O

X

Win32/Mydoom.worm.45056.D

O

O

O

X

O

X


Posted by mstoned7

댓글을 달아 주세요

  1. Sun2Day 2009.07.08 18:47  댓글주소  수정/삭제  댓글쓰기

    쿨캣님 오늘 수고 많으십니다 (+__)ㅋ

  2. ^^ 2009.07.08 18:49  댓글주소  수정/삭제  댓글쓰기

    안녕하세요
    8일 18시부터 공격대상이 변경되었습니다.
    리스트파악가능하신가요?

  3. 감각이상 2009.07.08 21:51 신고  댓글주소  수정/삭제  댓글쓰기

    공격대상이 지금 계속 바뀌고 있는건가요?
    이거 샘플 분석하고 있는 중이었는데 이쪽에선 특별한 작동을 안하고 있던 중에 uregvs.nls에 없는 리스트가 공격당하고 있네요. -_-

    • mstoned7 2009.07.08 23:16 신고  댓글주소  수정/삭제

      공격 대상을담고 있는 nls 파일을 떨어뜨리는 EXE 파일이 새로 배포된게 아닐까 추정해 봅니다. 아직 샘플이 접수 안되었는데.. 곧 샘플이 접수되겠죠.

  4. 래발 2009.07.09 10:49 신고  댓글주소  수정/삭제  댓글쓰기

    어떤놈인지.. 잡히면 그냥.. -_-+

    곧 3차 공격 예정이라고 들었는데..

    하이고 ㅠㅠ)

    고생이 많으세요. 화이팅~


2009년 7월 7일 영화를 보고 집에 오는 길에 아는 형이 연락했다.
"지금 네이버하고 옥션 접속 잘 안되는데 알고 있는 사항 좀 있으면 연락줘."

집에 도착해 확인해보니 별다른 얘기가 없고 기사만 몇가지 올라와 있었다.

7월 7일 오후 6시부터 네이버 메일 및 쪽지 서비스 장애가 발생했다고 한다.
이후 기사를 통해 네이버 메일과 옥션 외에 조선일부와 청와대도 접속 장애가 발생하고 있음을 알 수 있었다.

- '사상 초유' 국내 주요사이트 해킹 '인터넷 대란' (제목이 상당히 자극적임...)
http://news.chosun.com/site/data/html_dir/2009/07/07/2009070701575.html?254bed50

- 청와대 사이트도 불통... 해커 DDOS 공격 때문?
http://www.newshankuk.com/news/news_view.asp?articleno=d20090707232908n3314

- 한 밤의 인터넷 대란 ... 네이버 메일, 은행에 이어 청와대도 먹통
http://www.eto.co.kr/?Code=20090708000456890&ts=10012


일부 언론에서 해킹이라는 표현을 사용했는데 일반인들이 해당 사이트가 해킹 된 것으로 오해할 수 있어서 공격이라는 표현이 어떨까 싶다. 또, 몇 개 사이트 접속 안되었으므로 인터넷 대란은 조금 과장된게 아닐까 싶다.

[악성코드]

밤 11시 쯤 perfvwr.dll 의 존재가 처음 알려졌으며 이후 이번 사건과 관련된 악성코드들이 속속 밝혀지고 있다.

- 파일명 : msiexec2.exe
- 파일길이 : 33,841 바이트
- V3 진단명 : Win-Trojan/Agent.33841

이 파일이 실행되면 uregvs.nls 파일을 생성한다.
이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다.

악성코드가 공격하는 리스트

실제 공격을 수행하는 파일은 DLL 파일로 현재까지 2개 파일이 발견되었다.

- 파일 이름 : perfvwr.dll
- 파일 길이 : 65,536 바이
- V3 진단명 : Win-Trojan/Agent.65536.VE


- 파일 이름 : wmiconf.dll
- 파일 길이 : 67,072 바이트
- V3 진단명 : Win-Trojan/Agent.67072.DL

DLL 파일은 공격할 리스트를 읽어들여 해당 사이트로 공격한다.



MD5                                             파일명 (V3 진단명)
------------------------------------------------------------------------------50c97bf514643d9e60980985db0908ca   wmiconf.dll (Win-Trojan/Agent.67072.DL)
0f394734c65d44915060b36a0b1a972d   msiexec1.exe (Win-Trojan/Downloader.374651)
9b08939834b2fe265ebaedccebd3d470 msiexec2.exe (Win-Trojan/Agent.24576.AVC)
6350758b62484765239057218bd81d9e   msiexec3.exe (Win-Trojan/Agent.24576.AVD)
e199d5c70745c363b734f499a3e065a9   msiexec7.exe (Win-Trojan/Agent.32768.AIK)
6e5b00560a3c5bb92dfacb3766d6d7bc msiexec5.exe (Win-Trojan/Agent.32768.AIS)
1cba81fea0f34511c026e77cfa1f0ef6     wmcfg.exe (Win-Trojan/Mydoom.88064)
04a3552a78ed2f8dc8dc9a77ee9eb281  wversion.exe (Win32/Mydoom.worm.33764)
bcb69c1bab27f53a0223e255d9b60d87  msiexec2.exe (Win-Trojan/Agent.33841)
4b834eadab00115c65f3563fd1dd299a  uregvs.nls (BinImage/Host)
65ba85102aaec5daf021f9bfb9cddd16   perfvwr.dll  (Win-Trojan/Agent.65536.VE)
93322e3614babd2f36131d604fb42905    ? (Win32/Mydoom.worm.45056.D)


[공격 사이트 리스트]

청와대, 국방부, 외교통상부, 대한민국 국회, 주한 미군, 네이버 블로그, 네이버 메일, 농협 인터넷 뱅킹, 신한은행 인터넷 뱅킹, 외환은행 인터넷 뱅킹, 한나라당, 조선일보, 옥션

- banking.nonghyup.com (농협 인터넷 뱅킹)
- blog.naver.com (네이버 블로그)
- ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- mail.naver.com (네이버 메일)
- www.assembly.go.kr (대한민국 국회)
- www.auction.co.kr (옥션)
- www.chosun.com (조선일보)
- www.hannara.or.kr (한나라당)
- www.mnd.go.kr (국방부)
- www.mofat.go.kr (외교통상부)
- www.president.go.kr (청와대)
- www.usfk.mil (주한 미군)


미국 사이트도 있다. (변형에 따라 공격 웹사이트가 다를 수 있음)

- finance.yahoo.com
- travel.state.gov
- www.amazon.com
- www.dhs.gov
- www.dot.gov
- www.faa.gov
- www.ftc.gov
- www.nasdaq.com
- www.nsa.gov
- www.nyse.com
- www.state.gov
- www.usbank.com
- www.usps.gov
- www.ustreas.gov
- www.voa.gov
- www.voanews.com
- www.whitehouse.gov
- www.yahoo.com
- www.washingtonpost.com
- www.usauctionslive.com
- www.defenselink.mil
- www.marketwatch.com
- www.site-by-site.com



[감염경로]

현재까지 이 악성코드의 정확한 전파 경로는 알려져 있지 않다.
하지만, 이 악성코드를과 연관된 다른 악성코드가 확인되었다.

[트래픽]

DDoS 공격은 크게 TCP/80(HTTP)와 UDP/80, ICMP 등
한대의 PC에서 특정 사이트로 초당 100 패킷 7 KB 발생

뉴스 등에 따르면 악성코드에 감염된 컴퓨터가 1만 8천대 정도 동원되었다고 함


[진단 및 치료]

알려진 변형을 제외하고 안철수연구소 V3에서 진단/치료가 가능하지만
V3를 사용하지 않는 사용자들을 위해 전용 백신을 발표했다.

- 안철수연구소 전용백신
http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3fileclean.exe

안철수연구소 전용백신


[마무리]

몇 대의 시스템이 악성코드에 감염되어 이번 공격에 이용되었는지 알 수 없지만 악성코드의 위험성을 알게된 사건이 아닐까 싶다.

몇 시간 동안 네이버 메일과 쪽지 서비스 등이 제대로되지 않아 불편이 많았을 것이다.
그런데, 이런 공격을 하는 시스템은 감염된 개인 컴퓨터일 가능성이 높다. 이 글은 읽는 사람들 중에도 감염되어 공격 패킷을 쏘고 있을지 모른다. 한번 자신의 컴퓨터를 최신 백신으로 검사해보는건 어떨까 ?


[관련자료]

- 신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령 (KrCERT/CC)
http://www.krcert.or.kr/noticeView.do?num=340

- DDoS 공격용 악성코드 전용백신 무료 제공 (안철수연구소)
http://kr.ahnlab.com/company/pr/comIntroKoNDView.ahn?B_SEQ=143302
Posted by mstoned7

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. Sun2Day 2009.07.08 03:55  댓글주소  수정/삭제  댓글쓰기

    왜 안되는지 소문이 무성했는데.. 이 때문이군요.. =ㅁ=;;

    • mstoned7 2009.07.08 07:40 신고  댓글주소  수정/삭제

      그래도.. 초기부터 DDoS 공격일꺼라고 얘기가 나왔는데 확인이 빨리된거죠. (11시쯤에 알려졌으니 5시간이면 느린걸까요 ? ^^)

  3. Gray 2009.07.08 05:56  댓글주소  수정/삭제  댓글쓰기

    잘보고 갑니다..악성코드를 분석하는 초보에게 좋은 자료가 되었습니다

  4. 엔시스 2009.07.08 07:48  댓글주소  수정/삭제  댓글쓰기

    잘 보았습니다..어제부터 인터넷이 불안불안 했는데 이유가 있었군요..

  5. 문준호 2009.07.08 08:33  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 감사합니다....

  6. miaou 2009.07.08 08:48  댓글주소  수정/삭제  댓글쓰기

    저 악성 파일들을 한번 다운로드 받아 살펴보고싶은데요.. 구할수 있는 방법이 있을까요? 흐음..

  7. Jupit3r 2009.07.08 09:13  댓글주소  수정/삭제  댓글쓰기

    잘 보았습니다. 이거참... 그나마 빨리 파악되어 다행이네요. 정말 무시무시한 일들이 많이 일어나네요..

  8. 물여우 2009.07.08 10:04  댓글주소  수정/삭제  댓글쓰기

    이번 악성코드는 어떤 방식으로 배포가 된건지도 궁금하네요.

  9. 2009.07.08 10:07  댓글주소  수정/삭제  댓글쓰기

    중국발 보다는 국내에서의 소행으로 보여지네요..

    약간 정치적 악의성이 보이는군요..

    아무리 싫고 개판이라 하더라도 여러사람이 쓰고, 어떤 이에게는 정말 중요한 사이트일 수 있는데

    좀 안타깝습니다.

    • mstoned7 2009.07.08 10:27 신고  댓글주소  수정/삭제

      제작자를 잡아야 의도를 알 수 있겠죠. 국내발일 수도 있지만 최근까지 국내에 이런 악성코드 제작 사례가 없었던지라...

  10. 좋은진호 2009.07.08 10:32 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 감사합니다. 이제 어떻게 배포됐는지와 개인 PC의 치료가 관건이군요.

  11. 숲속얘기 2009.07.08 10:39  댓글주소  수정/삭제  댓글쓰기

    정치성과 범죄성이 같이 엮여있다는 생각이드는군요. 순수히 정치성이었다면 차라리 비호를 받을만한 세력이 있겠으나, 은행까지 공격을 했다는건.. 다분히 악의적인 목적이었다는 느낌이 강합니다. 감염된 봇들의 위치를 파악한다면, 국내발문제인지 해외문제인지 쉽게 알 수 있지 않을까요? 공격자가 그정도 조치는 이미 취했을라나...

    • mstoned7 2009.07.08 12:42 신고  댓글주소  수정/삭제

      감염된 시스템은 국내에 있었다고 하네요. 그래서, 공격지를 역으로 찾아서 샘플을 수집했습니다. 문제는 어떻게 이렇게 광범위하게 악성코드를 뿌렸냐 이겠죠. (여러가지 방법이 있을겁니다만...)

    • 숲속얘기 2009.07.09 10:40  댓글주소  수정/삭제

      그렇다면 최초 감염 루트로 밝혀질 서비스는... 이미지 피해가 막대하겠군요. ㄷㄷㄷ

    • mstoned7 2009.07.09 10:43 신고  댓글주소  수정/삭제

      경찰이나 정부 기관에서 최초 유포지를 찾기 위해 노력하고 있다고 하네요. 일단 지켜봐야겠죠.

  12. 김봉남 2009.07.08 10:58  댓글주소  수정/삭제  댓글쓰기

    옥션친구 지마켓친구 이베이 낄낄낄

  13. 뽕다르 2009.07.08 11:00 신고  댓글주소  수정/삭제  댓글쓰기

    공격리스트가 뭔가 정치적으로도 목적이 있는듯하네요.

  14. 2009.07.08 11:32  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  15. gongc 2009.07.08 12:30  댓글주소  수정/삭제  댓글쓰기

    야 이눔아~ 장가 안가냐~
    난 미니홈피 손놓고 얼마전에 facebook 시작했는데 적응 안 된다. 혹시 너두 하는지.
    암튼 울회사 IT사람이 요즘 바이러스 때문에 고민하길래 니가 생각나서 와봤다.
    잘 지내지.
    나중에 함 봤으면 좋겠다. 너무 세월 빨리 간다...쩝
    참고로 난 계속 같은 회사. 같은 신랑. 애는 없고. 잘 지낸다 ^^

    • mstoned7 2009.07.08 12:46 신고  댓글주소  수정/삭제

      난 또 누구라고.. 공이군... 쩝
      장가 가야하는데 여자도 없고 일은 이렇게 생기고 TT
      - 괜찮은 사람있으면 소개 좀 ㅎㅎ

      참.. 진국이 장가간거 아냐 ? ㅋ

      참고로 나도 계속 같은 회사, 없는 여친, 애도 없고. 잘 지낸다 ^^

  16. Ryan 2009.07.08 12:56  댓글주소  수정/삭제  댓글쓰기

    잘보았습니다... 새로운? 패턴의 DDoS 공격이군요... 잡기도 힘들꺼 같고... 아무튼 대단하십니다... 이렇게 빨리 원인이 파악되었다니...!

    • mstoned7 2009.07.08 14:01 신고  댓글주소  수정/삭제

      해외에서는 종종 볼 수 있었는데... 정치적 의도를 가진것으로 보이며 국내 사이트를 공격하는건 제 기억에는 처음 인 듯 합니다. 보통 소규모 사이트 공격 후에 돈을 뜯어냈었죠.

  17. 코엄마 2009.07.08 13:10  댓글주소  수정/삭제  댓글쓰기

    휴.. 감사합니다. 혼자서 왜 옥션이 안열리는지 헤메고 있었네요. 감사드려요.

    • mstoned7 2009.07.08 14:02 신고  댓글주소  수정/삭제

      네.. 어제부터 .. 이래저래 이슈가 많네요. 저도 어제 저녁에 신한은행 접속하려했는데 안되어서... 별생각 없이 퇴근했었는데.. 이런일이 TT

  18. gongc 2009.07.08 14:01  댓글주소  수정/삭제  댓글쓰기

    난 또 누구라고.. 공이군... 쩝 -> 쩝이라니!! -_-++

    진국이 장가갔냐????? 완전 깜놀! 인석이 말도 안 하고...흠..
    이제 너만 남았군. ㅋㅋ
    내 한번 알아보지..너의 이상형을 말해줘라 오바. 비현실적으로 말하면 알지? ㅋㅋ

    • mstoned7 2009.07.08 14:03 신고  댓글주소  수정/삭제

      ㅋㅋ 은x이가 얘기 안했나보군. 신x 이랑 결혼했다. 놀랍지 ? ㅋ 10년 이상 친구로 지내다가 결혼이라니... 흠... 비현실적인 이상형은 없고 ... 그냥 그냥 귀여운 스타일...(다만 여자들이 귀엽다는건 남자가 귀엽다는거하고 좀 다르던데...ㅋ) TT 얼굴이 좀 통통한(뚱뚱한거 아님 ㅎㅎ) 스타일 좋아하더만....

  19. 마모군 2009.07.08 15:56  댓글주소  수정/삭제  댓글쓰기

    아아..
    제 컴에있는 X3가 실시간검사로 잡아냈던데.. 프로그램(?)이름이.. msiexec5.exe 더군요?? 대체 뭐가 뭔지..

  20. 2009.07.09 23:32  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  21. 먹튀 검증 2018.07.20 10:30 신고  댓글주소  수정/삭제  댓글쓰기

    잘보고갑니다

 
- 군, 3000명 규모 해외파병 상설부대 만든다. (한국경제, 2009년 6월 26일)

 
기사를 보면 우리 군은 2012년까지 적의 해킹 등에 대처하고 사이버 전쟁을 수행할 '정보보호사령부'(가칭)를 창설한다고 합니다. 이 부대는 국방부와 국군기무사, 육.해.공군 소속 전문요원들로 편성된다고 하는군요.

알려진것 처럼 우리 군에 대한 사이버 공격이 심해지고 있기 때문에 이런 조직은 꼭 필요하다고 생각했는데 이제부터라도 잘 해야겠죠.
- 그런데, 이미 대응 조직이 있을텐데요.

다만, 한가지 우려되는건 이같은 일이 민간 보안 업체에 지나치게(혹은 불필요하게) 업무 가중이 발생하지 않을까하는 우려입니다. 민간 보안 업체들이 군이나 정부 기관와 계약되어 있으니 당연히 지원해야하지만 상대적으로 영세한 업체가 많은 국내 보안 업체 특성상 기대만큼 완벽하게 지원은 한계가 있습니다.
- 그렇다고 계약 금액이 엄청난 것도 아니구요.

기업이나 정부 기관의 국내 보안관련 부서는 보안에 대해서 잘 모르는게 현실입니다.
문제가 생기면 원인 파악 등을 자체 해결보다는 업체에 연락하는 경우도 많구요. 문제 원인을 파악하면 보안문제가 아닐 경우도 종종 있습니다.

따라서, 새롭게 창설될 보안대응 조직은 문제가 발생했을 때 문제의 원인을 파악하고 보안 이슈이면 1차 조치를 취한 후 할 수 없는 부분을 민간업체와 협력하는게 좋을 듯 합니다. 다만, 사이버전도 언급되어 있는데  우리 군이 악성코드를 만들지도 몰라 조금 걱정스럽네요.

그리고, 이런 여러 곳에 보안조직이 생길텐데 이런 부서들이 유기적인 협력 방안도 마련되었으면 싶네요.

 2009년 6월 23일 뉴욕 타임즈에 따르면 미국에서도 국방 관련 네트워크 보호하는 사이버 커맨드 센터를 세운다고 합니다.

- New Military Command for Cyberspace (Thom Shanker, The New York Times, 2009년 6월 23일)
http://www.nytimes.com/2009/06/24/technology/24cyber.html?_r=2&ref=technology

Posted by mstoned7

댓글을 달아 주세요


KISA 인터넷침해사고대응지원센터(KrCERT/CC)에서 '스팸메일을 발송하는 악성코드 감염 주의'를 내렸다.

http://www.krcert.or.kr/noticeView.do?num=338


기사가 조금 과장된 듯 싶지만...

- 제2 인터넷대란 위험수위? ... KISA "PC보안관리시급" (디지털데일리, 2009년 6월 24일)
http://www.ddaily.co.kr/news/news_view.php?uid=51338

- [긴급] DNS 접속 트래픽 급증 ... 백신으로 점검필수! (보안뉴스, 2009년 6월 24일)
http://www.boannews.com/media/view.asp?idx=16740&kind=0

스팸 메일을 보내는 악성코드들로 밝혀졌다고 한다.
최근 안랩 신고센터를 통해서도 스팸 메일 발송하는 악성코드들이 눈에 띄게 증가했다.



Posted by mstoned7

댓글을 달아 주세요


2009년 6월 23일 허위 MS 아웃룩 업데이트 메일이 보고되었다.

- 보낸사람 : Microsoft Customer Support
- 제목 : Microsoft has released an update for Microsoft Outlook
 
  다음 제목도 보고되었다고 한다.

  Install Critical Update for Microsoft Outlook
  Install Update for Microsoft Outlook
  Microsoft Outlook Critical Update
  Update for Microsoft Outlook








[전파방식]

첨부파일이 존재하는 형태도 있지만 가짜 주소를 클릭하면 마이크로소프트를 가장한 웹사이트 (update.microsoft.com.[생략].net 등)로 접속하게 한다.


[V3진단명]

2009년 6월 19일부터 유사 기법이 사용된 것으로 보이며 여러 변종이 존재한다.

Win-Trojan/Zbot.81920.C (2009.06.19.00)
Win-Trojan/Zbot.83456.B (2009.06.24.02)

[외부링크]

- 허위 마이크로소프트 아웃룩 업데이트 메일 유포 주의 (ASEC Advisory SA-2009-010)

http://kr.ahnlab.com/virusNIAsecAdvisor_View.ahn?news_dist=02&site_dist=01&category=VNI002&mid_cate=001&sub_cate1=&sub_cate2=&cPage=1&seq=14571&key=&related=

- 허위 마이크로소프트 아웃룩 업데이트 메일
http://blog.ahnlab.com/asec/12
Posted by mstoned7

댓글을 달아 주세요


2009년 3월 26일 국내 언론을 통해 현금 자동 입출금기에 대한 기사가 실렸다.

- "현금자동인출기 노리는 바이러스 조심" (연합뉴스, 2009년 3월 26일)

http://www.yonhapnews.co.kr/culture/2009/03/26/0914000000AKR20090326225600080.HTML

------------------

자동화기기들이 윈도우를 기본으로 사용하며 여기에 애플리케이션을 구동하고 있다.
여기에 악성코드 제작자들은 현금자동인출기의 정보를 훔치는 악성코드를 제작한 것이다.
물론, 내부자 공모가 있어야한다.

결코 쉬운 일은 아니지만 내부자 공모가 있다면 충분히 가능하다.
자동화기기를 보면서 종종 블루스크린을 보면 걱정하곤했는데... 걱정이 현실로 된 듯 싶다.
 


* V3 진단명

V3 에서는 기사나 나기전인 2009년 3월 18일에 추가되었다.

Win-Trojan/Skimer.79872 (2009.03.18.02 이후 엔진)

[관련자료]

http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-031905-5048-99&tabid=2

http://www.sophos.com/security/blog/2009/03/3577.html

 

Posted by mstoned7

댓글을 달아 주세요

  1. 2009.06.24 19:41  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다


일본에서 제노 바이러스(Geno virus) 출몰했다는 소문이 돌았다.
하지만, 이는 사용자나 언론에서 부르는 이름으로 보안업체에서는 다른 진단명을 사용한다.
일본판 2090 바이러스으로 볼 수 있다.

2009년 5월 18일 경 일본내 다수의 사이트가 해킹 당했고 PDF, SWF 등의 취약점을 이용해 방문하는 사용자에게 악성코드를 설치하도록 한다. 다운로드되는 파일은 중국에서 다운로드 받는다. 하지만, 이런 공격은 4월부터 증가했다고 한다.

이번일도 2090 바이러스처럼 치료 방법이 없다는 등의 내용이 떠돌고 있지만 당연히(!) 확인되지 않은 내용이다. 새로운 변형이 꾸준히 배포되고 있어 발생한 오해로 보인다. (근본적으로는 사용자가 보안 업데이트를 해야함)


현재 이 공격은 일본에서만 발생하는게 아니라 다른나라(영국, 루마니아 등)에서도 보고되고 있다.

- Gumblar web attacks spreading quickly
http://www.gss.co.uk/news/article/6292/%27Gumblar%27_web_attacks_spreading_quickly/

파일을 다운로드 받는 주소는 gumblar.cn과 martuz.cn 이다.
혹시라도 방화벽 로그 등에서 이들 사이트에서 파일을 다운로드 받는다면 공격이 발생한 것일 수 있다.

* 현재까지 다운로드되는 실행 파일에 대한 V3 진단명

Win-Trojan/Rustock.117214
Win-Trojan/Daonol.37376
Win-Trojan/Daonol.17408
Dropper/Agent.15872.BD
Dropper/Agent.15872.BE
Dropper/Agent.15872.BC




[참고자료]

- martuz.cn injection attack
http://www.dynamoo.com/blog/2009/05/martuzcn-injection-attack.html

- GENO바이러스 + 추가
http://blog.naver.com/fuyuno?Redirect=Log&logNo=90047453282


- JP CERT Malicious JavaScript injection attacks are on the rise
http://www.jpcert.or.jp/at/2009/at090010.txt

Posted by mstoned7

댓글을 달아 주세요

  1. 물여우 2009.05.20 22:15 신고  댓글주소  수정/삭제  댓글쓰기

    진단 현황이 작년으로 되어 있습니다. >_<

    일본의 특정 서비스를 타켓으로 하는 악성코드인지 국내에서는 유포되지 않나 봅니다?

    • mstoned7 2009.05.20 23:27 신고  댓글주소  수정/삭제

      수정했습니다. 아직 2008년이고 싶었나봅니다 ㅎ

      일본을 목표로 배포되었고 일본쪽에서 문의가 들어와 확인한 겁니다.

  2. L2 2009.05.20 22:53  댓글주소  수정/삭제  댓글쓰기

    통상적으로는 JSRedir-R이라고 불리기도 합니다.

    일본의 컴퓨터 중고 판매 사이트인 GENO에서 처음 바이러스가 발견되어서 일본쪽에서는 GENO 바이러스라고 불립니다. 해당 사이트에서 대처를 제대로 못 해서, 더 퍼져나갔기 때문에 그렇게 불리는 것입니다.

    • mstoned7 2009.05.20 23:29 신고  댓글주소  수정/삭제

      Geno에 그런 의미가 있었군요. 왜 Geno 인가 했었는데 좋은 정보 감사합니다.

      JSRedir-R은 취약점 이용하는 악성 스크립트의 대표명이고 공격 방식이 그때그때 바뀌어서 일부러 뺐습니다. 최종 목표는 중국 사이트에서 다운로드 받는 EXE 파일이더군요.

    • viruslab 2009.05.21 10:45  댓글주소  수정/삭제

      실제 처음 발견된 곳은 GENO 사이트는 아닙니다. 일본의 많은 사이트가 이 공격을 4월 초부터 받아왔으니깐요.

  3. viruslab 2009.05.21 09:52 신고  댓글주소  수정/삭제  댓글쓰기

    http://gdata.co.jp/press/archives/2009/05/geno.htm


부다페스트 호텔 무선 인터넷을 통해 들어온 MS08-067 공격이다.
컨피커 웜 등으로 보이는데...

이래저래 많은 공격이 있는 것으로 보인다.
Posted by mstoned7

댓글을 달아 주세요

  1. 보안세상 2009.05.12 15:51 신고  댓글주소  수정/삭제  댓글쓰기

    "아, 이놈의 직업병"에서 피식 웃었습니다, 하하^^


판다시큐리티(http://www.pandasecurity.com)에 따르면 여전히 허위 백신 프로그램이 극성을 부리고 있음을 알 수 있다.

- More than a million false domains download malware using the name of a well-known car manufacturer as bait

http://www.pandasecurity.com/emailhtml/oxygen/041809_ENG_in.htm

허위 백신 프로그램의 배포 방법을 설명하면서 2009년 1-3월까지 총 111,086 개의 새로운 허위 백신 프로그램을 발견했는데 이는 2008년 전체에 20%에 해당한다고 한다.

This type of malware has increased significantly over the last year. According to data from PandaLabs, the number of variants of fake antiviruses has increased one hundredfold between the first quarter of 2008 and the corresponding period in 2009. In fact, in the first three months of 2009 no less than 111,086 new strains of fake antiviruses were detected, 20% more than in the whole of 2008.

국내 상황 역시 자체적으로 제작된 이런 허위 백신 프로그램이 버젓이 활동하고 있다.

Posted by mstoned7

댓글을 달아 주세요