ASEC Report

Size: px
Start display at page:

Download "ASEC Report"

Transcription

1 ASEC Report 10 월 ASEC Report I. ASEC Monthly Trend & Issue... 2 (1) 악성코드 MS 윈도우보안취약점을악용하는악성코드... 2 (2) 스파이웨어 스팸메일러피해증가... 5 (3) 시큐리티 원격공격이가능한 MS (4) 네트워크모니터링현황 TCP 445 포트공격시도 (5) 중국보안이슈 10월중국보안이슈 II. ASEC 컬럼 (1) MS08-046의 EMF 취약점 (2) VB2008 컨퍼런스참관기 III. ASEC 월간통계 (1) 10월악성코드통계 (2) 10월스파이웨어통계 (3) 10월시큐리티통계 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여악성코드와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.

2 I. ASEC Monthly Trend & Issue (1) 악성코드 MS 윈도우보안취약점을악용하는악성코드 이번달말에는윈도우서버서비스취약점 (MS 긴급패치 MS08-067) 을공격하는악성코드가제작발견되었고, 유명컴퓨터제조업체의미니 PC의하드디스크에서악성코드가발견되었다. 또한미국의대표 SNS인 Facebook을이용하여전파되는웜의변형도있었으며국내에서는온라인게임악성코드가자신을디버깅하면 MBR 영역을망가뜨리는유형이보고되기도하였다. MS 윈도우보안취약점을악용하는악성코드 해당취약점은윈도우서버서비스취약점으로 Server Service가 RPC 요청을제대로처리하지못해서발생하는것이다. 해당서비스는윈도우 2000, XP, 2003 등의주요 OS에서기본적으로서비스가되고있고, 또한취약점을이용하여원격에서공격이가능하기때문에그중요도가 긴급 성을갖는다. 그러나일각에서우려와는달리이취약점을이용하는악성코드는크게증가하지못할것으로보인다. 이글을작성하는현재취약점과악성코드가보고된지 9일정도흘렀지만과거 RPC계열의취약점을이용하였던블래스터웜이나새서웜과같이해당취약점을이용한악성코드는쏟아져나오고있지않다. 여기에는여러가지이유가있겠지만예전과는달리원격에서윈도우 ( 윈도우비스타, 2008) 취약점자체를공격하는게과거보다는쉽지않다는데있다. 윈도우 XP 역시원격에서의공격은원격코드의실행보다는단지 DoS 수준에머물것으로생각된다. 그리고무엇보다도이전과다르게 MS의발빠른패치와많은보안업체들의대응들도여기에한몫을하고있기때문일것이다. 유명컴퓨터제조사하드디스크에서발견된악성코드 대표적인메인보드및컴퓨터제조업체인 Asus가일본에서판매하고있는 Eee PC 라고불리우는미니 PC 하드디스크에서악성코드가발견되었다. 해당악성코드는이와같은하드웨어 (USB 메모리스틱과같은이동식디스크종류 ) 에서주로발견, 보고되는 Autorun 관련악성코드에감염된것으로밝혀졌다. 2

3 [ 그림 1-1] Asus Eee PC ( 출처 - 올해들어서이와같이이동식디스크에악성코드가감염된사례가종종발생하고있는데, 대부분의경우에있어공장에서해당하드웨어대한초기화작업 ( 포맷및 OS 설치등 ) 에서주로감염이된다. 물론마스터작업을하는어떤시스템에악성코드가감염된사실을몰랐기때문이고여기에백신관련제품이설치되지않았기때문일것이다. 올해유사사례를보면모두오래전에발견된악성코드가이러한장치들에서보고되었다. 이는앞서언급한바와같이보안에가장기본인안티바이러스제품사용에소홀하였던것이원인이라할수있다. MBR 영역을손상시키는악성코드 Win-Trojan/Killmbr.14848은특정온라인게임의사용자계정정보를탈취하는트로이목마에서드랍된다. 해당악성코드는특이하게자신이디버깅당하고있다고판단되면더이상의분석을방해할목적으로 MBR 1 (Master Boot Record = 이하 MBR) 을손상시킨다. 일반사용자는문제가되지않을수있지만, 해당악성코드를분석하려고디버거를사용중일때이부분을우회하지못한다면분석가시스템의 MBR 영역이손상될수있다. [ 그림 1-2] IsDebuggerPresent() 를이용한안티디버깅 현재자신의프로세스가디버깅당하고있다고판단이되면 MBR 영역에특정데이타를써 1 MBR 영역에는부팅및파티션에대한중요한정보가담겨있다. 3

4 놓을부분을호출한다. [ 그림 1-3] MBR 영역에써놓을내용과리부팅시출력되는메시지 이와같은안티디버깅은비교적간단한것으로악성코드를분석하는입장에서는우회하기쉽다. 또한이렇게분석을방해하거나지연시키기위한방법은여러가지가있다. 사용자입장에서는기존악성코드들과다를게없지만악성코드를분석하고연구하는입장에서는꼭알아야할분석기술중하나이다. 4

5 (2) 스파이웨어 스팸메일러피해증가 최근해외의한보안업체가 27일발표한올해 3분기스팸메일동향조사에따르면, 한국이스팸메일발송순위에서 3.8% 로 6위를차지한것으로나타났다. 스팸메일발송증가의원인으로는, 스팸메일러와스팸메일러에감염된 PC의증가로추정된다. 최근다운로더에의해여러스파이웨어와함께스팸메일러가설치되는것이많이발견되고있으며, 이로인한고객피해가증가하고있는추세이다. 특히최근유행하는스팸메일러는윈도우기반에서동작하기때문에, 윈도우환경의사용자가많고인터넷회선속도품질이좋은한국은스팸메일러가전파되기에좋은조건을갖추고있다. [ 그림 1-4] 스팸메일러에의해발송된스팸메일 최근유행하는스팸메일러는불법사이트등에서배포되는허위크랙, 해킹된웹사이트, 악성코드다운로더, 웜등의다양한방법에의해설치되며, 보통다른여러악성코드들과함께설치된다. 대부분의스팸메일러는루트킷을이용하여사용자나보안제품으로부터자신을은폐하고보호하며, 윈도우서비스로등록되어동작하고, UI가없기때문에, 사용자는스팸메일러에감염되더라도그사실을알아차리기어려워자신도모르는사이에스팸메일을발송하는스팸메일러가되어버린다. 스팸메일러에의해발송되는스팸메일은그목적에따라광고와악성코드전파, 그리고피 싱등으로구분되는데. 광고메일의경우는쇼핑몰이나성인사이트등을홍보하기위한것으 로위험성은낮은편이다. 5

6 [ 그림 1-5] 스팸메일러에의해발송되는광고메일 최근스팸메일러에의해발송되는스팸메일은 [ 그림 1-5] 와같은특정의약품광고가많은 데이경우, 광고에삽입된링크가중국웹사이트를경유하여이동되는것으로보아중국에 서제작된스팸메일러가많은것으로추정된다. 광고가아닌악성코드전파가목적인것들은메일을수신한사용자 PC 의보안에큰위협을 6

7 주고, 또다른스팸메일러가되어동작할수있으므로그문제가심각하다. 보통악성코드 전파를위해발송되는스팸메일들은사용자가메일을열람하도록유도하기위해주로 [ 그림 1-6] 과같이연예인의사진이나포르노등을이용한다. [ 그림 1-6] 악성코드전파가목적인스팸메일 위의 Follow the link you gotta check it 링크를클릭하면악성코드가다운로드된다. 다운로드되는악성코드는 Win-Downloader/Zlob 종류인경우가많으며, 주로 [ 그림 1-7] 과같은허위안티-말웨어프로그램을다운로드한다. 허위안티-말웨어프로그램은사용자에게허위진단결과를표시하거나직접다른악성코드를설치하여진단하는방식으로사용자에게부당한결제를요구하는스파이웨어이다. 7

8 [ 그림 1-7] 스팸메일을통해전파되는허위안티 - 스파이웨어 스팸메일러가설치되는것을예방하기위해서는다른악성코드예방법과마찬가지로불법프로그램 / 크랙등의사용을자제하고, 취약점을이용한설치를막기위해항상최신의업데이트를유지해야하며반드시방화벽및보안제품을사용하여야만한다. 특히방화벽의사용은, 스팸메일러에의해발송되는스팸메일을차단할수있으므로, 스팸메일러감염에의한 2차피해를막을수있다. 8

9 (3) 시큐리티 원격공격이가능한 MS 월에있었던주요이슈중에서가장큰이슈는 10월24일 ( 한국시간 ) 에발표된마이크로소프트사의취약점이라할수있다. 마이크로소프트사의보안패치정책은매월둘째화요일에발표되고있는데, 이번의경우예외적으로긴급하게보안패치를발표하였다. MS 취약점에대해좀더세부적인내용과 TCP/IP의새로운취약점에대해알아보도록하겠다. MS 서버서비스취약점공개돼, 주의필요 이번에발표된패치는 MS 서버서비스취약점으로올해벌써 67번째에해당하는보안패치이다. 작년의보안패치마지막번호가 MS07-069인것을보면 2008년은보안취약점이전년대비더욱증가될것으로예상된다. 이번취약점은특정응용프로그램이아니라많은사용자층을확보하고있는윈도우운영체제에기본으로포함되어있는서비스가대상이되어공격대상의범위가넓다고볼수있다. 이취약점을이용하면공격자는시스템의관리자권한을획득하여시스템을완전히제어할수있게되어시스템이위험에노출될수있다. 공격자는조작된 RPC 메시지를인증없이전송하여임의의코드실행이가능한데, 이것은윈도우서버서비스가조작된 RPC 요청을적절히처리하지못해발생하는것이다. RPC 는네트워크상의컴퓨터들사이에프로그램서비스를요청할수있는프로토콜로서상 호운영성을제공해준다. 서버서비스는 RPC 를통해파일, 프린트그리고네트워크공유를 지원해다양한기능을제공해준다. 서버서비스는 RPC 인터페이스로 srvsvc 이름의파이프를오픈하며, ntsvcs의이름으로도사용된다. SRVSVC 인터페이스는 UUID 4b324fc d a47bf6ee188 값이등록되어있다. 이인터페이스를통해공유설정, 세션, 파일오픈및기타서버의자원접근이가능해지는것이다. SRVSVC 인터페이스의 RPC 기능으로사용가능한것은아래와같다. NetrFileEnum NetrSessionEnum NetrShareEnum NetrPathCanonicalize NetrPathCompare 일반적으로클라이언트는서버와통신하기위하여 TCP/139, 445 번의 SMB(Server Message Block) 을이용한다. RPC 를통해명령어를전달하기전클라이언트는서버와 SMB 9

10 세션을맺어야한다. 즉, SRVSVC의 RPC 기능을호출하기위해서는클라이언트는우선서버의 SRVSVC 파이프를오픈하고바인딩단계를거친다. 바인딩호출이성공적으로이뤄지면클라이언트는 SMB TransactNmPipe 명령어를이용하여 RPC 메시지를전달할수가있다. 그러나, NETAPI32.DLL에서처리되는 RPC 기능중하나인 NetrPathCanonicalize에버퍼오버플로우가존재하여임의의명령어실행이가능하다. 공격자는조작된 RPC 메시지를전달하여포인터가조작된위치를가리키도록하여명령어가수행되게할수있다. * 공격과정 ( 전형적인 SMB 세션을통해공격을시도하는과정 ) [ Attacker ] >[Target] 1) [Attacker] 공격자는공격대상시스템에 SMB 세션연결을시도한다. 2) [Target] 공격대상시스템에서는 SMB 세션에대한인증 3) [Attacker] 공격자는대상시스템으로 SRVSVC RPC 인터페이스바인딩 4) [Target] 대상시스템은바인딩요청을허용 5) [Attacker] 공격자는대상시스템으로조작된 RPC 요청을전송 이취약점은현재광범위하게사용되고있는운영체제에기본으로사용되고있는서비스인만큼위험도가상당히높다고볼수있으며, 영향을받는윈도우를사용하는고객은반드시패치를적용할것을권고한다. 다만, 한가지다행인점은윈도우 XP SP2, 윈도우비스타그리고윈도우서버 2008은방화벽에의해기본적으로해당인터페이스에접근이안되는것으로알려져있다. 그러므로, 공격에이용되기위해서는다음과같은상황이만들어져야한다. 1. 방화벽이중지되어있어야함 2. 방화벽이허용되어있으나, 파일 / 프린터공유가허용되어있는경우 최근발견된해당취약점을내포하고있는악성코드는시스템감염시일부도메인에접근하여감염된시스템의정보를남기도록설계되어있었다. 아래그래프는해당도메인으로부터수집된로그정보로부터 IP 정보를기반으로국가별분포를살펴본결과이다. 이는일부도메인으로부터수집된단편적인정보이기때문에전체를의미하는정보로규정지을수는없으나, 많은국가의시스템들이해당악성코드에감염되었으며우리나라 (KR) 또한해당악성코드감염사례가발견되었다는점을확인할수있다. 10

11 [ 그림 1-8] 감염호스트지역분포 ( 일부감염호스트로깅사이트로부터 ) Sockstress 라불리는 TCP 프로토콜취약점 10월초헬싱키에서열린 T2 컨퍼런스 ( 에서 TCP/IP의스택에존재하는취약점이공식적으로공개되었다. 이번취약점은 TCP/IP 프로토콜스택을사용하는경우라면모두해당이되고, 발표자는취약점을통해서비스거부 (DoS) 상태가발생될수있다고주장하였다. [ 그림 1-9] TCP/IP DoS 공격기술흐름 1 TCP/IP라는프로토콜특성상인터넷의기반이되고있어자세한정보는공개되지않고있다. 우선현재이문제를해결하기위하여업체및 CERT와도협의가진행중이며취약점의자세한기술적배경은 2009년쯤에공개하겠다고한다. 알려진바에의하면, 이공격은 5분만에시스템을다운시킬수있으며실제 T2 컨퍼런스에서데모를통해확인되었다고한다. 1 출처 : Outpost24 의 Introduction to SockStress 발표자료중 11

12 행사장에있었던한사람에의하면, 이것은많은양의 SYN Flooding 형태또는 SYN 쿠키의형태와크게달라보이지않으며데모에서는최신패치가적용된윈도우 XP 시스템이초당 30-40개의조작된연결을통해 3분안에다운되었다고한다. 즉, 7000개정도의패킷으로많은양의 DoS 공격이아니었으며이것은 100Mbit/s 에서 0.1% 도안되는적은양이다. 세부적정보가알려져있지않은상태에서또다른분석가는이것은알려져있는공격형태와크게다르지않으며, 공격선상에서의좀더확장된형태의다른공격방법일뿐이라고도하였다. 최근 DDoS 공격피해사례가급증하고시점에서또다른 TCP/IP DoS 공격의발표는참으로반갑지않은소식이다. 실제공격에활용될경우, 그피해가상상하기어려울정도이기때문에본사를비롯한많은전문가들이이에집중하고있다. [ 그림 1-10] T2 컨퍼런스의발표현장사진 12

13 (4) 네트워크모니터링현황 TCP 445 포트공격시도 이번달네트워크모니터링시스템상에서탐지된트래픽을포트기준으로분류하여살펴보면, 지난 9월과마찬가지로 TCP/445 포트가최상위포트를차지하였다. [ 그림 1-11] 에나와있는바와같이상위위협탐지이벤트들에포함된대부분의이벤트들이해당포트를사용하는 MS 관련취약점들이라는점과도일치한다. 2% 1% MS SQL Slammer worm-udp-ahn 5% TFTP Get-AHN 10% 7% 33% MS DCOM2 RPC Exploit- AHN MS LSASS_exploit-AHN MS DCOM RPC Exploit-AHN 13% MS Windows NetpIsRemote() Overflow-AHN MS Windows PNP Exploit- AHN 14% 15% MS Windows ASN.1 Remote Overflow Exploit-AHN Symantec Client Security Vulnerability-AHN [ 그림 1-11] 상위위협탐지이벤트 최근에는 MS 관련취약점을통해대규모의자동화된웜을이용하는확산공격에서벗어나, 웹을기반으로하는웹집중형의공격이인기를얻고있다. 따라서, 위협탐지이벤트들에서도새로운 MS 관련취약점을활용한공격이발견되는사례보다는기존에웜확산을위해애용되었던취약점들이꾸준히상위를차지하고있다. 이러한웹집중공격에맞추어안철수연구소의네트워크모니터링시스템에서도웹트래픽 유도기능을도입하여이에대한모니터링을시작하였고, 그결과이달 [ 그림 1-12] 상위 TOP 5 포트상에 TCP/80 포트가비교적큰비중을차지하게되었다. 13

14 1% 1% 16% 10% 72% TCP/445 TCP/80 TCP/139 TCP/135 TCP/1433 [ 그림 1-12] 상위 TOP 5 포트 다음 [ 그림 1-13] 은최근 1개월간의 TCP/445 포트상의트래픽추이만을살펴본그래프이다. 10월 27일이후로 TCP/445 포트상의트래픽이급격하게증가된것이발견되었다. 이시점을살펴보면바로 MS 서버서비스취약점이발표된직후라는점을주목하여야한다. TCP/445, TCP/139 포트는기존의많은 MS 관련취약점들이주로사용하는포트이기때문에네트워크상에서항상가장높은위치를차지하기는하지만, 이와같이급격한증가를보인것은해당취약점으로인한트래픽발생이존재하였을가능성이높다는것을알수있다. 아직은이를본격적으로활용한대량의공격조짐은나타나고있지않지만, 이미확산을위해활용된사례가발견되었으므로해당포트에대한지속적인모니터링이필요할것으로보인다. [ 그림 1-13] TCP/445 포트상의트래픽추이 이달에는위협탐지이벤트중에지난 2007 년 11 월에보고된시만텍안티바이러스제품에 서발견된버퍼오버플로우취약점 ( 이벤트명 : Symantec Client Security Vulnerability-AHN) 이벤트가탐지되었다. 해당취약점은다른 MS 관련취약점들과함께각종봇 (Bot) 류에서지 속적으로애용되고있는취약점으로다음과같은트래픽패턴을갖는다. 해당취약점은봇의 전파목적으로사용되기때문에간간히트래픽상에서발견되고는있지만, 취약점자체가특 14

15 정제품에만해당되고안티바이러스제품의업데이트는필수항목이기때문에현재피해는 거의없을것으로추정된다. [ 그림 1-14] 시만텍취약점패킷 마지막으로국가별공격발생지분포그래프를살펴보면, 다음 [ 표 1-1] 에서보듯이지역적영향으로주로아시아권국가들이많은비중을차지하였지만대략 38개의다양한발생지로부터공격이벤트가발생되었다. 기존의공격발생지로많이알려진국가별순위와큰차이없이이달에도한국을비롯하여미국 (US), 일본 (JP), 중국 (CN), 홍콩 (HK) 등의국가들이차례로높은비중을차지하였다. 상위 10개국가 백분율 (%) 상위 10개국가 백분율 (%) KR 34 IN 5 US 22 TW 3 JP 16 PH 2 CN 8 ZA 2 HK 6 MY 2 [ 표 1-1] 국가별공격발생지분포 15

16 (5) 중국보안이슈 10 월중국보안이슈 일본국영석유공사홈페이지의악성코드유포 10월 21일경일본정부에서운영하는석유가스공사인 JOGMEC(Japan Oil, Gas and Metals National Corporation) 홈페이지에서악성코드를유포하는사고가발생한것으로요미우리신문과중국언더그라운드웹사이트를통해알려졌다. 이번사고로약 2400명정도가해당악성코드에감염되어개인정보가중국으로전송된것으로알려졌다. 이번사고에사용된악성코드에대해서는알려지지않았으나최근많은홈페이지해킹에사용된 SQL 인젝션기법이사용된것으로알려져있다. 이번보안사고는지난 6월일본정보와중국정부간에맺어진중국동부해안지역의석유자원개발합의문이일본정부와기업들에게많은이익을가져다주는불평등한합의문이라는것에대한항의적인성격으로발생한것으로알려졌다. 이러한보안사고는최근몇년간지속적으로발생하는금전을목적으로하는악성코드유포와더불어서정치적인목적의해킹이결합된형태의보안사고로볼수있을것이다. 대규모 SQL 인젝션공격에사용되는자동화된공격툴 2008년의주요동향으로웹서버를통해악성코드유포를위한기법으로 SQL 인젝션이많이사용되고있고, 이러한공격기법을자동으로수행하는툴들을지난 ASEC Report에서몇차례다루었다. 이러한자동화된공격툴중에서지난 9월중순고급형으로제작된 SQL 인젝션공격툴이상용으로판매되고있는것을중국언더그라운드웹사이트를통해서확인되었다. 16

17 [ 그림 1-15] 상용으로판매되는중국에서제작된 SQL 인젝션공격툴 이번에발견된 SQL 인젝션공격툴들은과거에발견된공격툴에비해서한층발전된형태의공격툴로서다음과같은다양한기능들을포함하고있었다. 1. 검색엔진과연동한취약한웹사이트검색기능 : SQL 인젝션에취약한웹사이트들을찾아내기위해서 Get과 Post 등의특정단어들을검색어로이용하여중국의바이두 (Baidu) 와구글웹사이트와자동으로연동되도록설정할수있다. 2. MS-SQL 데이터베이스에대한자동화된공격기능 : MS-SQL 데이터베이스의관리자계정과해당데이터베이스에존재하는취약점들을연동하여자동으로공격을수행할수있다. 이러한형태의자동화된공격툴이고급화가이루어지고상용으로판매됨에따라서해킹에대한고급지식이없는사람들역시해당툴의구매를통해서다량의해킹과악성코드유포가가능하다. 그리고이러한자동화된공격으로부터예방하기위해서는웹서버뿐만아니라웹어플리케이션과데이터베이스시스템등웹사이트와연동된다양한시스템들을점검하고공격에이용될가능성이있는취약점이존재하는지점검하도록해야될것이다. 중국언더그라운드에서제작된 MS 취약점을이용하는악성코드 10 월 24 일마이크로소프트에서는 MS 서버서비스의취약점으로인한원격코드 실행문제점 (958644) 취약점에대한패치를긴급으로배포하게되었다. 17

18 [ 그림 1-16] 중국에서제작된 MS 취약점에대한공격코드 그러나해당보안패치보다하루정도빠르게해당취약점을이용하는악성코드가유포되 었다. 해당악성코드는 V3 Internet Security 에서 Dropper/Gimmiv , Win- Trojan/Gimmiv , Win-Trojan/Gimmiv.49152와 Win-Trojan/Gimmiv.57344로진단이가능하며, 해당악성코드가감염을위해네트워크로전송하는공격패킷은 MS Server Service Exploit 룰로차단이가능하다. 이번에유포된해당악성코드의제작국가에대해서많은정보보호전문가들은중국언더그라운드에서제작한것으로추정되고있으며, 실제중국언더그라운드해킹웹사이트들에서는 [ 그림 1-16] 과같이기존에알려진해당취약점에대한 PoC(Proof of Concept) 코드와는조금다른형태의공격코드들이알려져있었다. 이렇게악성코드에사용될소지가높은취약점들의악의적인이용주기가점점짧아지고있으며이러한악성코드와해킹과같은공격에대비하기위해서는주기적으로보안업체의최신및긴급보안정보를통해신속한대응전략을수립하는정책이필요하다. 18

19 II. ASEC 컬럼 (1) MS 의 EMF 취약점 지난 8월달에공개된 MS 취약점은윈도우이미지색깔관리시스템에서발생하는버퍼오버플로우취약점이다. 과거이미지관련취약점들이지속적으로발표되었고최근에도 EMF/WMF 관련취약점이발견되고있다. 현재이취약점의원격코드실행가능한공격코드는미공개상태이며, 탐색기 (Explorer.exe) 자체 DoS 상태코드만이확인되었다. 이번달 ASEC report 컬럼에서는해당취약점에대해서세부적으로살펴보고자한다. MSCMS(Microsoft Color Management System) 은마이크로소프트사에서제공하는색관리를위하여사용되는시스템으로, 이를통해 EMF(Enhanced Metafile) 형식을포함한다양한이미지형식이처리된다. 특히, EMF 파일은그래픽드로잉명령, 오브젝트, 속성등의정보는갖는가변길이의레코드들로구성되어있다. EMF 파일의 EMR_SETICMPROFILEW와같이일부특정레코드형식이 mscms.dll OpenColorProfileW() 함수를통해처리되는과정에서해당취약점으로인한버퍼오버플로우가발생하게된다. 이는 EMR_SETICMPROFILEW 레코드내부의 Data 필드를통해전달되는파라미터에대한올바른검증절차가수행되지않기때문에, 고정된크기로할당된버퍼이상의데이터를복사하는과정에서 Heap 기반의버퍼오버플로우가발생하게되는것이다. 앞서할당된 Heap 버퍼의경계를넘어 Overwrite 된메모리가추후다른코드상에서참조되면서 Access Violation을발생하며 Explorer.exe의서비스거부 (Denial of Service) 상태를야기하게된다. 우선 EMF(Enhanced MetaFile) 의구조를들여다보면다음과같이다수의 EMF 레코드들로 구성되어있다. EMF file = EMF Header Record + EMF Records + EMF EOF(End-of-File) Record EMF 레코드들은다수의그룹으로분류되는데, 기본적으로 EMF 파일의시작과끝을정의하는 Control Record 타입에속하는다음과같은레코드들이있다. - EMR_HEADER(0x ) - EMR_EOF(0x E) 특히, 해당취약점은그래픽속성값을정의하고관리하는 State Record 형식에속하는다 음의레코드들을처리하는과정에서발생한다. 19

20 - EMR_SETICMPROFILEA(0x ) - EMR_SETICMPROFILEW(0x ) [ 그림 2-1] EMF 헤더구조 문제를발생하는코드의내부콜구조는다음과같다. Gdi32!fpOpenColorProfileW() mscms!opencolorprofilew() mscms!internalopencolorprofile() * 버퍼오버런이발생하는지점 실제코드상에서는다음과같은파라미터값을가지고함수를호출한다. 해당데이터를가지고 mscms!opencolorprofilew() 함수는내부적으로다시 mscms!internalopencolorprofile() 함수를호출한다. 이함수안에서버퍼오버플로우가발 생한다. 해당함수는프로파일정보를담고있는 ProfileData 문자열이디렉토리를포함하는파일명 으로판단되는경우, 바로프로파일파일을생성하지만, 파일명만존재한다고판단되는경우, 윈도우 COLOR 디렉토리정보 (GetColorDirectory() 함수호출 ) 를얻어와 ProfileData 와조 합하게된다. 20

21 BOOL WINAPI GetColorDirectory( PCTSTR pmachinename, /* NULL인경우, 로컬시스템 */ PTSTR pbuffer, PDWORD pdwsize /* 104h */ ); 이때, 프로파일파일경로저장을위해서는고정된 104h 크기의버퍼가할당되는데, 해당버퍼에획득된윈도우 COLOR 디렉토리정보를포함하여지금과같이과도하게긴문자열 profiledata(0x3876dd8) 데이터가추가되는경우, 고정길이 104h 크기이상의경계를넘어서메모리를덮어씌우기 (Overwrite) 하게된다. 현재이취약점의코드실행공격코드는공개되어있지않지만, 언더그라운드사이에서는이 미공유되었을수있고원격에서코드가실행가능하다는점에서위험도가높다. 21

22 (2) VB2008 컨퍼런스참관기 10 월초에캐나다오타와에서 18 번째국제바이러스컨퍼런스인바이러스블레틴 2008 컨 퍼런스가개최되었으며, 안철수연구소에서는 3 명의연구원이참석하여국제적인악성코드의 주요흐름과이슈에대한파악하였다. 올해도작년처럼대체로기술적발표는드물었다. 악성코드는새로운기법등장없이 2004 년을시작으로 2006 년부터급격한악성코드수증가와악성코드제작에금전적목적이들어 가는것외에는공격하는쪽과막는쪽의소모전양상이강하기때문으로보인다. 기조연설 바이러스블루틴편집자인헬렌 (Helen Martin) 의오프닝연설은증가하는온라인뱅킹과이를노리는피싱에대한내용이었다. 이후기조연설을맡은선벨트사 (Sunbelt) 의알렉스 (Alex Eckelberry) 는성경구절을인용한 백신업계여어디로가시나이까? (The AV industry: quo vadis?) 에서현재백신업계의신화와현실그리고해결책에대한얘기를했다. 몇년동안악성코드수가급격히증가하면서기존시그니처를통한대처에한계가서서히보이고이에 "AV는죽었다.(AV is dead.), " 윈도우비스타와함께라면백신프로그램은필요없다. (With Vista, you don t need antivirus.) 등의말이쏟아져나왔다. 하지만, 여러논란은있었지만여전히백신은악성코드를막는가장유용한수단이다. 현황에대해서는업계사람들이모두알고있는악성코드의엄청난증가 ( 이자료는독일 AV-test에서발표한자료로악성코드수는집계방법에따라달라질수있지만 2004년을시작으로 2006년부터해마다급격히증가하고있음은모두인정하고있다.) 와업계가마케팅에중점을두고연구개발비에큰비용을들이지않는점에대한얘기가나왔다. 22

23 [ 그림 2-2] 악성코드의폭발적증가 2008년 9월개인과기업사용자를대상으로설문조사결과도흥미로왔는데개인사용자와기업사용자를중심으로설문조사를했을때제품만족도의차이가비교적컸다. 개인사용자의가장큰불만사항으로퍼포먼스와리소스사용을 1위로꼽고있어백신프로그램이지나치게비대화해졌고사용자들이큰불만을가지고있음을알수있다. 그다음으로가격, 기술지원, 악성코드진단과제거로나타났다. 기업사용자들은퍼포먼스, 악성코드제거, 가격, 악성코드진단, 기술지원순으로문제점으로제기했다. 23

24 [ 그림 2-3] 개인의백신에대한불만설문조사결과 개인과기업의사용하는제품종류가달랐는데기업은아무래도관리이슈등이있어고객지원이상대적으로좋은큰회사제품을선택하는것으로보인다. 기술지원의경우많은업체에서기술지원에어려움이있으며전화의경우무료로가능한업체는 15개업체중 5개였으며나머지는유료혹은설치와알려진문제에대해서만무료로진행되는경우가많았다고지적했다. 다소놀라운결과였는데서비스는무료로인식되는우리나라와는조금다른문화적차이가아닐까싶다. 24

25 [ 그림 2-4] 기업담당자의백신에대한불만설문조사결과 전화통화가힘들다, 메일답변이느리다등의문제는대부분의업계에서발생하는문제이며결국문제를해결하는업체가고객들의선택을받을수있음을알수있었다. 또한최근어떻게하면동일한기능에시스템자원소비가적고시스템속도저하를못느끼게만드는가에초점이맞춰진것도이런고객불만이반영된결과가아닐까싶다. MBR 루트킷의등장 1988년흔히최초의컴퓨터바이러스로분류되는브레인바이러스 (Brain virus) 가등장한이후부트레코드에감염되는부트바이러스는구시대유물로취급되었다. 하지만, 무덤에잠자던부트바이러스를다시깨운건 2005년블랙햇 (BlackHat) 에서마스터부트레코드 (Master Boot Record) 를변조한루트킷의 POC가공개되면서부터라고할수있다. 2년후 2007년새로운유형의루트킷이등장했으며이후계속기술적인발전을하고있다. 20년전최초의컴퓨터바이러스는부트바이러스형태가많았는데 20년후유행이다시돌아온것은아닐까? 하지만, 이기법이주류가되기는제작방법도어렵고현실적으로한계가많지만기술적인이슈를좋아하는사람에게는좋은내용이었다. 안철수연구소바이러스신고센터와 VCC 독일아비라 (Avira) 사는 VCC(Virus Control Center) 에대해서발표했다. 하지만, 안철수연 구소의바이러스신고센터는 VCC 보다더향상된기능을제공하고 10 월 8 일부터서비스가 25

26 시작되었다. 1 안철수연구소의개편된신고센터는샘플접수부터처리현황, 결과까지이력을확인할수있는시스템에서진일보해단순샘플신고뿐아니라사용자시스템에서의심스러운파일까지수집할수있으며내부적으로정보를공유할수있게되어있다. 테스트! 테스트! 테스트! 둘째날섹션의대부분이스팸에대한내용이었다면마지막날섹션중상당수는테스트에 대한내용이었다. 블루틴의존하웨즈 (John Hawes) 는 RAP에대한발표를했다. 오늘의업데이트가내일은무용지물인현실을반영해특정기간업데이트없이새로발견되는악성코드를얼마나진단할수있는지테스트하는것으로행동검사 (Behavior detection), 휴리스틱진단 (Heuristic detection), 제네릭진단 (Generic detection) 으로테스트한다. 현재 RAP 단계는테스트시스템을검증하고문제점을계속적으로수정하는단계이다. 맥아피의이고르무틱 (Igor Muttik) 은 미래를위한테스트재정립 (Rebuilding testing for the future) 에서악성코드들이진화하고변화하는것에따른새로운테스트기법과방안이필요 하다는논의를꺼냈다.. 관련내용은현재업계에서테스트표준을준비하고있다. 가상화 가상화인프라가계속구축되면서그에따른보안이슈들에대한얘기가나왔다. 여러가지 가상화기술에대한소개가있었고가상화서버에대한위협들과미래에있을위협들에대 한소개를했으며그에따른보안업체들의대응관점에서의얘기가있었다. 가상화는새로운패러다임의컴퓨팅을구축하고있고, 예전과는다른전혀새로운취약점및위협들과만나게될것이란얘기가있었다. 소개된위협중, 가상화되어있는서버가마이그레이션 (Migration) 과정에서해커에의해탐지당하거나루트킷공격에의해서버군전체가장악되는이야기가흥미로웠다. 악성코드연합전선 중남미의은행계좌탈취를위한악성코드에대하여잘알려져있지는않지만, 그쪽지역에 서는심각한문제를유발하고있는것으로알려져있다. 그러나, 브라질에는지역백신회사 가없으며악성코드분석및대응과관련하여알려진사람도드문편이다

27 최근맥아피브라질연구소에서남미의은행계좌탈취트로이목마현황및최근악성코드제작자들의협력에대해발표했다. 과거식민지의영향으로브라질은포르투갈어를, 나머지국가는스페인어를사용한다. 브라질과그외남미국가는사용하는언어가다르지만최근브라질과멕시코, 아르헨티나등의남미국가에서연합해하나의악성코드로여러은행계정을탈취할수있다고한다. 악성코드제작동기가금전적목적이되면서범죄도점차조직화, 국제화되는게아닐까하는우려도해본다. [ 그림 2-5] 악성코드제작자연합전선 이외인터넷뱅킹보안에대해서는패널토론도있었는데인터넷뱅킹과관련해해외에는타은행간이체는허용하지않는경우가많으며돈이유출되어도은행에서보상하는곳이많다고한다. 하지만, 정확하게얼마나피해가발생했는지는자료가공개되고있지않는다고한다. 27

28 III. ASEC 월간통계 (1) 10 월악성코드통계 Top 10 피해통계 10 월순위 악성코드명 건수 % 1 new Win-Trojan/Bagle % 2 new Win-Trojan/Autorun % 3 new Win-Trojan/Agent AN % 4 new Win-Trojan/Agent JC % 5 new Win-Trojan/Agent AL % 6 new Win-Trojan/OnlineGameHack BD % 7 new Win-Trojan/XPack % 8 new Win-Trojan/Tervemoy B % 9 new Win-Trojan/Agent AX % 10 new Win-Trojan/OnlineGameHack % 합계 % [ 표 3-1] 2008년 10월악성코드피해 Top 10 [ 표 3-1] 은 2008년 10월악성코드로인한피해 Top 10에랭크된악성코드들로서이들악성코드들로인한총피해건수는 227건이다. 이는 10월한달접수된총피해건수 (2,995건) 의 7.6% 에해당하며, 지난 9월 389건 (10.2%) 보다줄어든것으로나타났다. 이는특정악성코드로인하여다수의고객피해가발생하는것이아니라, 악성코드가대량제작배포되고생명주기가짧은현상을간접적으로보여준다. 지난달과비교하여두드러진차이점은 8, 9월에 1위를차지한허위백신류의악성코드의수가현저하게줄어든것과 2008년도하반기에는악성코드피해가점차줄어들고있다는것이다. 또한지난 8월과동일하게트로이목마가 Top 10을모두차지하였다. Win- Trojan/Bagle 는악성코드내에하드코딩된이메일주소로감염된시스템에서수집된정보를훔쳐자체 SMTP엔진을이용하여메일을발송하는악성코드로 10월에 49건이접수되면서 1위로랭크되었다. Win-Trojan/Bagle 과 Win-Trojan/Autorun 이 21%, 19% 로가장많은비중 을차지하였으며, Win-Trojan/Agent 류의악성코드가 10%, 10%, 9% 로그뒤를잇고있다. 28

29 나머지악성코드들은대부분 7%~6% 의비율로큰차이를나타내지는않고있다. 하지만 10 월은 9 월에비하여 Win-Trojan/Autorun 류의악성코드가 5.9%(23 건 ) 에서 19%(44) 로증가 하여다소많은피해를준것으로나타났다. 10 월순위 대표진단명 건수 % 1 Win-Trojan/Agent % 2 Win-Trojan/OnlineGameHack % 3 Win-Trojan/Downloader % 4 Win-Trojan/Autorun % 5 Dropper/OnlineGameHack % 6 Win32/Autorun.worm % 7 Win-Trojan/Bagle % 8 Win-Trojan/Fakeav % 9 Dropper/Agent % 10 Win-Trojan/Zlob % [ 표 3-2] 2008년 10월악성코드유형별 Top 10 [ 표 3-2] 는 2008년 10월악성코드의대표진단명을기준으로유형별피해순위를나타내고있다. 유형별 Top 10에포함된악성코드총피해건수는 1,265건으로 10월한달접수된총피해건수 (2,261) 의 55.9% 로절반이상을차지하고있다. 이러한 Trojan 악성코드대부분은 OnlineGameHack류의악성코드이며, 이악성코드가줄어들지않는이유는중국에서제작된웹사이트취약점을이용한악성코드삽입툴이지속적으로국내웹사이트를공격하고있기때문으로추정된다. 특정악성코드의피해를나타내는 [ 표 3-1] 과는달리전체적으로보았을때여전히온라인게임핵악성코드가상위권에랭크되어있으며, [ 표 3-1] 의 10위권에서밀려난허위백신류의 Win-Trojan/Fakeav는대표진단명에서 8위를차지하고있는데, 이는다양한변종이발생하였으나그피해는점차줄어들고있는것으로해석된다. 29

30 월별피해신고건수 10,000 8,000 6,000 4,000 2,000 - 월별피해통계 8,948 7,650 6,634 5,609 6,213 5,797 3,536 3,789 3,254 3,396 1,617 2,321 2,057 1,558 1,775 1,111 1,264 1, 년 2008년 6,454 5,352 4,265 2,995 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 3-1] 2007,2008 년월별피해신고건수 [ 그림 3-1] 은월별피해신고건수를나타내는그래프로 10월은전체 2,995건의피해신고가접수되었으며지난달 3,789건과비교하여약 21% 정도감소한것으로나타났다. 지난 5월을기점으로꾸준한감소세를보였던피해신고건수가 9월에소폭상승하면서 2007년과유사하게증가할것으로예상하였으나다시감소하였다. 이러한추이는악성코드의연말특수 ( 미국대선, 크리스마스등 ) 로인한스팸메일증가가예상되면서더욱더잠재적인위험을내포하고있을것으로추정된다. 30

31 6% 2% 5% 11% 76% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 [ 그림 3-2] 2008 년 10 월악성코드유형별피해신고건수 [ 그림 3-2] 는 2008년 10월전체악성코드유형별피해신고건수를나타내고있는그래프이다. Top 10의유형과마찬가지로전체피해신고유형을봤을때에도트로이목마가 76% 로높은비중을차지하고있으며 7월, 8월, 9월을거쳐점차감소하고있던드로퍼는게임핵류의악성코드증가로인해 11% 로증가하였다. 웜은지난달 9% 에서 3% 감소한 6% 로소폭감소하였다. 11% 4% 2% 7% 76% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 [ 그림 3-3] 2008 년 10 월피해신고된악성코드의유형별현황 [ 그림 3-3] 은 10월한달간접수된유형별신고건수로 [ 그림 3-2] 의유형별피해신고건수와마찬가지로트로이목마가 76% 로여전히높은비율을차지하고있다. 나머지스크립트 7%, 드로퍼 11%, 웜 4%, 유해가능프로그램이 2% 를골고루차지하고있으며여전히바이러스는전체비율에서 1% 도안되는비율을차지하고있다. 바이러스의경우 Win32/Kashu.B 가 Autorun 류의악성코드와동일하게 USB 와같은저장매 31

32 체를통해유포되었던경우가있었으나진단및치료가가능했던바이러스였기에크게이슈 가되지않고조기에차단될수있었다. 4,500 4,000 3,500 3,000 3,255 3,927 3,571 2,500 2,000 2,059 2,215 2,566 1,984 2,440 1,500 1,000 1,364 1, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 [ 그림 3-4] 2008 년월별피해신고악성코드종류 [ 그림 3-4] 는 2008년월별로피해신고가되는악성코드의종류를나타낸그래프이다. 월별로신고되는 [ 그림 3-1] 의월별피해신고건수와마찬가지로 3개월간꾸준히감소하다가 9 월에반등을하였으나 10월에는큰폭으로감소하였다. 2008년의 11월과 12월은 2007년연말악성코드추이와유사하게윈도우보안취약점을이용한젤라틴웜이첨부된스팸메일이유포될가능성을배제할수없기에더더욱남아있는기간동안에악성코드종류가어떻게증가할지쉽게예측하기어려워졌다. 32

33 국내신종 ( 변형 ) 악성코드발견피해통계 10 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-3] 과같다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 08 월 월 월 [ 표 3-3] 2008년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달신종및변형악성코드는 10% 가량상승하였다. 특히스크립트, 드롭퍼, 트로이목마유형이증가하였다. 스크립트와드롭퍼유형은전월대비각각 59%, 34% 증가하였다. 온라인게임계정을탈취하는악성코드유형이전월대비 12% 가량증가하면서관련드롭퍼와스크립트유형의악성코드들도상승한것으로추정된다. 다음은이번달악성코드유형을상세히분류하였다. 1% 3% 12% 0% 1% 10% 1% 10 월신종 ( 변형 ) 악성코드유형 0% 트로이목마 스크립트 드롭퍼 웜 (AutoRun ) 웜 ( 메일 ) 웜 (IRC) 웜 (SNS) 72% 유해가능 파일 ( 바이러스 ) [ 그림 3-5] 2008 년 10 월신종및변형악성코드유형 트로이목마유형은전월대비 4% 가량증가하였다. 스크립트와드롭퍼유형은위에서언급 했듯이이번달증가율이높았다. 웜유형에서는 Autorun 계열이가장많은변형을차지하 33

34 고있으며이번달다수의변형이발견된 Facebook 관련웜도새롭게웜유형으로추가하였다. Facebook 관련악성코드는미국내대표적인 SNS(Social Networking Service) 로이를노리는악성코드는기존에이미알려졌고 V3에서도진단되고있다. 이악성코드는해당사이트에접속되어있는경우사용자의버디리스트의개인페이지내에방명록또는덧글형태로악의적인웹사이트로유도하도록하여자신을전파한다. 국내에서의 SNS 관련악성코드는아직위와같은수준은아니고일부포털의사용자들의쪽지함에악성코드가업로드된링크를보내어클릭을유도하는형태가보고되었다. 이것은대부분사회공학기법으로호기심어린사진이나메시지등으로사용자를기만하고있으므로출처가불분명하거나버디리스트내사람에게온내용이라고할지라도의심스럽다면반드시메시지를보낸사용자에게확인이필요하다. 메일웜은주춤하였는데특히올한해대표적인메일웜이였던 Win32/Zhelatin.worm ( 이하젤라틴웜 ) 은이번달한건도사용자들로부터는접수되지않았다. 이뿐만아니라다른경로부터접수및모니터링되는곳에서도젤라틴웜은단지 1건만보고되었다. 다음은올해젤라틴웜에대한안철수연구소보고건수 1 이다 Win32/Zhelatin.worm 변형건수 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 1 [ 그림 3-6] 2008 년젤라틴웜접수건수 6 월이후하락추세에있으며 9 월은상승하였으나이는실제로문제가될수있는사용자 접수는오히려하락한경우이다. 즉, 기타경로의접수처의샘플은상승하였으나이것은 1 이는사용자및기타경로로접수된모든것을나타낸다. 34

35 실제사용자로부터접수된샘플의의미는아니다. 10월은거의보고되지않았다. 해당악성코드가주춤하거나활동이둔화된이유로여러가지이유로추정하고있는데그중유력한것은 Bot 마스터가새로운형태의변형을준비하고있거나누군가에의해서 Bot C&C 서버들이그기능을하지못한것으로보고있다. 이론적으로 P2P 형태의 Bot C&C 서버도인증을통과하여이를제어할수있다면더이상 Bot 들은기능을상실할수밖에는없다. 그러나젤라틴웜과같은거대한봇넷을구성하는악성코드들은그종류가많으므로젤라틴웜이감소하였다고해서전체적인악성코드가감소하지는않았다. 다음은최근 3 개월간악성코드분포이다 최근 3 개월간악성코드분포 월 9 월 10 월 [ 그림 3-7] 2008 년최근 3 개월간악성코드분포 트로이목마, 드롭퍼, 스크립트유형등이전월대비상승하였다. 8월, 9월을뜨겁게달구었던가짜백신들은주춤했다. 안철수연구소는전용백신을 10월한달동안꾸준히업데이트하였고제품에서도진단및치료기능을향상하여타사대비치료에우위를가지고있다. 그러한결과로실제로연구소로접수되었던미진단가짜백신은 9월 64개에서 10월은 30개정도로감소하였다. (V3 사용자접수샘플기준 ) 다음은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라인게임의사 용자계정을탈취하는트로이목마의추세를살펴보았다. 35

36 년온라인게임사용자계정탈취악성코드추세 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 [ 그림 3-8] 온라인게임사용자계정탈취트로이목마현황 전월대비 12% 상승한해당악성코드는그래도이전과비교하면여전히적은수가발견, 보고되고있다. 특이할만한것은이번달에는특정온라인게임을노리는악성코드가디버깅중이라고판단되면해당시스템의 MBR(Master Boot Record) 을쓰레기값으로쓰고특정메시지를삽입하여부팅시출력하는형태가보고되었다. 사용자들에게는별다른이상이없지만안티바이러스연구원들처럼분석을위하여해당악성코드를디버거로디버깅한다면 MBR이손상될우려가있다. 36

37 (2) 10 월스파이웨어통계 순위 스파이웨어명 건수 비율 1 New Win-Downloader/Zlob % 2 New Win-Spyware/Agent.6144.O 26 18% 3 New Win-Downloader/Zlob % 4 New Win-Adware/PointUp % 5 New Win-Adware/Nsearch % 6 New Win-Dropper/Zlob % 7 New Win-Adware/NeSearch % 8 New Win-Downloader/Febko % 9 New Win-Dropper/Zlob % 10 New Win-Downloader/Nsearch % 합계 % [ 표 3-4] 2008년 10월스파이웨어피해 Top 10 4% 4% 4% 4% Win-Downloader/Zlob Win-Spyware/Agent.6144.O 6% 6% 7% 33% Win-Downloader/Zlob Win-Adware/PointUp Win-Adware/Nsearch Win-Dropper/Zlob Win-Adware/NeSearch % 18% Win-Downloader/Febko Win-Dropper/Zlob [ 그림 3-9] 2008 년 10 월스파이웨어피해 Top 10 스파이웨어즐롭 (Win-Spyware/Zlob) 의피해가 10월에도계속되고있는가운데국내에서제작된애드웨어 NeSearch(Win-Adware/NeSearch) 가단일스파이웨어로서는많은피해를입혔다. 최근국내제작스파이웨어의피해는외국산에비해상대적으로감소하였으나 NeSearch를포함하여다운로더 Kwsearch(Win-Downloader/Kwsearch), 다운로더카지노 (Win-Downloader/Casino) 등의피해는지속적으로접수되고있다. 이들국내제작스파이웨 37

38 어는보안프로그램의진단을피하기위한목적으로지속적으로변형을배포하며, 정상프로 그램으로위장하거나랜덤한파일이름을사용하여설치되는공통점이있다. 순위 대표진단명 건수 비율 1 Win-Downloader/Zlob % 2 Win-Spyware/Crypter 54 9% 3 Win-Dropper/Zlob 50 8% 4 Win-Spyware/Zlob 44 7% 5 Win-Spyware/Agent 38 6% 6 Win-Clicker/FakeAlert 34 6% 7 Win-Spyware/Xema 30 5% 8 Win-Adware/Kwsearch 28 5% 9 Win-Downloader/Kwsearch 21 4% 10 Win-Spyware/PWS.OnlineGame 18 3% % [ 표 3-5] 대표진단명에의한스파이웨어피해 Top10 스파이웨어즐롭에의한피해는 [ 표 3-5] 의대표진단명에의한스파이웨어피해자료에서더욱확실하게파악할수있다. 다운로더즐롭 (Win-Downloader/Zlob) 은스팸메일이나성인사이트에서많이발견되며전체스파이웨어피해신고건수 1,142건의약 1/4을차지할정도로많은피해신고가접수되었다. 10월에는안티바이러스XP2008과같은허위안티-스파이웨어프로그램의피해가순위권에집계되지않았다. 전용백신배포와변형샘플모니터링등의노력으로허위안티-스파이웨어피해가감소한것으로풀이된다 년 10 월유형별스파이웨어피해현황은 [ 표 3-6] 과같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 8월 월 월 [ 표 3-6] 2008년 10월유형별스파이웨어피해건수 [ 표 3-6] 은 2008 년 10 월유형별스파이웨어피해현황이다. 전체피해신고건수는지난 9 월과비슷한가운데다운로더와애드웨어피해는증가하고, 스파이웨어와드롭퍼, 클리커에 의한피해는감소하였다. 다운로더즐롭의영향으로다운로더계열의스파이웨어피해가크 38

39 게증가하였으며, 10 월에는국내제작애드웨어의피해가증가한것으로확인되었다. 10 월스파이웨어발견현황 10 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-7] 과같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 8월 월 월 [ 표 3-7] 2008년 9월유형별신종 ( 변형 ) 스파이웨어발견현황 [ 표 3-7] 은 2008년 10월발견된신종및변형스파이웨어통계를보여준다. 다운로더즐롭의변형샘플모니터링의결과로다운로더발견건수가증가하였다. [ 표 3-7] 의유형별스파이웨어신종 ( 변형 ) 발견건수는 [ 표 3-6] 의유형별스파이웨어피해현황과비슷한비율을나타내고있다. 39

40 (3) 10 월시큐리티통계 2008년 10월에마이크로소프트사로부터발표된보안업데이트는총 12건으로긴급 (Critical) 5건, 중요 (Important) 6건, 보통 (Moderato) 1건이다. 이달에는 12건이라는그규모뿐만아니라대부분 Windows 시스템에서발생되는취약점이라는점과공격 Exploit이공개된사례가많다는점에서기존과차이를보인다. 특히, 이달에는마이크로소프트사로부터매주둘째주화요일 ( 영문기준 ) 에발표되는정기업데이트외에 MS 서버서비스취약점 1 에대한긴급보안업데이트 (Out-of-Band) 가발표되기도하였다. 해당취약점은 0-day 취약점으로업데이트발표와함께공격 Exploit 및취약점을이용한악성파일이본격적으로발표되었다. 서버서비스는윈도우시스템에서제공하는디폴트서비스로서그확산위험이크기때문에많은보안전문가를비롯한관계자들이현재까지도해당취약점에대한꾸준한모니터링을수행하고있다. 그러나, 무엇보다도사용자들의빠른업데이트적용이가장안전한방법이될것이다. [ 그림 3-10] 최근 1 년간공격대상기준별 MS 보안패치현황

41 위험도 취약점 PoC 긴급 (MS08-067) 서버서비스의취약점으로인한원격코드실행문제점 유 긴급 (MS08-057) Microsoft Excel 의취약점으로인한원격코드실행문제 무 중요 (MS08-061) Windows 커널의취약점으로인한권한상승문제점 유 중요 (MS08-066) Microsoft Ancillary Function Driver 의취약점으로인한권한상승문제점 유 [ 표 3-8] 2008년 10월발표된주요 MS 보안패치 2008 년 10 월웹침해사고현황 침해지유포지 년 2007년 2007년 2008년 2008년 2008년 2008년 2008년 2008년 2008년 2008년 2008년 2008년 10월 11월 12월 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 [ 그림 3-11] 악성코드배포를위해침해된사이트수 / 배포지수 2008년 10월의웹사이트경유지 / 유포지수는 194/48로지난달의 134/39으로침해된사이트의수와유포사이트의수모두증가하였다. 이번 10월의동향은지난달과큰차이없이 MS 취약점을이용한배포가현저하게줄었으며, MS Microsoft Access Snapshot Viewer 취약점을이용해악성코드배포를시도한사례가종종발견되고있다. 하지만 2008년 10월에많은제품의취약점이배포되었기때문에앞으로의동향을면밀히관찰할필요가있다. 특히, 갈수록특정한공격자에의해다수의침해사고가발생하고있다. 따라서이러한공격동향을분석하고대책을강구해야한다. 일반사용자역시 AV 제품을설치하고, 제품의상태를항상최신으로유지하도록해야한다. 41

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법

More information

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환 취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는

More information

*****

***** Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot

More information

TGDPX white paper

TGDPX white paper White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응 MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

개인정보보호의  이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호- 개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro

More information

(Microsoft Word - ASEC Report 2008\263\3428\277\371\310\243.doc)

(Microsoft Word - ASEC Report 2008\263\3428\277\371\310\243.doc) ASEC Report 8월 ASEC Report 2008. 9. I. ASEC 월간통계 2 (1) 8월악성코드통계 2 (2) 8월스파이웨어통계 11 (3) 8월시큐리티통계 13 II. ASEC Monthly Trend & Issue 15 (1) 악성코드 허위안티바이러스설치를위장한사기성스팸메일기승 15 (2) 스파이웨어 악성허위안티 - 스파이웨어 AntiVirusXP2008

More information

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù 21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1- Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

ASEC Report

ASEC Report ASEC Report 12 월 ASEC Report 2009. 1. I. 이달의보안이슈... 2 (1) 악성코드 IE 제로데이취약점과쿠폰을가장한악성코드... 2 (2) 스파이웨어 애드웨어의새로운시도... 5 (3) 시큐리티 MS08-078 IE XML 제로데이취약점... 9 (4) 네트워크모니터링현황 MS08-067 취약점공격트래픽... 12 (5) 중국보안이슈

More information

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

*

* Korea Internet & Security Agency 29 12 CONTENTS 1 3 4 5 6 6 7 9 1 13 14 16 18 23 56 59 61 Windows XP SP1 Windows 2 SP4 1 2912 Bot 326 49 2.3 73 73 239 215 11.2% 256 199 28.6% 25 115 117.4% Bot 8,469 46

More information

Security Trend ASEC Report VOL.56 August, 2014

Security Trend ASEC Report VOL.56 August, 2014 Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,

More information

Windows 10 General Announcement v1.0-KO

Windows 10 General Announcement v1.0-KO Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows

More information

Microsoft PowerPoint - 권장 사양

Microsoft PowerPoint - 권장 사양 Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

ASEC Report

ASEC Report 1. 악성코드 DDoS 악성코드의공격으로인한사회적혼란... 2 2. 스파이웨어 V3를도용한가짜프로그램등장... 5 3. 시큐리티 7.7 DDoS 패킷분석... 12 4. 중국보안이슈 중국에서제작된제로데이 (Zero-Day) 취약점생성기... 17 현금자동입출금기와악성코드... 22 1. 악성코드통계... 25 2. 스파이웨어통계... 35 3. 시큐리티통계...

More information

ASEC Report

ASEC Report 1. 악성코드 Geno 혹은 Gumblar 악성코드이슈... 2 2. 스파이웨어 리워드프로그램제작자의기소및 Clicker 이슈... 5 3. 시큐리티 IIS의 WebDAV 취약점주의요망... 9 4. 중국보안이슈 사이버머니갈취범징역형및취약한 PDF 생성기... 12 구름속백신?! 안랩스마트디펜스... 15 1. 악성코드... 24 2. 스파이웨어... 33

More information

ASEC Report

ASEC Report 1. 악성코드 메신저관련악성코드와테러뉴스를위장한월덱 (Waledac) 변형... 2 2. 스파이웨어 애드웨어들간의전쟁 (AdWars)... 5 3. 시큐리티 컨피커 (Conficker) 웜의세번째공격... 8 4. 네트워크모니터링현황- MS08-067 취약점의위험성지속... 11 5. 중국보안이슈 해외기관을공격하는 GhostNet 발견... 13 악성코드의국지성...

More information

ìœ€íŁ´IP( _0219).xlsx

ìœ€íŁ´IP( _0219).xlsx 차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer

More information

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염 Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염보고 Top 20 2010년 10월의 감염보고 건수는 Win-Trojan/Agent가 총 856,917건

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

<C0CCC8ADC1F82E687770>

<C0CCC8ADC1F82E687770> 분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상

More information

wtu05_ÃÖÁ¾

wtu05_ÃÖÁ¾ 한 눈에 보는 이달의 주요 글로벌 IT 트렌드 IDG World Tech Update May C o n t e n t s Cover Story 아이패드, 태블릿 컴퓨팅 시대를 열다 Monthly News Brief 이달의 주요 글로벌 IT 뉴스 IDG Insight 개발자 관점에서 본 윈도우 폰 7 vs. 아이폰 클라우드 컴퓨팅, 불만 검증 단계 돌입 기업의

More information

ASEC Report

ASEC Report 1. 악성코드 AimBot 웜의출현과 Virut 바이러스변형기승... 2 2. 스파이웨어 스파이웨어배포방식의지능화... 5 3. 시큐리티 다양한취약점을이용한공격증가... 8 4. 네트워크모니터링현황 MS08-067 취약점을이용한공격증가... 12 5. 중국보안이슈 가짜경품웹사이트사기단검거... 14 주요백싞프로그램의오진사례와원읶... 17 1. 악성코드 Autorun

More information

vRealize Automation용 VMware Remote Console - VMware

vRealize Automation용 VMware Remote Console - VMware vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation

More information

ASEC Report

ASEC Report 1. 악성코드 Win32/Induc 바이러스허위 UPS 메일관련악성코드... 2 2. 스파이웨어 카페에글을도배하는스파이웨어... 5 3. 시큐리티 7.7 DDoS 패킷분석... 9 4. 중국보안이슈 - 중국의범죄자양성교육... 14 Win32/Induc 바이러스가남긴과제... 16 1. 악성코드통계... 21 2. 스파이웨어통계... 28 3. 시큐리티통계...

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

PowerPoint Presentation

PowerPoint Presentation 오에스아이소프트코리아세미나세미나 2012 Copyright Copyright 2012 OSIsoft, 2012 OSIsoft, LLC. LLC. PI Coresight and Mobility Presented by Daniel Kim REGIONAL 세미나 SEMINAR 세미나 2012 2012 2 Copyright Copyright 2012 OSIsoft,

More information

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770> 악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

ASEC Report

ASEC Report 1. 악성코드 사회적이슈를이용한악성코드... 2 2. 스파이웨어 정상적읶컴퓨터사용을방해하는스파이웨어... 5 3. 시큐리티 TV는사랑을싣고 ~, 메읷은취약점을싣고 ~... 7 4. 네트워크모니터링현황... 11 5. 중국보안이슈... 13 TrueFind 성공기... 19 1. 악성코드통계... 25 2. 스파이웨어통계... 34 3. 시큐리티통계... 37

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다. 2011 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2011년 1월의악성코드감염보고는 TextImage/Autorun이

More information

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074> SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......

More information

<31305FBEC6C0CCC5DB2E687770>

<31305FBEC6C0CCC5DB2E687770> 1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.

More information

ASEC Report

ASEC Report 1. 악성코드 콘피커웜변형출현으로인한피해증가... 2 2. 스파이웨어 스파이웨어크립터와가짜백신... 6 3. 시큐리티 콘피커웜의전파방법과대처법... 9 4. 네트워크모니터링현황 콘피커웜의확산... 13 5. 중국보안이슈 2008년악성코드동향... 16 콘피커웜 Technical Report... 20 1. 악성코드 OnlineGameHack의활동뚜렷... 29

More information

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707 최근정보보호위협과 침해사고동향 김홍석보안프로그램매니저고객지원부한국마이크로소프트 해킹으로부터안전하고 바이러스걱정도안하고 보안취약점염려도없이 컴퓨터를가장안전하게사용하는 방법은? 컴퓨터를네트워크에연결하지않고 CD, 디스켓, USB 메모리를사용하지않는다 한국정보보호진흥원 (KISA) 2006. 12. * 정보통신부 Dynamic u-korea 정보보호강화사업결과물

More information

ASEC Report

ASEC Report ASEC Report 11 월 ASEC Report 2008. 12. I. ASEC Monthly Trend & Issue... 2 (1) 악성코드 윈도우시스템파일을바꿔치기하는악성코드... 2 (2) 스파이웨어 3929.cn으로홈페이지를고정하는스파이웨어... 4 (3) 시큐리티 PDF 취약점... 7 (4) 네트워크모니터링현황 MS08-067 공격트래픽...

More information

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

ASEC Report

ASEC Report 1. 악성코드 파워포읶트제로데이관련취약점과또다른 Conficker 웜변형... 2 2. 스파이웨어 Zlob 방식으로배포되는국내애드웨어... 6 3. 시큐리티 PPT 0 day 취약점 (CVE-2009-0556)... 12 4. 중국보안이슈 중국의정보보안관련법... 16 Ineternet Explorer 8.0 의편리함과보안위협... 18 1. 악성코드...

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Traffic monitoring for security anomaly detection 바이러스연구실 최원혁 바이러스사례 (1) 2001.07 CodeRed 최초의패킷형바이러스. IIS 의버퍼오버플로어취약점을이용해서바이러스를메모리에상주후, 무작위로 PC 를선별버퍼오버플로어패킷을보내어취약점이존재할경우다시바이러스에감염되는과정을반복함 (2) 2001.08 CodeRed_II

More information

Microsoft PowerPoint - thesis_rone.ppt

Microsoft PowerPoint - thesis_rone.ppt 엔터프라이즈네트워크에서인터넷웜의실시간탐지방법 포항공과대학교정보통신대학원정보통신학과 분산시스템과네트워크관리연구실 2005 년 12 월 21 일 조룡권 rone@postech.ac.kr 목차 서론 연구의필요성과목표 관련연구 인터넷웜탐지알고리즘 웜트래픽발생툴 알고리즘의검증 네트워크에서의탐지결과분석 결론 (2) 서론 (1) 인터넷웜은전파속도가빠르고네트워크의마비를일으킴

More information

08_spam.hwp

08_spam.hwp 1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는

More information

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!

More information

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time- EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.

More information

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp A SQL Server 0 설치 A. 소개 Relational DataBase Management System SQL Server 0는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 express 버전 의무료에디션을제공하는데, 이책에서는실습을위해 SQL Server 0 익스프레스에디 션 SP

More information

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17 Trojan.KillDisk.MBR 악성코드분석보고서 (V 4.0) ESTsoft Corp. ALTOOLS Division Malware Research 페이지 1 / 17 Table of Contents 1. 분석...1 1-1. 유포경로... 2 1-2. 악성파일분석... 3 1-2-1. 드롭퍼 A 분석... 3 1-2-2. 드롭퍼 B 분석... 10 페이지

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,

More information

ActFax 4.31 Local Privilege Escalation Exploit

ActFax 4.31 Local Privilege Escalation Exploit NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고

More information

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. AhnLab Security Emergency response Center REPORT

More information

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서 커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2 월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황

More information

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하 Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정

More information

Ⅰ. 이달의보안이슈 1. 악성코드 - Alureon 트로이목마 Win-Trojan/Alureon 트로이목마는이전부터알려진트로이목마로주로악의적인 DNS로변경하는악의적인기능을가지고있다. 이와함께생성되는 DLL 을통하여자신의변형이나안티바이러스종료그리고특정호스트로 DDOS 공

Ⅰ. 이달의보안이슈 1. 악성코드 - Alureon 트로이목마 Win-Trojan/Alureon 트로이목마는이전부터알려진트로이목마로주로악의적인 DNS로변경하는악의적인기능을가지고있다. 이와함께생성되는 DLL 을통하여자신의변형이나안티바이러스종료그리고특정호스트로 DDOS 공 Ⅰ. 이달의보안이슈 1. 악성코드 - Alureon 트로이목마 Win-Trojan/Alureon 트로이목마는이전부터알려진트로이목마로주로악의적인 DNS로변경하는악의적인기능을가지고있다. 이와함께생성되는 DLL 을통하여자신의변형이나안티바이러스종료그리고특정호스트로 DDOS 공격을수행하는트로이목마이다. 해당트로이목마는 9 월초국내일부고객들로부터발견, 보고되었으며치료가매우까다로운편에속하는악성코드이다

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction 해킹및침해대응 Lecture2 침해사고동향 보안위협의증대 APT 를기반으로하는기업 / 기관을대상으로하는공격이지속적으로발생 : ADD, MND, 한수원등 DDoS 공격의지속적인발생, 공격목적의변화 서비스거부해제를위한금품요구 사회혼란, 정치적목적 공공기관사칭피싱사이트증가 금융, 게임, 포털 검찰청, 경찰청, 금감원 추가적으로모바일형태의피싱사이트증가 주요인기키워드및사회이슈를활용한악성코드배포

More information

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.

More information

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드] 리눅스 설치 Vmware를 이용한 Fedora Core 8 설치 소프트웨어실습 1 Contents 가상 머신 실습 환경 구축 Fedora Core 8 설치 가상 머신 가상 머신 가상 머신의 개념 VMware의 설치 VMware : 가상 머신 생성 VMware의 특징 실습 환경 구축 실습 환경 구축 Fedora Core 8 설치 가상 머신의 개념 가상 머신 (Virtual

More information

07_alman.hwp

07_alman.hwp 1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.

More information

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷 인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P Duplicator 는기본적으로원본하드디스크를빠르게복사본하드디스크에복사하는기능을하는것입니다.. 복사본 하드디스크가원본하드디스크와똑같게하는것을목적으로하는것이어서저용량에서고용량으로복사시몇 가지문제점이발생할수있습니다. 하드디스크는사용하려면, 디스크초기화를한후에포맷을해야사용가능합니다. Windows PC는 MBR과 GPT 2 개중에 1개로초기화합니다. -Windows

More information

로거 자료실

로거 자료실 redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리 #HNS-WI-13-028 북한의심 APT 공격에대한 Kaspersky 의분석정리 2013-09-12 내용요약 이보고서는 Kaspersky의 Dmitry Tarakanov가작성하여우리나라시간으로 9월 12일발표한 The Kimsuky Operation: A North Korean APT? 를정리및분석한것으로, Kaspersky는지난몇달동안한국의세종연구소, KIDA(

More information

<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378> 목차 Part Ⅰ. 4 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 Resume 이력서로위장한악성코드... 5 3. 허니팟 / 트래픽분석...

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8 차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote

More information

Microsoft Word - ASEC Report doc

Microsoft Word - ASEC Report doc Manual 목 ASEC Report 11월 ASEC Report 2004. 12 I. 11 월악성코드피해 Top 10 3 II. 11 월국내신종악성코드발견동향 8 III. 11 월신규보안취약점 13 IV. 11 월일본피해동향 16 V. 11 월중국피해동향 20 안철수연구소의시큐리티대응센터 (Ahnlab Security E-response Center) 는악성코

More information

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로

More information

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1 악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐 QnA 형식으로알아보는 WannaCry 랜섬웨어 대응가이드 2017. 05 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. - 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요?

More information

컴퓨터관리2번째시간

컴퓨터관리2번째시간 Company 컴퓨터 관리 참고 자료 PC 운영체제 POST 기능 :, ROM BIOS ( : [F8]) 1. Windows XP Windows XP 사용자 계정 :,,, 강화된 디지털 미디어 지원 기능 : (Windows Movie Maker), CD (Windows Media Player), Windows 홈 네트워크 기능 :, 강화된 시스템 관리 :,

More information

Microsoft Word - PLC제어응용-2차시.doc

Microsoft Word - PLC제어응용-2차시.doc 과정명 PLC 제어응용차시명 2 차시. 접점명령 학습목표 1. 연산개시명령 (LOAD, LOAD NOT) 에대하여설명할수있다. 2. 직렬접속명령 (AND, AND NOT) 에대하여설명할수있다. 3. 병렬접속명령 (OR, OR NOT) 에대하여설명할수있다. 4.PLC의접점명령을가지고간단한프로그램을작성할수있다. 학습내용 1. 연산개시명령 1) 연산개시명령 (LOAD,

More information

Windows Server 2012

Windows Server  2012 Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB

More information

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

개인정보보호의  이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호- 개인정보보호의 이해및안전한관리 - 개인 PC 및스마트폰개인정보보호 - 2012. 12. 12 최윤형 ( 한국정보화진흥원 ) 1 안전한개인 PC 관리방법 목 차 2 안전한스마트폰관리방법 1. 안전한개인 PC 관리방법 정보통신기기의보안위협요인 웜, 바이러스, 악성코드, DDos 공격침입, 네트워크공격 휴대성, 이동성오픈플랫폼 3G, WiFi, Wibro 등 웜,

More information

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378> 목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석

More information

유포지탐지동향

유포지탐지동향 월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석

More information

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고 Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2009년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고있으며, TextImage/Autorun 과 Win32/Virut.B 가각각 2위와 3위를차지하였다.

More information