목차 개요... 3 공격현황... 4 공격방식... 7 스피어피싱 (Spear Phishing) 이메일... 7 워터링홀 (Watering hole)... 7 중앙관리시스템... 8 국내외주요공격사례... 8 국내사례 Icefog-NG 변형 오퍼레
|
|
- 은혜 수
- 6 years ago
- Views:
Transcription
1 국내방위산업체공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnLab, Inc. All rights reserved.
2 목차 개요... 3 공격현황... 4 공격방식... 7 스피어피싱 (Spear Phishing) 이메일... 7 워터링홀 (Watering hole)... 7 중앙관리시스템... 8 국내외주요공격사례... 8 국내사례 Icefog-NG 변형 오퍼레이션레드닷 (Operation Red Dot) 오퍼레이션고스트라이플 (Operation Ghost Rifle) 오퍼레이션어나니머스팬텀 (Operation Anonymous Phantom) 국내공격사례의특징 공격그룹연관성 한국어사용자가능성 악성코드상세분석 Escad Rifdoor Phandoor 안랩대응및보안권고 결론 AhnLab, Inc. All rights reserved. 2
3 개요 지난 2010 년부터본격화된국내외방위산업체에대한공격은현재까지꾸준히지속되고있다. 방위산업체는방위산업물자를생산하는업체로, 단순산업분야가아니라국가안보와밀접히연관되어있으며, 경쟁국혹은적대국가에서이들업체의정보를노릴가능성도배제할수없다. 최근국내방위산업체에대한공격도지속적으로확인되고있으며, 일부공격그룹은방위산업체뿐아니라국내정치, 외교분야에대해서도공격을가하고있다. 한편, 공격자들이특정국가의지원을받고있는지는확인되지않았다. 방위산업체공격사례를분석한결과, 공격자는주로스피어피싱 (Spear Phishing) 이메일과워터링홀 (Watering-hole) 방식을통해악성코드를유포하였다. 특히국내업체공격의경우중앙관리시스템등의 국내유명프로그램의취약점을이용해악성코드를유포하기도했다 년이후국내에서는 4 개이상의공격그룹이활동한것으로확인된다. 또한일부그룹에서사용된악 성코드와공격에사용된프로그램에서한글이사용된것을미뤄보아공격자중에는한국어사용자도존재 할것으로추정된다. 본보고서에서는국내방위산업체를대상으로한공격사례를상세히살펴본다. 일시공격대상공격그룹악성코드설명 2013 년 9 월주로한국및일 아이스포그 (Icefog) Icefog, 한국을노린공격의경우정상한글 (HWP) 파 본. 한국의방위 Icefog- 일을보여줘사용자를속임 산업체, 정치, NG 외교부분등 2015 년 11 월서울 ADEX 참가 레드닷 (Red Dot) Escad, 문서파일을변조해취약점공격을하는형태 업체 과고스트라이플 Rifdoor 와오피스내매크로기능을이용한형태로나 (Ghost Rifle) 뉨 2016 년 1 월국내방위산업체어나니머스팬텀 (Anonymous Phantom) Phandoor 등 정확한감염방식은확인되지않음 년에는 다른분야로도공격을넓히고있음 2016 년 6 월방위산업체와연 고스트라이플 Ghostrat 자산관리프로그램취약점을이용한국내방위 관된대기업 (Ghost Rifle) Rifdoor 산업체연관대기업해킹. 해당공격그룹은 등 2015 년 11 월 ADEX 참관업체와 2016 년초 보안업체해킹사건과도연관 [ 표 1] 주요국내방위산업체공격사건 AhnLab, Inc. All rights reserved. 3
4 공격현황 국내방위산업체를공격한그룹에서제작한악성코드종류별수는다음과같다. Icefog-NG 는 13 개, Escad A 형 66 개, Escad B 형 12 개, Escad C 형 17 개, Rifdoor 15 개, Phandoor 37 개이다. Escad 변형에대한상세구분은 국내공격사례 오퍼레이션레드닷 (Operation Red Dot) 분석 에서확인할수있다. 70 국내방위산업체공격그룹악성코드수 Icefog-NG Escad A Escad B Escad C Rifdoor Phandoor [ 그림 1] 국내방위산업체공격그룹의악성코드종류별수량 2013 년부터 2017 년 5 월까지발견된관련악성코드수는다음과같다. Icefog-NG Escad Rifdoor Phandoor 2013년 년 년 년 년 5월까지 3 [ 표 2] 연도별악성코드발견수 AhnLab, Inc. All rights reserved. 4
5 Icefog-NG Escad Rifdoor Phandoor [ 그림 2] 기간별악성코드발견수 국내방위산업체를공격한주요그룹의활동기간은다음과같다. [ 그림 3] 주요공격그룹활동기간 주요공격그룹중하나인아이스포그 (Icefog) 그룹은적어도 2011년부터활동을시작해 2013년 10월까지활동이확인되었다. 현재는활동이확인되지않는데악성코드를변경해서활동할가능성도있다. 이스캐드 (Escad) 악성코드를사용한레드닷 (Red Dot) 그룹은 2014년 6월부터 2016년말까지활동했다. 하지만, 초기버전으로보이는악성코드는 2013년에도발견되었다. 특히이그룹은 2014년 11월미국영화사공격에도연관된것으로보인다. 2016년에는방위산업체뿐만아니라다른국내기업에대한공격도진행했다. 2015년등장한고스트라이플 (Ghost Rifle) 그룹은라이프도어 (Rifdoor) 와고스트랫 (Ghostrat) 악성코드를주로사용했다. 레드닷 (Red Dot) 그룹과고스트라이플 (Ghost Rifle) 그룹은 2015년가을국내방위산업체관련컨퍼런스인 ADEX((Seoul International Aerospace & Defense Exhibition) 참가업체에대한공격을가했다. 고스트라이플 (Ghost Rifle) 그룹은 2016년초보안업체에대한공격과대기업해킹에도연루되었다고알려졌다. 2016년초등장한어나니머스팬텀 (Anonymous Phantom) 그룹은 2016년가을이후활동이뜸하다가 AhnLab, Inc. All rights reserved. 5
6 2017 년봄에너지관련연구소등에대한공격이확인되었다. 오퍼레이션레드닷 (Operation Red Dot) 에서사용된 Escad 악성코드의 C&C 서버국가별분포는다음과같다. [ 그림 4] Escad C&C 서버국가별분포 총 57개의 C&C 주소중미국이 14곳으로가장많으며그다음은브라질 5곳, 대만 5곳이다. 아르헨티나, 벨기에, 볼리비아, 브라질, 중국, 체코, 프랑스, 독일, 인도, 인도네시아, 이란, 일본, 쿠웨이트, 멕시코, 파키스탄, 필리핀, 사우디아라비아, 슬로바키아, 스페인, 태국, 우크라이나등세계여러곳에 C&C 서버가존재한다. Escad 악성코드변형에서확인된 C&C 서버주소중한국은없지만 2015 년부터 2016 년까지발견된 Rifdoor 악성코드와 2016 년초부터활동을시작한 Phandoor 악성코드의 C&C 서버주소는대부분한국에 위치했으며, 국내대학교시스템을주로이용하고있었다. AhnLab, Inc. All rights reserved. 6
7 공격방식 방위산업체에대한공격방식은다른표적공격과마찬가지로크게스피어피싱 (Spear Phishing) 이메일을통한악성코드유포, 워터링홀 (Watering-hole) 공격, 중앙관리시스템을이용한공격등 3가지로나뉜다. 이외에도보안프로그램, 액티브엑스 (Active-X) 프로그램의취약점을이용한공격방식도알려졌지만아직확인하지못했다. 스피어피싱 (Spear Phishing) 이메일 공격자는이메일수신자의정보를파악해첨부파일을열어보거나본문내용에포함된링크 (Link) 를클릭하 도록유도한다. 메일의내용은주로업무나사회적으로관심을끄는내용이다. 일반적으로워드, 엑셀, 한글, PDF 등의문서에악성코드를포함시켜, 취약점이존재하는프로그램으로해당문서를열어볼경우취약점을악용해악성코드를감염시킨다. 하지만이처럼취약점을이용한공격방식은해당취약점이해결되면더이상사용할수없고, 패치가나오지않은제로데이 (Zero-day) 취약점을찾는것또한쉽지않다. 따라서공격자는취약점을이용하지않을경우에는실행파일을그대로첨부하는방식을사용한다. 하지만 단순실행파일을첨부하는방식은사용자와보안시스템으로부터쉽게의심받을수있기때문에실행파 일을문서파일로위장하여첨부파일을보내기도한다. 문서파일로위장하는파일형식으로는 EXE, LNK 파일이대표적이다. 예를들어사용자가 HWP 파일로위장 한 LNK 파일을문서파일로착각하여열어보면특정주소로접속을유도해악성코드를다운로드한다. 워터링홀 (Watering hole) 워터링홀 (Watering hole) 은공격자가특정웹사이트를해킹해취약점공격코드를숨겨두고사용자가취약한웹브라우저로접속할경우악성코드를감염시키는공격방식이다. 공격자는자신이원하는공격대상이자주방문할만한사이트를해킹한다. 일부의경우, 특정아이피주소 (IP Address) 에서접속한경우에만악성코드에감염되게하는방식으로더욱한정된대상만을노려, 공격시도를발견하기어렵게한다. AhnLab, Inc. All rights reserved. 7
8 중앙관리시스템 일반적으로회사에서사용하는컴퓨터는관리를위해특정관리시스템에연결되어있다. 2016년국내보안업체와대기업해킹건은모두중앙관리시스템을해킹하여시스템에연결된컴퓨터에악성코드를배포하는방식을사용했다. 공격자는목표대상업체에서사용하는프로그램을미리분석한후해당프로그램의취약점을노려공격에이용하고있다. 국내외주요공격사례 보안업체및언론을통해알려진방위산업체에대한주요공격은다음과같다. [ 그림 5] 주요방위산업체공격 AhnLab, Inc. All rights reserved. 8
9 일시공격대상공격그룹악성코드설명 2011년 3월 EMC RSA 와록히드마틴 2011년 8월방산업체를포함한최소 71개조직 2011년 9월일본미쓰비시중공업 2011년 10월미국과영국방위산업체 2012년 1월미국방위산업체 2013년 9월주로한국및일본. 한국의방위산업체, 정치, 외교부분등 2015년 11월서울 ADEX 참가업체 년 1월국내방위산업체 2016년 6월방위산업체와연관된대기업 미상 Poisonivy EMC RSA를해킹해 OTP 알고리즘을훔친후미국방산업체인록히드마틴사를해킹해군사정보유출 Operation Shady Shady Rat 5년동안공격진행. 한국기업포함 미상 Hupigon The Nitro Attacks Poisonivy 화학, 방산분야공격 Sykipot Sykipot 1 미국첨단사업분야에전문공격그룹 아이스포그 (The Icefog Icefog. 한국을노린공격의경우정상한글 (HWP) 파일 APT). 2 Icefog- 을보여줘사용자를속임 NG 레드닷 (Red Dot), 고 Escad, 문서파일을변조해취약점공격을하는형태와 스트라이플 (Ghost Rifdoor 오피스내매크로기능을이용한형태로나뉨 Rifle) 어나니머스팬텀 Phandoor 정확한감염방식은확인되지않음. 2017년에는 (Anonymous 등 다른분야로도공격을넓히고있음 Phantom). 고스트라이플 (Ghost Ghostrat 자산관리프로그램취약점을이용한국내방위산 Rifle). Rifdoor 업체연관대기업해킹 5. 해당공격그룹은 등 2015년 11월 ADEX 참관업체와 2016년초보 안업체해킹사건과도연관 [ 표 3] 주요방위산업체공격사례 AhnLab, Inc. All rights reserved. 9
10 국내사례 국내방위산업체에대한주요공격사례는다음과같다. Icefog-NG 변형 2013년 9월러시아보안업체인카스퍼스키랩 (KasperskyLab) 은분석보고서를통해아이스포그 (Icefog) 공격그룹에대한정보를공개했다. 6 이에따르면해당그룹은 2011년부터공격을시작했으며한국과일본의정부기관, 그리고방위산업체가주공격대상이었다. 마이크로소프트오피스취약점 (CVE , CVE ), 자바취약점 (CVE , CVE ), HLP 취약점등이공격에이용되었으며국내공격대상에는한글프로그램의취약점도이용되었다. 공격에사용된악성코드중에는윈도우악성코드뿐만아니라맥악성코드도존재한다. 국내업체의경우자료가유출된정황도확인되었다. 안랩은국내방위산업체등에서해당그룹의악성코드변형을추가확인했다. 분석보고서에따르면마지막으로발견된변형은 Icefog-NG다. 또한해당보고서에언급되지않은변형도국내방위산업체로부터접수되었다. Icefog-NG는 2013년 6월 19일최초발견되었으며 10월까지 ( 제작은 8월로추정 ) 총 13개의변형이발견되었다. 국내에서발견된변형인 Icefog-NG의경우방위산업체뿐아니라정치, 외교분야도공격대상으로포함되었다. Icefog-NG는변형에따라다른 PDB 정보를가지고있다. PDB 정보 d:\jd\jd(regrun)\release\jd3(reg).pdb e:\jd4\myserver(regrun)\release\jd4(reg).pdb x:\jd(regrun)\release\jd3(reg).pdb [ 표 4] Icefog-NG PDB 정보 일부변형은악성코드가실행될때 %TMP%\~AA.tmp 의존재여부를검사한다. 만일존재하면자기자신 을 %TMP%\hwp.hwp 로복사한다음 hwp.exe 를종료하고 hwp.hwp 을실행한다. 이는사용자에게정상 HWP 파일내용을보여줘감염사실을알지못하게하기위함으로보인다. 6 AhnLab, Inc. All rights reserved. 10
11 변형별로접속하는 C&C 서버의주소를분석한결과 nprottct.com, boanews.net, hauurri.com 등과같이국내보안사이트와유사한주소가확인되는것으로보아해당샘플은국내를목표로했을가능성이높다. 현재까지안랩에서는이들변형중최소 3개가국내공격에이용되었음을확인했지만확인되지않은공격대상이더있었을것으로보인다. 이처럼 HWP 한글파일을보여주는기능과국내사이트와유사한 C&C 서버주소를사용한것으로보아 Icefog-NG는국내를노린악성코드로추정된다. Icefog-NG 변형에따른주요 C&C 서버주소는다음과같다. C&C 서버주소 esdlin.com/news/upload.aspx fruitloop com/news/upload.aspx minihouse.website.iiswan.com/update/upload.aspx starwings.net [ 표 5] Icefog-NG 주요 C&C 서버주소 실존하는국내사이트주소와매우유사한 사이트이외 에도 사이트에포함된문자또한 korea 나 mnd(ministry of National Defense) 와유사해 역시국내사용자를노렸을가능성이있다. Icefog 공격그룹은 2013 년 10 월이후현재까지활동이확인되지않고있다. 활동이중단된시기는보고서 발표시기와비슷하며이들이활동을중단했는지악성코드를변경해새롭게활동하고있는지는확인되지 않고있다. 오퍼레이션레드닷 (Operation Red Dot) 오퍼레이션레드닷은 2014년봄부터 2017년 2월까지계속된공격으로 2014년말미국영화사해킹과연계된것으로보인다. 안랩은 100여개의관련 Escad 악성코드변형을발견했으며초기버전으로추정되는변형은 2013년부터발견되었다. 2014년부터는미국영화사뿐만아니라대북사이트, 방위산업체등에대한공격도확인되었다. 발견된변형사이에는코드유사성을포함해 AbodeArm.exe, msnconf.exe 등과같은파일명에도상당한공통점이존재했다. AhnLab, Inc. All rights reserved. 11
12 Escad 악성코드는크게 A 형, B 형, C 형으로나뉘며 A 형이 69% 로가장많고그다음으로는 B 형이 18%, 그리고 C 형이 13% 로가장적었다. Escad 분류 18% 13% 69% TypeA TypeB TypeC [ 그림 6] Escad 분류 Escad 악성코드변형에감염된 PC 의비율은 A 형이 68%, B 형은 10%, C 형은 22% 이다. Escad 감염 PC 수 22% 10% 68% TypeA TypeB TypeC [ 그림 7] Escad 감염 PC 비율 AhnLab, Inc. All rights reserved. 12
13 국내기관에대한공격은 2014 년 11 월미국영화사해킹이후 2015 년봄부터확인되었다. [ 그림 8] 2015 년공격메일첨부파일내용 또한국내방위산업체에대한공격은 2015 년가을부터본격화됐다 년 10 월국내방위산업체를목표 로한공격은특정학회를사칭한스피어피싱공격이었다. [ 그림 9] 스피어피싱메일 AhnLab, Inc. All rights reserved. 13
14 메일에첨부된초청장.hwp 파일을열면한글워드프로세스취약점을이용한백도어 (Backdoor) 가사용자컴 퓨터에설치된다. [ 그림 10] 초대장내용 2015 년 11 월에는 서울에어쇼에서전시된 10 대명품무기입니다 라는제목으로전시회참가업체들에게한 글문서를첨부한메일을발송했다. 첨부된한글문서를실행하면마찬가지로한글워드프로세스취약점을 공격해사용자 PC 를 Escad 악성코드에감염시킨다. AhnLab, Inc. All rights reserved. 14
15 [ 그림 11] 행사관련메일로가장한한글파일 2016 년부터는공격대상이확대되어호스팅업체, 대기업, 언론사등에대해서도공격을수행하였으며 악성코드도좀더다양화되었으며윈도우제로데이취약점을이용한공격도진행했다. 최종적으로 2017 년 2 월까지공격이확인되었지만현재까지도공격을지속하고있을가능성이높다. Escad 악성코드변형 Escad 악성코드는다수의변형이존재하며 2014년미국영화사미국영화사공격에사용된악성코드는 Escad A형과연관된것으로보인다. 2013년에도문자열처리에비슷한코드를사용하는악성코드가발견되었지만연관가능성이있는지판단하기는힘들다 년 5 월에발견된초기버전은 2014 년 11 월미국영화사공격에사용된파일과동일한방식으로 API 를구한다. 차이점은초기버전의파일은상위드롭퍼에의해서비스로등록되어동작한다는점이다. AhnLab, Inc. All rights reserved. 15
16 [ 그림 12] 2014 년 5 월발견된초기버전 미국영화사공격에사용된악성코드와유사한형태의변형은 2014 년 7 월이후부터발견된다. [ 그림 13] 국내발견변형과미국영화사공격샘플비교 앞서언급된바와같이 Escad 악성코드변형은크게 A형, B형, C형으로나뉜다. 최초기준이된 A형의주요특징은메인코드에서 2개의 IP를설정하는것, XOR 0xA7 을이용하여 DLL 파일의이름을구하는것, 그리고사용할 API의실제사용을위해서는모두 (space) 와. (dot) 을제거해야한다는점등이있다. 그후백도어명령을받을때는자체디코드루틴을사용하였다. AhnLab, Inc. All rights reserved. 16
17 B형은메인코드에서 2개의 IP를설정하는것은동일하나코드형태가변화하였다. DLL 파일의이름과사용할 API를구할때 (space) 와. (dot) 을제거하는것이아닌 XOR 연산을통해구하는것으로변경되었다. C형은서비스로동작하며 A형, B형과마찬가지로 2개의 IP가설정된다. DLL 파일의이름과사용할 API, 백도어명령어까지자체디코드루틴을사용하여구한다. 백도어코드는 A형과동일하다 년발견된변형은파일길이가 50 메가바이트 (MB) 가넘는경우도있다. 또한암호화된파일이나리 소스영역의메모리에서만동작하는새로운형태의백도어도발견되었다. [ 그림 14] Escad 악성코드변형관계도 [ 그림 14] 의관계도에서붉은색글씨는변경된부분을의미하고, 회색글씨는사라진방식을의미한다. [ 그림 15] 자체디코드루틴 AhnLab, Inc. All rights reserved. 17
18 Type 악성코드 API 구하는방법 A형 미국영화사공격 API 주소에. 이존재 B형 한글취약점을통해유포 API 주소에서. 가사라지고 XORING으로변경 (XOR 키는변형마다다름 ) C형 국내정치권공격 자체 Decode 루틴사용 [ 표 6] 변형해시및 API 특징 A 형메인코드 B 형메인코드 [ 표 7] A 형과 B 형의메인코드비교 Type A 형 API 구하는코드 AhnLab, Inc. All rights reserved. 18
19 B 형 C 형 [ 표 8] 변형별 API 구하는코드 Escad 악성코드변형이감염시스템에서사용한파일이름은다음과같다. 공격대상이해당파일을실 행할수있도록주소록, 송금증, 초대장등의문서파일로파일이름을위장하고있다. 파일이름 adobe.exe AdobeArm.exe AdobeARM.exe adobearm.exe AdobeFlash.exe msdtc.exe msnconf.exe [ 표 9] Escad 변형파일이름 Escad 변형에서확인된주요 C&C 서버주소는다음과같다 : : : :443 [ 표 20] Escad 변형주요 C&C 서버주소 : :110 AhnLab, Inc. All rights reserved. 19
20 오퍼레이션고스트라이플 (Operation Ghost Rifle) 오퍼레이션고스트라이플을진행한공격그룹은주로방위산업체를노렸다. 해당그룹은 2016 년초국내 보안업체, 2016 년 6 월대기업전산망해킹등에도연관된것으로알려져있다. 방위산업체에대한공격은 지속적으로발생하고있으며특히국내업체에는국내환경에맞춘공격이이뤄졌다 년가을, 서울국제항공우주및방위산업전시회 (Seoul International Aerospace & Defence Exibition, ADEX) 참가업체에대한공격이있었다. ADEX 는 1996 년부터격년으로열리는국제방위산업전시회다. 공격자는주최측으로위장하여취약점이포함된한글파일이나악성매크로를포함한엑셀, 워드문서를 메일에첨부하는공격방식을사용했다. [ 그림 15] ADEX 참가업체공격메일 메일에첨부된문서는행사관련내용이며첨부파일실행시사용자가 콘텐츠사용 을선택하면악성코드 를다운로드한다. AhnLab, Inc. All rights reserved. 20
21 [ 그림 16] ADEX 참가관련문서내용 2015 년 ADEX 참관업체에대한공격에최소 2 개이상의공격그룹이참여했으며한글프로그램취약점 파일의경우 Escad 악성코드변형도포함되어있었다. 워드나엑셀파일의경우에는사용자가매크로를실 행하면 Rifdoor 악성코드변형에감염된다. 이후에발견된문서파일의내용을확인한결과, 이공격자는주로방위산업체에대한공격을지속적으로 수행한것으로추정된다. [ 그림 17] 국내방위산업체공격에사용된문서내용 AhnLab, Inc. All rights reserved. 21
22 또한동일공격그룹이국내보안업체의 DRM 프로그램으로위장한악성코드를배포한정황도포착되 었다 년 1 월국내보안업체공격에사용된변형은주요문자열이암호화되어있다. [ 그림 18] 0x0F 로암호화된문자열 2016년 6월에는자산관리솔루션을이용한방위산업체관련대기업해킹사건이경찰청에접수되었다. 7 자산관리솔루션의취약점을이용한것으로파일배포기능을통해악성코드를배포하여대기업해킹을시도한사건이다. 해당공격으로인해설치된고스트랫 (GhostRat) 악성코드로약 4만여건의문서가유출된것으로확인되었다. [ 그림 19] 중앙관리시스템취약점을이용한악성코드관계도 7 AhnLab, Inc. All rights reserved. 22
23 사건개요를정리하면다음과같다. 특히사건이발생하기 4 년전인 2012 년, 자산관리프로그램취약점 테스트정황이확인되고 2014 년 7 월부터해킹을시도한것으로보아공격자는해당대기업에대한공 격을장기간준비했음을예상할수있다. 2012년 7월 자산관리프로그램취약점테스트정황 2014년 7월 자산관리프로그램취약점이용한대기업해킹시도시작 2015년 3월 자산관리프로그램을통해백도어프로그램을담은 V3PScan.exe 배포 2015년 11월 모보안프로그램가장악성코드배포 2016년 2월 경찰청사이버안전국관련첩보입수해수사 2016년 3월 자산관리프로그램보안패치발표 2016년 4월 관련정보관계사, 관련당국에공유 [ 표 11] 대기업해킹사건타임라인 2012 년 7 월취약점테스트로추정되는코드에서발견된 PDB 정보는다음과같다. c:\new folder\connecttest\release\connecttest.pdb [ 표 32] 취약점테스트추정코드에서발견된 PDB 정보 2015 년 3 월자산관리프로그램을통해실행파일인 V3PScan.exe 를배포할때사용한코드의내용은다 음과같다. [ 그림 20] 자산관리프로그램을이용한실행파일배포 AhnLab, Inc. All rights reserved. 23
24 Rifdoor 악성코드변형에따른 PDB 정보는다음과같다. PDB 정보 C:\Users\C8\Desktop\rifle\Release\rifle.pdb E:\Data\My Projects\Troy Source Code\tcp1st\rifle\Release\rifle.pdb [ 표 4] Rifdoor 악성코드변형에따른 PDB 정보 추가악성코드 오퍼레이션고스트라이플을수행한해당공격그룹은자체제작한 Rifdoor 악성코드이외에도 Ghostrat, Aryan 등이미알려진다른악성코드도이용하고있다. [ 그림 21] 추가악성코드 Aryan 악성코드는 Fuck Hack Hound. 와같은특징적문자열을포함하고있다. [ 그림 22] 특징적문자열 AhnLab, Inc. All rights reserved. 24
25 Aryan 악성코드해킹툴관리프로그램도존재한다. [ 그림 23] 해킹툴관리프로그램 또한해당그룹은 Crash.exe, Test.exe 라는이름으로매년 8 월이후 PC 의하드디스크내용을파괴하도록설 계된악성코드를제작했다. 하지만, 실제공격에사용되었는지는확인할수없다. 오퍼레이션어나니머스팬텀 (Operation Anonymous Phantom) 2016년 1월부터 10월까지유사악성코드를이용한국내방위산업체에대한공격이확인되었다. 초기공격에사용된파일이름은 Phantom.exe 이며, 악성코드진단명은 Phandoor 이다. 또한통신을할때익명을의미하는 'Anonymous 문자열을사용하는것이확인되었다. 안랩은공격에사용된파일이름과통신시사용하는문자열을토대로해당공격을 어나니머스팬텀 (Operation Anonymous Phantom) 으로명명했다. 해당악성코드는 2016년 1월최초발견되었지만 2015년 10월처음제작된것으로추정된다. 국내방위산업체몇곳이공격대상으로확인된것으로미뤄보아방위산업체를노린공격으로추정된다. 정확한공격방식은확인되지않았다. 현재까지총 37개의변형이발견되었으며파일의크기는 76,800 바이트에서 95,232 바이트사이다. Phantom.exe 외 F_lps.exe, ahnv3.exe, 12teimong12.exe, Tiemong.exe, v3scan.exe, otuser.exe, v3log.exe 등의파일이름으로도발견되었다. AhnLab, Inc. All rights reserved. 25
26 최근에는 2017 년 4 월더미다 (Themida) 패커로패킹된변형이국내에너지관련연구소에서발견되었으 며 2017 년 5 월에는특징적인 Anonymous 문자열이제거된변형도발견되는등현재까지꾸준히활동 중이다. 추가악성코드 어나니머스팬텀공격그룹에서사용한 Phandoor 컨트롤프로그램화면은다음과같다. [ 그림 24] Phandoor 컨트롤프로그램 중계서버역할을하는것으로보이는 Transponder.exe 도발견되었으며, 변형에따라 443 번, 6000 번, 번포트를 LISTENING 상태로열어둔다. AhnLab, Inc. All rights reserved. 26
27 국내공격사례의특징 국내방위산업체에대한공격은여러그룹에의해이뤄졌다. 국내방위산업체를공격대상으로한레드닷 (Red Dot) 그룹, 고스트라이플 (Ghost Rifle) 그룹, 어나니머스팬텀 (Anonymous Phantom) 그룹에서사용한코드와암호화방식의유사성으로미루어볼때이들그룹이동일그룹혹은협력그룹일가능성이있다. 한편국내공격에사용된악성코드를추적해보면다른악성코드도연관되어발견되고있다. 공격그룹연관성 국내방위산업체에대한공격을시도한그룹은다수존재한다. 2013년알려진아이스포그 (Icefog) 그룹은중국그룹으로추정되고있다. 2014년국내방위산업체를공격한레드닷 (Red Dot) 그룹은 2014년미국영화사를공격한그룹과동일그룹으로보인다. 레드닷 (Red Dot) 그룹과함께 2015년 ADEX 참가업체공격을시작으로국내방위산업체를공격한고스트라이플 (Ghost Rifle) 그룹은 2016년국내대기업해킹으로유명해졌다. 어나니머스팬텀 (Anonymous Phantom) 그룹은 2016년초부터활동을시작하는데기존악성코드와코드에서유사점이있다. Dllbot은 2007년부터국내군관련해킹에이용된악성코드다. Dllbot은여러변형이발견되는데 2012년에발견된변형에서는문자열에서 S^를제거하는코드를포함하는특징이발견되었다. 같은해 Dllbot의변형인 Xwdoor에서도동일코드가발견되었다. 2015년발견된 Phandoor 는 Dllbot와 Xwdoor와는전반적인코드는다르지만 S^를처리하는코드는유사하다. [ 그림 25] 공격그룹관계도 AhnLab, Inc. All rights reserved. 27
28 Phandoor 변형에서발견된문자열앞에붙어있는 S^ 의경우 2012 년에발견된국내표적공격악성코드 에서도발견되었다. [ 그림 26] 2012 년발견된 S^ 를포함한악성코드 Dllbot 주요문자열앞에붙은 S^ 뿐아니라문자열에서 S^ 를제거하는코드또한유사하다. 즉, 동일공격자나 관련소스코드를이용해서악성코드를만들고있는것으로추정된다. [ 그림 27] S^ 를처리하는유사변환코드 AhnLab, Inc. All rights reserved. 28
29 Phandoor 와 Rifdoor 악성코드는유사한암호화방식을사용하고있다. [ 그림 28] Rifdoor 와 Phandoor 의암호화코드 결론적으로국내방위산업체를공격대상으로한레드닷 (Red Dot) 그룹, 고스트라이플 (Ghost Rifle) 그룹, 어 나니머스팬텀 (Anonymous Phantom) 그룹의연관성은명백하지않지만, 코드와암호화방식의유사성으로 미루어볼때이들그룹이동일그룹혹은협력그룹일가능성이있다. 한국어사용자가능성 일부그룹에서공격에사용한프로그램중에는한국어로된프로그램도확인되어국내공격자가한국인일 가능성도있다. 고스트라이플그룹에서사용한악성코드제어프로그램은 체계설정, 문자렬, 통보문현시 등과같은어색 한한글이사용되고있는것이확인됐다. AhnLab, Inc. All rights reserved. 29
30 [ 그림 30] 오퍼레이션고스트라이플에서사용된제어프로그램 또한어나니머스팬텀그룹에서제작한것으로보이는다른악성코드의 PDB 정보를보면사용자이름에 KGH 와같이한국인으로추정할수있는이니셜과횟수를의미하는 1 차 (cha) 문자열을포함하고있기도 한다. C:\Users\KGH\Downloads\(DONE)TROYS(DONE)\(done) 1 cha release (done)\(done) 1 cha (dll)\installer-dll-service_win32\release\installbd.pdb [ 표 14] PDB 정보 [ 그림 29] 한국인제작자로추정되는정보 AhnLab, Inc. All rights reserved. 30
31 악성코드상세분석 2010 년부터 2016 년까지방위산업체에대한공격에이용된주요악성코드인 Escad, Rifdoor, Phandoor 악성 코드에대한분석을살펴본다. 주요국내방위산업체공격에사용된악성코드샘플은다음과같다. 대표파일명 주요기능 MDS 진단명 V3 진단명 1 Rifle.exe 원격제어를통한백도어 Trojan/Win32.Rifdoor Win-Trojan/Rifdoor 2 Phantom.exe 원격제어를통한백도어 Trojan/Win32.Phandoor Trojan/Win32.Phandoor 3 AdobeArm.exe 원격제어를통한백도어 Backdoor/Win32.Escad Trojan/Win32.Escad [ 표 15] 국내방위산업체공격악성코드 Escad 기본정보 파일이름 AdobeArm.exe 파일길이 179,200 파일생성시간 2015년 10월 19일월요일, 오전 10시 49분 58초 (UTC 기준 ) 주요기능 MDS 진단명 V3 진단명 사용자정보탈취 Backdoor/Win32.Escad Backdoor/Win32.Escad [ 표 56] Escad 기본정보 동작방식 오퍼레이션레드닷 에서사용된 Escad 악성코드의특징은 API 를암호화해둔방식이다. 해당파일은사용 할 DLL 이름과 API 이름을 0x89 로 XOR 하여가져온다. [ 그림 32] XOR 89 코드 AhnLab, Inc. All rights reserved. 31
32 [ 그림 30] 복호화된문자열 또한 AdobeArm.exe 파일을시작프로그램에바로가기파일로 (*.lnk) 생성하여시스템이재부팅되어도자동 으로다시실행되게한다. [ 그림 31] 시작프로그램등록 0012B10C C Socket = 11C 0012B FB1C psockaddr = FB1C 0012B \AddrLen = 10 (16.) [ 그림 32] C&C 서버연결 AhnLab, Inc. All rights reserved. 32
33 :443, :8443 두개의 C&C 서버주소가있고, 실제로는 :443 으 로연결한다. 연결에성공하면컴퓨터이름, 사용자계정이름, 시스템정보등을전송한다. 명령어별기능 은다음과같다. 명령어 ( 주소로대체 ) &unk_ &unk_4270xx &unk_4270a0 &unk_4270b8 &unk_4270d0 &unk_4270e8 &unk_42703c &unk_ 기능디스크용량확인사용자정보프로세스실행프로세스목록프로세스종료파일전송특정파일찾기 %temp% 파일생성 &unk_4271xx 파일생성 ( 다운로드 ) &unk_ &unk_ &unk_ &unk_ &unk_4271a8 &unk_4271c0 &unk_4271xx 파일속성파일생성및삭제소켓연결 RECV 파일속성변경파일명변경배치파일생성및실행 [ 표 17] 명령어별기능 Rifdoor 기본정보 파일이름 rfile.exe 파일길이 95,232 파일생성시간 2015 년 11 월 18 일 00x 시 24 분 28 초 (UTC 기준 ) 주요기능 MDS 진단명 V3 진단명 원격제어 Trojan/Win32.Rifdoor Win-Trojan/Rifdoor.Gen [ 표 68] Rifdoor 기본정보 AhnLab, Inc. All rights reserved. 33
34 사용자의의심을피하기위해악성코드파일은아이콘은윈도우업데이트관련이미지로위장했다. [ 그림 33] 악성코드파일아이콘 Rifdoor 악성코드의 PDB 정보는 E:\Data\My Projects\Troy Source Code\tcp1st\rifle\Release\rifle.pdb 다. [ 그림 34] Rifdoor PDB 정보 동작방식 악성코드가실행되면 C:\Program Files\Common Files\Update 경로를생성하고악성코드를 WwanSvc.exe 로복사한다. 또한시스템이재부팅될때자동으로실행될수있도록레지스트리에등록한다. Software\\Microsoft\\Windows\\CurrentVersion\\Run 키 Windows Update [ 표 19] 레지스트리등록내용 [ 그림 35] 레지스트리등록내용 시스템을감염시킬때해당악성코드는파일끝 4 바이트에쓰레기값을추가하여파일을생성한다. 따라 AhnLab, Inc. All rights reserved. 34
35 서감염될때마다해시값이달라지기때문에단순해시값만으로는시스템에서악성코드를찾을수없다. [ 그림 36] 원본파일과생성파일비교 또한 MUTEX394039_ 뮤텍스 (Mutex) 를생성하고 C&C 서버로접속하여탈취한사용자정보를보 낸다음통신에성공하면명령을수행한다. [ 그림 37] 명령어처리부분 Rifdoor 악성코드의주요명령과그기능은다음과같다. 명령 기능 $interval $downloadexec 대기 파일다운로드후실행 AhnLab, Inc. All rights reserved. 35
36 $download 파일다운로드 ( 기본 ) Cmd.exe 실행 [ 표 20] Rifdoor 명령 Phandoor 기본정보 파일이름 Phantom.exe 파일길이 86,016 bytes 파일생성시간 2015년 10월 22일 23시 59분 03초 (UTC 기준 ) 주요기능 원격제어. 통신할때 Anonymous? 문자열을보냄 MDS 진단명 Trojan/Win32.Phandoor V3 진단명 Trojan/Win32.Phandoor [ 표 21] Phantom 기본정보 동작방식 Phandoor 악성코드는 S^%s\cmd.exe, S^nehomegpa.dll 과같이특징적으로주요문자열앞에 S^% 가붙 는다. [ 그림 38] Phandoor 의특징적문자열 S^ AhnLab, Inc. All rights reserved. 36
37 악성코드가실행되면초기화를거쳐 C&C 서버에접속을시도한다. 이때 Anonymous? 검사코드를보내 정상서버유무를확인한다. [ 그림 39] Anonymous 검사코드 또한명령을받아 cmd.exe 를실행하거나추가명령을수행한다. 명령 0x9 0xA 0xB 0x10 0x12 0x19 0x1A 0x1B 기능드라이브정보파일검색인터넷에서데이터받아파일생성일정시간후메인기능재실행 nehomegpa.dll 파일옮김프로세스리스트얻기프로세스종료권한상승 [ 표 22] 주요명령 악성코드실행과정내용을출력하는제작중인버전도발견되었다.. 안랩대응및보안권고 안랩제품군에서는국내방위산업체공격에사용된 Escad, Rifdoor, Phandoor 악성코드를다음과같은진단 명으로탐지한다. AhnLab, Inc. All rights reserved. 37
38 Backdoor/Win32.Icefog Backdoor/Win32.Escad Trojan/Win32.Escad Win-Trojan/Rifdoor.Gen Trojan/Win32.Phandoor 악성코드피해를 100% 예방하기는어렵다. 하지만다음기본보안수칙을잘지키면대부분의악성코드감염피해를예방할수있다. 1. 백신프로그램의엔진버전을최신으로유지하고주기적으로시스템검사를실시한다. 2. 윈도우, 맥, 리눅스등운영체제를포함하여마이크로소프트오피스, 어도비플래시 (Adobe Flash), 자바 (JAVA) 등주요프로그램을최신버전으로유지한다. 3. 메일첨부파일또는다운로드한파일이실행파일인경우의도한파일이맞는지확인한후실행한다. 특히문서나동영상파일로위장한실행파일을주의해야한다. 4. 출처가불분명한메일의첨부파일은실행을자제한다. 결론 안랩을비롯한국내외보안업체들이분석한바와같이 2011 년이후세계적으로방위산업체에대한공격 은더욱고도화되고있다. 방위산업체는국가안보와도밀접하게연관되어있기때문에앞으로도경쟁국, 적대국의공격자들이방위산업체에대한공격을더욱확대할것으로보인다. 국내방위산업체에대한공격또한지속적으로보고되고있다. 특히일부공격그룹은국내방위산업체뿐아니라정치, 외교분야에대한공격도함께진행하고있는것으로보아산업스파이가아닌경쟁국, 적대국의첩보가능성이높다. 이와같은국내방위산업체에대한공격은단순산업기밀유출을넘어국가안보에대한위협이야기되는만큼더욱강력한보안대책과관리를통한예방이필수적이다. AhnLab, Inc. All rights reserved. 38
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More information인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8
차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote
More informationRed Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL
2018.04.03 Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 레드아이즈공격그룹활동현황...
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서
Security Trend ASEC REPORT VOL.82 October, 2016 ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information_인터넷진흥원(2분기 합본).indd
2017 년 2 분기사이버위협동향보고서 Contents 제 1 장. 2 분기사이버위협동향 1. 언론보도로살펴본사이버위협동향 4 2. 악성코드동향 15 3. 취약점동향 25 제 2 장. 전문가기고문 1. 안전한서비스인프라구성방안 30 2. 국내방위산업체공격동향 39 제 3 장. 글로벌사이버위협동향 1. 시만텍社, ISTR(Internet Security Threat
More information_인터넷진흥원(2분기 합본).indd
2017 년 2 분기사이버위협동향보고서 Contents 제 1 장. 2 분기사이버위협동향 1. 언론보도로살펴본사이버위협동향 4 2. 악성코드동향 15 3. 취약점동향 25 제 2 장. 전문가기고문 1. 안전한서비스인프라구성방안 30 2. 국내방위산업체공격동향 39 제 3 장. 글로벌사이버위협동향 1. 시만텍社, ISTR(Internet Security Threat
More information_인터넷진흥원(2분기 내지).indd
제 1 장. 2 분기사이버위협동향 2017 년 2 분기사이버위협동향보고서 1 제 1 장. 2 분기사이버위협동향 2 Contents 제 1 장. 2 분기사이버위협동향 1. 언론보도로살펴본사이버위협동향 4 2. 악성코드동향 15 3. 취약점동향 25 제 2 장. 전문가기고문 1. 안전한서비스인프라구성방안 30 2. 국내방위산업체공격동향 39 제 3 장. 글로벌사이버위협동향
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More informationASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.
Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.
More information국가표본수기간 평균최초수익률 국가표본수기간 ( 단위 : 개, 년, %) 평균최초수익률 아르헨티나 20 1991-1994 4.4 요르단 53 1999-2008 149.0 오스트레일리아 1,562 1976-2011 21.8 한국 1,593 1980-2010 61.6 오스트리아 102 1971-2010 6.3 말레이시아 350 1980-2006 69.6 벨기에 114
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.94 2019 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.88 2017 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀
[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationPowerPoint 프레젠테이션
사용자계정관리 운영체제실습 목차 Ⅲ. 사용자계정관리 4.1 사용자계정관리 4.2 그룹관리 4.3 사용자계정관련파일 4.4 패스워드관리 4.5 사용자신분확인 4.1 사용자계정관리 사용자생성관련명령어 사용자생성 : useradd / adduser 사용자삭제 : userdel 사용자정보변경 : usermod 패스워드설정및변경 : passwd 그룹생성관련명령어 group
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More informationSecurity Trend ASEC REPORT VOL.68 August, 2015
Security Trend ASEC REPORT VOL.68 August, 2015 ASEC REPORT VOL.68 August, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More information#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리
#HNS-WI-13-028 북한의심 APT 공격에대한 Kaspersky 의분석정리 2013-09-12 내용요약 이보고서는 Kaspersky의 Dmitry Tarakanov가작성하여우리나라시간으로 9월 12일발표한 The Kimsuky Operation: A North Korean APT? 를정리및분석한것으로, Kaspersky는지난몇달동안한국의세종연구소, KIDA(
More informationASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작
Security Trend ASEC REPORT VOL.80 August, 2016 ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationOperation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : w
2019. 02. 21 Operation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More informationASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.89 2017 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More informationASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.81 September, 2016 ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC REPORT VOL.76 April, 2016 ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More informationTable of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17
Trojan.KillDisk.MBR 악성코드분석보고서 (V 4.0) ESTsoft Corp. ALTOOLS Division Malware Research 페이지 1 / 17 Table of Contents 1. 분석...1 1-1. 유포경로... 2 1-2. 악성파일분석... 3 1-2-1. 드롭퍼 A 분석... 3 1-2-2. 드롭퍼 B 분석... 10 페이지
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>
스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More informationICAS CADWorx SPLM License 평가판설치가이드
ICAS CADWorx SPLM License 평가판설치가이드 CADWorx SPLM License 평가판설치가이드 설치권장사항 Operating System Compatibility ( 반드시 AutoCAD 가설치되어있어야합니다.) 추천시스템 3.0 GHz Intel Pentium IV or greater Windows XP Professional or later
More informationF O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아
F O C U S 3 홈페이지를통한악성코드유포및대응방안 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아악성코드유포가용이하다는점때문에해커는최대한많은접속자를악성코드에감염시켜금융정보를탈취하거나, APT공격의전단계로써정보수집을목적으로한다.
More informationwtu05_ÃÖÁ¾
한 눈에 보는 이달의 주요 글로벌 IT 트렌드 IDG World Tech Update May C o n t e n t s Cover Story 아이패드, 태블릿 컴퓨팅 시대를 열다 Monthly News Brief 이달의 주요 글로벌 IT 뉴스 IDG Insight 개발자 관점에서 본 윈도우 폰 7 vs. 아이폰 클라우드 컴퓨팅, 불만 검증 단계 돌입 기업의
More informationICT À¶ÇÕÃÖÁ¾
Ver. 2012 T TA-11104-SA 4 21 21 42 65 91 103 124 140 161 187 Ver. 2012 ICT Standardization Strategy Map 4 Ver. 2012 Ver. 2012 5 ICT Standardization Strategy Map 6 Ver. 2012 Ver. 2012 7 ICT Standardization
More informationASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성
Security Trend ASEC REPORT VOL.85 January, 2017 ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며,
More information사용자계정관리 1. 사용자계정관리 사용자 (user), 그룹 (group) u 다중사용자시스템 (Multi-User System) - 1 대의시스템을동시에여러사람이접속하여쓸수있게하는시스템 u 사용자 (user) - 시스템관리자 : root (=Super user) -
운영체제실습 사용자계정관리 2017. 6 표월성 wspyo74@naver.com cherub.sungkyul.ac.kr 목차 Ⅰ. 사용자계정관리 1. 사용자계정관리 2. 그룹관리 3. 사용자계정관련파일 4. 패스워드관리 5. 사용자신분확인 사용자계정관리 1. 사용자계정관리 사용자 (user), 그룹 (group) u 다중사용자시스템 (Multi-User System)
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2013. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More informationTick Group 공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnLab, Inc.
2019.03.25 Tick Group 공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 주요공격사례... 4 주요악성코드상세분석...
More information리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을
리눅스 취약점대응방안권고 15. 01. 29 / KISA 취약점점검팀 15. 01. 30 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE-2015-0235 지정, 도메인네임을 IP로변환하는기능이포함된서비스 ( 메일, 웹등 ) 들은해당취약점에영향을받을수있음 취약점상세분석
More information슬라이드 1
악성코드유포에홗용되는 난독화기법분석 이민섭 NBP 포털서비스보앆팀 c 2011 NHN CORPORATION 목차 1. 악성코드유포및감염 2. 최근웹사이트공격동향 3. 난독화공격코드 3.1 난독화에대한정의 3.2 공격코드의난독화주요방법 3.3 난독화공격코드사례 4. 악성코드바이너리의특징과목적 5. 결롞 1. 악성코드유포및감염 1. 악성코드유포및감염 이메일첨부파일을이용한악성코드유포
More informationThe Pocket Guide to TCP/IP Sockets: C Version
인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More informationSecurity Trend ASEC Report VOL.63 March, 2015
Security Trend ASEC Report VOL.63 March, 2015 ASEC Report VOL.63 March, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information명세서청구범위청구항 1 문서에포함된악성공격코드를탐지하는시스템에있어서, 상기악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및상기프로그램을실행시키는프로세서를포함하되, 상기프로세서는상기악성공격코드를탐지하는프로그램이실행
(19) 대한민국특허청 (KR) (12) 등록특허공보 (B1) (51) 국제특허분류 (Int. Cl.) G06F 21/56 (2013.01) G06F 21/60 (2013.01) (21) 출원번호 10-2014-0182578 (22) 출원일자 2014 년 12 월 17 일 심사청구일자 2014 년 12 월 17 일 (65) 공개번호 10-2016-0073801
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More informationuntitled
시스템소프트웨어 : 운영체제, 컴파일러, 어셈블러, 링커, 로더, 프로그래밍도구등 소프트웨어 응용소프트웨어 : 워드프로세서, 스프레드쉬트, 그래픽프로그램, 미디어재생기등 1 n ( x + x +... + ) 1 2 x n 00001111 10111111 01000101 11111000 00001111 10111111 01001101 11111000
More informationSecure Programming Lecture1 : Introduction
해킹및침해대응 Lecture2 침해사고동향 보안위협의증대 APT 를기반으로하는기업 / 기관을대상으로하는공격이지속적으로발생 : ADD, MND, 한수원등 DDoS 공격의지속적인발생, 공격목적의변화 서비스거부해제를위한금품요구 사회혼란, 정치적목적 공공기관사칭피싱사이트증가 금융, 게임, 포털 검찰청, 경찰청, 금감원 추가적으로모바일형태의피싱사이트증가 주요인기키워드및사회이슈를활용한악성코드배포
More information저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할
저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More information<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 7 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 파일감염으로게임계정을훔치는 S.SPY.Wow.abc... 5 3. 허니팟
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More information국가별 한류현황_표지_세네카포함
지구촌 지구촌 Ⅰ 아시아대양주 Ⅱ 아메리카 지구촌 Ⅲ 유럽 Ⅳ 아프리카중동 지구촌 한류현황 개요 지구촌 지역별 한류 동호회 현황 Ⅰ. 아시아대양주 뉴질랜드 대만(타이뻬이) 라오스 말레이시아 몽골 미얀마 베트남 브루나이 싱가포르 아프가니스탄 인도 인도네시아 일본 중국 태국 파키스탄 피지 필리핀 호주 (1) 일반 현황 10 (2) 분야별 현황 11 12 (1)
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More information2 2015 국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을
2015 국가정보보호백서 제1장 정보환경 변화와 정보보호 제2장 사이버 공격 및 위협 동향 2 2015 국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을
More informationASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC Report 2014 Annual Report ASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More informationASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며
Security Trend ASEC Report VOL.53 May, 2014 ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More informationAndroid Master Key Vulnerability
Android Master Key Vulnerability Android Bug 8219321 2013/08/06 http://johnzon3.tistory.com Johnzone 内容 1. 개요... 2 1.1. 취약점요약... 2 1.2. 취약점정보... 2 2. 분석... 2 2.1. 기본개념... 2 2.2. 공격방법... 4 3. 방어대책... 7
More information<31305FBEC6C0CCC5DB2E687770>
1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.
More informationÆí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š
솔루션 2006 454 2006 455 2006 456 2006 457 2006 458 2006 459 2006 460 솔루션 2006 462 2006 463 2006 464 2006 465 2006 466 솔루션 2006 468 2006 469 2006 470 2006 471 2006 472 2006 473 2006 474 2006 475 2006 476
More informationPowerPoint 프레젠테이션
System Software Experiment 1 Lecture 5 - Array Spring 2019 Hwansoo Han (hhan@skku.edu) Advanced Research on Compilers and Systems, ARCS LAB Sungkyunkwan University http://arcs.skku.edu/ 1 배열 (Array) 동일한타입의데이터가여러개저장되어있는저장장소
More information신종파밍악성코드분석 Bolaven
신종파밍악성코드분석 Bolaven 2013.06.27 개요 지난 1월볼라벤 6차문서에서진화한파밍기법 (= 호스트파일변조 ) 에대해분석및공유를하였다. 6차문서에서는웹을통하여악성코드가유포되는과정과파밍기법의전반적인흐름을알아보았다면, 이번문서에서는파밍기법에서사용되는악성파일의행위에대해중점적으로분석하였다. 파밍기법이란? PC 를악성코드에감염시켜정상홈페이지주소로접속하여도피싱사이트로
More information1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전
`16 년랜섬웨어동향및 `17 년전망 2017. 01 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나
More informationIRISCard Anywhere 5
이 빠른 사용자 가이드는 IRISCard Anywhere 5 및 IRISCard Corporate 5 스캐너의 설치와 시작을 도와 드립니다. 이 스캐너와 함께 제공되는 소프트웨어는: - Cardiris Pro 5 및 Cardiris Corporate 5 for CRM (Windows 용) - Cardiris Pro 4 (Mac OS 용) Cardiris 의
More informationMicrosoft PowerPoint - 차민석
악성코드지역화 국내환경과악성코드 2010.8.30 안철수연구소 ASEC (AhnLab Security Emergency response Center) Anti-Virus Researcher 차민석선임연구원 (jackycha@ahnlab.com) 목 차 1. 최근악성코드동향 2. 한국형악성코드등장 3. 한국형악성코드메시지 4. 국내환경장벽 5. 국내환경이용 6.
More informationASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.83 November, 2016 ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationMicrosoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc
분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.
More information- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨
QnA 형식으로알아보는 WannaCry 랜섬웨어 대응가이드 2017. 05 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. - 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요?
More information<C0CCC8ADC1F82E687770>
분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상
More information