쿨캣의 블로그 놀이

- 백신 안깔면 접속 차단 법제화되나 (미디오 오늘, 2009년 9월 4일) http://www.mediatoday.co.kr/news/articleView.html?idxno=82663 - 방통위, 악성프로그램 확산방지법 제정작업 착수 (디지털타임스, 2009년 9월 3일) http://www.dt.co.kr/contents.html?article_no=2009090402010431693003 9월 7일 방통위.인터넷진흥원, 악성프로그램 확산방지법률안 토론회가 서울 명동에서 열립니다. 토론회 참석 요청을 받았는데 당일 대응업무라 전 참석하기 힘들겠네요. - 무슨 얘기가 오고가는지 궁금하긴 하지만... * 법률 주요 내용 - 이용자 컴퓨터의 보안프로그램 설치 및 업데이트 - 침해사고 발생 시 감염 컴퓨터..

- 기무사-국방부 '사이버사령부' 추진 논란 (한겨레, 2009년 9월) http://www.hani.co.kr/arti/politics/defense/374897.html 사이버 위협이 커지면서 보안, 국가 안보 등을 생각하면 인력은 필요할 겁니다. 논란에 대해서는 제가 논할 부분은 아닌 듯 싶구요. 기사 중 눈에 띄는게 대응센터(80여명)와 사이버보안 관련 인력(100여명) 등 모두 500명 국내 최대 보안업체라는 안랩 인력이 500명 정도 단순 비교하기에는 하는 일이 다르겠지만 분명 큰 규모일 겁니다. 문득 드는 생각은. 1. 실무 인력은 몇명일까 ? 2. 그중 실력있는 실무 인력은 얼마나 될까 ? 3. 설마 관련 업무를 민간업체에 맡기지는 않겠지... 이런 쓸데 없는(?) 생각들이 드네요. 아무쪼..

국내 발견 악성코드 중 안랩 제품이나 다른 백신 프로그램을 가장한 악성코드들이 종종 발견되는데 중국 제품인 360안전위사/360보험박스 파일을 위장한 악성코드가 발견되었습니다. 360안전중심(www.360.cn)은 중국의 백신업체입니다. (라고 했는데... 이래저래 도매상 개념이라고도 하네요. 다른 회사 제품도 팔고...) 처음에 외산 엔진을 사용하는 것으로 알려졌는데 제품을 설치해보니 잘 몰라 중국쪽에 물어보니 자체 엔진 + 중국산 엔진을 사용할 거라고 하는군요. 이부분은 확인이 필요해 보이네요. 이 제품을 가장한 것으로 봐서는 중국내에 배포되었는데 국내에도 흘러들어온(?) 것으로 보입니다. 실제 360Safebox.exe 1 MB 가 넘는 길이를 가지고 있으며 아래와 같은 파일 정보를 가지고 있습니다.

우리나라는 일을 많이 하는 걸로 알려져있죠. 하루에 얼마나 일하느냐는 메일이 와서 10시간 정도로 답변했죠. - 점심/저녁 포함하면 12시간 이상인 경우도 많습니다만... 아직 답변이 18명이라 너무 적습니다만... 10시간 정도가 가장 많고 정확하게 8시간은 0%네요. 외국은 보통 8시간 근무 및 휴가 많은 걸로 알려져있는데... 보안업체는 그것도 아닌가 봅니다........ - 그래서 기피 업종일지도.... 그리고 자율출퇴근제가 27%나 되네요. 보안업체 중 보안 연구원들이 집중되어서 가능한게 아닐까 싶네요. http://polls.linkedin.com/p/54447/tyorp (계정 필요)

샘플을 분석하다보면 정상파일 처럼 위장한 악성코드도 종종 받게 됩니다. 1. 타사 진단 정보 타사 진단 정보를 보면 몇몇 업체에서 진단하고 있습니다. 물론, 이때도 오진 가능성을 항상 염두 해야합니다. 2. 파일 등록정보 확인 nVidia 에서 배포한 정상 파일로 착각할 수 있습니다. 3. 검색을 통한 정상 파일과 비교 다행히 이런 파일은 인터넷을 검색해보면 비교해 볼 수 있습니다. 4. 의심사항 파일을 퀵하게 봅니다. 수상한 스트링은 없습니다만 다음 내용이 이상하네요. - 디버깅 버전 : nVidia 에서 정식 배포한 파일이라면 release 버전이어야함. 개발자 버전이 접수되었을 수 있음. 이때는 접수된 고객 등을 확인해봄 - 인터넷 접속 기능 : nVidia Movie Accelerator가 왜 인..

델파일 컴파일하면 생성되는 바이러스인 Win32/Induc 바이러스 소동이 있었습니다. 백신 프로그램에서 일부 감염된 파일을(제품에 따라 모든 감염 파일을) 삭제해 버린 문제가 발생한 겁니다. 해당 바이러스의 진단/치료가 들어가면서 많은 업체에서 문의가 왔고 개발자 모임인 델마당에서도 한동안 이슈가 되었습니다. http://www.delmadang.com/ - 델파이 바이러스 ‘백신’ 과잉대응 논란 (디지털데일리, 2009년 8월 23일) http://www.ddaily.co.kr/news/news_view.php?uid=53343 - 보안뉴스: 변형된 델파이 바이러스 대응책 마련 시급! http://www.boannews.com/media/view.asp?idx=17550&kind=1 기사 내용의 정확..

2009년 8월 19일 Win32/Induc 바이러스가 발견되었습니다. 처음에는 그저그런 바이러스라고 생각했는데 감염 방식을 듣고 개념증명 형태로 생각했는데 각종 자료와 쏟아지는 샘플을 통해 델파이 제작자들에게 널리 퍼져있음을 알 수 있습니다. [관련자료] - 에스지어드밴텍 '델파이 개발자, 바이러스 주의' 경고 http://ddaily.co.kr/news/news_view.php?uid=53211 - Delphi 4~7을 감염시키는 바이러스 유행중 http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415299&keyword1=&keyword2=&page=1 - W32/Induc-A virus being ..

이번 블랙햇 2009(Black Hat 2009)에서는 새로운 부트 감염 악성코드가 등장했습니다. - 바이러스는 아니고 트로이목마입니다. 2009년 8월 12일 맥아피는 아래와 같이 경고했네요. - StonedBootkit.dr http://vil.nai.com/vil/content/v_200078.htm [관련기사] - Bootkit bypasses hard disk encryption http://www.heise.de/english/newsticker/news/142881 파일에 대한 V3 진단명은 Win-Trojan/Stoned.329216 입니다. 다른 이름은 StonedBootkit.dr, Boot.Stonedbootkit, Rootkit.Win32.Stoned.a 등입니다. * 부트 악성코드..

접수된 파일을 분석하다 몇 몇 제품에서 바이럿 바이러스(Virut virus)라고 진단이 되었습니다. 파일을 보니 윈도우 로그온에 사용되는 LOGONUI.EXE 파일이더군요. 파일을 비교해보니 과거 바이럿 바이러스에 감염되었다가 치료된 파일이었습니다. 바이러스에서 감염 여부를 확인할 때 사용하는 지문을 진단에 이용한 걸로 보이는데... 이런 진단 방법은 바이러스에 치료된 파일을 오진하는 문제가 발생할 수 있습니다.

SonicWALL에서 연구원을 모집하고 있네요. http://www.sonicwall.com/us/company/4136_395.html 다른 유럽 업체와 달리 국가별 제한은 없어 보입니다. 몇몇 유럽 백신 업체에서는 EU 국가만 가능했었죠. 네트워크 관련 회사다보니... 필요한 기술이 다음과 같네요. REQUIREMENTS Strong understanding of Unix and Windows Operating Systems, and TCP/IP internetworking Technical documentation experience Knowledge of scripting languages (Perl, Tcl, awk, etc.) C/C++ programming experience and Unix..

개인적으로도 국내 웹사이트 방문 할 때 액티브 X 컨트롤(Active-X Control)이 설치되는거 짜증납니다. 하지만, 액티브 X가 마치 절대악인것 처럼 주장하는데는 동의할 수 없네요. 액티브 X 를 반대하는 측의 기사가 최근 많이 보입니다. - "액티브X를 타고 오는 악성코드 주의해야" http://itnews.inews24.com/php/news_view.php?g_serial=432828&g_menu=020200 - '액티브X' 습관적 설치..."한국은 해커들의 놀이터" http://news.hankooki.com/lpage/it_tech/200907/h2009071003353223700.htm - 인터넷 강국? Active-X 왕국! http://www.hani.co.kr/arti/cultur..

- 백신 프로그램의 한계 http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=1&seq=14781 많은 사람들이 백신 프로그램 등의 보안 프로그램만 있으면 안전하다고 생각합니다. 이에... 그렇지 않다는 (사실... 누워서 침뱉기가 될 수 있지만) 사실을 알리기 위한 글입니다. 마침 정보보호 2009년 8월호에도 비슷한 내용이 나왔더군요. 김태일 이지스원시큐리티 보안교육팀장님 글인데 '알려진 악성코드만 탐지하는 백신의 경우 널리 배포하지 않고 특정 사이트에 침입하여 기밀을 빼내고자 하는 목적으로 특별히 제작된 악성코드라면 공격이 상당 부분 진행되기 전까지 공격 사실 자체를 인지 ..

이번 DDoS 공격을 계기로 다른 나라의 사이버 안보에 대해 눈여겨 볼만 합니다. 우리나라에 많은 영향을 끼치는 미국에 대해 알아보겠습니다. 2009년 5월 29일 미국 오바마 대통령의 지시로 사이버 안보 보좌관이 선임되었습니다. [관련기사] 美, 사이버안보관련 보고서 발표 예정 (보안뉴스, 2009년 5월 28일) http://www.boannews.com/media/view.asp?idx=16354&kind=&sub_kind= 이부분이 눈에 띄네요. '로이터 통신에 따르면 이 같은 사이버안보의 임무가 국토안보국(Department of Homeland Security)에 주어져야 하는지 또는 국가안전국(National Security Agency)에 주어져야 하는지가 논란의 핵심이다. 또한 사이버보안..

DDoS 공격과 논란사항 정리 * 이번일이 사이버 테러/사이버전인가 ?! 이번일이 '사이버 테러' 혹은 '사이버전'이냐에 대한 얘기가 있습니다 언론에서는 '사이버 공격'이란 표현도 많이 사용되네요. 일단 일반적으로 보안 업체에서는 사이버 테러라는 표현에 부정적인 경우가 많습니다. 이번 일도 보안업체에서는 이번 일을 과대해석하지 말자는 의견이 있습니다. - DDoS global hysteria http://sunbeltblog.blogspot.com/2009/07/ddos-global-hysteria.html 이런 보안업체의 조심스러움은 과거 몇몇 보안업체에서 보안위협을 과장/과대 포장해 자사 영업에 이용한적이 있어 업체 스스로 조심하는 분위기도 있습니다. 1992년 미켈란젤로 바이러스 소동 때 미국의 몇..

2009년 7월 8일 목요일 저녁부터 Memory Of... 라는 제목의 메일이 뿌려지기 시작합니다. - DDOS와 관련된 수상한 메일? http://arrestlove.tistory.com/186 - 정체불명 스팸메일 확산 (디지털 타임스) http://www.dt.co.kr/contents.html?article_no=2009071002010251739002 저도 목요일 저녁에 메일을 받았고 당시 DDoS 공격 악성코드 내에서 'Memory of the Independence Day'라는 문자열이 발견되었기 때문에 연관상을 의심했습니다. 현재 악성코드 구성 파일 중 mstimer.dll 에서 이 메일을 발송하는 것으로 확인되었습니다. 메일 형태는 아래와 같습니다. - 보낸사람 : Independenc..

앞서 밝힌 디스크 데이터 파괴 증상이 7월 10일 0 시로 밝혀졌습니다. [관련기사] - "좀비 PC, 10일 0시 이후 하드디스크 스스로 삭제" (디지털데일리) http://www.ddaily.co.kr/news/news_view.php?uid=51873 - 좀비PC 하드디스크 스스로 파괴, 파장 얼마나 미칠까 (디지털데일리) http://www.ddaily.co.kr/news/news_view.php?uid=51874 - DDoS 3차 공격 약화 ... 좀비 PC 파괴시작(연합뉴스) http://www.yonhapnews.co.kr/economy/2009/07/10/0303000000AKR20090710001300017.HTML?template=2085 - DDoS 대란 너머 PC 대란 오나 (머니투..

잠잠해질거라고 예상했다면 너무 순진했을까요 ? 2009년 7월 8일 수요일 오후 6시 경부터 2차 DDoS 공격이 시작되었습니다. * 2 차 공격 웹사이트 리스트 2차 DDoS 공격은 총 16개 사이트에 대해 이뤄졌습니다. www.auction.co.kr (옥션) www.altools.co.kr (이스트소프트) www.wooribank.com (우리은행) www.president.go.kr (청와대) mail.daum.net (다음 메일) mail.naver.com (네이버 메일) mail.paran.com (파란 메일) www.hanabank.com (하나 은행) www.ahnlab.com (안철수연구소) www.chosun.com (조선일보) www.egov.go.kr (전자민원 G4C) www.ib..