쿨캣의 블로그 놀이

[Special Report] POS 시스템도 해킹 안전지대 아니다 (월간 안, 2014년 9월호) http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22820&dir_group_dist=0 ------- 올해는 POS 시스템 악성코드로 상반기를 다 보냈네요. 사실 이 글까지 오게 된건 2013년 11월 발생한 미국 Target 사 해킹에 사용된 악성코드에서 'Korea'라는 문자열을 발견해서 입니다. "악성코드 내에 Korea' 라는 문자열이 있습니다.""그래 ? 좀 더 파봐..." Target 사 공격 악성코드를 보면서 Target 해킹 방식을 파악하고 2014년 4월에는 국내 POS..

2014년 2분기 주요 정보보안 소식입니다. case study는 국내 POS 시스템 관리 업체 서버 해킹 관련 정보입니다. 해당 내용은 월간 안에도 실릴 예정입니다글은 7월 말 완료되었는데 내부 사정으로 월간 안에는 다음 달에 실릴 예정입니다. 원래 월간 안과 이 자료를 동시에 공개하려 했는데 한달 늦어져 일단 일부 자료만 공개합니다 결론은 국내 POS 시스템 관리 업체 보안은 .... TT

매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠. 뭔가 이상한 샘플이 눈에 띄었습니다. Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다. 변형을 검색해보니 6개나 있더군요. 그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다. 요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝... IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다. 이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요. 악성코드에서 웬..

- 구글 선임 엔지니어 "안드로이드 보안 앱 까느니, 방탄 조끼 입고 침대에서 나서라"http://techneedle.com/archives/17503 물론 구글 엔지니어가 "우리 제품 보안에 취약합니다."라고 말할 수는 없을 겁니다.하지만, 현실을 제대로 보지 못하는 문제가 크네요.(애써 외면하는 걸로 보이네요.) 현존하는 모바일 악성코드 대부분이 Android 기반입니다.국내에서는 인터넷 뱅킹 탈취 악성코드가 문제가 심하지만 외국도 각종 사용자가 불편하게 느끼는 광고 앱, 백도어가 출몰하고 있습니다. 게다가 구글 앱을 통해서도 악성 앱이 배포된 사례가 있으니 앱 자체도 마음놓고 설치하기 어렵습니다. 물론 확률의 문제이긴 합니다.하지만, 확률을 낮추는 환경을 만들고 나서 저런 얘기를 해야 하지 않을까 ..

2014년 6월 14일 wowhacker 세미나에서 발표한 'PE 파일은 시작일 뿐..'입니다.소개, 짤방 등을 제거했습니다. 제목도 다소 밋밋하게 바꿨습니다. 시간을 잘못봐서 폭주해서 1시간 20분 동안 발표한 자료입니다 ㅋ시간 관계상 몇몇 악성코드는 빠져있고 대충 넘어간 파일 종류도 많은데 이후 업데이트 예정입니다.

백신 시리즈입니다. 순서는 백신(Vaccine) -> 백신2 (Vaccine) -> V2Plus -> V3 -> V3+ -> V3+ Neo 입니다. 먼저 1988년 Brain 바이러스 퇴치를 위해 제작된 백신(Vaccine) 프로그램입니다. 1989년 발견된 LBC 바이러스를 퇴치하기 위해 백신 II (Vaccine II)가 제작됩니다. 예루살렘 바이러스(Jerusalem virus)가 발견되면서 파일을 검사 할 수 있는 기능이 추가된 백신2 플러스 (V2Plus) 1.0 입니다. V2Plus 의 진단법 등을 새롭게 개선한 백신3(Vaccine III, 줄여서 V3) 입니다.정식버전은 37개 바이러스를 진단/치료 할 수 있었습니다. 1995년 안철수컴퓨터바이러스연구소(헉.. 길다)가 만들어지면서 어셈블리..

2014년 1분기 주요 정보보안 소식입니다. 분기별로 자료를 정리하다 보면 늘 빼먹는게 늦게 발견되네요.그리고 시간과 노력에 비해 페이지 수는 크지 않네요 ...

Injection 기법 및 분석법입니다. 숭실대 수업 자료 중 일부로 공개 버전을 만들었습니다. 최근 유행하는 기법은 아직 반영되어 있지 않습니다.(추후 업데이트 예정입니다.) * 자료의 일부는 팀 사람들 발표 자료를 복사했습니다 ~

페북 모님으로 부터 패킷을 받았습니다.(다시 한번 감사합니다.) fiddler에서 사용하는 saz 이군요.(실제 파일은 zip 파일입니다.) 1. fiddler 설치 fiddler은 .Net 을 필요로 합니다.윈도우 7에서는 닷넷 4.x가 포함되어 있으니(저는 별도 설치한 기억이 없으니) fiddler v4 버전을 설치합니다. http://www.telerik.com/download/fiddler 에서 다운로드 합니다. 회사에서는 대체로 자동화된 시스템에서 샘플이 수집 되어서 패킷을 보는 경우는 많지 않은데 요즘은 fiddler 를 많이 사용하더군요. 몇 번 사용 안 해봐서 아직 익숙하지는 않습니다. 2. saz 열기 [File] -> [Load Archive]로 saz 파일을 엽니다. 그럼 주고 받은 ..

* 2014년 3월 15일 tistory가 차단 당했는데요. 이에 대한 분석 내용입니다. 일반분은 이번 내용만 보면 되고 분석가 혹은 분석에 관심 있는 분들은 그 다음 글도 읽으시면 됩니다. 2014년 3월 15일 블로그에 글 올리려고 들어왔더니 파이어폭스(Firefox)가 차단해 버립니다. '오진인가.. 아니면 티스토리나 포함된 플러그인으로 악성코드가 배포되나'하는 생각이 들더군요. 아무래도 이렇게 라이브한건(?) 처음보다 보니 신기해서 [차단 이유 상세 정보]를 클릭해 봅니다.하지만, 이쪽 일을 하는 저도 헷갈리는 문구 뿐이네요. (...) 제 블로그가 악성코드를 배포한적은 없고 실제 악성코드는 다른 곳(happy*.co.kr, car*.net)에서 배포 -> 1개 도메인(allb*.net)이 그 악..

2014년 3월에 공개된 칼럼은 '사진관에서 발견한 몇 가지 보안 문제' 입니다. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22263&dir_group_dist=0 어느 순간 부터 칼럼이 다음과 같이 흘러가는 듯 합니다.어디감 -> 일상에서 보안 문제 발견 -> 걱정이다 -.-;;; 이번도 그런데... 50일 된 아기 사진을 찍으러(50일 밖에 안된 아기를 왜 !!!!) 사진관에 갔다가 경험한 일입니다 사실 개인 병원이나 사진관 같은 조그마한 (그래도 종업원 10명 가까이 되는) 사업장은 보안이 엉망입니다.내부는 컴퓨터로 운영되도록 했지만 거의 외주 줬을 테고 그 외주 업체가 보..

해킹 사건이 있었습니다. - The Plague" returns to deface EC Council websitehttp://blogs.csoonline.com/malwarecybercrime/3010/plague-returns-deface-ec-council-website 관련 악성코드가 알려졌습니다. - md5 : fb0cafbd79778b50ae884af1164b9c2b- filesize : 2,048 달랑 2 KB ! 그래서 처음에는 다운로더가 아닐까 생각했습니다. (하지만 이런 예상은 빗나가곤 합니다.) 난이도가 낮고 일반적으로 쉽게 접하기는 어려운 형태의 샘플입니다.그래서, 앞으로 신입 사원 교육 때 이 샘플을 사용할까 합니다. 분석 결과가 인터넷에 있네라고 할 수 있지만 분석가에게는 단순 ..

2014년 2월 14일(금) 국회 헌정기념관에서 정보보호산업 육성과 인재양성을 목적으로 K·BoB 시큐리티 포럼 창립총회 및 기념세미나가 개최되었다고 합니다. 여기서 개인 컴퓨터로 주식거래를 하는 주식거래시스템(Home Trading System)에 대한 공격 시연이 있었습니다. - 주식거래시스템 취약점 해킹시연 영상 (데일리시큐, 2014년 2월 14일)http://www.dailysecu.com/news_view.php?article_id=6211 시연, 반응 그리고 언론 보도를 보면서 몇가지 생각이 들어서 정리해 봤습니다. 1. 악성코드 이용한 해킹 * 악성코드를 이용한게 아니라고 합니다. 따라서 아래 내용은 이번 시연과 상관이 없습니다. 동영상을 보면 HTS 시스템에 악성코드를 감염시켜 해킹 한 ..

신문 기사에서 걸프전이 최초의 사이버전이라는 내용을 보고 "또 !"라는 생각이 들었습니다. 제가 알기로 걸프전 때 미국에서 바이러스로 이라크 방공망을 무력화 했다는건 사실이 아니라고 알고 있었죠. 내용을 한번 정리해 봐야 겠다고 생각해 자료 조사를 해봤습니다. - 걸프전은 최초의 사이버 전쟁일까?http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22158&dir_group_dist=0 생각보다 시간이 오래 걸린건 사실 유무 확인이었습니다. 1. 인포월드의 1991년 4월 1일 만우절 장난 내용은 알고 있었고 구글신의 도움으로 당시 기사까지 확보 했습니다. 2. 1992년 1월 미국의 US..

2014년 1월 30일 네이버로 메일 한통 왔습니다 'Your Invoice xxxx@naver.com' 그리고 report.450205.zip 파일이 첨부되어 있습니다.바로 악성코드라는 느낌이 왔습니다. 메일 헤더는 다음과 같습니다. 1월 31일(금) 설날 오후 60일 지난 아기 때문에 고향에 못 내려가고 집에서 뒹구르르하다가 어제 받은 악성코드나 한번 봐야지 생각했죠.zip 파일을 풀면 report.exe 가 있습니다. md5는 3b292522fd8e51eda5bca943db90a4c6 https://www.virustotal.com/ko/file/c6bd553a6b3714de53dd7f889b6468bb3d371945506ec247489dfad13326a1b7/analysis/ 아차... 어제 출근..

2014년 1월 30일 설날 전날 회사 출근해서 정신 없이 100개 가까운 샘플을 처리했죠. 다 처리하고 엔진 빌드 시켜놓고 V3 엔진 소스코드 잠깐 보다가 눈에 띄는 옛날 악성코드가 보였습니다. '그때는 시간도 없고 실력도 부족해 제대로 분석 못했는데...' 라는 생각이 들었죠. 그러다가 문득 생각이 떠올랐습니다. 바로 ... 재미있었던(?) 1990년대-2000년대 초의 추억의 악성코드를 다시 분석해서 정리해보자 !!!! 다음과 같은 기준을 정해봤습니다. 1. 대상은 1990년 대 - 2000년 대 초 고전 악성코드 고전 악성코드 기준을 어떻게 정할까... 생각해 봤는데 바이러스 제작자들이 DOS에서 윈도우로 넘어가는 과도기 시절의 악성코드인 1990년대 말에서 2000년 대 초가 아닐까 생각됩니다...

* 악성코드 분석가 입장이라 단편적으로 볼 수 있어 놓치는 부분이 분명이 있을 겁니다. 2014년 1월 2일 새해 첫 출근 후 사람들과 대화하다가 미국의 보안회사인 Mandiant 얘기를 했습니다.많은 보안회사가 그러하듯 Mandiant도 유명하지만 적자로 회사가 어렵다고 하더군요.보안관제와 포렌식을 주로 하지만 미국쪽도 소프트웨어 만큼 남기는 어려운가 봅니다. 그리고, FireEye Announces Acquisition of Mandiant가 떴습니다. http://www.fireeye.com/news-events/press-releases/read/fireeye-announces-acquisition-of-mandiant FireEye가 Mandiant를 인수했습니다. FireEye가 전통적인 백신..