728x90
반응형

악성코드 362

CA 백신 유닛 팔려 Total Defense 로...

블로그 링크 정리하다가 CA 보안 블로그를 연결하니 계속 Total Defense로 나오더군요. http://www.totaldefense.com/securityblog.aspx CA의 안티바이러스 부분이 팔렸구나하는 생각이 들더군요. CA는 원래 듀얼 엔진 (오스트레일리아 Vet, 이스라엘)을 사용했죠. 그러다가 오스트레일리아 Vet 엔진이 중단됩니다. 그리고 이스라엘 엔진 개발쪽은 이미 인도계 HCL에 판매 되었습니다. - CA antivirus unit sold: Will become 'Total Defense' (The Register, 2011년 5월 17일자) http://www.theregister.co.uk/2011/05/17/ca_quits_anti_virus_biz/ HCL과 연관되었는..

[발표자료] 주요 DDoS 공격 사례와 악성코드 분석

제 15회 해킹방지 워크샵에서 발표했던 자료입니다. http://www.concert.or.kr/ 제가 처음 생각했던 제목은 '7.7 DDoS 공격 그날 이후'입니다. 영화 제목 같이 만들어 봤습니다. - 그런데 무슨 영화인지... 이후 주최측으로 부터 권유 받은 제목이 'DDoS 공격에 사용된 악성코드 총집합'입니다. 약간 손발이 오그라드는(?) 이름이네요. 원래 7.7 DDoS 공격 이후 어떤 공격이 있었는지 정리해보려 했는데 총집합에 맞춰서 초기부터 정리 해봤습니다. - 덕분에 좀 더 많이 알게되었네요. 자료를 만들다보니 80 장이 넘게되었는데 제출 할 때는 50 장 정도로 줄였습니다. 이 자료가 발표할 때 사용한 자료에서 오타 수정하고 제목도 '주요 DDoS 공격 사례와 악성코드 분석'으로 평범하..

국내에 백신업체가 없었다면...

옛날 뉴스 검색하다가 이런 기사를 발견했습니다. 요약하면 1994년 맥아피 연합에서 한국에서만 무료(쉐어웨어) 버전 사용을 금지 시켰다는 겁니다. 1990년 대 중반이면 국내에 불법복제가 매우 심할때죠. 그리고, 맥아피 바이러스캔의 인기가 매우 높았습니다. - 한국일보 기사를 보니 현재 국내 점유율이 1% 정도이더군요. 1994년이면 안철수컴퓨터바이러스연구소가 탄생하기 일년 전이네요. 이후 하우리가 1998년에 탄생했습니다. 이때만 해도 국내 백신 업체들은 생존을 위한 몸부림을 할 때 입니다. 만약 이때 국내 업체들이 등장하지 않았거나 1990년 대 후반 전세계적으로 발생했던 거대 백신 회사들의 소규모 백신 업체에 적대적 인수합병(M&A)로 국내 백신 회사가 다 인수되었다면 어떻게 되었을까요 ? 지금쯤 ..

[기사] 한글판 DDoS 공격툴 중국 판매

전자신문에 중국에서 한글화한 DDoS 공격 프로그램이 판매중이라는 기사가 떴습니다. - 한글화한 외산 DDoS 공격 프로그램 중국서 판매중 (전자신문, 2011년 11월 7일) http://www.etnews.com/news/detail.html?id=201111070227 잉카인터넷 대응팀 블로그에 관련 내용이 올라와 있습니다. - [정보] 외산 DDoS 공격 프로그램 한글화 판매 시도 중 (잉카인터넷, 2011년 11월 7일) http://erteam.nprotect.com/211 안철수연구소 대응 현황은 아래와 같습니다. - Win-Trojan/Black.906752 (진단버전:2011.11.07.03/치료버전:2011.11.07.03) - Backdoor/Win32.PcClient (진단버전:20..

[기사] 명령어만 입력하면 미사일 기지 쾅 ?!

POC 2011에서 SCADA (Supervisory Control and Data Acquisition) 취약점 발표가 있었습니다. 몇 군데서 기사화 되었습니다. - 명령어만 입력하면 미사일기지 쾅! (한겨레, 2011년 11월 5일) http://www.hani.co.kr/arti/economy/it/504122.html - 스카다 시스템 치명적 허점 드러나...손쉽게 해킹돼 (데일리시큐, 2011년 11월 4일) http://dailysecu.com/news_view.php?article_id=992 인터넷을 검색해보면 관련 취약점이 많이 공개되어 있음을 알 수 있습니다. 운영시스템 조작은 스턱스넷 웜 등을 통해 이론이 아닌 실제로 가능한게 확인된게 사실입니다. 최근 관련 취약점도 많이 나오고 있죠..

국내에서 많이 사용되는 컴퓨터 백신 프로그램 투표

'당신이 사용하는 백신프로그램은?' 투표가 올라왔네요. http://www.panelnow.co.kr/vote/result/360 결과가 궁금해서 한번 확인해 보니 평소 알고 있는 바와 비슷했습니다. V3와 알약(둘다 무료 버전이겠죠)이 대부분을 차지하고 다음 네이버백신입니다. 그리고, MSE, 시만텍, Avast!, 카스퍼스키랩, AVG 등이네요. 시만텍과 카스퍼스키랩을 제외하고는 모두 무료이네요. 역시 개인은 무료 버전이 대세라 아닐까 싶네요. 기타가 623건인데 아무래도 개인 무료 제품인 Avira가 포함되어 있을 듯 합니다.

마스터부트레코드 감염시키는 신종 악성코드 등장

추석 연휴 때 Award 롬바이오스에 감염되는 악성코드가 등장해서 놀라게(예상은 했지만) 했습니다. http://www.symantec.com/connect/blogs/bios-threat-showing-again 추석 연휴 국내에도 새로운 마스터부트레코드(MBR)을 감염시키는 악성코드가 등장했습니다. - MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 (안철수연구소 대응팀 블로그, 2011년 9월 16일) http://core.ahnlab.com/326 퇴근 시간에 해당 악성코드를 들어서 자세히 보지는 못했습니다. (다른 분들이 이미 보셨다는...) * 감염 확인 악성코드에 감염되면 마스터부트레코드가 변조되고 다음 파일이 생성됩니다. - 윈도우폴더(보통 C:\Wi..

봇넷 중지 그리고 봇넷 복구

M86 시큐리티랩 블로그에 스팸이 다시 증가하고 있다고 밝혔습니다. - http://labs.m86security.com/2011/08/massive-rise-in-malicious-spam/ 2010년에 일부 봇넷을 중지 시켰습니다. - http://labs.m86security.com/2010/10/spam-volumes-drop-after-spamit-shakeup/ 대부분의 스팸은 Cutwail(Pushdo, Pandex), Festi, Asprox 등의 봇넷에서 발생하고 있다고 합니다. 스팸 감소가 잠깐 효과가 있다가 최근 다시 복구 되고 있습니다. 이런걸 모니터링 할 수 있는 이들이 살짝 부럽기도 합니다. 문득 한글 스팸도 이들 봇넷으로 배포되는지 궁금하네요. 요즘은 영문 스팸은 별로 받은 적..

RSA 해킹 악성코드 공개

F-Secure에서 2011년 3월 발생한 RSA 해킹 사건과 관련된 내용을 공개했습니다. - How we found the file that was used to Hack RSA http://www.f-secure.com/weblog/archives/00002226.html 관련 기사도 나오고 있습니다. - Is this the phishing email that caused the RSA breach? http://www.net-security.org/secworld.php?id=11521 파일명은 survey-questions_2011.xls 였으며 V3 진단명은 Dropper/Cve-2011-0609 로 2011.03.16.02 이후 엔진에서 진단되고 있습니다. 보안업데이트가 적용된 최신 한글판 ..

또 다시 시작되는 악의 근원 액티브X ?!

- "액티브X 기술 종속, SK컴즈 해킹사고 불렀다" (머니투데이, 2011년 8월 16일) http://www.mt.co.kr/view/mtview.php?type=1&no=2011081615492123773&outlink=1 내용은 사실에 가깝고 인터뷰 한사람도 일반적인 위험에 대해서 언급 하셨는데.. 획일적인 환경은 공격자 입장에서 좀 더 쉽긴 하죠. 성 기장님 혹은 편집장께서 평소 액티브X 기술에 반감이 많으셨나 보네요. 제목을 저렇게 뽑으시고... 제 느낌에는 내용에도 억지로(?) 액티브X를 넣은 듯 하네요. - 물론 액티브X를 이용한 공격이 있지만 다른 공격에 비하면 새발의 피이죠. 아래 내용은 사실 관계를 좀 더 확인 해야 하지 않을까 합니다. 경찰청 중간 수사결과 발표에 따르면, 이번 네이..

중국 고속철도 사고가 악성코드 때문 ?!

2011년 7월 23일 중국에서 발생한 고속철도 추돌 사건이 벼락이 아닌 악성코드 때문이라는 소문이 나돌았습니다. - 중국 고속철도 제어시스템 '미국스파이에 의해 웜에 감염된 것으로 의심' http://www.cnsec.co.kr/board/bbs/board.php?bo_table=news&wr_id=312 실제 악성코드 때문에 발생했을 가능성과 중국 측에서 자신의 잘못을 외부의 공격으로 몰아가려는 음모 아니냐는 의견으로 나뉘었습니다. 하지만, 스턱스넷에 의한 이란 원전 가동 중지가 사실상 진실로 밝혀져서 관심이 집중되고 있습니다. 기사가 나간 이후 한동안 조용했는데 소문에는 악성코드를 분석하는 중이었다고 합니다. 8월 14일에 추가적인 정보가 공개되었습니다. (원래 글은 CN Security에서 8월 ..

[유머?] 정보보안 일을 하지 말아야 하는 이유 6가지

정보보안 일을 하지 말아야 하는 6가지 이유 유머는 유머 일 뿐.... 이지만.. 흠... - 6 Reasons Why You Should NOT Work With Information Security http://www.myinfosecjob.com/2011/08/6-reasons-why-you-should-not-work-with-information-security/#more-8507 6. 근무 시간이 길다. 근무 시간이 길다 혹은 쉴 틈이 없다 등으로 볼 수 있죠. 악성코드 대응, 보안 관제 등은 기본적으로 24x7 근무를 하는 경향이 있죠. 악성코드 배포자들도 요즘에는 연구원들이 쉬는 주말에 악성코드를 대거 뿌리고 있습니다. 아직까지 주 5일제 잘 시행하고 있는데... 앞으로 어떻게 될지 모르겠..

오픈웹에서 올린 국내 보안 업계에 대한 따끔한 글

오픈웹에 한국 보안 업계에 대한 따끔한 글이 올라왔습니다. http://openweb.or.kr/?p=4102 글을 읽다보니 조금 화가나는 부분이 생기더군요. 욱해서 트위터에 좀 강하게 쓰려다가... 오픈웹에서 이러는거 한두번도 아닌데 이런 글에 화가나는걸 보면 아직 인격수양을 더 해야 할 듯 합니다. 물론 반성할건 반성을 해야죠. 국내 보안 제품이(적어도 백신 프로그램에서) 아직 외국 업체에 비해 부족하고 따라가려고 열심히 하고 있습니다. 다만 변명을 하자면 이런 타겟공격은 국내 보안업체 뿐 아니라 해외 보안업체도 해결하지 못한 문제이고 보다 효과적인 방법을 찾기 위해 몇 십년 동안 고민하고 있다는 겁니다. 농협과 SK컴즈 사건 피해 시스템에서 사용되던 백신 프로그램은 유명 해외 제품입니다. 물론 국내..

고도기술사회의 두 얼굴

한겨레21에 실린 본 고도기술사회의 두 얼굴 기사를 보고 글을 써야 겠다는 생각이 들었습니다. 고도기술사회의 두 얼굴 http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=3&seq=18169&columnist=0&dir_group_dist=0&dir_code= 올해는 유독 큰 보안사고가 많이 발생했습니다. 중국 고속철도 장애도 악성코드에 의한게 아닌가하는 의혹이 나오고 있구요. - 다만 오히려 중국측에서 주장해서 조금 다르긴 합니다만.. 아직 샘플이 공개되지 않아 그냥 음모론으로 볼 수 있습니다만 기술적으로 불가능하지 않다는게 큰 문제가 아닐까 합니다. - 중국 고속철도 제어시스템 '미국스파이에 의해..

이란 원전 장애 일으킨 스턱스넷 웜 소스코드 공개 ?!

어제부터 이란 원전 장애를 일으켰다고 알려진 스턱스넷 소스코드가 공개되었다는 얘기가 나돌았습니다. 오늘은 기사에도 났네요. [외신] 스턱스넷 소스코드, 인터넷에 공개됐다 (데일리시큐) http://www.dailysecu.com/news_view.php?article_id=179 오보의 시작은 여기네요. - Stuxnet Source Code Released Online http://www.thehackernews.com/2011/07/stuxnet-source-code-released-online.html 결과는 소스코드 '아닙니다'. 시중에 떠도는 RAR 파일을 열어보면 바이러리 파일을 C 언어로 변환해주는 Hex-Rays로 만든걸 알 수 있습니다. 작성 날짜를 보면 2011년 2월로 나옵니다. 인터..

[발표자료] 코드엔진 2011 : virse program messge Dos to Win

2011년 7월 2일(토) 코드엔진 2011에서 발표했습니다. http://www.codeengn.com/ 발표 자료 제목은 virse program messge Dos to Win 입니다. (virse와 messge가 오타입니다만 LBC 바이러스 메시지의 오타라 그대로 가져왔습니다.) 많은 분들 만나서 반가웠습니다. 리버스엔지니어링 및 보안을 위한 많은 자리가 있었으면 합니다.

안철수연구원이 안철수연구소에서 전화 받은 사연

1588-3096 휴대폰에 모르는 번호가 떴습니다. 스팸전화가 아닐까 의심하고 인터넷으로 검색해보려다가 귀찮아서 전화를 받았죠. "안녕하십니까 ? 안철수연구소입니다." '우웅 ... ?' 태어나서 처음으로(?) 안철수연구소에서 전화가 왔습니다. "고객님께서 사용하신 V3 365가 만료되어서 전화했습니다. 지금 시간 되시나요 ?" 제가 딱한마디 했습니다. "저... 안철수연구소 직원인데요." (약간 당황 하며...) "직원이세요 ?" (약간의 허탈한 웃음도 들려옴) 간만에... 좀 웃어봤습니다 ㅎㅎ 전화번호를 보니 안철수연구소 온라인쇼핑몰 번호더군요. 이런.. 제가 주소도 회사만 기입했는데요. 못보셨나.. 아니면 개인정보 보호 때문에 주소가 안나오나 ㅋ 오랫만에 안랩 홈페이지에 접속해보니 몇년 동안 안랩 ..

728x90
반응형