728x90
반응형

악성코드 362

I사 해킹은 APT 공격인가 ?

7월 말 인터넷 쇼핑몰 I사 해킹이 알려졌습니다.언론에서는 APT 공격이며 따라서 막기 어려운 혹은 막을 수 없다고 보도 했습니다.(심지어 APT 공격을 메일을 이용한 공격 이라는 등의 잘못 된 내용으로 보도 한 경우도 있습니다.) - 인터파크, 해킹으로 고객정보 1030만건 유출… 미래부, 조사단 구성(종합)http://biz.chosun.com/site/data/html_dir/2016/07/25/2016072502153.html - 인터파크, APT해킹에 1030만명 개인정보유출… '2차피해' 우려http://mnb.moneys.news/mnbview.php?no=2016072618018023326 우선 APT 공격이 맞을까요 ? APT 는 'Advanced persistent threat'로 '지..

드디어 세상에 나오는 '보안에 미쳐라 (2016)'

저의 첫 책이 세상에 나옵니다. - 보안에 미쳐라 : 유쾌 상쾌 통쾌한 보안 이야기http://www.yes24.com/24/goods/29333992?scode=032&OzSrank=1 보안에 관심 가진 사람들 대상(취업 준비생...)이라 기술적인 내용은 별로 없습니다.그래서 재미있게 쓰려다보니 저자 소개에 덕밍아웃을 했는데...살짝 부끄럽네요 ㅋ 많이 팔렸으면 좋겠네요 ㅋㅋ

파이어아이, 국내 침해사고대응 서비스 진출

파이어아이가 2016년 침해사고 대응 서비스를 실시한다고 합니다. - 파이어아이, 내년 국내 침해사고대응서비스 진출 (ZDNet, 2015년 12월 18일자)http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151218114315 그동안 국내에는 침해사고 조사 시장이 거의 없었는데 파이어아이의 진출이 어떤 결과를 가져올지 자뭇 궁금합니다.국내 업체들이 몇년간 시장을 만들기 위해 노력했지만 사실상 실패했는데 외국 업체를 통해 시장이 형성될까요 ? 만약 외국계 업체에서도 제 값을 받지는 못하고 국내 보안업체에도 기본적으로 원하는 사안이 된다면 국내 업체들에게는 부담이 될 수도 있을 듯 합니다. 침해사고 대응 서비스 진출 소식을 사람들(업계)에 전하니 "사람 뽑는..

SERICEO 경영에 보안을 입히다 촬영 후기

2015년 8월 17일 SERICEO 홈페이지 [경영에 보안을 입히다] 시리즈 중 '악성코드, 당신의 컴퓨터를 노린다'가 올라갔습니다. 동영상이 올라간 후 회사 여러분이 동영상 잘 봤다고 말씀하시더군요.모 상무님은 직접 동영상을 틀어주셨는데 민망해서 제대로 못봤습니다. (동영상으로 자신의 모습을 보는건 참 부끄러운 일입니다.) 시작은 2015년 5월 정도로 기억하는데 SERICEO에 보안과 관련된 동영상을 올리기로 결정되고 몇 번의 회의로 업체별로 주제가 선정되고 글을 쓰고 교정을 거쳤습니다. 저의 글은 경영자가 알아야 할 악성코드에 대한 일반적 사항과 대처법입니다. 그렇게 준비해서 2015년 7월 촬영을 했습니다.파란색 배경에서 2시간 정도 고생해서 동영상 촬영을 마무리했죠.제가 쓴 글을 제가 읽는데 ..

서울중앙지검에서 온 피싱 메일 (추정)

모 교수님 페이스북으로 수상한 메일이 접수되었다는 글이 올라왔습니다. 해당 문서가 표적공격이 아닐까 싶어 워드 문서 받아서 한번 봤습니다.매크로(Macro)도 없고 딱히 취약점에 눈에 띄지는 않더군요. 하지만, 내용을 보고 바로 피싱이 아닐까 싶었습니다. 일단 오타도 보이네요. (금융사긴집단, 잇는지, 개설되셧는지) 그외 제목에 한자가 있고 만든이는 use, 회사는 PRC .... 웬지 중국쪽에서 작업한 느낌이 드네요. '02-1544-8136' 으로 연락하라고 되어 있어 검색해보니 네이버에서는 피싱이라는 글이 6월 19일에 올라왔습니다.(http://cafe.naver.com/weathermasterlab/121002) 좀 더 검토해봐야겠지만 피싱 메일일 가능성이 높습니다.피싱이 점점 진화해 문자에 이..

메르스 정보 가장 악성코드의 북한 연계 소동

2015년 6월 12일 금요일메르스로 어린이 집이 쉬어서 집에서 애 보고 있는데메르스 정보로 가장한 악성코드를 주의하자는 기사가 계속 떴습니다. 어제부터 북한 IP로 접속하는 메르스 관련 내용으로 가장한 악성코드가 있었다는 얘기는 들었지만 본적이 없어 궁금했었습니다. 처음 북한 IP 접속 얘기를 들었을 때 '북한 IP ? 우리나라에서 접속이나 될까 ?' 였습니다.확인해보니 최초 샘플은 6월 초에 접수되었지만 이미 V3에서는 2012년 엔진에서 진단되고 있었습니다.더욱 이상한 생각이 들었습니다. 아니 북한에서 만든거면 접속도 잘 안될 듯한 주소에 국내에서 가장 많이 사용되는 백신 중 하나인 V3에서 이미 진단되는걸 배포해 ?!미친걸까 ... 실수한 걸까.. 아니면 누군가 북한한테 뒤집어 씌우려고 한건가....

서구 관점에서 본 중국 보안의 신뢰성

치후360 (Qihoo360)은 6월 중국을 목표로한 오션로터스(OceanLotus) 분석 보고서를 냈습니다이어 보안 뉴스에 '중국도 몇 년씩 해킹을 당해왔다고, 진실 맞아?'란 기사가 뜹니다. 이는 Chinese ISP: China Is Victim Of Foreign State-Backed APT Group 의 번역 기사로 보입니다.http://www.darkreading.com/vulnerabilities---threats/chinese-isp-china-is-victim-of-foreign-state-backed-apt-group/d/d-id/1320716 서방 언론의 러시아와 중국에 대한 신뢰가 바닥임을 여실히 보여주는 기사가 아닐까 합니다. 제 상식에서는 현재 세계 각국은 사이버첩보를 직접 혹..

떼베생몽드(TV5 Monde) 침해 사고 분석

'프랑스 국영 TV 해킹 악성코드, 실체를 밝힌다'http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23629&dir_group_dist=0 월간 안 2015년 5월호 [Threat Analysis] 제목입니다.언제나 처럼 제목은 월간 안 편집 흥미롭게(?) 지었습니다. 2015년 4월 8일 떼베생몽드(TV5 Monde) 침해 사고 관련해서는 처음에 악성코드 부터 먼저 접했습니다.관련 악성코드를 보다가 2013년 3월 20일 국내 방송국 시스템에 문제가 생긴 것 처럼 떼베생몽드 내부 시스템 장애가 발생했고 방송 송출도 중단되었다는걸 알게 되었습니다. 직접 연관성을 확인하긴 어렵지만 Njr..

올드 보이의 귀환 ? 매크로 악성코드 증가

매크로 악성코드의 증가가 눈에 띄게 느껴진건 작년 하반기 부터입니다.2015년에는 갑자기 급격히 증가하게 되었습니다.- 하루에 100개 가까지 접수 된 적도 잇습니다. 그래서 매크로 악성코드 관련 콘텐츠를 작성해야겠다고 생각하고 신입 분석가 JYP와 같이 작업했습니다. 원래는 설 전에 작성하려 했지만 매크로에 암호 걸린 문서 깨기, XML 형태 등장 등 몇가지 돌발(?) 변수가 발생해 더 보강된다고 늦어졌습니다. 내부판을 일단 만들고 공개 가능한 내용으로 월간 안 2015년 4월호에 실렸고 일부를 정리해서 ASEC 블로그에 올렸습니다. 사회공학 기법 사용하는 매크로 악성코드 주의 (http://asec.ahnlab.com/1027) [Threat Analysis] 매크로 악성코드 증가…올드보이의 귀환? ..

Embedded Linux 악성코드 동향

Embedded Linux 악성코드 동향 인터넷 공유기 악성코드 동향입니다.앞으로 NAS 등으로도 넓히고 최종적으로는 IoT 악성코드에 대해서도 추가할 예정입니다. 공개용이라 안랩 내부 발표 때 보다 삭제된 내용이 많습니다. http://www.slideshare.net/JackyMinseokCha/embedded-linux-20150323-v10 Embedded Linux 악성코드 동향_20150323_v1.0 공개판.pdf 개인적으로는 제목 정하기가 참 어려웠습니다처음 인터넷 공유기 악성코드 였는데... 외국에서는 홈 라우터(Home Router) 등으로 부르더군요.그래서 Home Router 라고 했다가 이게 대부분 임베디드 리눅스와 연관되더군요.그래서 임베디드 리눅스 악성코드라고 했다가 사실 임베..

외장하드의 바이러스(악성코드)를 원천차단 기능 ?!

외장하드를 알아보다 '바이러스 원천차단'과 같은 광고 문구가 있더군요. 바이러스 원천차단 ?그런 기술이 어떻게 가능하지 ?OS에서 지금 쓰려고 하는 자료가 악성코드(바이러스)인지 아닌지 어떨게 알지 ?! 이런 생각이 드네요. 읽어보니 '공인인증서 완벽 보안 관리 - 감염된 PC에 연결해도 바이러스 원천 차단'이라고 되어 있네요.(이외에 바이러스 원천 차단에 대한 내용은 못 찾았습니다.) 아마도 외장하드에 저장된 공인인증서를 완벽 보호 한다는 의미 같습니다.이건 공인인증서 보호이지 악성코드 원천 차단이라고 보기는 어렵다고 생각됩니다. 개인적으로는 악성코드에 감염된 상태에서 공인인증서를 보호하기는 어려울 것 같지만 제가 모르는 새로운 기술이 있을 수 있겠죠.(암호화는 악성코드 예방에는 큰 도움이 안됩니다.)..

OS X bash 취약점 패치

이른 바 shellshock로 알려진 Bash 취약점이 발견된지 며칠지났습니다. Apple에서도 9월 29일 Mac의 OS X 패치를 공개했습니다.아쉽게도 자동 업데이트로 적용되지 않고 프로그램을 다운로드 받아 실행 해야만 합니다. 게다가 버전별로 따로 다운로드 받아야 합니다. - OS X 10.7 Lionhttp://support.apple.com/kb/DL1767 - OS X 10.8 Mountain Lionhttp://support.apple.com/kb/DL1768 - OS X 10.9 Mavericks http://support.apple.com/kb/DL1769 애플에서는 보안 위험이 낮다고 생각해 저렇게 배포하는 듯 한데 조금 아쉽네요.

POS 시스템 악성코드 종류

[Special Report] POS 시스템도 해킹 안전지대 아니다 (월간 안, 2014년 9월호) http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22820&dir_group_dist=0 ------- 올해는 POS 시스템 악성코드로 상반기를 다 보냈네요. 사실 이 글까지 오게 된건 2013년 11월 발생한 미국 Target 사 해킹에 사용된 악성코드에서 'Korea'라는 문자열을 발견해서 입니다. "악성코드 내에 Korea' 라는 문자열이 있습니다.""그래 ? 좀 더 파봐..." Target 사 공격 악성코드를 보면서 Target 해킹 방식을 파악하고 2014년 4월에는 국내 POS..

2014년 2분기 주요 정보보안 소식

2014년 2분기 주요 정보보안 소식입니다. case study는 국내 POS 시스템 관리 업체 서버 해킹 관련 정보입니다. 해당 내용은 월간 안에도 실릴 예정입니다글은 7월 말 완료되었는데 내부 사정으로 월간 안에는 다음 달에 실릴 예정입니다. 원래 월간 안과 이 자료를 동시에 공개하려 했는데 한달 늦어져 일단 일부 자료만 공개합니다 결론은 국내 POS 시스템 관리 업체 보안은 .... TT

새로운 백도어 ?! 하지만 정체는...

매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠. 뭔가 이상한 샘플이 눈에 띄었습니다. Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다. 변형을 검색해보니 6개나 있더군요. 그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다. 요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝... IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다. 이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요. 악성코드에서 웬..

[기사] 구글 선임 엔지니어 “안드로이드 보안 앱 까느니..."

- 구글 선임 엔지니어 "안드로이드 보안 앱 까느니, 방탄 조끼 입고 침대에서 나서라"http://techneedle.com/archives/17503 물론 구글 엔지니어가 "우리 제품 보안에 취약합니다."라고 말할 수는 없을 겁니다.하지만, 현실을 제대로 보지 못하는 문제가 크네요.(애써 외면하는 걸로 보이네요.) 현존하는 모바일 악성코드 대부분이 Android 기반입니다.국내에서는 인터넷 뱅킹 탈취 악성코드가 문제가 심하지만 외국도 각종 사용자가 불편하게 느끼는 광고 앱, 백도어가 출몰하고 있습니다. 게다가 구글 앱을 통해서도 악성 앱이 배포된 사례가 있으니 앱 자체도 마음놓고 설치하기 어렵습니다. 물론 확률의 문제이긴 합니다.하지만, 확률을 낮추는 환경을 만들고 나서 저런 얘기를 해야 하지 않을까 ..

728x90
반응형