13일 (토)  울산 내려갑니다.

부모님 결혼 기념일 축하겸.. 발표였는데...


이런 기사까지 났네요 @.@...






- http://www2.enewstoday.co.kr/sub_read.html?uid=285165&section=sc1


- http://www.newsis.com/ar_detail/view.html?cID=&ar_id=NISX20130411_0011993311



가끔 인터뷰 등으로 언론에 실릴 때는 별 감동(?)이 없었는데 이렇게 기사 뜨니 새롭네요.


갑자기 압박이 (....) ㅎㅎ

욕먹고 춥고 배고픈 직업이라고 얘기하려 했는데...

어떻게 돌려 말해야 하나 ~ ㅋ




Posted by mstoned7

댓글을 달아 주세요

  1. 잡다한 처리 2013.04.12 10:01 신고  댓글주소  수정/삭제  댓글쓰기

    사실대로 말씀하시면 꿈나무가 안클듯 ㅎㅎ 좋은 이야기 많이 해주시고 오세요^^

OS X 마운틴라이온 10.8.3이 나왔습니다.



맥도 이제 보안을 위해 업데이트를 지속적으로 진행해야겠죠.


Posted by mstoned7

댓글을 달아 주세요

2013년 2월 Apple, Facebook, Twitter, Microsoft (Mac 개발 부서) 등의 악성코드 감염이 보도되었습니다.



 
Apple, Facebook, Twitter hacks said to hail from Eastern Europe 
- http://news.cnet.com/8301-1009_3-57570194-83/apple-facebook-twitter-hacks-said-to-hail-from-eastern-europe/

- Exclusive: Apple, Macs hit by hackers who targeted Facebook
http://www.reuters.com/article/2013/02/19/us-apple-hackers-idUSBRE91I10920130219


처음에는 연관없는 별도 사건으로 보였지만 어느 정도 확인된 바로는 모두 맥 시스템이 감염된겁니다.


당시 자바(Java) 제로데이 취약점을 통해 악성코드가 배포되었고 이들 시스템이 감염된걸로 보입니다.

어쩌면 4개 업체 모두 동일한 악성코드에 감염되었을 수 있습니다.


여기에 몇가지 의문이 있습니다.


첫째, 모두 동일 악성코드인가 ?

둘째, 왜 공격자는 개발자 사이트에 악성코드를 심었는가 ? 또 개발자 관련 사이트에만 악성코드를 심었는가 ?

셋째, GateKeeper를 어떻게 우회했는가 ? (요즘 기사에도 나오던데... 저도 GateKeeper 부분은 문제를 확인했고 정확한 테스트 후에 공개하겠습니다.)


이제 일종의 퍼즐 게임이 되었습니다.


최초에 문제를 제기했던 Intego의 글을 참조해 보죠.


http://www.intego.com/mac-security-blog/more-details-surface-about-recent-apple-hack/





결국 공격을 받은 업체들이 정보를 공유해야지만 정확한 사건의 진상이 밝혀 질걸로 보입니다.


여기서 한가지 흥미로운 점을 발견했습니다.


해킹되어 악성코드가 심어진 웹사이트로 알려진 곳의 방문자 현황입니다.




F-Secure의 정보를 보면 국내에서도 3.4 % 로 꽤 많이 방문했습니다.


http://www.f-secure.com/weblog/archives/00002506.html




결국 트위터, 페이스북, 애플, 마이크로소프트웨어 만의 문제는 아닌 걸로 보입니다.

(처음에는 표적공격으로 생각했는데 해당 업체만 노린건 아닌걸로 보입니다.)


정말 모바일 개발자들을 노린 걸까요 ?

그렇다면 과연 공격자는 무엇을 얻으려고 했을까요 ?

또 국내 모바일 프로그램 개발 환경 중 맥이 제법 많은 걸로 알고 있는데 과연 얼마나 감염되었을까요 ?


여전히 몇가지 의문점이 있지만 조금씩 퍼즐이 맞춰야겠죠.







Posted by mstoned7

댓글을 달아 주세요


요즘 CSI 보는 재미에 빠져서 매일 조금씩 보고 있습니다.

(이제 시즌 1 보고 있으니 아직 한참 남았죠.)


생소한 용어가 나오니 잘 이해가 안되지만 그래도 컴퓨터 얘기가 나오면 좀 아니까 유심히 보게되죠.


CSI Newyork 시즌 1 에피소드 8. Three Generations are enough 에서 불에탄 하드디스크를 복원하는 내용이 나옵니다.


Virtua Drive V9.1 이라.... 여기까지는 뭔가 있어보이네요.


갑자기 뭔가 알 수 없는 기호가 쏟아지네요.

(어라.. 설마 내가 생각하는 그건 아니겠지라고 ....)




헉.. 제가 생각하던 헥사 덤프네요.




뭔가 암호같은 코드에서 의미 있는 내용을 찾아냅니다. 



결국 이 장면에서 결국 드라마이구나하는 생각이 들더군요.

(다른 내용에서도 관련 일을 하는 사람들이 씨익 웃겠죠.)


일단 컴퓨터에 저장되는 내용은 화면 처럼 어느 정도 알아 볼 수 있는(?) 텍스트 형태가 그럼 처럼 말로 표현하기 힘든 코드 값이 대부분입니다.

(본문에 사용한 그림 파일의 헥사 덤프를 캡쳐 한 겁니다.) 




물론, 메일 본문이니까 텍스트가 올 수 있겠죠. 하지만, 보통 메일은 MIME 형태로 보관됩니다


http://en.wikipedia.org/wiki/MIME 에 보면 좋은 예제가 있네요.


메모장에 해당 내용을 복사해서 헥사 에디터로 봅니다.

아래처럼 보입니다.



CSI 내에서 나온 화면과는 다소 다르죠 ?

좀 더 디테일한 부분까지 신경 썼으면 더 멋진 작품이 될 수 있었을텐데 말이죠..... 

하지만, 이런 옥의 티(?)가 있어도 CSI 는 참 재미있습니다.



Posted by mstoned7

댓글을 달아 주세요


2013년 3월 8일(금) 

숙대에서 열린 버그트럭 모임에서 발표한 자료입니다.





그동안 수집하고 정리한 사이버범죄-핵티비즘-사이버전에 대한 내용입니다.

원래 문서에는 국가별 현황에 대해서도 정리하고 있지만 수집 자료가 적어 발표에서는 제외했습니다.


발표 자료에는 포함했지만 공개 자료에는 일부 민감한(?) 내용은 제외했습니다.


사이버 범죄-핵티비즘-그리고 사이버전(Bugtruck 발표용)_차민석_20130308.pdf


Posted by mstoned7

댓글을 달아 주세요


악성코드 중 다수는 스스로 압축을 해제 할 수 있는 SFX (Self-Extracting) 파일 형태로 존재합니다.


백신에서 진단 할 때 압축되기 전 내용은 동일할 수 있기 때문에 앞부분을 잡으면 오진 납니다.

백신 업체 분석가가 처음 일하면 많은 사람들이 공통 부분을 진단값으로 잡아 오진을 발생시킵니다.

- 저도 그랬습니다 ~


1) WinRAR


WinRAR SFX는 실제 압축 파일이 rar!로 시작합니다.



악성코드 제작자들이 가장 많이 사용하는 드롭퍼(Dropper)가 아닐까 합니다.


2) Zip


WinZip(추정) SFX 파일은 PK로 시작하는 헤더를 볼 수 있습니다.





3) HaoZip


중국산 압축 프로그램입니다.


- HaoZip

http://www.haozip.com/Eng/index_en.htm



악성코드를 HaoZip으로 압축하고 EXE 파일로 만드는 경우가 종종 있습니다.


압축 파일은 7z으로 시작하는걸로 알 수 있습니다. 

7Zip 모듈을 사용한걸로 보입니다.



중국에서 많이 사용되다보니 아무래도 중국산 악성코드에서 종종 발견됩니다.







Posted by mstoned7

댓글을 달아 주세요


보안 강박남과 위생 철저녀의 생확속 보안 이야기가 2013년 2월 14일 안랩 시큐리티 레터 469호에 실렸습니다.



- http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=20565&dir_group_dist=0


---


원제목은 '보안 강박남과 물기 강박녀의 만남'이었습니다.

제목은 약간 흥미를 위해 다소 과장된 내용은 있습니다.


전 보안 강박남까지는 아닙니다 ㅎㅎ

특히 대화는 편집을 거친 내용입니다.



이 이야기는 결혼하고 얼마되지 않아 느꼈던 내용인데 다른 보안 사건이 많다보니 내용이 점점 늦어져 결혼 한지 1년 정도되어서 공개되었네요.


아내는 글 나오면 알려달라고 했는데 알려줘도 될까 모르겠네요 @.@








Posted by mstoned7

댓글을 달아 주세요


맥 사용자가 증가하면서 악성코드도 증가하고 있습니다

물론 윈도우나 안드로이드에 비해서는 아직 덜 위험합니다.


평소 맥 악성코드가 얼마나 발견되고 있을까 궁금했는데 핀란드 F-Secure 2012년 위협 동향에 맥 악성코드에 대한 언급이 있습니다.




- Threat Report H2 2012

http://www.f-secure.com/static/doc/labs_global/Research/Threat_Report_H2_2012.pdf



2011년 59개에서 2012년 121개의 새로운 악성코드가 발견되었다고 합니다.

전년 대비 2배 정도 증가한 수입니다.

(참고로 F-Secure 기준의 집계입니다.)




맥 악성코드 종류도 흥미롭습니다.


몇년 전만해도 가짜 백신 프로그램(허위 보안 프로그램)이 많이 발견되었는데 2012년에 발견된 맥 악성코드 중 85%가 백도어(Backdoor)입니다.


맥 악성코드 제작 목적이 단순한 금전 목적보다 자료 유출로 변화하고 있음을 알 수 있습니다.


이는 기업이나 개인의 맥 사용자가 증가했기 때문으로 예상됩니다.


특히 기업에서 맥 사용자가 증가했습니다. 국내 기업(공공기관은 아직 드물겠죠.)에서 맥 사용자가 많아졌죠. 안랩내에도 맥 사용자가 많습니다. 어떤 기업은 절반 이상 혹은 100% 맥을 사용하는 경우도 있습니다.


기업에서도 이제 맥에 대한 보안정책을 세워야 하지 않을까 합니다.


공격자는 이미 기업의 정보를 빼내기 위해 맥 시스템에 대한 공격을 준비하고 있을지 모릅니다.



Posted by mstoned7

댓글을 달아 주세요

  1. JQ 2013.02.08 09:04 신고  댓글주소  수정/삭제  댓글쓰기

    생각보다 많이 있네요... 참고하겠습니다.^^


백신 업체들에서 노트가 나온게 있어 한번 찍어봤습니다.


안랩 노트입니다.

오른쪽이 2002년 (당시 안철수연구소)이고 왼쪽이 최근인데 언제인지 기억 안납니다. (2009년-2011년 일 듯)



안랩 로고에 Ahnlab.com이 들어갔었죠.

당시 닷컴 기업 열기 때문일 겁니다. 요즘은 닷컴 사용 잘 안하죠.



체코 Avast 노트입니다.

버전 6.0이면 2011년 쯤 받은게 아닐까 추정합니다.




속지에 제일 깔끔하네요.



Microsoft와 노르웨이 Norman입니다.

노르웨이어로 보이는데 읽을 수 없어 정확한 의미는 모르겠네요.





Posted by mstoned7

댓글을 달아 주세요

슬로바키아 백신업체인 Eset이 국내에 새롭게 진출합니다.


예전에는 김랩(Kim Lab)이 국내 파트너였습니다.


http://www.nod32korea.com (이전 국내 파트너 김랩)




이번에는 (주)노드32코리아로 본격(?) 진출했습니다.


http://www.nod32korea.co.kr/


ESET 북미 법인이 잠깐 언급되네요.



2010년 태국 갔을 때 시장 규모가 작아서 그런지 다른 업체는 영문 버전을 팔았는데 유일하게(적어도 제가 본 제품 중에는) 태국어 버전을 판매하고 있어 Eset의 노력이 대단해 보였죠.


그런데, 홈페이지 주소를 제품이름인 NOD32로 사용한건 좀 의외네요.

일반인들에게는 NOD라는 제품명이 익숙하지 않을텐데 말이죠.


앞으로 국내에서 다른 제품들과 어떤 경쟁을 할지 기대됩니다.


* 관련기사


- ESET, 한국법인 설립하고 ‘NOD32’ 영업 본격화 (보안뉴스, 2013년 1월 14일)

http://www.boannews.com/media/view.asp?idx=34429&kind=14


--------

정확하게 Eset의 한국 지사는 아니고 새로운 파트너사라고 합니다.

Eset 제품을 국내에 판매하는 곳은 크게 두 곳 있습니다.


http://www.nod32korea.com/  (김랩)

http://www.nod32korea.co.kr/ (노드32코리아)


관련 내용을 알려주신 분께 감사드립니다.





Posted by mstoned7

댓글을 달아 주세요

  1. 2013.04.07 20:55  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • mstoned7 2013.04.08 08:51 신고  댓글주소  수정/삭제

      국내 지사는 아니고 또 다른 판매처이죠 ?
      글을 쓰고 관련 내용은 들었는데 업데이트 하지는 않았는데 업데이트 진행하겠습니다.

  2. 2013.05.14 10:15  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다