POS System 노리는 악성코드 공개판입니다.


2014년 11월 16일(일) 외부에서 발표하는 내용 공개판입니다.






POS System 노리는 악성코드_차민석_20141115_공개판.pdf





Posted by mstoned7

댓글을 달아 주세요


이른 바 shellshock로 알려진 Bash 취약점이 발견된지 며칠지났습니다.


Apple에서도 9월 29일 Mac의 OS X 패치를 공개했습니다.

아쉽게도 자동 업데이트로 적용되지 않고 프로그램을 다운로드 받아 실행 해야만 합니다.


게다가 버전별로 따로 다운로드 받아야 합니다.






애플에서는 보안 위험이 낮다고 생각해 저렇게 배포하는 듯 한데 조금 아쉽네요.




Posted by mstoned7

댓글을 달아 주세요


[Special Report] POS 시스템도 해킹 안전지대 아니다 (월간 안, 2014년 9월호)


http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22820&dir_group_dist=0





-------


올해는 POS 시스템 악성코드로 상반기를 다 보냈네요.


사실 이 글까지 오게 된건 2013년 11월 발생한 미국 Target 사 해킹에 사용된 악성코드에서 'Korea'라는 문자열을 발견해서 입니다.


"악성코드 내에 Korea' 라는 문자열이 있습니다."

"그래 ? 좀 더 파봐..."


Target 사 공격 악성코드를 보면서 Target 해킹 방식을 파악하고 2014년 4월에는 국내 POS 시스템 관리 업체를 해킹한 일당이 검거도 알려집니다. 해당 악성코드 정보를 얻어 차근차근 따라가보니 바꿔치기 된 파일 등도 알 게 되었습니다.


그러다가 결국 2009년 - 현재까지 주요 POS 시스템 노린 악성코드를 쓰게 되었습니다.



당분간 POS 시스템에서 카드 긁을 때 한번 더 고민해야 하지 않을까 합니다.

보다 안전한 POS 시스템이 되었으면 합니다.






Posted by mstoned7

댓글을 달아 주세요

  1. 잡다한 처리 2014.09.02 09:36 신고  댓글주소  수정/삭제  댓글쓰기

    궁금했던 부분이 이 글로 인해 풀렷네요 ㅎㅎㅎ
    잘봤습니다^^

2014년 2분기 주요 정보보안 소식입니다.




case study는 국내 POS 시스템 관리 업체 서버 해킹 관련 정보입니다.


해당 내용은 월간 안에도 실릴 예정입니다

글은 7월 말 완료되었는데 내부 사정으로 월간 안에는 다음 달에 실릴 예정입니다.


원래 월간 안과 이 자료를 동시에 공개하려 했는데 한달 늦어져 일단 일부 자료만 공개합니다


결론은 국내 POS 시스템 관리 업체 보안은 .... TT 






2014년 2분기 주요 정보보안 소식_공개판_차민석_20140801.pdf



Posted by mstoned7

댓글을 달아 주세요

  1. 또만났네 2014.08.04 17:19 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 블로그 내용이 좋아서♡ 블로그모음 서비스인 블로그앤미(http://blogand.me) 에 등록했습니다. 원하지 않으시면 삭제하겠습니다. 좋은 하루 되세요. ^^

매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠.


뭔가 이상한 샘플이 눈에 띄었습니다.

 

Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다.





변형을 검색해보니 6개나 있더군요.


그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다.




요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝...


IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다.


이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.

문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요.



악성코드에서 웬 다이렉트 X를... ?!


몇가지 정황에서 이건 게임과 관련된게 아닐까하는 의심이 들었습니다.


인터넷 검색을 통해 DayZ라는 게임이 있네요. (....)




뭔가 새로운 악성코드라고 생각했는데 게임 봇이었다니…

약간의 허털감...



어릴 때부터 컴퓨터를 해왔고 게임을 즐겨 했지만 나이가 들면서 게임 할 시간이 없고 요즘 게임은 거의 하지 못해 게임을 잘몰라서 발생한 일입니다.

특히 악성코드와 게임 오토 프로그램 용어가 유사 (Hack, bot, zombie, Troyan ....)하고 입력 부분을 가로채는 기능 등이 존재해 발생하는 헤프닝이기도 합니다.



결론은 악성코드 분석가들이여 게임을 하자 !

(좀.. 이상하네요 ㅋ)




Posted by mstoned7

댓글을 달아 주세요

  1. Codetronik 2014.07.28 14:58  댓글주소  수정/삭제  댓글쓰기

    그래서 제가 보안을 더 잘하기 위해 최신 게임의 트렌드를 파악하고 있죠~!(라고 자기 합리화 중)



- 구글 선임 엔지니어 "안드로이드 보안 앱 까느니, 방탄 조끼 입고 침대에서 나서라"

http://techneedle.com/archives/17503


물론 구글 엔지니어가 "우리 제품 보안에 취약합니다."라고 말할 수는 없을 겁니다.

하지만, 현실을 제대로 보지 못하는 문제가 크네요.

(애써 외면하는 걸로 보이네요.)


현존하는 모바일 악성코드 대부분이 Android 기반입니다.

국내에서는 인터넷 뱅킹 탈취 악성코드가 문제가 심하지만 외국도 각종 사용자가 불편하게 느끼는 광고 앱, 백도어가 출몰하고 있습니다.


게다가 구글 앱을 통해서도 악성 앱이 배포된 사례가 있으니 앱 자체도 마음놓고 설치하기 어렵습니다.


물론 확률의 문제이긴 합니다.

하지만, 확률을 낮추는 환경을 만들고 나서 저런 얘기를 해야 하지 않을까 합니다.


마이크로소프트사가 보안 문제가 윈도우의 발목을 잡을 수 있다고 심각하게 생각한 것 처럼

구글도 계속 이 상태로 가면 안드로이드 보급의 발목을 잡을 수 있을 겁니다.


당장 저부터 보안 생각해서 스마트폰으로 갈아타면 안드로이드가 아닌 아이폰으로 바꾸려고 합니다.

(통신사까지 바꿔야하는 귀찮음이 있습니다만...)









Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2014.07.12 11:39 신고  댓글주소  수정/삭제  댓글쓰기

    아직 스마트폰이 아니신가 봅니다? 저도 그런데..ㅎ

2014년 6월 14일 wowhacker 세미나에서 발표한 'PE 파일은 시작일 뿐..'입니다.

소개, 짤방 등을 제거했습니다.


제목도 다소 밋밋하게 바꿨습니다.


시간을 잘못봐서 폭주해서 1시간 20분 동안 발표한 자료입니다 ㅋ

시간 관계상 몇몇 악성코드는 빠져있고 대충 넘어간 파일 종류도 많은데 이후 업데이트 예정입니다. 



악성코드 파일 종류_차민석_20140618.pdf



Posted by mstoned7

댓글을 달아 주세요

  1. Codetronik 2014.06.19 08:41 신고  댓글주소  수정/삭제  댓글쓰기

    감사히 잘 보겠습니다

  2. penguin 2014.06.19 14:34  댓글주소  수정/삭제  댓글쓰기

    감사합니다. 잘 볼께요!

  3. 로그에 2014.06.23 14:49  댓글주소  수정/삭제  댓글쓰기

    휴리스틱 오진인 것 같은데...5월30일도 있는 거 봐서...antivir쪽에 빨리좀 해주셨으면...
    Virus or unwanted program 'HEUR/Malware [heuristic]'
    detected in file 'C:\Program Files\V3Lite\ASC\79\fse_file.dll.
    Action performed: Deny access

백신 시리즈입니다.


순서는 백신(Vaccine) -> 백신2 (Vaccine) -> V2Plus -> V3 -> V3+ -> V3+ Neo 입니다.



먼저 1988년 Brain 바이러스 퇴치를 위해 제작된 백신(Vaccine) 프로그램입니다.



1989년 발견된 LBC 바이러스를 퇴치하기 위해 백신 II (Vaccine II)가 제작됩니다.



예루살렘 바이러스(Jerusalem virus)가 발견되면서 파일을 검사 할 수 있는 기능이 추가된 백신2 플러스 (V2Plus) 1.0 입니다.



V2Plus 의 진단법 등을 새롭게 개선한 백신3(Vaccine III, 줄여서 V3) 입니다.

정식버전은 37개 바이러스를 진단/치료 할 수 있었습니다.



1995년 안철수컴퓨터바이러스연구소(헉.. 길다)가 만들어지면서 어셈블리로 제작된 소스코드를 C 언어로 포팅하는 대대적인 작업이 있었습니다. (이때부터 V3.COM 에서 V3.EXE가 됩니다.)



1999년 UI 를 개선한 V3 플러스 네오(Vaccine III Plus Neo, V3 Plus Neo)가 탄생합니다.



이후 DOS 메모리 문제로 컴파일러도 변경되고 엔진도 Flight 에서 TS 엔진이 적용된 V3+ Neo가 나옵니다.

(겉모습은 크게 변한게 없습니다.)


2010년 마지막 도스 버전 V3+ Neo 입니다.

도스 프로그램 주제에(?) 160 MB 에 육박하는 거대한 프로그램입니다.











Posted by mstoned7

댓글을 달아 주세요

  1. 2014.05.22 15:27  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 하지 2014.05.31 11:39  댓글주소  수정/삭제  댓글쓰기

    하하하...다는 아니더라도...옛날PC통신 때 거는 지워서 없더라도...
    인터넷 시대 버전은 조금 갖고는 있는데...그닦 필요는 없지만 소장용...
    ...
    바이러스 검사하려면...그냥 v3lite 하면 될 것을...
    ...
    ps>윈98이라면 날짜지나면 경고문구나오는 v3대신...
    다른 거 옛날걸로 검사하는 방법도 있는데...
    ...
    ps>work 프롬프트라...한글 설치하면 나오는 기본 디렉토리인가요...
    아니면 작업하시느라...만드신 건지...^^
    아니면 작업용img복원에 걍 되어있어서 거기서 하시는 건지도...^^

  3. lbc바이러스 소스 2014.06.07 21:22  댓글주소  수정/삭제  댓글쓰기

    관리자의 승인을 기다리고 있는 댓글입니다


2014년 1분기 주요 정보보안 소식입니다.


분기별로 자료를 정리하다 보면 늘 빼먹는게 늦게 발견되네요.

그리고 시간과 노력에 비해 페이지 수는 크지 않네요 ...






2014년 1분기 주요 정보보안 소식(공개판)_20140503.pdf


Posted by mstoned7

댓글을 달아 주세요

  1. 2014.05.17 14:43  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. earth 2014.05.17 18:57  댓글주소  수정/삭제  댓글쓰기

    계속 시비와 딴지를 건다면, 그건 좌던,우던,
    언론이 아니라, 공산x+쪽xx+찌xx 뿐 (반대를 위한 반대)
    자기네 편에겐 관대하고, 반대파만 디스하고,
    ,
    와~ 참세o,여성oo 등은 봐주더라도,
    ,
    한~,프~,경~,등, 다시 보게 됐음, 이건 좌 신문도 아니야~ ㅂㅅㅁ,
    ,
    ps>진실 포함된 기사 찾기가 좀 힘드네요
    http://news.naver.com/main/read.nhn?oid=008&aid=0003256961
    http://news.naver.com/main/read.nhn?oid=023&aid=0002742359
    http://news.naver.com/main/read.nhn?oid=088&aid=0000341752
    ,
    ps>이분 사퇴하신다더니 말바꾸신듯, 보소, 어느나라 나리들쇼?
    ,
    http://news.naver.com/main/read.nhn?oid=047&aid=0002055855
    ~ - '새누리당은 기초연금법 처리하지 말라, '배째라'는 식이었다,
    이런 상황에서 우리가 받아낼 게 없다'고 하더라.
    새정치연합이 무언가를 얻어낼 수 있는 상황이 아니었다는 것이다.
    ->
    :그렇다면 기초연금법 처리가 안 된 상태에서 지방 선거를 치렀어야 했다.
    이미 세월호 때문에 모든 이슈가 그 쪽으로 흘러갔고 정세 분석가들도,
    지방 선거에서 세월호 이외의 것들이 쟁점화되리라고 보지 않고 있었다.
    ...통과가 안 됐을시,
    그게 무조건 야당 탓이 되겠나. 야당만 일방적으로 욕 먹는 상황은 아니었다.~


Injection 기법 및 분석법입니다.


숭실대 수업 자료 중 일부로 공개 버전을 만들었습니다.


최근 유행하는 기법은 아직 반영되어 있지 않습니다.

(추후 업데이트 예정입니다.)


* 자료의 일부는 팀 사람들 발표 자료를 복사했습니다 ~



Injection 기법_20140417_공개 버전.pdf






Posted by mstoned7

댓글을 달아 주세요

  1. 질문글 2016.06.13 16:32  댓글주소  수정/삭제  댓글쓰기

    강의글 재미있게 봤습니다.
    injection 기법에 대해서 공부하고있는데
    최근 유행하는 기법에 대해서도 궁금해서 그런데
    혹시 자료 공유가능할까요??