목차 1. 요약편 DDoS 공격, 7.7 DDoS 대란의업그레이드판 DDoS와차이점그리고유사점 피해통계 타임라인 공격대상 DDoS 공격관련 FAQ...

Size: px
Start display at page:

Download "목차 1. 요약편 DDoS 공격, 7.7 DDoS 대란의업그레이드판 DDoS와차이점그리고유사점 피해통계 타임라인 공격대상 DDoS 공격관련 FAQ..."

Transcription

1 3.4 DDoS 분석보고서 안철수연구소 1/63

2 목차 1. 요약편 DDoS 공격, 7.7 DDoS 대란의업그레이드판 DDoS와차이점그리고유사점 피해통계 타임라인 공격대상 DDoS 공격관련 FAQ 상세기술편 다운로더 (Downloader) 주요 API 문자열디코딩 사용자 PC 정보유출 Anti-Monitoring DeleteUrlCacheEntryA() 다운로드삭제배치파일 메인 DLL 파일실행 메인 DLL 파일 백신업데이트차단 데이터파일생성 DDoS 공격 DLL 파일 공격시간파일명얻기 공격대상 URL 목록얻기 공격조건 공격프로토콜 MBR/ 파일파괴 DLL 파일 MBR/ 파일파괴동작과정 ( 세부 ) 파일파괴 MBR( 디스크 ) 파괴 C&C 서버통신 DLL 파일 AES(Advanced Encryption Standard) 복호화 서버주소얻기 서버통신과정 /63

3 2.5.4 서버와감염 PC 간의통신프로토콜 복호화및파일실행 네트워크분석 HTTP Get Flooding Accept 헤더필드 User-Agent 헤더필드 Cache-Control 헤더필드 ICMP Flooding UDP Flooding 공격유형별분포도 C&C 국가분포도 좀비PC 발생트래픽산출 ,2 차공격에의한트래픽 /63

4 1. 요약편 다시발생하면안되는 DDoS 공격이 2년만에다시발생했다. 이번공격은 2011년 3월 4일오전 10시와오후 6시 30분에국내다수의웹사이트를대상으로발생했는데, 7.7 DDoS 대란때와마찬가지로 DDoS 공격, C&C 통신, MBR(Master Boot Record)/ 파일을파괴하는기능을가지고있었다 DDoS 공격, 7.7 DDoS 대란의업그레이드판 [ 그림 1] 3.4 DDoS 전체개략도 이번공격의가장큰특징은 7.7 DDoS 대란과유사했지만더욱업그레이드되었다는것이다. 우선 7.7 DDoS의경우, 마지막 DDoS 공격날인 10일자정에하드디스크와파일이파괴됐다. 그래서안철수연구소에서는당시백신을설치하지않은 PC는날짜를변경하도록안내했다. 그런데이번 3.4 DDoS 공격에서는날짜를이전으로바꾸거나, 감염시점을기록한 noise03.dat 파일을삭제할경우에도하드디 4/63

5 스크와파일이파괴된다. 또한파괴시키는운영체제도 7.7 DDoS 공격때는닷넷프레임웍기반인윈도 우 2000/XP/2003 에국한됐으나, 이번에는모든윈도우운영체제가해당된다. 아울러 7.7 DDoS 공격에서는같은파일구성으로여러차례공격했으나, 이번에는공격때마다파일구성이달라지고새로운파일이추가제작돼분석및대응에시간과노력이더들었다. 즉, 대응을할때마다공격자가실시간으로공격시나리오를변경한셈이다. 또한공격종료시점이명확했던것과달리이번에는종료시점이기록되지않았다는것도차이점이다. 이외에도호스트파일변조로백신업데이트를방해해치료하지못하게하는기능도새로추가된것이다. 또한 3.4 DDoS 공격과 7.7 DDoS 공격의유사점은개인사용자 PC가 DDoS 공격자이고, 배포지로 P2P 사이트가활용됐다는것이다. 아울러외부서버로부터명령을받으며, 사전계획대로공격이이루어졌다는것도유사하다. 이밖에공격형태와대상이유사하고, 공격목적이불명확하다는점, 좀비 PC의하드디스크및파일이파괴되는것으로악성코드의수명이끝난다는점이다. [ 그림 1] 을보면각기역할이다른 10 여개의파일이유기적으로작동한다. SBUpdate.exe 이처음설치 된후해외의특정 C&C 서버에접속하는동시에 ntcm63.dll, ntds50.dll 파일을생성한다. 이두파일은 다시 7 개의파일을생성해실행한다. 이 7 개의파일은역할이각기다르다. 즉, mopxsvc.dll 파일은 faultrep.dat(c&c서버주소를저장함 ) 파일을참조해 C&C 서버에접속해명령을받아온다. watcsvc.dll 파일은 tlntwye.dat 파일 (DDoS 공격시각정보를담음 ), tljoqgv.dat 파일 ( 공격대상웹사이트 40개의정보를담음 ) 을참조해 DDoS 공격을수행한다. 또한 soetsvc.dll 파일은 noise03.dat( 최초감염시각을저장함 ) 파일을참조해하드디스크및파일을파괴시킨다. 4일오전 10 시에발생한공격또한이와같은방식으로이루어진다. 한편, 5일밤에는해외의특정 C&C 서버에서 clijproc.dll 파일이새로다운로드됐다. 이파일은다운로드되어실행되는즉시하드디스크및파일을파괴시킨다 DDoS 와차이점그리고유사점 앞서언급했던것처럼이번공격과 7.7 DDoS 공격과두드러지게나타나는차이점은공격하는사이트가늘어났다는점과치료를방해할목적으로백신업데이트및홈페이지접근을방해하는기능을추가했다는것이다. 즉, 이번공격이이전보다진화했다는것을보여주는단적인예라할수있다. [ 그림 2] 는 7.7 DDoS 공격때와이번에발생한 3.4 DDoS 공격에대해서차이점을나타낸것이다. 5/63

6 [ 그림 2] 7.7 DDoS 와 3.4 DDoS 의차이점 [ 그림 3] 은이번공격과 7.7 DDoS 공격때유사점을나타낸것인데가장큰특징은전반적인공격시 나리오가유사하다는것이다. 이번공격도이전처럼공공기관을대상으로했으며공격이끝나면하드 디스크를파괴하는특징을가지고있었다. [ 그림 3] 7.7 DDoS 와 3.4 DDoS 의유사점 6/63

7 1.3 피해통계 이번공격은 4일부터시작되었으나 [ 그림 4] 에서보듯 3일오후 4시부터안철수연구소의 AhnLab Smart Defense ( 이하 ASD) 진단이되기시작했다. 3일, 7시가지나자상당히많은건수가사전진단됐다. 이와같은사전진단은 4일에있었던오후 6시 30분공격피해를최소하는데많은기여를했다. 참고로 ASD 기반에서통계를낸수치들은안철수연구소의기업용제품제품들 (V3 IS 7.0, V3 IS 8.0) 과의진단건수통계와는다를수있다. [ 그림 4] 3 월 3 일진단추이 7/63

8 [ 그림 5] 3 월 4-6 일진단추이 [ 그림 5] 를보면, 3월 4일 DDoS 1차공격때인 10시를전후로진단건수가증가하는것을볼수있다. 그러나건수자체는많지않았기때문에 DDoS 공격을받는고객사이트는큰이슈가없었다. 2차공격때인오후 6시 30분부터진단건수가약간증가했지만얼마시간이되지않아서다시줄어들기시작했다. 5일새벽 5시부터갑자기 DDoS 공격이증가한것은또다른 DDoS 공격악성코드를 ASD를통해실시간으로수집 / 반영했기때문이었다. 6일부터는다행히 DDoS 공격이진정국면으로접어들었다. 8/63

9 [ 그림 6] 3 월 3 일 ~ 3 월 6 일까지진단된 Top 3 악성코드 마지막으로 [ 그림 6] 은 DDoS 기간동안진단됐던악성코드들중에서상위 3개를선정하여통계를뽑아낸것이다. 진단추이를보면 3개의악성코드모두가거의비슷한건수를나타내는것을볼수있다. 이것들은모두메인 DLL 파일에서생성되는 ( 이후드롭 ) 파일들로 Win-Trojan/Ddosagent 로진단되는악성코드는 C&C 서버와통신하는모듈이며, Win-Trojan/Agent D 은 MBR/ 파일파괴모듈이다. 진단명 Win-Trojan/Agent BOH 는이번에가장핵심이되었던 DDoS 공격모듈이다. 진단건수의추이를보면이번공격은 5 일에최고치를나타내는것을볼수있다. 6 일부터는 ASD 통계 와비슷하게진정국면에접어들었다. 9/63

10 1.4 타임라인 [ 그림 7] 3.4 DDoS 타임라인 [ 그림 7] 에서보는바와같이이번 3.4 DDoS 의첫번째공격악성코드 ( 이후샘플 ) 는쉐어박스라는웹 하드에서접수됐다. 이의심스러운파일의수집도 ASD 를통해서였다. 공격자가아무리교묘하게파일 을변조해배포하더라도엄청난데이터와통계를기반으로하고있는 ASD 를피할수는없었다. 3일새벽 5시경에메인 DLL 파일을다운로드받는샘플이접수됐는데해당파일이접수된지 2시간만에해당파일이다운받는메인 DLL 파일들과메인 DLL 파일들이드롭하는 3개의모듈 (C&C 서버모듈, DDoS 공격모듈, MBR/ 파일파괴모듈 ) 이거의동시에수집됐다. 그리고 4일새벽 2시경부터파일시티웹하드에서 DDoS 변종샘플이접수되기시작했다. 그런데여기서특이한점은쉐어박스를통해서수집한첫번째샘플의 DDoS 공격시간은 3월 4일오후 6시 30분이었다. 그러나파일시티를통해접수된변종샘플의공격시간은 3월 4일오전 10시였다. 즉, 공격자는원래의의도대로공격이이루어지지않을것같자추가적으로변종을생성해뿌린것으로추정된다. 10/63

11 하루가지난 4 일오전 10 시, 오후 6 시 30 분부터분석한결과대로국내주요사이트, 공공기관, 금융기 관들의사이트들에대한 DDoS 공격이시작됐다. 3 월 4 일에 1, 2 차 DDoS 공격이끝난후한동안소강상태가지속되다가 5 일새벽 3 시경부터다시한번 DDoS 변종샘플이접수되기시작했다. 해당공격은분석결과대로 5 일에이루어졌다. 마지막으로 5 일오후 5 시경부터다시한번변종이접수됐는데이때에는 DDoS 공격모듈은없었으며, 무조건적으로하드디스크를파괴하는모듈과 C&C 통신모듈만존재했다. 1.5 공격대상 공격대상이되는웹사이트들은 [ 표 1] 에서보듯이정부기관과금융권그리고 IT 업체까지다양하게포 함되어있었다. 그리고이번에는해외사이트는주한미군과미 8 군전투비행단두곳뿐이었다. 1 차공격대상 (3 월 04 일오전 10 시 ) 기관명 2 차공격대상 (3 월 04 일오후 6 시 30 분 ) URL 기관명 경찰청 경찰청 police.go.kr 공군본부 공군본부 airforce.mil.kr 국가대표포털 국가대표포털 korea.go.kr 국민은행 국민은행 kbstar.com 국방부 국방부 mnd.mil.kr 국세청 국세청 nts.go.kr 국회 국회 assembly.go.kr 금융위원회 금융위원회 fsc.go.kr 네이버 네이버 naver.com 농협 농협 nonghyup.com 다음 다음 daum.net 대신증권 대신증권 daishin.co.kr 디시인사이드 디시인사이드 dcinside.com 방위사업청 방위사업청 dapa.go.kr 신한은행 신한은행 shinhan.com 안철수연구소 안철수연구소 ahnlab.com 11/63

12 외교통상부 외교통상부 mofat.go.kr 외환은행 외환은행 keb.co.kr 육군본부 육군본부 army.mil.kr 주한미군 주한미군 usfk.mil 지마켓 지마켓 gmarket.co.kr 청와대 청와대 cwd.go.kr 키움증권 키움증권 kiwoom.com 통일부 통일부 unikorea.go.kr 한게임 한게임 hangame.com 한국인터넷진흥원 한국인터넷진흥원 kisa.or.kr 합동참모본부 합동참모본부 jcs.mil.kr. 해군본부 해군본부 navy.mil.kr 행정안전부 행정안전부 mopas.go.kr 관세청국가정보원국방홍보원미 8 군전투비행단방송통신위원회옥션우리은행제일저축은행하나은행한국수력원자력 한국철도공사 customs.go.kr nis.go.kr dema.mil.kr kunsan.af.mil kcc.go.kr auction.co.kr wooribank.com jeilbank.co.kr hanabank.com. khnp.co.kr korail.com 총 29 개 총 40 개 [ 표 1] 3 4 DDoS 공격대상 12/63

13 DDoS 공격관련 FAQ 1. DDoS 공격이란무엇인가? DDoS 공격은 분산서비스거부 (Distributed Denial Of Service) 공격의약자로, 특정서버에다량의트래픽을보내어서버를다운시키거나네트워크를지연시켜서비스를불가능하게만드는것이다. 공격자는이른바좀비 PC라고불리는감염 PC를조정하여특정시간에특정사이트를공격한다. 즉, 수만에달하는여러대의컴퓨터를동작하게하여특정웹사이트에동시에접속함으로써해당사이트의시스템과부화를유발해정상적인서비스를할수없는상태가되도록만드는것이다. 2. 좀비 PC란무엇인가? 좀비 PC란악성코드에감염되어악성코드제작자의의도에따라명령을수행하는 PC를뜻한다. 즉, 사용자가모르는사이에해커의원격조정을받는 PC 로, 원격지에있는악성코드제작자의명령에의해조정된다는의미에서좀비라는용어로불리게되었다. 악성코드에감염된좀비 PC는사용자도모르게 DDoS 공격에이용돼특정사이트로대량의트래픽을전송하는역할을한다. 또한해커가원할경우, PC에담긴개인정보를빼내거나시스템을손상시킬수도있다 DDoS 공격에서파괴되는것들은무엇인가? 1) 파일파괴 : 이들악성코드는 A~Z의모든드라이브를검색하여다음과같은확장자를가진파일들을파괴시키는기능을갖고있다. 이동식디스크도파일파괴의공격대상이다. zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 2) 디스크파괴 : A~Z의모든고정드라이브를검색하여시작부터일정크기만큼을 NULL로채워디스크를파괴시키는기능을갖고있다. 앞선파일파괴공격과는달리, 디스크파괴는고정디스크만공격대상으로하고있다. 또한이기능은다음과같은 3가지경우에동작하도록되어있다. 1 2 noise03.dat 파일이존재하지않는경우 noise03.dat에기록된감염시간보다 PC 시간이빠른경우 파일및디스크파괴기능 동작 DDoS 공격을방어하기위해 PC 시간을공격시간이전으로돌리려고할때 noise03.dat에기록된감염시간보다이전으로돌리면 파일및디스크파괴기능 이동작 (* noise03.dat: PC가최초로감염된시간이기록된파일 ) 3 일정시간이지난경우 noise03.dat 에기록된감염시간으로부터일정시간이지 13/63

14 난경우해당기능이동작 특히당초에는최대설정값이 10 일이기때문에감염된모든 PC 에 파일및디스크파괴기능 이동작하도록되어있었으나, 공격이사실상실패로돌아가자 즉시 하드디스크를파괴하도록 설정이변경되었다. 3) Hosts 파일변조및백신방해 : 이들악성코드는 V3 엔진업데이트를제공하는인터넷주소의호 스트파일을변조해업데이트를방해하는기능을갖고있었다. 4. 돌연 5일밤, 공격에이용된좀비 PC의하드디스크를파괴명령을내린이유는무엇일까? 현재로서는정확한이유는알수없지만 3월 4일오후 6시 30분의 2차공격으로계획했던만큼의피해를입히지못하자공격자는공격이실패했다고판단한것으로추측된다. 당초 4~7일후에하드디스크가파괴되도록설정해두었음에도불구하고 3차공격이후 즉시 파괴되도록명령이전달된점이그증거라할수있다. 즉, 더이상의공격은무의미하다는판단으로데이터를파괴함으로써또다른혼란을시도한것으로보인다. 두번의공격에도불구하고공격대상사이트들의피해가적었던이유는신속한전용백신의개발및배포등으로공격자가원하는만큼의피해를입히지못하자, 공격방식변화와타깃축소의방법을택했을가능성이높다. 5. 지난 7.7 DDoS 공격에비해이번 3.4 DDoS 공격은그다지파괴력이없다고평가된다. 사실인가? 정확히표현하자면파괴력은강했지만피해가적었다고할수있다. 이번 3.4 DDoS 공격은공격대상사이트가 40개에달해 7.7 DDoS 공격당시 23개였던것보다공격규모가컸다. 또한공격에이용된악성코드도 7.7 DDoS 공격당시보다지능적이었다. 그럼에도불구하고실질적인피해는크지않았다. 이는 DDoS 공격의실체를파악하고사전에대응했기때문이라고할수있다. 특히, 7.7DDoS 공격의경험을토대로정부와민간기관들의발빠른대응이있었다. 뿐만아니라개인 PC 사용자들의적극적인대처가이번 3.4 DDoS 공격을무력화하는데큰역할을했다. 6. 이번 3.4 DDoS 공격의유포지가 P2P 사이트라고발표했다. 안철수연구소에서그렇게빠르게유포지를파악할수있었던배경은무엇인가? 실제로이번 3.4 DDoS 공격은사전에유포지를다찾아내었다는것이 7.7 DDoS 공격과의가장큰차이였다고할수있다. 안철수연구소에서사전에 DDoS 공격에대한정보를파악하고성공적인대응이가능했던것은클라우드컴퓨팅개념의악성코드대응시스템인 ASD(AhnLab Smart Defense) 가있었기때문이다. ASD는클라우드환경에서실시간으로위협탐지가가능하기때문에이번 3.4 DDoS 공격에이용된악성코드의샘플을실시간으로수집하고, 이악성코드를유포한 7개의 P2P 사이트를밝혀냈다. 특히 DDoS 공격에사용된 C&C 서버의 IP에접속하는프로그램을역추적하여, C&C 서버리스트, 공격자리스트정보를빠르게수집할수있었던것이다. 14/63

15 7. 안철수연구소에서는 1차, 2차공격을파악하고어떤조치를했는가? 안철수연구소는 ( 시큐리티대응센터 ) 의악성코드수집및분석능력과 CERT( 침해사고대응팀 ) 의위협모니터링및대응서비스의유기적인협조로신속하게악성코드유포지를찾는것은물론, 선제적으로이번 3.4 DDoS 공격에대응할수있었다. 우선, 1차공격이개시되기하루전인 3월 3일, 안철수연구소 에서해당악성코드샘플을수집해분석에돌입했다. CERT에서도고객네트워크트래픽을모니터링한결과, 이상징후를포착하고그결과를 에전달했다. 의악성코드분석결과와 CERT의네트워크모니터링분석결과를종합한결과, DDoS 공격이라는것이분명해졌다. 이에 에서는전용백신의개발 / 배포에착수했다. 동시에 CERT와보안관제, 네트워크지원부서에서는네트워크단에서신속한대응을할수있도록고객사네트워크제품에새로운시그니처를적용하고정책을새롭게적용했다. 이처럼안철수연구소는분석센터와관제센터가바로옆에위치하고있기때문에트래픽을즉각적으로분석, 대응할수있었으며샘플, 유포지, 감염통계치 ( 피해상황 ), 시간등관련정보를즉각적으로공유하여보다민감하게대응할수있었다. 아울러 3월 4일실제공격이발생한직후에는안철수연구소홈페이지등을통해일반 PC 이용자들과기업고객들을대상으로무료전용백신을배포했다. 또한 3차공격직후하드디스크파괴에관한내용을신속하게전달하고조치방안을제시하였다. 8. 숙주서버 (C&C) 는어느나라에있는가? 접속테스트결과, 좀비 PC 를제어한숙주서버 (C&C) 는미국, 호주, 베네수엘라, 대만, 포르투갈, 세르비 아, 이탈리아, 브라질, 이란, 태국, 그리스, 인도등여러국가에흩어져있는것으로확인되었다. 9. 모든좀비 PC의하드디스크가영향을받는가? 해당악성코드가파괴시키는운영체제는모든윈도우운영체제로확인되었다. 특히 noise03.dat 파일이존재하지않는경우 파일및디스크파괴기능 동작하게되며, PC가최초로감염된시간이기록된파일인 noise03.dat에기록된감염시간보다 PC 시간이빠른경우, 또는 noise03.dat에기록된감염시간으로부터일정시간이지난경우에도하드디스크파괴등의문제가발생할수있다. 그러나 V3 Lite나전용백신으로치료한경우에는하드디스크가파괴되지않는다. 10. 각개인 PC 사용자들이이러한피해를입지않으려면어떻게해야하는가? 이번하드디스크파괴증상은명령서버로부터명령을받고일정기간이지난후에동작했던 2009년 7.7 DDoS 공격때와는달리, 명령을받는즉시동작하도록설정되어있다. 따라서이용자들은 PC를켤때악성코드가동작하지못하도록반드시안전모드로부팅하여 DDoS 전용백신을다운로드받아점검한후안전한상태에서 PC를사용해야한다. 보다상세한조치는다음과같다. 15/63

16 1) 네트워크연결선 (LAN선) 을뽑는다. 2) PC를재시작한후 F8을눌러 ( 네트워크가능한 ) 안전모드를선택하여부팅한다. 3) 네트워크연결선을꽂아네트워크를재연결한후보호나라 ( 또는안철수연구소 ( 에접속하여 DDoS 전용백신다운로드 ( PC가이미켜져있는경우에는전용백신곧바로다운로드 ) 4) DDoS 전용백신으로악성코드치료후 PC를재부팅한다. 무엇보다악성코드에감염되지않도록주의해야한다. 특히악성코드유포지로활용되는파일공유사이 트에는당분간접속을자제하는것이바람직하다. 아울러이후에도백신제품을최신엔진으로업데이 트하고실시간감시를동작시켜재차감염되는것을방지해야한다. 11. 하드디스크데이터파괴를입었다면어떻게복구할수있나? 데이터복구프로그램및복구전문업체에별도문의가필요하다. 하지만현재까지의사례로보았을 때완전복구는어려울것으로보인다. 12. 기존에 V3를깔아놓았더라도 3.4 DDoS 전용백신을설치해야하는지? 그렇지않다. 이번 3.4 DDoS 공격의원인이되었던악성코드및그변종의발견즉시, V3에최신엔진업데이트가적용되었다. 그러므로 V3 이용자들이최신업데이트를적용했다면 3.4 DDoS 전용백신을설치하는것은불필요하다. 다만기존에 V3를설치했더라도최신업데이트적용을하지않은사용자라면위협에노출될수있다. 따라서기설치된 V3에대한최신업데이트를반드시적용해야한다. 13. 향후안철수연구소의 DDoS 대응전략은무엇인가? DDoS 공격은네트워크트래픽현상으로만바라보는것은매우좁은시각이다. 이번 3 4 DDoS 공격을비롯해최근 DDoS 공격의양상이고도화, 다양화하고있는만큼네트워크레벨에서클라이언트레벨까지전영역에대한전방위적방어체제가요구된다. 안철수연구소는네트워크트래픽기반의공격은 DDoS 공격대응전용제품인트러스가드 (TrusGuard) DPX가담당하고있다. 클라이언트레벨의악성코드탐지및치료는 V3 IS 8.0 V3 365 클리닉 V3 Lite 등 V3 제품군이맡고있다. 더불어웹페이지의안전한관리를위한웹페이지모니터링솔루션, 사용자기반웹보안솔루션으로악성코드유포를차단하고있다. 즉, 네트워크서버측면에서뿐만아니라클라이언트측면에서좀비 PC 해결및 DDoS 대응이가능하다는것이안철수연구소의강점이라할수있다. 또한이모든프로세스는안철수연구소의클라우드보안전략 ACCESS(AhnLab Cloud Computing E- Security Service) 하에전개되고있다. ACCESS는기존 ( 시큐리티대응센터 ) 의악성코드수집및분 16/63

17 석능력과 CERT( 침해사고대응팀 ) 의위협모니터링및대응서비스를지능형기술로받쳐주는플랫폼이 라할수있다. 바로이러한플랫폼을통해 DDoS 공격의근원지부터분석및대응, 배포과정을대응 프로세스관점에신속하게제공함으로써더욱종합적인대응체제를운영, 발전시킬계획이다. 17/63

18 2. 상세기술편 이편에서는이번 3.4 DDoS 공격에서실제이루어진파일들을기술적인관점에서설명하고자한다. 분석을하면서느낀점은 2년전 7.7 DDoS 공격때와매우흡사하다는것이다. 즉, 이번공격도같은단체또는제작자에의해서제작된것으로추정된다. 이번공격에서사용됐던파일들을분석하면서나타났던큰특징들은아래와같다. EXE파일은 DLL구동후삭제됨. DLL은서비스로구동됨. C&C 서버와의통신모듈존재 명령에따라다양한공격이가능함. 시스템시간정보를 8바이트 Variant Time으로변환하여특정날짜와비교하는기능이존재함. 2.1 다운로더 (Downloader) [ 그림 8] 메인다운로더개략도 18/63

19 다운로더 (sbupdate.exe) 는이번 3.4 DDoS 공격에서가장핵심이되는파일로모든공격이시작은이다운로더가실행되면서연쇄반응처럼각모듈들이실행된다. 다운로더는먼저자신파일내부에해당모듈은파일내부에저장되어있는 IP와포트정보를이용해 C&C 서버에접속해메인 DLL 파일 (ntds50.dll, ntcm63.dll 등 ) 을다운받는다. 이후다운로더가해당 DLL 파일을모두다운받으면 StartInstall이라는 Export함수를 IP, 포트정보가저장되어있는메모리시작주소와함께실행시킨다. [ 그림 8] 은다운로더가실행되는개략도를, [ 그림 9] 는다운로더안에 IP 목록과포트정보가저장되어있는것을나타낸것이다. [ 그림 9] 다운로더파일내에존재하는 C&C 서버목록 19/63

20 2.1.1 주요 API 문자열디코딩 [ 그림 10] 메인 DLL 실행시디코딩하는부분 메인 DLL 파일이실행이되면가장먼저자신이사용할주요 API 함수들을디코딩한다. 디코딩은단 순 XOR 연산이며 623 바이트크기만큼디코딩한다. [ 그림 10] 디코딩하는과정을간단히나타낸것이 다. 20/63

21 2.1.2 사용자 PC 정보유출 [ 그림 11] C&C 서버통신과정에서개인정보를유출하는코드일부분 다운로더가메인 DLL 파일을다운받기위해서 C&C 서버와통신을시작하고나면얼마후현재사용자 PC 정보들을유출하는코드가나타난다. 사용자코드는단순히 send() 함수를통해서보내지며실제사용자 PC 정보들은스택에저장된다. 저장되는형식 [ 그림 11] 에서보듯이 0xBF 0x00으로시작하는간단한포맷으로구성되어있다. 아래는보낼데이터를나열한것이다. 실행파일경로 상위프로세스명 컴퓨터이름 사용자계정 파일시간 시스템시간 시스템경과시간 따라서분석가입장에서이와같은샘플을분석할때는주의가필요하다. 21/63

22 2.1.3 Anti-Monitoring 다운로더의코드중간부분을따라가다보면 FindWindowA() 함수를이용해간단히 Anti-Monitoring하는기능이들어가있는데이것은 ClassName 이 PROCMON_WINDOWS_CLASS 와 인것을검색하여 ProcessMonitor, FileMon, RegMon 등과같은도구를사용하지못하도록한다. 만약해당 ClassName이검색이될경우에는해당모듈이더이상실행되지않고종료된다. [ 그림 12] 은해당코드의일부분을나타낸것이다. [ 그림 12] Anti-Monitoring 코드일부분 DeleteUrlCacheEntryA() 다운로더의코드끝부분에는 DeleteUrlCacheEntryA() 함수를이용해캐쉬파일에저장되어있는자신의 파일을삭제하는기능이있는데이것은최근윈도우디지털포렌식수사기법을우회하기위해적용된 것으로판단된다. [ 그림 13] 은해당코드의일부분을나타낸것이다. [ 그림 13] DeleteUrlCacheEntryA() 함수사용 다운로드삭제배치파일 다운로더는자신이실행되고난후에자기자신을제거하기위해단순윈도우배치파일을생성하여 실행시킨다 ([ 그림 14] 참고 ). 22/63

23 [ 그림 14] 자신을삭제시키는윈도우배치파일 메인 DLL 파일실행 다운로더가 C&C 서버와성공적으로통신을마치면메인 DLL 파일을다운받는다. 다운로드가완료되면다운로더는해당파일을실행하기위해 [ 그림 15] 에서보는것과같이 StartInstall이라는 Export 함수에메모리시작주소를함께인자로넘겨메인 DLL 파일을실행시킨다. 여기서메모리시작주소는다운로더가가지고있는 IP, 포트목록을저장하고있는주소이다. [ 그림 15] 는메인 DLL 파일을실행시키는코드일부분을나타낸것이다. [ 그림 15] 메인 DLL 파일실행시키는코드일부분 23/63

24 2.2 메인 DLL 파일 [ 그림 16] 메인 DLL 개략도 메인 DLL 파일이 StartInstall이라는 Export함수로실행이되면 [ 그림 16] 와같이 hosts 파일을변조하여주요백신사이트접속을먼저차단한다. 이후관련데이터파일들과함께 C&C 서버통신모듈, DDoS 공격모듈, MBR/ 파일파괴모듈을차례대로생성하여실행시킨다. 모든모듈이실행되고난후에는자신의 DLL 파일을배치파일을통해서삭제한다. 메인 DLL 파일이각모듈의파일명들을생성하는규칙이있는데 Type A, B는동일하며 Type C만약간다른형태를가진다 ([ 그림 17] 참고 ). Type A, B인경우에는모두 nt 로시작하는문자열을가지고이후에두개의랜덤알파벳 (a-z) 과두개의랜덤숫자 (0-9) 를가지는이름으로생성 (ntds50.dll, ntgg55.dll 등 ) 한다. Type C의경우에는 sv 로시작하는것만다르고나머지는 Type A, B 파일명형태 (svqw34.dll, sveq99.dll 등 ) 와동일한패턴으로생성한다. 24/63

25 [ 그림 17] 메인 DLL 파일타입 / 시간별관계도 [ 그림 17] 은이번공격에서나왔던모듈들과관련데이터파일들을타입과시간별로나타낸것이다. 먼저 3월 3일, 4일에접수된모듈들과파일들은 (Type A, Type B) 완전히동일한형태로파일들이구성되어있는것을알수있다. 그러나 5일접수된모듈들과파일들 (Type C) 은약간은다르게모듈들이구성된것을알수있다. [ 그림 17] 을보면 C&C 서버통신모듈이름은 Type에상관없이 m계열로시작하며모두 faultrep.dat 파일을참조한다. DDoS 공격모듈인 w계열은 Type C를제외하고모두공격 URL과공격시간이저장되어있는 tljoqgv.dat 파일과 tlntwye.dat 파일을참조한다. 마지막으로 MBR/ 파일파괴모듈인 s계열은 Type C를제외하고모두 noise03.dat 파일을참조한다. hosts 변조도 Type별로약간씩다른형태를가지고있는데 [ 그림 17] 을보면 Type A는메인 DLL 파일내에 hosts 파일변조하는코드가있으며 Type B 같은경우는 Type A와달리 %SYSTEM% 폴더에 rtdrupr.exe 파일을생성하여 hosts 파일을변조한다. Type C 경우는 hosts 파일변조자체를하지않는다. [ 그림 18] 은각모듈들의파일명이생성되는것을상세하게나타낸것인데각모듈들의파일명은중간 에 3 개의랜덤문자열을이후에 svc 문자열을추가해서파일명이만들어진다. 25/63

26 [ 그림 18] 3 개의모듈들의파일명생성패턴 [ 표 2] 은메인 DLL 파일들의특징을각타입별로나타낸것이다. [ 표 2] 메인 DLL 파일타입별특징비교 백신업데이트차단 메인 DLL 파일이실행되면맨처음에 hosts 파일 (%SYSTEM%\drivers\etc\hosts) 에안철수연구소, 이스트소프트사와같은백신사이트주소를루프백 ( ) 주소로변경하여해당사이트에접속하지못하도록설정한다. [ 그림 19] 에서알수있듯이같이 3월 3일, 4일에는왼쪽과같이변조하였으나 3월 5일에는정부가제공하는전용백신을다운받지못하도록 hosts 파일에 4개의도메인목록을추가했다. 참고로안철수연구소제품은변조된 hosts 파일을수동검사를통해서복원및치료가가능하다. 26/63

27 [ 그림 19] 3.4 DDoS 공격기간동안변조된 hosts 파일들 데이터파일생성 메인 DLL 파일이실행이되면총 4가지형태의 dat 파일이생성된다. 첫번째형태의파일인 faultrep.dat 파일은 C&C 서버와통신할때사용되는데해당파일안에는통신여부를결정하는시간정보, 감염 PC의 Mac 주소, IRC 서버에접속할수있는 IP 정보와포트번호가저장되어있다. 두번째형태의파일인 tljoqgv.dat 파일 ([ 그림 26] 참고 ) 은공격할주소, 공격 Thread 수등의정보가저장되어있다. 세번째형태의파일인 tlntwye.dat 파일에는실제 DDoS 공격을할시간정보가저장되어있다. 마지막으로 noise03.dat 파일은자신이감염된최초날짜와 MBR을파괴하는날짜를정하는정보를담고있다. [ 그림 20] 은각 dat 파일들의포맷구조를간단하게나타낸것이다 (tljoqgv.dat 파일은 [ 그림 26] 참고 ). 27/63

28 [ 그림 20] 각 dat 파일들의포맷구조 28/63

29 2.3 DDoS 공격 DLL 파일 [ 그림 21] 3.4 DDoS 공격 DLL 파일개략도 DDoS 공격 DLL 파일은메인 DLL 파일이실행됐을때실행되는모듈중에하나로 [ 그림 22] 와같이 서비스로등록되어부팅시에자동으로실행된다. [ 그림 22] 윈도우서비스로동작하는 DDoS 공격 DLL 파일 DDoS 공격모듈이실행되면 [ 그림 21] 과같이먼저자신이필요한 dat 파일명들을디코딩한다. 그것 29/63

30 들은각각 DDoS 공격시간파일명과공격대상 URL이저장되어있는파일명이다. 파일명디코딩이끝나고나면곧바로현재시간과공격시간을구한다. 만약현재시스템시간이공격시간보다크면 IP 쿼리스레드와 DDoS 공격스레드를생성하여공격을시작한다. 특히 DoS 공격을할때는 HTTP GET, UDP, ICMP와같이 3가지형태로공격을하는데이런공격형태는 7.7 DDoS 공격패턴과유사하다 공격시간파일명얻기 DDoS 공격시간파일명이암호화된형태로저장되어있기때문에 [ 그림 23] 과같은알고리즘으로디코 딩해야만실제공격시간파일명을얻을수있다. [ 그림 23] 공격시간파일명디코딩하는코드 참고로파일명자체는암호화되어있으나공격시간은암호화되지않은형태로그대로기록되어있기 때문에어렵지않게공격시간정보를구할수있다. [ 그림 24] 는공격시간이담겨있는데이터파일에서 시간정보를추출하는화면이다. 30/63

31 [ 그림 24] DDoS 공격시간을추출하는화면 공격대상 URL 목록얻기 공격대상 URL 파일명도공격시간파일명을얻는것과동일한방식으로디코딩해야한다. [ 그림 25] 의 코드를사용해문자열을디코딩하면 tljoqgv.dat 라는파일명을얻을수있는데실제파일에는 [ 그림 26] 과같이공격에필요한구체적인정보가저장되어있다. [ 그림 25] 공격대상 URL 파일명을디코딩하는코드 31/63

32 [ 그림 26] 디코딩된공격도메인정보데이터파일 [ 그림 26] 을보면 7.7 DDoS 때사용했던공격파일과거의유사한것을알수있다. 다만, 이번 3.4 DDoS 공격대상파일에는공격시작시간, 공격종료시간등의정보는존재하지않았다 공격조건 공격조건은현재시스템시간이공격시간보다클경우시작한다. 또한 7.7 DDoS 공격처럼현재시스템시간을설정할때항상 2011년으로년도값을고정하기때문에년도와관계없이월, 일조건만만족하고좀비PC들이여전히살아있다면 DDoS 공격이가능하다. [ 그림 27] 은 DDoS 공격조건을체크하는코드를나타낸것이다. 32/63

33 [ 그림 27] DDoS 공격조건을체크하는코드 공격프로토콜 7.7 DDoS 공격과유사하게 3 가지프로토콜 (HTTP GET, UDP, ICMP) 을이용하여 DDoS 공격을수행했다. [ 그림 28] HTTP GET Payload 를구성하는코드 33/63

34 [ 그림 29] HTTP GET Flooding 공격을하는화면 [ 그림 30] 공격대상에대한 UDP( 포트 :80, 1024 Byte) Payload 내용 [ 그림 31] 공격대상에대한 ICMP(204 Byte) Payload 내용 34/63

35 이번공격모듈에서는실제로공격을수행하는코드를다수의스레드 (Thread) 로생성및동작시켜시스템자원을많이사용하며생성한스레드가모두실행되면 5분후다시시작한다. [ 그림 32] 에서확인할수있듯이지정된숫자만큼스레드를생성한다. 이것은지난 7.7 DDoS 공격때실제공격이발생하는중에도 PC 사용자들이공격이발생되고있었는지모를정도의적은시스템자원을사용한것과대조적이다. 참고로공격대상이되는도메인목록마다한번에얼마나많은스레드를생성하여공격할것인지는공격도메인목록이담겨있는데이터파일 (tljoqgv.dat) 을참고해결정한다. [ 그림 32] 공격스레드생성코드 35/63

36 2.4 MBR/ 파일파괴 DLL 파일 [ 그림 33] MBR/ 파일파괴 DLL 개략도 [ 그림 33] 은 MBR/ 파일모듈의동작과정을간단히나타낸것이다. 먼저해당모듈이실행되면곧바로 현재시스템시간과공격시간을체크해시스템시간이공격시간보다크면파일파괴스레드와 MBR 파괴스레드를순차적으로생성해실행시킨다. 또한공격자는파괴시점을임의로조정할수있도록설계되었으며, DDoS 파일에최초감염된시점으로부터공격자가정한특정일이후에 MBR/ 파일파괴작업을수행하게된다. 이때, 최초감염날짜를저장하고있는파일이 noise03.dat 파일이며, 이후동일기능의파일이 TYEI08.DEP 라는이름으로변경되었다. 이두파일에는최초감염날짜정보 (8 바이트 ) 와공격자가정한특정일정보 (4 바이트 ) 가함께저장되어있다. 감염날짜는감염시스템마다다를수있으나, 공격자가정한특정일은 4일과 7일두가지형태가발견되었다. 즉, 감염된시점이후 4일혹은 7일이후에 MBR/ 파일파괴작업을수행하도록한것이다. 이때, dnsec.dat 파일이추가로활용되는데, 해당파일은실제생성되지않아정확한값을확인할수없으나공격자가정한특정일 (4일혹은 7일 ) 에추가로더해져서파괴시점을계산하는데활용될것으로추 36/63

37 정된다 ( 최대 10일이후로 ). 즉, 최초설정한 4일혹은 7일이아닌임의의날짜를공격자가결정할수있도록하였다. 이로인해이번 DDoS에서 MBR/ 파일파괴의가능성은사전에파악되었으나파괴시점을정확하게예측하는것이불가능했다. 3월 5일부터접수된변형에서알수있듯이공격자는감염과동시에파괴작업을수행하도록 dat 파일을변경하였다. 참고로 MBR/ 파일파괴 DLL 파일도 DDoS 공격 DLL 모듈과마찬가지로메인 DLL 파일이실행되었을 때실행되는모듈중에하나로 [ 그림 34] 와같이서비스로등록되어부팅시에자동으로실행된다. [ 그림 34] 윈도우서비스로동작하는 MBR/ 파일파괴 DLL 파일 MBR/ 파일파괴동작과정 ( 세부 ) MBR/ 파일파괴와관련된스레드는총 3개가존재한다. 처음실행되는메인스레드는 MBR/ 파일파괴시점을체크하는루프를반복적으로수행하며, 파괴시점을만족하면파일파괴작업을위한스레드와디스크파괴를위한스레드가각각순차적으로생성 / 수행된다 ( 모든드라이브의파일들에대한파괴가완료된이후에디스크파괴작업진행 ). MBR/ 파일파괴의모든경우의수는총 3 가지이다, 특정일이후에이루어지는것이외에 [ 그림 35] 에 서알수있듯이사용자가임의로시스템날짜를감염날짜이전으로돌렸을경우, 혹은 noise03.dat 파 일을삭제한경우에도파괴작업이이루어질수있도록제작되어있다. 이는과거 7.7 DDoS 당시, 여러백신업체에서대응시시스템날짜를변경하거나데이터파일을삭제하는작업을수행했던것을파악하고이러한대응이이루어지는것을차단하기위해추가한것으로판단된다. TYEI08.DEP 파일의경우, noise03.dat 과동일한구조를갖는파일이나해당파일은 MBR/ 파일파괴를결정하는날짜값이 4 혹은 7의값이아닌 0으로설정되어있으며, DLL파일내부에해당값이 0인경우, 파괴작업을진행하도록한다. 즉, 특정일에상관없이파괴 DLL 구동과동시에파괴작업이 37/63

38 이루어진다. [ 그림 35] MBR/ 파일파괴가발생하는 3 가지케이스 [ 그림 36] 은 3 월 3 일부터 3 월 7 일까지안철수연구소에접수된 DDoS 샘플중, MBR/ 파일파괴관련파일 들의생성방식의변화를나타낸것이다. 38/63

39 [ 그림 36] MBR/ 파일파괴관련파일들생성형태의변화 [ 그림 36] 에서굵은블록으로표시된 5개파일들은파괴동작을수행하는것들이다. 3월 3일과 4일에수집된파일들은파일공유사이트를통해다운로드된 MAIN DLL(ntds50.dll, ntgg55.dll) 파일에의해드롭된파일들이다. 반면, 3월 5일과 7일에수집된파일들은 C&C 서버와의통신을통해새롭게다운로드된 EXE파일 (unbvvjsb.exe, btuenoce.exe) 에의해드롭되는파일들이다. [ 표 3] MBR/ 파일파괴관련파일들 V3 진단현황 39/63

40 [ 표 3] 은 MBR/ 파일파괴관련파일들의접수일자및 V3 진단명, 진단버전을나타낸것이다. 특이한점은 3월 5일자의드롭퍼인 unbvvjsb.exe 의경우, clijporc.dll 을드롭한후, 해당 DLL파일을서비스로구동함으로인해파괴작업을수행한반면, 3월 7일자의드롭퍼인 btuenoce.exe 의경우, 드롭한 rpcqproc.dll 파일뿐만아니라 EXE파일자신도파괴동작을수행하도록되어있다 (DLL과 EXE 모두에서동일한파괴동작을수행 ). 또한서비스로구동되는 rpcqproc.dll 의경우, 안전모드로부팅시에도구동할수있도록레지스트리에자신을등록하는기능이추가되었다. 아래는그레지스트리값일부를나타낸것이다. HKLM\SYSTEM\ControlSet001\Services\EventMan\Parameters\ServiceDll "%SystemRoot%\system32\everproc.dll" HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\EventMan Key: 0xE1DDBBB0 [ 표 4] 는시간에따라각파일들이파괴시키는변화추이를나타낸것이다. 첫번째공격이었던 3월 3 일과 4일의경우, 파괴대상파일을 0으로겹쳐쓰기를한후랜덤한암호를생성하여 CAB파일로압축하며, 기존파일은삭제하는동작을수행한다. 즉, 세번에걸쳐서하나의파일을삭제하는과정을거치게된다. 반면 3월 5일이후의경우, 압축라이브러리를포함하지않은작은파일크기형태로배포되었다. 이로인해 CAB으로압축및기존파일삭제하는과정없이 0으로겹쳐쓰는과정만을수행한다. [ 표 4] 시간에따른파일파괴과정의변화추이 [ 표 5] 는시간에따라파일종류별파괴의대상의변화추이를나타낸것이다. 3 월 4 일까지는 hwp 확장 자가 2 번반복추가된형태였으며, 이후에는해당확장자가한번만추가된것을알수있다. 확장자별 파일파괴종류를보면 7.7 DDoS 때와매우유사하다는것을알수있다. 40/63

41 [ 표 5] 시간에따른파일종류별파괴과정의변화추이 [ 그림 37] 은 noise03.dat 파일을읽어서 MBR/ 파일파괴가언제발생할지에대해서간단히계산을해주 는프로그램의화면을캡쳐한것이다. 참고로 Infection Time 은로컬 PC 가 3.4 DDoS 악성코드에감염 된최초시간을나타낸다. [ 그림 37] 최초감염시간이후 MBR/ 파일파괴날짜를계산해주는화면 41/63

42 2.4.2 파일파괴 [ 그림 38] 파일파괴과정흐름도 [ 그림 38] 은파일을파괴시키는과정을간단하게나타낸것이다. 파일파괴대상이되는드라이브는 A~Z 드라이브중고정식드라이브 (FIXED_DRIVE) 이며, 검색하는순서는 Z~A 순서로이루어진다. 파일 42/63

43 파괴는드라이브의모든폴더가검색대상이되며, 이중 %WINDIR%, %ProgramFiles% 에존재하는폴더의파일들은파괴대상에서제외되는특징이있다. 파괴대상파일은확장자의종류에따라결정되며, 해당파일의첫시작 16바이트값이 0인경우는파괴대상에서제외된다. 읽기속성만가지고있는파일에대해서도파괴를위해속성변경작업을수행하며, 파일의크기에따라 4MB씩나누어 0값으로채우는작업을반복하게된다. [ 표 4] 에서언급했던것처럼압축모듈의존재유무에따라 CAB파일생성여부를결정한다. CAB파일로압축시, 랜덤하게생성한 8바이트크기의암호로설정하며, 압축된파일은이미 0값으로파괴된상태라암호를알더라도복구할수없다. 또한, 압축이성공적으로이루어진이후에는원래의파일을삭제한다 MBR( 디스크 ) 파괴 [ 그림 39] 는 MBR/DISK를 ( 이후디스크 ) 파괴하는과정을나타낸것이다. 디스크파괴작업을수행하는스레드는 OS 버전정보를얻는작업을가장먼저수행하며, 해당버전에따라디스크파괴시사용할기본버퍼의크기를결정한다. 즉, 감염시스템의 OS버전이 VISTA 이하버전이거나 NT가아닌경우에는 4MB의버퍼를할당하며, 그외에는 512바이트를할당한다. 버퍼의크기가결정되면, 0~25번까지의총 26개디스크파괴작업을순차적으로수행하게되는데각디스크별파괴는할당한버퍼크기를 10 만번반복한다. ( 예, 4MB 크기의경우, 400GB의디스크가파괴됨 ) 43/63

44 [ 그림 39] MBR 파괴과정흐름도 MBR/ 파일파괴 DLL파일을실제감염테스트를수행하면디스크파괴과정에서윈도우중요시스템의파일의파괴로인해시스템이비정상종료되는증상이발생된다. 이로인해디스크파괴크기는감염시스템마다가변적이다. [ 그림 40] 은 MBR 파괴전 / 후상태를나타낸것이며 [ 그림 41] 은 OS 버전별로다르게설정되는버퍼의크기에맞춰 0 값으로채워지는과정을나타낸것이다. 또한 [ 그림 42], [ 그림 43] 의경우, 실제 MBR에대한파괴가이루어진이후, 시스템을재부팅할경우사용자에게보여지는화면을나타낸것이다. 부팅실패메시지는윈도우버전또는 BIOS에따라서다르게나타날수있다. 44/63

45 [ 그림 40] MBR 파괴전 / 후의내용 [ 그림 41] OS 버전별 Write 하는버퍼의크기 [ 그림 42] MBR 파괴후부팅화면 1 [ 그림 43] MBR 파괴후부팅화면 2 45/63

46 2.5 C&C 서버통신 DLL 파일 [ 그림 44] C&C 서버통신 DLL 파일개략도 [ 그림 44] 에서보는것처럼 C&C 통신모듈은 C&C(Command-and-Control) 서버와통신을위한목적으로제작되었으며, [ 그림 45] 와같이메인 DLL 파일에의해윈도우서비스로등록되어실행된다. 따라서다른모듈들과동일하게부팅시에자동실행된다. 해당모듈은 C&C 서버와통신시간을결정하기위해 메인 DLL 파일 에서생성한 faultrep.dat 를참조하는데실제 C&C 서버와통신이이뤄지면 C&C 서버에서보내오는악성파일을다운로드받아서실행한다. 46/63

47 [ 그림 45] 윈도우서비스로동작하는 C&C 서버통신 DLL 파일 AES(Advanced Encryption Standard) 복호화 C&C 서버통신 DLL 에서사용하는윈도우라이브러리는악성코드분석을지연시키기위한목적으로 AES(Advanced Encryption Standard) 알고리즘으로암호화되어있다. 이때사용하는키값은 [ 그림 46] 과같이내부에기록되어있으며해당키값은 DLL 파일내에존재하는주요데이터들을 (API 문자열, 참조할파일명등 ) 복호화하는데사용된다. 참고로 AES 알고리즘은민감하지만비밀로분류되지는않은자료들에대해보안을유지하기위해미국정부기관들이사용하는것으로주로미국표준암호알고리즘 DES(64비트블록의입출력 ) 의안전성문제로차세대블록암호알고리즘표준으로인정받은것이다. [ 그림 46] AES 암 / 복호화키 47/63

48 2.5.2 서버주소얻기 [ 그림 47] C&C 서버통신시참조하는 faultrep.dat 파일구조 C&C 통신모듈이서버에접속을할때 faultrep.dat 파일을참조하는데해당파일의구조는 [ 그림 47] 과같다. 처음 8바이트는시간정보가저장되어있는필드로디폴드값은 0이다. 통신모듈은해당값을비교하여 C&C 서버와통신여부를결정한다. 이후에저장되어있는 6바이트는감염 PC의 MAC Address를나타낸다. 이후에 8바이트단위로나오는값은 IP주소와포트번호를나타낸다. 48/63

49 [ 그림 48] C&C 서버데이터파일 (faultrep.dat) 에서추출한 IP, 포트정보 [ 그림 48] 은이번 DDoS 공격에서사용된파일중 (faultrep.dat) 에하나를간단한프로그램을통해출력 한화면이다. 49/63

50 2.5.3 서버통신과정 [ 그림 49] C&C 서버와통신과정을나타낸개략도 [ 그림 49] 에서확인할수있듯이 AES 복호화가끝나면 faultrep.dat를읽고곧바로스레드를생성해 C&C 서버와접속을시도한다. 접속이이루어지지않으면 30분단위로접속시도를한다. 만약접속이이루어지면 8바이트통신시그니처를보내고해당시그니처가종료시그니처가아니면복호화를위해키테이블을생성한다. 그리고서버를통해서받은데이터를 0x1000단위로파일로저장한다. 이후종료시그니처가전송되면복호화가완료된파일을실행시킨다. 50/63

51 [ 그림 50] C&C 서버와통신을하는코드 [ 그림 50] 은실제 C&C 서버와통신을하는코드를 C언어형태로변환해서나타난것이다. C&C 서버와통신을하기위해서는몇개의인자와함께통신함수를호출해야하는데그인자들은각각 IP와포트정보를저장하기위한공간 ( 또는시작주소 ), 서버와연결시도횟수, 연결실패후대기하는시간등이있다. 51/63

52 2.5.4 서버와감염 PC 간의통신프로토콜 [ 그림 51] 감염 PC 와 C&C 서버간의통신개략도 [ 그림 51] 은감염 PC 가 C&C 서버와실제통신하는과정을나타낸것이다. 실제통신과정은아래와 같은과정으로진행된다. 1 클라이언트 ( 감염 PC) 에서고정된 32bit (0x ) 값을서버로전송한다 2 클라이언트요청을받은서버는클라이언트가보내온데이터를그대로전송한다 3 C&C 서버통신 DLL 에저장되어있는상수값 (0x3000) 을서버로전송한다 4 이후 faultrep.dat 파일에서얻은시간정보와클라이언트의 Mac Address를서버에전송한다 52/63

53 5 서버는고정된상수 0x0010을클라이언트에게전송한다 6 악성코드파일정보를 (Structrue1, Structrue1Data) 서버와주고받는다 7 다운로드파일크기를서버로보낸다 8 서버로부터요청받은생성할데이터와파일정보를받는다 9 클라이언트에서는받은데이터를디코딩한후에파일을생성한다 10 다음파일관련정보들이없을때까지과정 6부터 9를반복한다 11 모든것이끝나면서버에서 0xFFFF 데이터를보내종료요청을시도한다 12 클라이언트에서성공적으로마치면서버에게종료시그니처를 (0x01, 0x00) 보낸다 복호화및파일실행 C&C 서버로부터받은파일은 %SYSTEM%\NTDRV\111 라는폴더에다음과같이랜덤한파일명으로 생성하는데파일생성시간도랜덤하게설정된다. %%s\\%%s%%0%dd.%s %%s\\%%s%%0%dd %s\\%c%c%c%c%c%c%c%c%s 파일이생성되면자체복호화알고리즘을수행한다. 실제네트워크를통해서다운받은데이터를복호 화하는세부과정은아래와같다. 1 복호화를하기위해서는 0 ~ 255 까지값을가지는키테이블을생성해야하는데그테이블을 만들기위해서는 [ 표 6] 과같이 0x2C 까지값을가지고있다. [ 표 6] 0 ~ 255 키테이블을만들기위한정보 2 0 ~ 255 까지순서대로키테이블 (KeyTable) 을생성한다. 생성된키테이블은아래와같은연산 을가지고생성하는데실제테이블값은 [ 표 7] 과같이생성된다. 53/63

54 Temp = ( KeyTable[i] + KeyArray[i] + Temp ) & 0xFF Swap ( KeyTable[i], KeyTable[Temp] ) [ 표 7] 0 ~ 255 까지생성된키테이블 3 키테이블 (KeyTable) 이생성되면 [ 그림 52] 와같은알고리즘으로서버로부터받은데이터를 복호화한다. 4 네트워크를통해서받은모든데이터가복호화가완료되면해당파일을실행시킨다. 54/63

55 [ 그림 52] 자체복호화알고리즘을 C 언어로변환한그림 55/63

56 2.6 네트워크분석 이번공격에이용된 DDoS 방법에는크게 3 가지기법이사용되었다. 프로토콜별로는 HTTP, UDP, ICMP 로나뉘며 HTTP 가가장큰비중으로공격에이용되었다. 네트워크관점에서전체적인동작을요약하 면 [ 그림 53] 과같다. [ 그림 53] 3.4 DDoS 가이용하는네트워크동작 공격은크게 3 가지 Flooding 과 1 개의 C&C 서버와의통신으로이용되는네트워크로나눌수있다. 각공격에이용되는네트워크특징은아래에서세부적으로언급하겠으며, 참고로이번 DDoS 공격은 2009 년의 7.7 DDoS 공격과는몇가지차이점이있다. - 출발지 IP 위조기능 (IP Spoofing) 을포함하지않음 DDoS 공격의경우와달리패킷전송에 Winpcap 을사용하지않고, 윈도우의기 본네트워크소켓을사용하였음 56/63

57 - 3 차공격시, HTTP Flooding 공격으로만시도됨 (ICMP/UDP Flooding 제외 ) 이번공격에사용된특징을정리하면크게 [ 표 8] 과같이나뉘어진다. 공격유형 사용포트및프로토콜 특징 HTTP GET Flooding TCP/80 GET / HTTP/1.1 요청 Cache-Control 헤더사용또는비사용 Accept,User-Agent 헤더조건선택 ICMP Flooding ICMP Payload 사이즈가 204 바이트로고정 UDP Flooding UDP/80 Payload 사이즈가 1024 바이트로고정 [ 표 8] 3.4 DDoS 공격에이용된네트워크공격유형에따른특징 또한공격대상 ( 도메인 ) 별공격스레드수를달리한것이특징이다. 상대적으로웹기반인프라가잘갖 춰진주요포털사이트에대해서는조금더많은스레드수를부여하여효과적인공격을수행하고자 했던것으로풀이된다 HTTP Get Flooding 특히 DDoS 공격에가장큰비중으로이용된 HTTP GET Flooding 은코드상으로몇가지조건을가지고 있다 Accept 헤더필드 HTTP 헤더요청시사용되는이 Accept 헤더필드는클라이언트브라우저상에서받아들일사용타입에 대해서정의한것으로, 악성코드에는다음과같이 5 가지의헤더필드가사전에정의되어있었다. */* image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwaveflash, */* image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x-ms-xbap, */* 57/63

58 text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 [ 그림 54] 의코드와같이 rand() 에의해랜덤하게 5 개의 Accept 헤더필드중하나가선택된다. [ 그림 54] Accept 헤더를선택하는알고리즘 User-Agent 헤더필드 User-Agent 헤더필드는클라이언트의브라우저가사용하는것이무엇인지정의한것으로, 다음과같이 6 가지형태가사전에정의되어있다. Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;.NET CLR 58/63

59 ;.NET CLR ;.NET CLR ; Media Center PC 6.0) Mozilla/5.0 (Windows; U; Windows NT 5.1; ko; rv: ) Gecko/ Firefox/3.6.8 Mozilla/5.0 (X11; U; Linux i686; ko-kr; rv: ) Gecko/ Fedora/ fc10 Firefox/3.0.4 [ 그림 55] 의경우와같이 Case 에의한 6 개중랜덤하게 1 개를선택하게된다. [ 그림 55] User-Agent 헤더를선택하는알고리즘 Cache-Control 헤더필드 캐쉬제어와관련헤더를전송하는데, 이것은캐쉬를사용하지않도록조정하여서버에더욱부하를 주기위해시도한것으로추정된다. 하지만실제로서버에얼마나큰영향을주는지확인은되지않았 다. 다만, 이헤더자체로인해큰변화는없을것으로추정하며, 있다해도미미한것으로판단된다. 59/63

60 Cache-Control 헤더는항상붙는것은아니며, 붙는경우와안붙는 2 가지경우로나뉜다. 만약 Cache- Control 헤더가붙는경우는다음과같은문자열이붙는다. Cache-Control: no-store, must-revalidate 이헤더는코드상에서 5 번의 HTTP 전송시에값이홀수일때 3 회는 Cache-Control 이붙게되며, 짝수일 때는 2 회가나타난다. 그러므로 Cache-Control 이붙는경우의비중이조금더높다 ICMP Flooding ICMP 는타입 8 번에코드 0 번으로일반적인 Ping 요청이다. 총 212 바이트를전송하며, 페이로드만을 보면 204 바이트이다. [ 그림 56] ICMP Flooding 을발생시키는코드 UDP Flooding 이번 DDoS 공격에서 UDP Flooding 은다음코드와같이랜덤한바이트의문자열을생성하여 1024 바 이트를전송한다. int cdecl sub_ (int a1, int a2) { 60/63

61 } result = socket(2, 2, 17); // 소켓생성 if(result) { sendto() 를통해서 1024(0x400) 바이트 random 문자전달 } 2.7 공격유형별분포도 3 가지 DDoS 공격유형별로발생된패킷분포를보면 HTTP 가가장많으며, [ 그림 57] 과같은수준의패 킷발생을보여주고있다 HTTP GET Flooding (81%) > ICMP Flooding (10%) = UDP Flooding (9 ~ 10%) [ 그림 57] DDoS 공격유형별분포도 코드를살펴보면 HTTP 가가장많이발생될수밖에없는데, HTTP 가 5 번, UDP 가 1 번, ICMP 가 1 번의경 우로루프를반복하게된다 C&C 국가분포도 [ 그림 58] 은 ASD(AhnLab Smart Defense) 를통해파악한 C&C 국가의분포도를나타낸것이다. 한국 내 C&C 서버는확인되지않으며, 국외다양한국가에널리분포되어있는것을확인할수있다. 61/63

62 [ 그림 58] C&C 서버접속국가분포도 2.8 좀비 PC 발생트래픽산출 악성코드감염으로인해발생되는트래픽을산출한것으로서추산근거는공격대상 1 곳에서바라본좀 비 PC 1 대당트래픽정보를기준으로추산한것이다. 그리고이당시감염추정으로판단되는좀비 PC 의수는 31,030 대로설정하였다. (* 1 차감염으로추정되는 3 만대기준 ) ,2 차공격에의한트래픽 활동좀비 PC 수별공격트래픽유입현황 ( 공격대상 1 곳기준 ) 감염 PC 수 Avg. packets/sec Avg. packet size Avg. bytes/sec Avg. Mbit/sec 1 PC K M 31,030 PCs 776 K M 1 G 활동좀비 1PC 당공격유형트래픽현황 ( 감염 PC 1 대 -> 공격대상 1 곳, Active Attack Traffic) 공격유형 HTTP GET Flooding Avg. packets/sec Avg. packet size Avg. bytes/sec Avg. Mbit/sec , /63

63 ICMP Flooding UDP Flooding attack total , 빨강 : TCP 포트 80 번, 파랑 : ICMP, 분홍 : UDP [ 그림 59] 시간대별 / 공격유형별트래픽분포도 63/63

1

1 3.3 DDoS 분석보고서 2011.03.04 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011 년 3 월 3 일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그

More information

1

1 3.3 DDoS 분석보고서 Ver 4.0 2011.03.05 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011년 3월 3일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그

More information

1

1 3.3 DDoS 분석보고서 Ver 5.0 2011.03.06 잉카인터넷시큐리티대응센터 ( 대응팀공식블로그 :: http://erteam.nprotect.com/ ) 1. 분석개요 1.1. 목적 2011 년 3 월 3 일이후접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 ::

More information

1

1 3.3 DDoS 분석보고서 Ver 8.0 2011.03.09 잉카인터넷시큐리티대응센터 ( 대응팀공식블로그 :: http://erteam.nprotect.com/ ) 1. 분석개요 1.1. 목적 2011 년 3 월 3 일이후접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 ::

More information

<4D F736F F D20332E F5320BEC7BCBAC4DAB5E5BFA120B4EBC7D120BAD0BCAE20BAB8B0EDBCAD>

<4D F736F F D20332E F5320BEC7BCBAC4DAB5E5BFA120B4EBC7D120BAD0BCAE20BAB8B0EDBCAD> 3.3 DDoS 악성코드에대한분석보고서 2011-03-07 Rev. 4 이스트소프트알약보안대응, DB분석팀 (http://www.alyac.co.kr) 위험도아주높음영향받는 OS 윈도우계열 OS 확산도아주높음취약점이용 X 전용백신 http://advert.estsoft.com/?event=201103041192417 1. 개요 3월 3일부터대대적으로 40여개의국내

More information

IssueMakersLab

IssueMakersLab 군사정보수집 국방도메인공격시도 무기정보수집 천마 현무 거대봇넷구축 (2009 년 5 월 ~7 월 ) Re-Collection Server C&C Master Server C&C IP Relay Server IP Relay Distributed C&C Server [Victim] [NK] 수집시도한정보 명령복호화 작전계획, 작계 5027, 5029, 5030,

More information

TGDPX white paper

TGDPX white paper White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D DoS, DDoS 1012 1705 사이버경찰학과 홍윤기 index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 Definition of DDOS (Distribute

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

System Recovery 사용자 매뉴얼

System Recovery 사용자 매뉴얼 Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.

More information

신종파밍악성코드분석 Bolaven

신종파밍악성코드분석 Bolaven 신종파밍악성코드분석 Bolaven 2013.06.27 개요 지난 1월볼라벤 6차문서에서진화한파밍기법 (= 호스트파일변조 ) 에대해분석및공유를하였다. 6차문서에서는웹을통하여악성코드가유포되는과정과파밍기법의전반적인흐름을알아보았다면, 이번문서에서는파밍기법에서사용되는악성파일의행위에대해중점적으로분석하였다. 파밍기법이란? PC 를악성코드에감염시켜정상홈페이지주소로접속하여도피싱사이트로

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

ActFax 4.31 Local Privilege Escalation Exploit

ActFax 4.31 Local Privilege Escalation Exploit NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)

More information

슬라이드 1

슬라이드 1 휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

Microsoft PowerPoint - chap06-2pointer.ppt

Microsoft PowerPoint - chap06-2pointer.ppt 2010-1 학기프로그래밍입문 (1) chapter 06-2 참고자료 포인터 박종혁 Tel: 970-6702 Email: jhpark1@snut.ac.kr 한빛미디어 출처 : 뇌를자극하는 C프로그래밍, 한빛미디어 -1- 포인터의정의와사용 변수를선언하는것은메모리에기억공간을할당하는것이며할당된이후에는변수명으로그기억공간을사용한다. 할당된기억공간을사용하는방법에는변수명외에메모리의실제주소값을사용하는것이다.

More information

Windows Server 2012

Windows Server  2012 Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 [ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500

More information

InsertColumnNonNullableError(#colName) 에해당하는메시지출력 존재하지않는컬럼에값을삽입하려고할경우, InsertColumnExistenceError(#colName) 에해당하는메시지출력 실행결과가 primary key 제약에위배된다면, Ins

InsertColumnNonNullableError(#colName) 에해당하는메시지출력 존재하지않는컬럼에값을삽입하려고할경우, InsertColumnExistenceError(#colName) 에해당하는메시지출력 실행결과가 primary key 제약에위배된다면, Ins Project 1-3: Implementing DML Due: 2015/11/11 (Wed), 11:59 PM 이번프로젝트의목표는프로젝트 1-1 및프로젝트 1-2에서구현한프로그램에기능을추가하여간단한 DML을처리할수있도록하는것이다. 구현한프로그램은 3개의 DML 구문 (insert, delete, select) 을처리할수있어야한다. 테이블데이터는파일에저장되어프로그램이종료되어도사라지지않아야한다.

More information

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1 IP 심화 º 각 P 의게이트웨이는해당네트워크의마지막주소를사용한다. - P1 (210.220.10.1/26) 의게이트웨이 (5의 Fa0/0) : 210.220.10.63 /26 = 255.255.255.192 호스트비트수 : 32-26 = 6 비트 => = 64 그러므로 P1의 IP 210.220.10.1 중서브넷마스크에의거 26비트는변함이없고, 나머지 6비트가호스트비트로변하므로

More information

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770> DDoS 대응장비보안기능요구사항 2010. 1 IT 보안인증사무국 목차 1. 소개 1 1.1 참고 1 1.2 목적및범위 1 1.3 문서구조 2 2. DDoS 공격유형및대응기술 3 2.1 DDoS 공격유형 3 2.2 DDoS 대응장비구성방식 6 3. DDoS 공격대응을위한보안기능 7 4. DDoS 대응장비시험방법 8 1. 1.1 소개 참조 본요구사항의식별정보는다음과같다.

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

Windows 10 General Announcement v1.0-KO

Windows 10 General Announcement v1.0-KO Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17 Trojan.KillDisk.MBR 악성코드분석보고서 (V 4.0) ESTsoft Corp. ALTOOLS Division Malware Research 페이지 1 / 17 Table of Contents 1. 분석...1 1-1. 유포경로... 2 1-2. 악성파일분석... 3 1-2-1. 드롭퍼 A 분석... 3 1-2-2. 드롭퍼 B 분석... 10 페이지

More information

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P Duplicator 는기본적으로원본하드디스크를빠르게복사본하드디스크에복사하는기능을하는것입니다.. 복사본 하드디스크가원본하드디스크와똑같게하는것을목적으로하는것이어서저용량에서고용량으로복사시몇 가지문제점이발생할수있습니다. 하드디스크는사용하려면, 디스크초기화를한후에포맷을해야사용가능합니다. Windows PC는 MBR과 GPT 2 개중에 1개로초기화합니다. -Windows

More information

ìœ€íŁ´IP( _0219).xlsx

ìœ€íŁ´IP( _0219).xlsx 차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 03 장 도메인네임시스템과주소 패밀리 (IPv4-IPv6 서비스 ) 1 목차 제 3 장도메인네임시스템과주소패밀리 3.1 도메인네임주소를숫자주소로매핑하기 3.2 IP 버전에무관한주소-범용코드의작성 3.3 숫자주소에서도메인네임주소획득하기 2 getaddrinfo() 를활용한주소 범용 (Generic) 코드 주소범용 (Generic) 코드란? 주소버전

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash

More information

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응 MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,

More information

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse

More information

Studuino소프트웨어 설치

Studuino소프트웨어 설치 Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...

More information

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 ) #HNS-WI-14-02 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 ) 2014-01-14 내용요약 이보고서는최근국내금융권과포털사이트이용자들을대상으로한 악성코드공격에서발견된주목할부분을정리및분석한것임 공격자가노린하이재킹대상국내웹사이트들은국민은행, 농협, 신한은행, 우리은행, 기업은행, 외환은행, 하나은행, 우체국, 새마을금고, 네이버,

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 얇지만얇지않은 TCP/IP 소켓프로그래밍 C 2 판 4 장 UDP 소켓 제 4 장 UDP 소켓 4.1 UDP 클라이언트 4.2 UDP 서버 4.3 UDP 소켓을이용한데이터송싞및수싞 4.4 UDP 소켓의연결 UDP 소켓의특징 UDP 소켓의특성 싞뢰할수없는데이터젂송방식 목적지에정확하게젂송된다는보장이없음. 별도의처리필요 비연결지향적, 순서바뀌는것이가능 흐름제어 (flow

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

CODESYS 런타임 설치과정

CODESYS 런타임 설치과정 CODESYS 런타임설치과정 CODESYS Control RTE / SoftMotion RTE Setup Web: www.altsoft.kr E-mail: altsoft@altsoft.kr Tel: 02-547-2344 목 차 CODESYS 런타임 - Control RTE, SoftMotion RTE... 2 다운로드및설치과정... 2 CODESYS EtherCAT

More information

DDoS 방어기술, 경험, 전문가의결합, AhnLab TrusGuard DPX 안철수연구소트러스가드 DPX (DDoS Prevention express) 는 DDoS 공격방어를위한보안기술과안철수연구소의인프라가결함된새로운 DDoS 공격방어전용제품입니다. 이제품은다단계필터

DDoS 방어기술, 경험, 전문가의결합, AhnLab TrusGuard DPX 안철수연구소트러스가드 DPX (DDoS Prevention express) 는 DDoS 공격방어를위한보안기술과안철수연구소의인프라가결함된새로운 DDoS 공격방어전용제품입니다. 이제품은다단계필터 DDoS 공격과방어의패러다임변화 DDoS(Distributed Denial f Service) 공격은기업의 IT 인프라를위협하는강력한공격수단이되고있습니다. 초기 DDoS 공격은자기과시를위해이루어졌으나점차금전적이익을노리는형태로변화하고있습니다. 공격목표또한중소규모의인터넷업체에서대형인터넷서비스업체, 금융기관, 포털, 게임업체등대상을가리지않고무차별적으로감행되고있습니다.

More information

07_alman.hwp

07_alman.hwp 1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.

More information

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E > 웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 소켓 (Socket) (1/2) Socket 이란? 서버와클라이언트가서로특정한규약을사용하여데이터를전송하기위한방식 서버와클라이언트는소켓연결을기다렸다가소켓이연결되면서로데이터를전송 현재네트워크상에서의모든통신의근간은 Socket 이라할수있음 Page 2 1 소켓 (Socket) (2/2)

More information

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

server name>/arcgis/rest/services  server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지 ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,

More information

Microsoft PowerPoint - Lecture_Note_5.ppt [Compatibility Mode]

Microsoft PowerPoint - Lecture_Note_5.ppt [Compatibility Mode] TCP Server/Client Department of Computer Engineering Kyung Hee University. Choong Seon Hong 1 TCP Server Program Procedure TCP Server socket() bind() 소켓생성 소켓번호와소켓주소의결합 listen() accept() read() 서비스처리, write()

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Example 3.1 Files 3.2 Source code 3.3 Exploit flow

More information

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time- EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.

More information

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp A SQL Server 0 설치 A. 소개 Relational DataBase Management System SQL Server 0는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 express 버전 의무료에디션을제공하는데, 이책에서는실습을위해 SQL Server 0 익스프레스에디 션 SP

More information

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation 1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP

More information

Microsoft PowerPoint - 04-UDP Programming.ppt

Microsoft PowerPoint - 04-UDP Programming.ppt Chapter 4. UDP Dongwon Jeong djeong@kunsan.ac.kr http://ist.kunsan.ac.kr/ Dept. of Informatics & Statistics 목차 UDP 1 1 UDP 개념 자바 UDP 프로그램작성 클라이언트와서버모두 DatagramSocket 클래스로생성 상호간통신은 DatagramPacket 클래스를이용하여

More information

Microsoft Word - CPL-TR wireshark.doc

Microsoft Word - CPL-TR wireshark.doc Protocol Analyzer: Wireshark 설치가이드 2008 년 10 월 경북대학교통신프로토콜연구실 김지인 (jiin16@gmail.com) 요약 현재다양한 Protocol Analyzer가존재하고있다. 이문서는그중하나인 Wireshark에대한일종의매뉴얼로 Wireshark에대한정보와그설치법에대해정리한것이다. 목 차 1. 서론... 2 2. WIRESHARK란?...

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3 CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정

More information

Dropbox Forensics

Dropbox Forensics Cloud Storage Forensics Part I : Dropbox 2013. 09. 28 forensic.n0fate.com Dropbox Forensics Dropbox Forensics Dropbox 웹기반파일공유서비스 총 12 개의클라이언트지원 Desktop : Windows, Mac OS X, Linux Mobile : ios, Android,

More information

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14 Win-Trojan/Scar.109568.U 악성코드분석보고서 Written by extr (white-hacker@nate.com, http://extr.kr) 2013. 02. 26 Win-Trojan/Scar.109568.U 악성코드분석보고서 Page 1 / 14 Table of Contents 1. 분석정보 i. 분석대상 ii. 분석환경 2. 동적분석

More information

CEO COLUMN 3 ㆍ 4 DDoS 공격 日대지진과한국 3 ㆍ 4 DDoS 공격 이글은매일경제에실린김홍선대표의칼럼입니다 일본역사상최대재난이들이닥쳤다. 평화롭고살기좋다던센다이지역은쓰나미와강진으로인해폐허로변했고, 그여파는일본전역에연속된강진으로확대돼나갔다. 마침일본출장을

CEO COLUMN 3 ㆍ 4 DDoS 공격 日대지진과한국 3 ㆍ 4 DDoS 공격 이글은매일경제에실린김홍선대표의칼럼입니다 일본역사상최대재난이들이닥쳤다. 평화롭고살기좋다던센다이지역은쓰나미와강진으로인해폐허로변했고, 그여파는일본전역에연속된강진으로확대돼나갔다. 마침일본출장을 안철수연구소보안매거진월간安 A P R I L 2 0 1 1 CEO COLUMN 日대지진과한국 '3 ㆍ 4 DDoS' 공격 STATISTICS 3 ㆍ 4 DDoS 주요통계 SPECIAL REPORT 3 ㆍ 4 DDoS 공격방어분석보고서 3 ㆍ 4 DDoS 공격, 시작과끝에안철수연구소가있었다 3 ㆍ 4 DDoS 공격에관해궁금한 20 문 20 답 3 ㆍ 4 DDoS,

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

API 매뉴얼

API 매뉴얼 PCI-DIO12 API Programming (Rev 1.0) Windows, Windows2000, Windows NT and Windows XP are trademarks of Microsoft. We acknowledge that the trademarks or service names of all other organizations mentioned

More information

<31305FBEC6C0CCC5DB2E687770>

<31305FBEC6C0CCC5DB2E687770> 1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.

More information

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.

More information

A Hierarchical Approach to Interactive Motion Editing for Human-like Figures

A Hierarchical Approach to Interactive Motion Editing for Human-like Figures 단일연결리스트 (Singly Linked List) 신찬수 연결리스트 (linked list)? tail 서울부산수원용인 null item next 구조체복습 struct name_card { char name[20]; int date; } struct name_card a; // 구조체변수 a 선언 a.name 또는 a.date // 구조체 a의멤버접근 struct

More information

본 강의에 들어가기 전

본 강의에 들어가기 전 1 2.1 대칭암호원리 제 2 장. 대칭암호와메시지기밀성 2 3 기본용어 평문 (Plaintext) - original message 암호문 (Ciphertext) - coded message 암호화 (Cipher) - algorithm for transforming plaintext to ciphertext 키 (Key) - info used in cipher

More information

Install stm32cubemx and st-link utility

Install stm32cubemx and st-link utility STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7

More information

[ 마이크로프로세서 1] 2 주차 3 차시. 포인터와구조체 2 주차 3 차시포인터와구조체 학습목표 1. C 언어에서가장어려운포인터와구조체를설명할수있다. 2. Call By Value 와 Call By Reference 를구분할수있다. 학습내용 1 : 함수 (Functi

[ 마이크로프로세서 1] 2 주차 3 차시. 포인터와구조체 2 주차 3 차시포인터와구조체 학습목표 1. C 언어에서가장어려운포인터와구조체를설명할수있다. 2. Call By Value 와 Call By Reference 를구분할수있다. 학습내용 1 : 함수 (Functi 2 주차 3 차시포인터와구조체 학습목표 1. C 언어에서가장어려운포인터와구조체를설명할수있다. 2. Call By Value 와 Call By Reference 를구분할수있다. 학습내용 1 : 함수 (Function) 1. 함수의개념 입력에대해적절한출력을발생시켜주는것 내가 ( 프로그래머 ) 작성한명령문을연산, 처리, 실행해주는부분 ( 모듈 ) 자체적으로실행되지않으며,

More information

Microsoft Word - NAT_1_.doc

Microsoft Word - NAT_1_.doc NAT(Network Address Translation) 1. NAT 개요 1 패킷의 IP 헤더의수신지주소, 발신지주소또는그주소를다른주소로변경하는과정 2 NAT기능을갖는장치를 NAT-BOX라함 ( 시스코라우터, 유닉스시스템, 윈도우의호스트혹은몇개의다른시스템일수있기때문에이렇게지칭하기도함 ) 3 NAT 기능을갖는장치는일반적으로스텁도메인 (Stub-domain)

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 System Software Experiment 1 Lecture 5 - Array Spring 2019 Hwansoo Han (hhan@skku.edu) Advanced Research on Compilers and Systems, ARCS LAB Sungkyunkwan University http://arcs.skku.edu/ 1 배열 (Array) 동일한타입의데이터가여러개저장되어있는저장장소

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

슬라이드 1

슬라이드 1 -Part3- 제 4 장동적메모리할당과가변인 자 학습목차 4.1 동적메모리할당 4.1 동적메모리할당 4.1 동적메모리할당 배울내용 1 프로세스의메모리공간 2 동적메모리할당의필요성 4.1 동적메모리할당 (1/6) 프로세스의메모리구조 코드영역 : 프로그램실행코드, 함수들이저장되는영역 스택영역 : 매개변수, 지역변수, 중괄호 ( 블록 ) 내부에정의된변수들이저장되는영역

More information

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D> VHDL 프로그래밍 D. 논리합성및 Xilinx ISE 툴사용법 학습목표 Xilinx ISE Tool 을이용하여 Xilinx 사에서지원하는해당 FPGA Board 에맞는논리합성과정을숙지 논리합성이가능한코드와그렇지않은코드를구분 Xilinx Block Memory Generator를이용한 RAM/ ROM 생성하는과정을숙지 2/31 Content Xilinx ISE

More information

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date

More information

슬라이드 1

슬라이드 1 Pairwise Tool & Pairwise Test NuSRS 200511305 김성규 200511306 김성훈 200614164 김효석 200611124 유성배 200518036 곡진화 2 PICT Pairwise Tool - PICT Microsoft 의 Command-line 기반의 Free Software www.pairwise.org 에서다운로드후설치

More information

<322EBCF8C8AF28BFACBDC0B9AEC1A6292E687770>

<322EBCF8C8AF28BFACBDC0B9AEC1A6292E687770> 연습문제해답 5 4 3 2 1 0 함수의반환값 =15 5 4 3 2 1 0 함수의반환값 =95 10 7 4 1-2 함수의반환값 =3 1 2 3 4 5 연습문제해답 1. C 언어에서의배열에대하여다음중맞는것은? (1) 3차원이상의배열은불가능하다. (2) 배열의이름은포인터와같은역할을한다. (3) 배열의인덱스는 1에서부터시작한다. (4) 선언한다음, 실행도중에배열의크기를변경하는것이가능하다.

More information

JVM 메모리구조

JVM 메모리구조 조명이정도면괜찮조! 주제 JVM 메모리구조 설미라자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조장. 최지성자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조원 이용열자료조사, 자료작성, PPT 작성, 보고서작성. 이윤경 자료조사, 자료작성, PPT작성, 보고서작성. 이수은 자료조사, 자료작성, PPT작성, 보고서작성. 발표일 2013. 05.

More information

월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜 안랩 온라인 보안 매거진 2016. 02 Mobile Security 월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜섬웨어의 모든 것 모바일까지

More information

PowerPoint Presentation

PowerPoint Presentation Class - Property Jo, Heeseung 목차 section 1 클래스의일반구조 section 2 클래스선언 section 3 객체의생성 section 4 멤버변수 4-1 객체변수 4-2 클래스변수 4-3 종단 (final) 변수 4-4 멤버변수접근방법 section 5 멤버변수접근한정자 5-1 public 5-2 private 5-3 한정자없음

More information

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작 Security Trend ASEC REPORT VOL.80 August, 2016 ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,

More information

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷 인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378> 목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...

More information

제목을 입력하세요

제목을 입력하세요 기술문서 13. 10. 31. 작성 320 사이버대란복구 2013-04-30 fatapple 목차 1. 개요...3 2. 복구...4 2.1 MBR... 4 2.2 VBR... 9 2.3 복구 Tool...13 3. 결론... 16 4. 참고문헌... 17 2 1. 개요 이번 320 사이버대란에서주관심사는손실된저장매체의 Data였다. 피해를입은여러기업의 PC들의

More information

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드] 리눅스 설치 Vmware를 이용한 Fedora Core 8 설치 소프트웨어실습 1 Contents 가상 머신 실습 환경 구축 Fedora Core 8 설치 가상 머신 가상 머신 가상 머신의 개념 VMware의 설치 VMware : 가상 머신 생성 VMware의 특징 실습 환경 구축 실습 환경 구축 Fedora Core 8 설치 가상 머신의 개념 가상 머신 (Virtual

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아 LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml

More information

*****

***** Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file

More information

PowerPoint Template

PowerPoint Template 악성코드소스코드분석 Jaewoo Shim Mar. 14. 2018 목차 팀프로젝트소개 수행내용 소스코드정적분석 컴파일후실행파일동적분석 제안서작성방식 보고서작성방식 채점기준및총배점 2 팀프로젝트소개 악성코드분석 lightaidra 소스코드가없는바이너리를분석할수있는역량을익히기에는시간상현실적으로어려움이있음 소스코드가있는악성코드를대상으로분석을수행 2000 줄정도 소스코드다운로드가능

More information

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved. Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.

More information

<C0CCC8ADC1F82E687770>

<C0CCC8ADC1F82E687770> 분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상

More information