*2월완결
|
|
- 솔미 공
- 6 years ago
- Views:
Transcription
1 8 November 월간특집 MS8-67을이용하여전파되는악성코드분석 인터넷침해사고동향및분석월보
2 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터 ] 를명시하여주시기바랍니다.
3 Contents Part Part Part 3 월간동향요약침해사고통계분석 -. 증감추이 ( 전년, 전월대비 ) -. 침해사고통계요약 -3. 침해사고통계현황 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 해킹사고접수 처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황허니넷 / 트래픽분석 -. PC 생존시간분석 -. 허니넷트래픽분석 전체추이 Top 3 국가별공격유형 해외 국내 국내 국내 -3. 국내인터넷망트래픽분석 -4. 바이러스월탐지웜 바이러스정보월간특집 MS8-67을이용하여전파되는악성코드분석 < 별첨 > 악성코드유포지 / 경유지조기탐지및차단조치 < 부록 > 주요포트별서비스및관련악성코드 < 용어정리 > Ⅰ-
4 표차례 [ 표 ] 월간침해사고전체통계... [ 표 ] 월별국내웜 바이러스신고건수...3 [ 표 3] 주요웜 바이러스신고현황...4 [ 표 4] 해킹사고처리현황...5 [ 표 5] 해킹사고피해기관별분류...6 [ 표 6] 해킹사고피해운영체제별분류...6 [ 표 7] 피싱경유지신고건수...7 [ 표 8] 홈페이지변조사고처리현황...9 [ 표 9] 국내악성봇 (Bot) 감염률... [ 표 ] 악성 Bot의전파에이용되는주요포트목록... [ 표 ] Windows XP Pro SP, Windows Pro SP4 생존가능시간...3 [ 표 ] 허니넷에유입된유해트래픽국가별비율...5 [ 표 3] 해외 국내 ( 허니넷 ) 공격유형탐지현황...6 [ 표 4] 국내 국내 ( 허니넷 ) 공격유형탐지현황...8 [ 표 5] 수집된주요웜 바이러스현황... 그림차례 ( 그림 ) 월별침해사고전체통계그래프... ( 그림 ) 월별국내웜 바이러스신고건수...3 ( 그림 3) 해킹사고접수 처리건수유형별분류...5 ( 그림 4) 해킹사고피해기관별분류...6 ( 그림 5) 월별피싱경유지신고건수...7 ( 그림 6) 월별홈페이지변조사고처리현황...9 ( 그림 7) 월별국내악성봇 (Bot) 감염률추이... ( 그림 8) 전세계악성봇 (Bot) 감염 IP 수와국내감염 IP 수의비교... ( 그림 9) 악성봇관련포트비율 ( 해외 )... ( 그림 ) 악성봇관련포트비율 ( 국내 )... ( 그림 ) 월별평균생존가능시간변동추이... ( 그림 ) Windows XP SP 생존시간분포분석...3 ( 그림 3) Windows SP4 생존시간분포분석...3 ( 그림 4) 월별허니넷유입트래픽규모...4 ( 그림 5) 허니넷유입트래픽 Top3 국가별공격유형...4 ( 그림 6) 해외 국내 ( 허니넷 ) 공격유형탐지현황...7 ( 그림 7) 국내 국내 ( 허니넷 ) 공격유형탐지현황...9 ( 그림 8) 국내인터넷망에유입된포트트래픽 Top 일별추이... ( 그림 9) 국내인터넷망에유입된공격유형... -Ⅱ-
5 핫이슈 월간동향요약 최근 MS에서긴급보안패치 (.4) 를발표한바있는 MS8-67 취약점을공격하는인터넷웜이출현하여, 보안패치를설치하지않은일부인터넷이용자 PC가감염되어인터넷접속되지않는사례가발생하였으므로, - 네트워크관리자는감염에이용되는 TCP/39, TCP/445 포트트래픽이외부에서유입되지않도록불필요한경우해당포트를차단조치하고, - 일반인터넷이용자는최신윈도우보안업데이트설치, 개인방화벽사용및백신 S/W 사용을생활화하는등예방조치가필요함 MS8-67 취약점 : MS 윈도우컴퓨터간파일공유등네트워크서비스를제공하는 Server Service 모듈에대한원격코드실행취약점 월간특집 MS8-67 을이용하여전파되는악성코드분석 참고 주요취약점, 웜 바이러스 제목 영향받는제품 / 사용자 영향력 / 예방및대책 참고사이트 [MS 보안업데이트 ] 8 년 월 MS 월간보안업데이트권고 o MS Windows, XP, Vista, MS Office 등 ( 참고사이트참조 ) - 최신 MS 보안업데이트설치 [MS8-68] SMB 취약점으로인한원격코드실행문제 [MS8-69] MS XML 코어서비스취약점으로인한원격코드실행문제 보안정보 보안공지 [MS 보안업데이트 ]8 년 월 MS 월간보안업데이트권고 Adobe Reader /Acrobat 다중취약점보안업데이트권고 o Adobe Reader 8.. 이하버전 o Adobe Acrobat Professional, 3D, Standard 8.. 및이전버전 - 조작된 PDF 파일이포함된웹페이지또는메일첨부등을통해악성코드감염등의피해가발생할수있음 - 사용자주의및최신버전으로업그레이드 보안정보 보안공지 Adobe Reader/Acrobat 다중취약점보안업데이트권고 보안공지사항에대한보다자세한내용은 KISA 인터넷침해사고대응지원센터홈페이지보안공지사항 ( 보안정보 보안공지 ) 에서확인할수있습니다. 통계분석 웜 바이러스피해신고는전월에비하여 4.% 증가 해킹신고처리는전월대비 4.3% 감소 ( 스팸릴레이, 피싱경유지, 단순침입시도는각각 3.%, 3.%, 7.3% 감소하였으며, 기타해킹, 홈페이지변조는각각.4%, 5.5% 증가 ) 전세계악성 Bot 감염추정 PC 대비국내감염률은.% 로전월 (7.%) 대비 5.9%P 감소 PC 생존시간 Windows XP SP : 평균 9분 초 ( 전월대비 39분 3초 Windows SP4 : 평균 분 초 ( 전월대비 4분 46초 감소 ) 감소 ) 8 년 월호
6 . 침해사고통계분석 -. 증감추이 ( 전월대비 ) 구분웜 바이러스해킹신고처리 스팸릴레이 피싱경유지 총 747 건 : 전월 ( 56 건 ) 대비총,45 건 : 전월 (,453건 ) 대비 474 건 : 전월 ( 74 건 : 전월 ( 697 건 ) 대비 9 건 ) 대비 통계요약 4.% 증가 4.3% 감소 3.% 감소 3.% 감소 단순침입시도 4 건 : 전월 ( 6 건 ) 대비 7.3% 감소 기타해킹 55 건 : 전월 ( 54 건 ) 대비.4% 증가 홈페이지변조악성봇 (Bot) 건 : 전월 ( 3 건 ) 대비 5.5% 증가전세계악성Bot감염추정PC 대비국내감염률은.% 로전월 ( 7.%) 대비 5.9%p 감소 -. 침해사고통계요약 [ 표 ] 월간침해사고전체통계 구분 웜 바이러스 5, ,5 해킹신고처리,73,35,56,36,6,47,58,36,9,3,453,45 4,83 스팸릴레이, ,83 피싱경유지, ,88 단순침입시도 4, ,94 기타해킹, ,575 홈페이지변조, ,7 악성봇 (Bot).3%.7% 3.% 9.6% 9.6% 7.8% 8.9%.7% 9.7% 7.% 7.%.% 8.8% [ 웜 바이러스신고접수건수 ] [ 스팸릴레이신고처리건수 ] [ 피싱경유지신고처리건수 ] [ 단순침입시도 + 기타해킹신고처리 ] [ 홈페이지변조사고처리건수 ] [ 악성봇 (Bot) 감염비율 ] ( 그림 ) 월별침해사고전체통계그래프 인터넷침해사고동향및분석월보
7 -3. 침해사고통계현황 웜 바이러스신고건수추이 [ 표 ] 월별국내웜 바이러스신고건수 구분 신고건수 5, ,5 웜 바이러스신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가공동으로집계한결과임 ( 그림 ) 월별국내웜 바이러스신고건수 8 년 월국내백신업체와 KISA 에신고된웜 바이러스신고건수는 747 건으로전월 (56 건 ) 에비하여 4.% 증가하였다. 최근웜 바이러스신고건수는지난 8 월이후지속적으로증가하는추이를보이고있다. Part 침해사고통계분석 3 8 년 월호
8 주요웜 바이러스별현황 순위 합계 명칭 건수 명칭 AGENT ONLINE GAMEHACK 96 AGENT ONLINE GAMEHACK HIDD DOWNLOADER 86 AUTORUN 4 DOWNLOADER XPACK LMIRHACK QQPASS 4 9 HIDD QQPASS IRCBOT AUTORUN MALPACKED IRCBOT KOREA GAMEHACK 기타 EASY XEMA 기타 [ 표 3] 주요웜 바이러스신고현황 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 7 ONLINE GAMEHACK 3 ONLINE GAMEHACK 38 ONLINE GAMEHACK 33 ONLINE GAMEHACK AGENT 3 AUTORUN 59 AGENT 69 AGENT 39 XEMA 69 AGENT 57 XEMA 53 XEMA AUTORUN 36 XEMA 54 ROOTKIT 33 ARPSPOOFER 54 5 DOWNLOADER 34 DOWNLOADER 3 MALPACKED 3 DOWNLOADER 3 4 ROOTKIT 7 ROOTKIT 7 DOWNLOADER 3 AUTORUN 3 MALPACKED 7 MALPACKED 5 AUTORUN 9 ROOTKIT 9 IRCBOT IRCBOT 7 IRCBOT 8 MALPACKED 3 ZLOB 7 SOLOW SOLOW 7 QHOST DISKGEN 7 QQPASS BHO 9 XPACK 4 기타 35 기타 37 기타 7 기타 순위 명칭 ONLINE GAMEHACK ARPSPOOFER AGENT XEMA 건수 명칭 AGENT ONLINE GAMEHACK XEMA ROOTKIT 건수 명칭 AGENT ROOTKIT ONLINE GAMEHACK XEMA 건수 명칭 79 ONLINE GAMEHACK 47 AGENT 46 DOWNLOADER 35 XEMA 건수 명칭 73 AGENT ONLINE 67 GAMEHACK 47 XEMA 34 SWF_EXPLOIT 건수 명칭 건수 5 DOWNLOADER 4 DOWNLOADER 6 DOWNLOADER 5 EXCHANGER 6 DOWNLOADER 합계 AUTODELETE AUTORUN VIRUT ARPSPOOFER VAKLIK 기타 3 AUTORUN BAGLE 8 VIRUT 8 ANTIPACK 5 HACKTOOL 34 기타 93 4 FAKEALERT 4 VIRUT 3 BAGLE FAKEAV IRCBOT 7 기타 AUTORUN 5 ZLOB XPACK BAGLE FAKEAV 89 기타 486 FAKEAV AUTORUN ROOTKIT STARTPAGE MALPACKED 4 기타 신고된웜 바이러스를명칭별로분류한결과특정웹사이트를통하여 차적으로감염된후추가적인악성코드를다운로드하는데이용되는 AGENT 에의한피해신고가가장많았으며, 특정온라인게임의계정을탈취하는것으로알려진 ONLINEGAMEHACK 에의한피해신고가 위를차지하였다. 최근웜 바이러스신고건수가소폭이지만지속적으로증가하는추이를보이고있으므로일반인터넷이용자는반드시최신보안업데이트를적용하고백신 S/W 의사용을생활화하는등의예방조치가필요하다. 인터넷침해사고동향및분석월보 4
9 -4. 해킹 해킹사고접수 처리건수추이 [ 표 4] 해킹사고처리현황 구분 스팸릴레이, ,83 피싱경유지, ,88 단순침입시도 4, ,94 기타해킹, ,575 홈페이지변조, ,7 합계,73,35,56,36,6,47,58,36,9,3,453,45 4,83 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수 단순침입시도 : KISA 에서접수 처리한해킹신고중웜 바이러스등으로유발된스캔 ( 침입시도 ) 을피해자 ( 관련기관 ) 가신고한건수 기타해킹 : KISA 에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지건수 6.%.5% 9.4% 38.% 5.9% 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지변조 ( 그림 3) 해킹사고접수 처리건수유형별분류 8 년 월 KISA 에서처리한해킹사고는,45 건으로전월 (,453 건 ) 에비하여 4.3% 감소하였다. - 해킹사고항목별로전월대비증감을파악한결과, 스팸릴레이, 피싱경유지, 단순침입시도는각각 3.%, 3.%, 7.3% 감소하였으며, 기타해킹, 홈페이지변조는각각.4%, 5.5% 증가한것으로나타났다. - 스팸릴레이 (38.%) 가차지하는비율이가장많았고기타해킹 (.5%), 단순침입시도 (9.4%), 홈페이지변조 (6.%) 및피싱경유지 (5.9%) 순이었다. Part 침해사고통계분석 5 8 년 월호
10 피해기관별분류 [ 표 5] 해킹사고피해기관별분류 기관 기업 3, ,986 대학, 비영리 연구소 5 네트워크 33 기타 ( 개인 ) 7,6 974, ,54, ,73 96,9 합계,73,35,56,36,6,47,58,36,9,3,453,45 4,83 기관분류기준 : 침해사고관련도메인이나 IP 를기준으로기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe 또는 ISP 에서제공하는유동 IP 사용자 ) 으로분류 해킹사고를피해기관별분류한결과, 기타 ( 개인 ), 기업, 대학, 비영리의순으로나타났다. 기관별로분류한결과기타 ( 개인 ) 가차지하는비율이 7.8% 로가장높았으며뒤를이어기업이차지하는비율이.9% 로나타났다. 침해사고관련 IP가 ISP의유동 IP( 주로개인용컴퓨터 ) 인경우는기타 ( 개인 ) 로분류함 기업.9% 비영리.% 대학 3.% 기타 ( 개인 ) 7.8% ( 그림 4) 해킹사고피해기관별분류 피해운영체제별분류 [ 표 6] 해킹사고피해운영체제별분류 운영체제 7 Windows Linux Unix 기타 9,8, ,39, , ,95,57 87,94 합계,73,35,56,36,6,47,58,36,9,3,453,45 4,83 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 해킹사고처리결과를운영체제별로분류한결과, 전월과마찬가지로 Windows, Linux 운영체제순이었다. Windows 운영체제가차지하는비율은 6.4% 로전월 (7.%) 에비하여감소하였다. 인터넷침해사고동향및분석월보 6
11 피싱경유지신고처리현황 [ 표 7] 피싱경유지신고건수 구분 피싱경유지신고건수 , ,88 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임 ( 그림 5) 월별피싱경유지신고건수 이번달피싱경유지신고건수는총 74 건으로, 전월 (9 건 ) 대비 35 건이감소하였다. 피싱대상기관유형별로는금융기관이 59 건 (79.7%) 로가장많았으며, 정부기관이나검색사이트, 미확인건등을포함한기타유형이 9 건 (.%), 전자상거래유형이 6 건 (8.%) 으로나타났다. 기관별로는금융기관인 PayPal( 건 ), Abbey(8 건 ), Bank of America(7 건 ), 전자상거래업체인 ebay(6 건 ) 등의순으로집계되었다. 기관유형금융기관 건수 59 전자상거래.% 기타 8.% 전자상거래기타합계 금융기관 79.7% Part 침해사고통계분석 7 8 년 월호
12 피싱대상기관및신고건수를국가별로분류한결과, 총 9 개국 7 개기관으로집계되었고이달에도미국기관 ( 개기관, 4 건 ) 이사칭사고건의대부분을차지하였다. 국가 기관분류 기관수 신고건수 국가 기관분류 기관수 신고건수 금융기관 8 9 남아프리카공화국 금융기관 미국 전자상거래 멕시코 금융기관 기타 5 이탈리아 금융기관 스페인 금융기관 3 8 홍콩 금융기관 영국 금융기관 3 N/A 캐나다 금융기관 3 3 브라질 금융기관 합계 국내피싱경유지사이트의기관유형별로는기업 36 건 (48.6%), 개인 / 기타 8 건 (.8%), 교육과비영리유형이각각 6 건 (8.%) 순으로집계되었다. 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우에해당되는 ISP 서비스이용자 유형은 8 건 (4.3%) 으로나타났다. 기관유형기업교육비영리개인 / 기타 ISP서비스이용자합계 건수 ISP 서비스이용자 4.3% 개인 / 기타.8% 비영리 8.% 교육 8.% 기업 48.6% 피싱경유지시스템에서이용된포트는이달에도표준 HTTP 포트인 TCP/8 포트가 64 건 (86.5%) 으로대부분을차지했고, 그밖에기타포트로는 TCP/443, TCP/84, TCP/88 포트등총 7 개의다양한포트가이용되었다. 프로토콜 / 포트 TCP/8 건수 64 프로토콜 / 포트 TCP/8 건수 기타포트 3.5% TCP/443 TCP/85 TCP/84 TCP/88 TCP/88 TCP/89 합계 74 TCP/8 86.5% 인터넷침해사고동향및분석월보 8
13 홈페이지변조사고처리현황 [ 표 8] 홈페이지변조사고처리현황 구분 피해홈페이지수피해시스템수 7, ,7 78 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해홈페이지수는피해시스템수보다많음 ( 그림 6) 월별홈페이지변조사고처리현황 이번달에는 64 개시스템 (IP) 의 개사이트 ( 도메인 ) 에대한홈페이지변조가발생하여피해홈페이지수는전월 (3 개 ) 에비하여 5.5% 증가한것으로나타났다. - 이번달에도단일시스템에서구동되는웹호스팅업체서버의다수홈페이지에서국내웹게시판 S/W( 제로보드 ) 의파일업로드취약점및 PHP의외부사이트소스실행기능 (allow_url_fopen) 을악용하여변조된피해만각각 36건, 69건이발생하는등전월대비홈페이지변조건수가증가하였다. - 보안이취약한홈페이지는운영하는홈페이지의해킹피해를입을뿐만아니라악성코드은닉, 개인정보유출등추가침해사고를유발할수있으므로홈페이지관리자는아래사이트정보를참고하여운영하는서버의보안에최선을다해야하겠다. 참고사이트 웹어플리케이션취약점에대한해킹기법및보안대책 : 초기화면 왼쪽 웹보안 4 종가이드 기본적인웹해킹을차단할수있는공개웹방화벽 (ModSecurity, WebKnight) : 초기화면 왼쪽 공개웹방화벽을이용한홈페이지보안 공개웹방화벽 (ModSecurity, WebKnight) 을활용한웹서버보안강화가이드 : 보안정보 기술문서 [ 문서번호 : TR83, TR84] Part 침해사고통계분석 9 8 년 월호
14 악성봇 (Bot) 현황 [ 표 9] 국내악성봇 (Bot) 감염률 구분 국내비율 (%) 전세계 Bot 감염추정 PC 중국내 Bot 감염 PC 가차지하는비율임 봇 (Bot): 운영체제취약점, 비밀번호취약성, 웜 바이러스의백도어등을이용하여전파되며, 명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용가능한프로그램또는실행가능한코드 ( 그림 7) 월별국내악성봇 (Bot) 감염률추이 ( 그림 8) 전세계악성봇 (Bot) 감염 IP 수와국내감염 IP 수의비교 인터넷침해사고동향및분석월보
15 금월 (월) 전세계악성 Bot 감염추정 PC 중에서국내감염 PC 비율은.% 로지난달에비해 5.9%P 감소하였다. 이는 8년 월발표된 TCP/445 포트를스캔하는 MS8-67 취약점을공격하는웜에의한것으로, 국내감염추정 IP 숫자는전월과비슷하나국외의감염 IP가급증하여국내 IP가차지하는비율이상대적으로대폭감소한것이다. 월 일이후국외로부터유입된 TCP/445 포트에대한스캔이전체의 95% 이상을차지하였으며국내에서도 월 3일경피해가감지되어관련내용에대한주의를공지한바있다. ( 취약점을이용한악성코드피해주의요망참조 ) - 악성 Bot 의전파에사용되는주요포트는 NetBIOS 관련포트인 TCP/445, 웹관련 TCP/8 포트, NetBIOS 관련 TCP/39, MS-SQL 관련 TCP/433, DCOM 관련포트인 TCP/35 순이다. - 국외의경우 TCP/445 포트트래픽이가장많은비율을보이고있으며, 국내의경우에는 TCP/8 포트가가장많은트래픽량을보이고있다. 전월악성 Bot Top5 포트 : TCP/445, TCP/8, TCP/39, TCP/35, TCP/433 TCP/445 TCP/39 TCP/35.9%.6%.5% TCP/8 TCP/433 기타 TCP/8 TCP/35 TCP/445.8% TCP/39 TCP/433 기타.5% 3.9% 6.6% 6.6%.5% 3.% 37.6% 8.3% ( 그림 9) 악성봇관련포트비율 ( 해외 ) ( 그림 ) 악성봇관련포트비율 ( 국내 ) [ 표 ] 악성 Bot 의전파에이용되는주요포트목록 포트 관련취약점및웜 / 악성 Bot 포트 관련취약점및웜 / 악성 Bot 3 Cisco Telnet 967 Symantec Exploit 8 WebDAV, ASN.-HTTP, Cisco HTTP 745 Bagle, Bagle 35 DCOM, DCOM 37 MyDoom NetBIOS, ASN.-NT IMail NetBIOS, LSASS, WksSvc, ASN.-SMB, DCOM NetDevil DCOM MS-SQL Optix UPNP Veritas Backup Exec Dameware Kuang Sub7 Part 침해사고통계분석 8 년 월호
16 . 허니넷 / 트래픽분석 -. PC 생존시간분석 윈도우의네트워크서비스취약점을악용하는자동확산웜의전파활동증감추이분석을위하여보안이취약한 PC(Windows XP SP, Windows SP4) 를고의로인터넷에연결시켜감염에소요되는생존시간을측정하였다. 월의취약한 Windows XP(SP-No-Patch) 의평균생존가능시간은 9분 초, Windows (SP4-No-Patch) 은 분 초로써전월에비하여 Windows XP SP은 39분 3초, Windows SP4는 4분 46초감소하였다. 지난달까지생존시간이증가하는추이를보였으나, 이번달에는 MS에서긴급패치를배포하였던, MS8-67 Server Service 취약점을악용하는자동화웜 바이러스가출현하여생존시간에영향을주었다. MS8-67 취약점을악용하는자동화웜은 월 일에최초로확인되었으며, 출현이후에지속적인감염활동을하고있어주의를할필요가있다. 인터넷사용자는개인방화벽사용여부확인및 OS의최신패치적용, 백신설치등을통하여악성코드에감염되지않도록사전예방하도록해야겠다. 윈도우네트워크서비스 : 윈도우 OS 에서네트워크를통하여외부호스트를대상으로제공되는서비스 (ex. RPC, LSASS 등 ) 생존시간의측정은암호설정및보안업데이트를하지않고, 모든포트가열려있는전용선인터넷환경에서 Windows XP SP 과 Windows SP4 개군으로분류하여 여회를실시 Windows XP SP, Vista 는개인방화벽이기본으로설치되므로 윈도우의네트워크서비스취약점 을악용하는자동전파웜들에대한감염피해를예방할수있음 생존가능시간 : 취약한시스템이인터넷에연결된상태에서웜이나악성코드에감염될때까지의시간 ( 그림 ) 월별평균생존가능시간변동추이 생존시간은 윈도우네트워크서비스취약점 을악용하는유형의전파활동증감추이만을반영하므로이메일악성코드등다른유형의전파기법을이용하는악성코드감염활동추이동향과는무관함 인터넷침해사고동향및분석월보
17 Windows XP SP 구분 Windows SP4 최장최단평균최장최단평균 [ 표 ] Windows XP Pro SP, Windows Pro SP4 생존가능시간 min min 년 년 ( 그림 ) Windows XP SP 생존시간분포분석 ( 그림 3) Windows SP4 생존시간분포분석 Part 허니넷 / 트래픽분석 3 8 년 월호
18 -. 허니넷트래픽분석 전체추이 이번달 KISC 허니넷에유입된전체유해트래픽은약,6 만건으로전월 (,8 만건 ) 에비하여.8% 증가하였다. IP 소재별로분류한결과국내소재 IP 로부터유발된트래픽은전체의.% 였으며, 해외소재 IP 로부터의트래픽은 77.9% 를차지한것으로나타났다. 허니넷에유입되는트래픽은웜 바이러스, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많으며이러한악성코드의네트워크스캔은유효한네크워크에대한접근효율을높이기위하여, 차적으로감염된시스템의 IP 주소의 A, B 클래스를고정하고 C 또는 D 클래스주소를변경하면서스캔하기때문에일반적으로자국에서유발된유해트래픽이해외에서유입된트래픽보다많을수있음 참고 : 허니넷으로유입되는트래픽은초당수백건이상이될수있으므로구체적인건수는큰의미가없으며, 국내외비율및월별증감을참고하기바람 ( 그림 4) 월별허니넷유입트래픽규모 Top 3 국가별공격유형 해외로부터 KISC 허니넷에유입된트래픽을근원지 IP 소재국가별로분석한결과중국으로부터유입된트래픽이 6.% 로가장많았으며다음으로미국 (3.4%), 일본 (3.%) 순이었다. 중국으로부터의트래픽은 TCP/433, TCP/ Service Scan 이가장많은비중을차지하였으며, 미국과일본은 TCP/445 - netbios smb client to lsasrv request 이가장많았던것으로나타났다. JAPAN 6% 8% 3% CHINA 5% 48% TCP/433- TCP/- TCP/967- TCP/445- 기타 4% 3% 7% % TCP/445-netbios smb client to lsasrv request TCP/- TCP/445-netbios lsass buffer overflow 기타 % 5% 8% 4% USA 53% TCP/445-netbios smb client to lsasrv request ICMP-icmp ping Nmap scan TCP/- TCP/445-worm esbot.a 기타 ( 그림 5) 허니넷유입트래픽 Top3 국가별공격유형 인터넷침해사고동향및분석월보 4
19 [ 표 ] 허니넷에유입된유해트래픽국가별비율 순위 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 중국미국유럽연합일본대만브라질독일영국인도싱가포르기타 중국미국일본대만독일브라질스페인러시아유럽연합인도기타 중국미국일본브라질대만독일유럽연합인도캐나다영국기타 중국미국일본대만독일인도스페인캐나다브라질유럽연합기타 중국미국일본대만유럽연합독일홍콩인도브라질스페인기타 중국 6.8 미국 3.4 일본 3.9 대만. 브라질.7 독일.5 홍콩.4 인도.4 유럽연합.3 영국. 기타.4 순위 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 중국미국일본대만캐나다홍콩독일이탈리아영국브라질기타 중국미국일본유럽연합대만영국인도독일홍콩브라질기타 중국미국일본대만독일영국인도브라질홍콩캐나다기타 중국미국캐나다일본대만독일인도영국스페인러시아기타 중국미국일본대만캐나다독일영국홍콩러시아스페인기타 Part 허니넷 / 트래픽분석 5 8 년 월호
20 해외 국내 해외로부터 KISC 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과 TCP/433 포트에대한 Service Scan 이 9.6% 로가장많았으며, 이번달에는특히 TCP/445 포트에대한취약점및서비스스캔이 7.% 로전월대비많은비율을보였다. [ 표 3] 해외 국내 ( 허니넷 ) 공격유형탐지현황 순위 월 8월 9월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) TCP/ TCP/ TCP/ TCP/ TCP/445 netbios smb client to lsasrv request TCP/ TCP/445 netbios smb client to lsasrv request TCP/ TCP/445 netbios smb client to lsasrv request TCP/ ICMP icmp ping Nmap scan 7. TCP/967. TCP/88 7. TCP/ UDP/6 udp service scan 5.7 ICMP icmp ping Nmap scan 4.3 UDP/6 udp service scan 6. ICMP icmp ping Nmap scan 4.6 TCP/ TCP/ TCP/88. TCP/445 worm esbot.a.5 TCP/445 worm esbot.a.4 TCP/445 worm esbot.a. TCP/8.7 TCP/ TCP/4899. TCP/ 기타.5 3. TCP/3389 기타.9 4. ICMP 기타 icmp ping Advanced IP Scanner v 순위 월 월 월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) TCP/433 TCP/445 TCP/ TCP/967 netbios smb client to lsasrv request TCP/433 TCP/445 TCP/ TCP/967 netbios smb client to lsasrv request UDP/6 udp service scan 4.8 TCP/ ICMP icmp ping Nmap scan.4 UDP/6 udp service scan 3.5 TCP/445 TCP/88 TCP/4899 worm esbot.a...7 ICMP TCP/445 TCP/88 icmp ping Nmap scan worm esbot.a TCP/ 기타.7 6. TCP/39 기타 worm esbot.a 인터넷침해사고동향및분석월보 6
21 TCP/433- TCP/- TCP/967- TCP/445-netbios smb client to lsasrv request 기타 34.7% 9.6%.9% 3.5%.3% ( 그림 6) 해외 국내 ( 허니넷 ) 공격유형탐지현황 Part 허니넷 / 트래픽분석 7 8 년 월호
22 국내 국내 국내에서 KISC 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/35 포트에대한취약점및서비스스캔이 7.7% 로가장많은비율을보이고있는것으로나타났다. [ 표 4] 국내 국내 ( 허니넷 ) 공격유형탐지현황 순위 월 8월 9월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) TCP/35 TCP/35 netbios dcerpc invalid bind TCP/433 TCP/ TCP/35 TCP/35 netbios dcerpc invalid bind rpc dcom interface overflow exploit rpc dcom interface netbios dcerpc TCP/35 overflow exploit 5. TCP/35 invalid bind 6. TCP/433.5 ICMP icmp ping Nmap scan 4.4 ICMP icmp ping Nmap scan.5 TCP/ rpc dcom interface netbios smb client TCP/ TCP/35 overflow exploit 7. TCP/445 to lsasrv request netbios smb client netbios smb client netbios Isass buffer TCP/445 to lsasrv request 3.9 TCP/445 to lsasrv request 3.5 TCP/445 overflow TCP/445 netbios Isass buffer overflow 3.6 TCP/ TCP/ 4.7 TCP/ TCP/4899 TCP/ TCP/ TCP/445 TCP/89 netbios Isass buffer overflow 3.5 TCP/ TCP/4899. TCP/433 mssql sa no password login 기타 4.7 기타 3.8 기타 9.8 순위 월 월 월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) TCP/35 7. TCP/35 netbios dcerpc invalid bind 4.5 netbios dcerpc rpc dcom interface TCP/35 invalid bind 4.9 TCP/35 overflow exploit. TCP/35 TCP/ TCP/433 UDP/6 TCP/4899 TCP/445 TCP/88 TCP/445 기타 rpc dcom interface overflow exploit snmp show Interface netbios smb client to lsasrv request netbios Isass buffer overflow TCP/ TCP/433 UDP/6 TCP/35 TCP/39 TCP/89 TCP/445 TCP/4899 기타 snmp show Interface worm esbot.a 인터넷침해사고동향및분석월보 8
23 TCP/35-netbios dcerpc invalid bind TCP/- 기타 TCP/35-rpc dcom interface overflow exploit TCP/ % 6.% 5.4%.% 4.5% ( 그림 7) 국내 국내 ( 허니넷 ) 공격유형탐지현황 Part 허니넷 / 트래픽분석 9 8 년 월호
24 -3. 국내인터넷망트래픽분석 국내 ISP 의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의 Top 포트의추이를파악한결과, 이미잘알려진 TCP/8(HTTP) 외에 TCP/554( 스트리밍서비스 ), TCP/7(deskshare) 포트등에대한트래픽이많이관찰되었다. PPS,, 9,, TCP/8 TCP/554 TCP/7 TCP/54 TCP/73 TCP/4 TCP/5777 UDP/955 TCP/5 TCP/96 ISP 업계 : 프로토콜 / 포트추이 8,, 7,, 6,, 5,, 4,, 3,,,,,, / / /3 /4 /5 /6 /7 /8 /9 / / / /3 /4 /5 /6 /7 /8 /9 / / / /3 /4 /5 /6 /7 /8 /9 /3 ( 그림 8) 국내인터넷망에유입된포트트래픽 Top 일별추이 날짜 이번달국내 ISP 의일부구간에서수집된공격유형을분석한결과, TCP ACK Flooding 과같은 DDoS 공격트래픽및실질적인공격을수행하기전에각종정보를수집하기위한 Host Sweep 스캔등이많이탐지되었다. 시도건수 TCP ACK Flooding Host Sweep TCP SYN Flooding(DDoS) Ping Sweep UDP Tear Drop TCP Connect DOS UDP Flooding Invalid IP Head size NETBIOS Service sweep(tcp-39) SMB Service sweep(tcp-445),, 9, ISP 업계 : 공격추이 8, 7, 6, 5, 4, 3,,, / / /3 /4 /5 /6 /7 /8 /9 / / / /3 /4 /5 /6 /7 /8 /9 / / / /3 /4 /5 /6 /7 /8 /9 /3 ( 그림 9) 국내인터넷망에유입된공격유형 날짜 인터넷침해사고동향및분석월보
25 -4. 바이러스월탐지웜 바이러스정보 KISA 및 개업체의바이러스월을통하여수집된웜 바이러스를파악한결과, 전체적으로개별항목별수집건수가증가한가운데파일을감염시키는것이아닌스스로복제함으로써전파되는 HLLW 가가장많았고, 다른악성코드나웹사이트, 메신져및이동식디스크등을통해해당시스템내개인정보를유출하는것으로알려진 XEMA, GENERIC 등이많이파악되었다. 순위 합계 [ 표 5] 수집된주요웜 바이러스현황 명칭건수명칭건수명칭건수명칭건수명칭 DOWNLOADER,94 AUTORUN,345 XEMA,45 HLLW,866 VIKING VIRUT,6 VIRUT,88 AUTORUN,44 AUTORUN,334 VIRUT VIKING,44 DOWNLOADER 985 VIRUT,3 VIRUT, DOWNLOADER CASHBACK,3 HLLM 747 HLLW,79 HLLM,36 HLLW AUTORUN,56 HLLW 73 WEBSEARCH 949 GENERIC,75 HLLM HLLW,46 CASHBACK 65 DOWNLOADER 9 DOWNLOADER,645 SASAN HLLM XEMA CASHON NSANTI 기타 ,48,48 SASAN NSANTI XEMA CDN 기타 54 HLLM 849 NSANTI, GENERIC 535 SASAN 86 XEMA 9 NSANTI 438 SOLOW 748WEBSEARCH 763 XEMA 396 GENERIC 659 PWS 69 CDN 6,7 3,798 기타 9,38,4 기타 3,496 9,688 기타 6 건수명칭건수,54,44 HLLW VIRUT 7,5 6,9 578 GENERIC 5,87 55 HLLM 4, DOWNLOADER 3, NSANTI PWS PARITE PSYME 3,47 3,366,38,57 76 POLIPOS,47 3,777 9,39 기타 5,553 63,44 8 순위 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 VIRUT 754 HLLW,556 GENERIC 9,38 FAKEAV 7, HLLW 5,53 HLLW 49 NSANTI,55 MEREDROP 3,734 GENERIC,44 XEMA,78 3 NSANTI 48 PWS,4 GOLDUN,3 HAXDOOR, GENERIC,6 4 GENERIC 88 GENERIC 896 HLLW,585 PAKES,7 PWS 9,378 5 PWS 47 VIRUT 86 PWS,4 SMALL,39 VIRUT 7,388 6 DOWNLOADER 36 HLLM 89 VIRUT,98 LIGHTY,7 NSANTI 5,656 7 MYDOCM 4 DOWNLOADER 8 NSANTI, AUTORUN 686 DLOADR 4, 합계 HLLM PARITE MONSH 기타 86 PARITE 84 PARITE 79 ZBOT 56 DOWNLOADER 3,7 7 MONSH 76 MYDOOM 5 MYDOOM 58 HLLM 3,65 67 RECYCLE 5 DOWNLOADER 48 NOTTY 454 AUTORUN,573,3 3,973 기타 3,675,859 기타 3,936 5,56 기타 3,389,74 기타 44,73, Part 허니넷 / 트래픽분석 8 년 월호
26 MS8-67 을이용하여전파되는악성코드분석. 개요 국내일부인터넷사용자 PC 에서인터넷접속장애가발생하여원인을확인해본결과 MS8-67 취약점을악용하는악성코드에의한것으로확인되었다. 감염시시스템폴더에랜덤한이름을가지는 DLL 파일이생성되며, 임의의사이트로부터추가적인악성코드의다운로드하여설치한다. 또한감염후 MS8-67 취약점을공격하는과정에서과도한 Scan 패킷발송으로인해윈도우통신소켓버퍼가고갈되어 HTTP, FTP 등 TCP 기반의통신에장애를발생시킬수있다. 윈도우 XP SP 버전이상의사용자의경우, 윈도우에서기본적으로제공되는개인방화벽에의해서보호될수있지만보다확실한예방을위해서는 OS 를최신으로업데이트해야한다.. 악성코드전파 / 감염과정 가. 전파과정 MS8-67 취약점은마이크로소프트에서 8년 월 4일에긴급패치한취약점으로서서버서비스상에존재하는취약점이다. 이취약점공격에성공하면공격자는원격에서피해 PC를통제할수있게된다. 이번에발견된악성코드는이취약점을악용하여자신을전파하는데전파과정을살펴보면다음과같다. TCP 445 Scan MS8-67 취약점공격코드전송 취약점공격성공시 HTTP 프로토콜을이용한악성코드전송 ( 사용포트는랜덤 ) 다른 PC 들을감염시키기위하여 TCP 445 Scan 패킷을발송 해당서비스포트를 Listen 하고있는시스템을발견하면 MS8-67 취약점공격코드를전송 3 취약점공격성공시 HTTP 프로토콜을통하여악성코드본체가공격 PC 에서피해 PC 로전송 ( 취약점공격이성공하게되면피해 PC 는공격 PC 쪽으로 HTTP GET Method 를이용하여 xruylbjz 파일을요청및다운로드 ) 인터넷침해사고동향및분석월보
27 나. 감염과정 공격 PC 에서피해 PC 로악성코드인 xruylbjz 파일이전송되면임시폴더에 xruylbjz.jpg 파일이생성되고해당파일은랜덤한이름의 DLL 파일로시스템폴더에복사및서비스에등록되어활동하게된다. o 파일생성 - 임시폴더에 xruylbjz.jpg 파일이생성 - 시스템폴더에랜덤.dll 파일생성 o 서비스등록 - 랜덤한서비스명으로레지스트리에등록된다. Part 3 월간특집 3 8 년 월호
28 3. 감염후증상 - 타시스템감염을위해대량으로 TCP 445 Scan 시도를하며, 통신소켓버퍼고갈로인하여웹접속등 TCP 통신에장애가발생한다. ( 윈도우 XP SP 는 TCP Half-open 을 개로제한하고있으며제한을초과한뒤에발생하는연결시도는 Queue 에들어간후에고정된비율로해제되므로정상적인 TCP SYN 연결요청이 DROP 됨. 이는시스템이벤트로그의이벤트 ID 46 번으로도확인가능 ) - 아래의인터넷주소로부터추가적인악성코드를다운로드및실행을시도한다. 즉, 악성코드는다른악성코드를설치하기위한 Downloader 용도로악용된다. 인터넷침해사고동향및분석월보 4
29 - 아래의인터넷주소로부터추가적인정보를다운로드시도한다. 분석시간대에관련정보가다운로드되지않아정확한확인이어려웠지만, 악성코드가활동하기위한정보들인것으로추정된다. Part 3 월간특집 5 8 년 월호
30 - 외부 IP 확인사이트에조회하여, 외부에서보여지는 PC 의 IP 를확인한다. 즉, NAT 를사용하고있는지여부를확인한다. IP 확인을위하여접속하는사이트는다음과같다. checkip.dyndns.org getmyip.co.uk 4. 위험성분석 가. 악성코드의전파력분석 악성코드의자기전파를위한타시스템분당공격빈도를다른웜 바이러스의공격력과비교하여살펴보면다음과같다. 타웜에비하여공격패킷발생빈도가크게차이가있지는않은것으로확인되었으나 MS8-67 패치배포가최근에이루어졌으므로주의를할필요가있다. ( 분당공격패킷발생건수 ) 인터넷침해사고동향및분석월보 6
31 나. 허니팟을통한위협현황분석 이번웜은 KISA 허니넷에 월 일 시에최초로유입되었다. 일이후에자동전파형태로지속적으로관찰되고있으므로주의가필요하다. 5. 조치방법 감염으로인하여발생하는인터넷장애는아래의악성코드치료조치를통하여해결할수있다. 윈도우시스템폴더에서파일사이즈가 6,976 byte 이고, md5 값이 d9cb88f374ae63e345ed9765 인랜덤한이름의 DLL 파일을찾아서삭제하고해당 DLL 파일이등록된서비스를삭제하면되는데실수로정상파일이나서비스를삭제하지않도록주의가필요하다. 윈도우콘솔 ( 명령프롬프트 ) 창열기윈도우시작버튼클릭 실행클릭 cmd 입력후확인 윈도우시스템폴더로이동콘솔창에다음명령을입력후엔터 > cd C:\Winnt\System3 (Windows NT/) > cd C:\Windows\System3 (Windows XP) Part 3 월간특집 7 8 년 월호
32 3 파일사이즈가 6,976 byte 인파일찾기 > dir findstr 6,976 파이프문자 의입력은 Shift 키 + 키 4 md5 값조회 md5 값검사하는도구 [3] 를 C:\ 에다운로드후압축을 C:\ 에해제후에아래명령으로 3 에서열거된파일을대상으로 md5 값을하나씩조회함 > C:\md5sums.exe [ 파일명 ] 파일사이즈가 6,976 byte 인정상파일이있을수있으므로 md5 값이 d9cb88f374ae63e345ed9765 인악성코드파일을찾아서메모 5 시스템을안전모드로재부팅 ( 부팅시 F8 을눌러 안전모드 선택 ) 6 윈도우시스템폴더로이동하여 4에서확인된파일삭제 > cd C:\Winnt\System3 또는 cd C:\Windows\System3 > del [ 파일명 ] 다른정상파일을삭제시시스템이오동작할수있으므로주의 7 레지스트리편집기를실행윈도우시작버튼클릭 실행클릭 regeit 입력후확인 인터넷침해사고동향및분석월보 8
33 8 레지스트리에서확인된파일명에해당하는서비스검색편집 찾기 찾을내용에 [ 파일명 ] 을입력후확인 9 검색된서비스를삭제검색된파일명이존재하는 Parameters 의상위경로를선택 마우스오른쪽 삭제 다른정상서비스를삭제시시스템이오동작할수있으므로주의 재부팅 6. 예방방법 가. 네트워크관리자 - 운영중인네트워크보안장비에 MS8-67 취약점공격을탐지할수있도록, 탐지룰을최신으로업데이트 - 외부로부터 TCP 39, 445 트래픽이유입이되지않도록차단하고, 기관 / 기업내부네트워크에서도자체검토후불필요한경우차단 나. 일반인터넷이용자 - 윈도우에서최신보안업데이트설치및개인방화벽사용 - 백신사용및윈도우보안업데이트생활화 ISP에서는인터넷가입고객에게필히최신보안업데이트를설치하도록안내, 불필요한 445 포트는자체검토후차단 Part 3 월간특집 9 8 년 월호
34 3. 월간특집 7. 결론 감염시에는인터넷사용상장애가발생할수있어, 감염 PC 사용자의체감불편이클수있을것으로보인다. 이악성코드는윈도우의네트워크서비스취약점을악용하는웜으로서윈도우 XP SP 이상의사용자는개인방화벽이설치되어있으므로감염위험으로부터많은부분방어가된다고볼수있다. 그러나악성코드제작자는보다많은악성코드를유포하기위하여 MS8-67 전파경로외에도인터넷웹사이트에악성코드를삽입하는등의추가적인다양한유포활동을할수있으므로 OS 를최신으로패치하는등주의를기울여야한다. 인터넷침해사고동향및분석월보 3
35 별첨 악성코드유포지 / 경유지조기탐지및차단조치 개요 KISA 인터넷침해사고대응지원센터에서는홈페이지를악성코드전파의매개지로악용하여방문자에게악성코드를감염시키는사례가발생함에따라 5년 6월부터지속대응하여왔으며, 5년 월부터는사용자피해신고이전에사전탐지를통한능동적대응을위해악성코드은닉사이트자동탐지시스템을 자체개발적용하여현재약 만여개의국내주요홈페이지를대상으로악성코드은닉여부탐지및차단등감염피해예방활동을수행하고있다. 전체추이 8년 월 KISA에서탐지하여대응한악성코드유포및경유사이트는 98건으로전월대비 7.8% (,9 98건 ) 감소하였다. - 악성코드경유사이트수는전월대비.5%( 건 ) 감소하였고, 유포사이트수는전월에비하여 58.5%(3 54건 ) 감소한것으로나타났다. - 경유지에포함된유포지사이트는 SQL Injection에의한공격에의해삽입된것으로추정되며, 주요악성코드유포지와관련하여탐지된경유지건수는다음과같다. 악성코드유포지 탐지된국내경유지건수 악성코드유포지중 s.ardoshanghai.com은 월 5일최초탐지되었으며, 이와관련된경유지사이트수는모두 447개 (5%) 로나타났다. 참고사이트 보안정보 보안공지 SQL Injection공격으로인한악성코드삽입피해주의요망 웹어플리케이션취약점에대한해킹기법및보안대책 : 초기화면 왼쪽 웹보안 4종가이드 기본적인웹해킹을차단할수있는공개웹방화벽 (ModSecurity, WebKnight) : 초기화면 왼쪽 공개웹방화벽을이용한홈페이지보안 공개웹방화벽 (ModSecurity, WebKnight) 을활용한웹서버보안강화가이드 : 보안정보 기술문서 [ 문서번호 : TR83, TR84] 3 8 년 월호
36 [ 표 ] 악성코드유포지 / 경유지사고처리건수 구분 유포지, ,6 경유지 3, , ,87 합계 5, , ,9 98 8,3 ( 그림 ) 월별악성코드유포지 / 경유지사고처리건수 기관별분류 악성코드유포및경유지로악용된사이트를기관별로분류하면기업 (7.4%), 비영리 (.%), 기타 ( 개인 )(8.6%) 홈페이지순이었으며, 특히기업으로분류된 co.kr, com 도메인이악성코드유포및경유사이트로많이악용되는것으로나타났다. - 이는해커가일반이용자의접속이많은기업사이트를주로악성코드유포및경유사이트로악용하고있는것으로판단된다. 인터넷침해사고동향및분석월보 3
37 [ 표 ] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 기관 기업 3, ,5 대학 비영리 연구소 네트워크 기타 ( 개인 ), ,373 총계 5, , ,9 98 8,3 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe 등 ) 네트워크 5.5% 기타 ( 개인 ) 8.6% 비영리.% 대학.3% 기업 7.4% ( 그림 ) 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 웹서버별분류 악성코드유포및경유지로악용된사이트를웹서버별로분류한결과 MS IIS 웹서버가 774 건 (83.4%), Apache 웹서버가 4 건 (4.4%), 기타 3 건 (.%) 로분류되었다. [ 표 ] 악성코드유포지 / 경유지사이트웹서버별분류 웹서버 MS IIS 3, ,4 Apache 기타, ,594 합계 5, , ,9 98 8,3 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미패쇄되어웹서버를파악하기어려운경우도기타에포함시켰음 33 8 년 월호
38 부록 주요포트별서비스및관련악성코드 포트번호 프로토콜 서비스 관련악성코드 TCP SSH Remote Login Protocol [trojan] Adore sshd, [trojan] Shaft Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, 8 TCP World Wide Web, HTTP Yaha,Spybot, Back Orifice k Plug-Ins, CGI Backdoor, Executor, Hooker, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader, Zombam 35 TCP/UDP DCE endpoint resolution, MS-RPC Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, Lovgate, Spybot 39 TCP Netbios-ssn God Message worm, Netlog, Qaz, Deborms, Moega, Yaha Agobot, Deloder, Yaha, Randex, Welchia, Polybot, 445 TCP netbios-ds Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, Zotob, IRCBot, SDBot 5 TCP/UDP network blackjack Dasher, Remote Storm, ABCHlp, Lala, Keco 8 TCP/UDP SOCKS Protocol MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 433 TCP/UDP Microsoft-SQL-Server Spida, SQL Snake 434 TCP Microsoft-SQL-Server SQL Slammer 745 TCP urbisnet Bagle 34 TCP/UDP NetworkLens SSL Event OptixPro, Mockbot 4899 TCP radmin-port RAdmin Port 5 TCP/UDP commplex-main Back Door Setup, Blazer5, Bubbel, ICKiller, Rad, Bobax, Trojan.Webus 69 TCP/UDP DameWare Mockbot. 인터넷침해사고동향및분석월보 34
39 용어정리 구분 구성설정오류공격 바이러스 (Virus) 바이러스월 (Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇 (Bot) 분산서비스거부공격 (DDoS : Distributed DoS) 불법자원사용 불법침입 서비스거부공격 (DoS : Denial of Service) 스파이웨어 (Spyware) 스팸릴레이 (Spam Relay) 허니넷 악성프로그램 악성프로그램공격 애드웨어 (Adware) 웜 (Worm) 내용운영체제및응용프로그램의설정오류 ( 위험성이있는기본설정의사용, 사용자편의를위한설정조정등 ) 를이용하는해킹기법으로홈페이지위 변조, 불법침입등에주로이용됨컴퓨터프로그램이나메모리에자신또는자신의변형을복사해넣는악의적인명령어들로조합하여불특정다수에게피해를주기위한목적으로제작된모든컴퓨터프로그램또는실행가능한코드네트워크환경내부에인-라인 (In-line) 상태에서 LAN 세그먼트의트래픽을관리하여트래픽상의네트워크바이러스를예방및차단하는시스템메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법운영체제취약점, 비밀번호의취약성, 웜 바이러스의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행가능한코드 DoS 용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게만드는공격형태정당한권한없이특정시스템을스팸릴레이, 피싱사이트개설등에이용하는행위주요정보 자료를수집또는유출하기위하여정당한권한없이시스템에침입하는행위특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격으로서비스를못하도록만드는공격이용자의동의없이정보통신기기에설치되어정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나정상프로그램운용을방해하는기능을수행하는악성프로그램. 즉, 이용자의동의없이, 웹브라우저의홈페이지설정이나검색설정을변경, 정상프로그램의운영을방해 중지또는삭제, 컴퓨터키보드입력내용이나화면표시내용을수집 전송하는등의행위를하는프로그램스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해사고대응지원센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 웜 바이러스등을수집사용자의시스템에설치되어백도어를오픈하여정보를유출하거나, 시스템의정상적인동작을방해하는프로그램컴퓨터시스템에악성프로그램을설치하게유도하거나고의로감염시키는해킹기법으로주로백도어등을이용하여상대방의주요정보를빼내기위한목적으로이용함사용자의컴퓨터에광고성팝업창을띄우거나, 초기화면을특정사이트로고정시키는등의사용자가의도하지않는행위를수행하게하는프로그램또는실행가능한코드독립적으로자기복제를실행하여번식하는빠른전파력을가진컴퓨터프로그램또는실행가능한코드 35 8 년 월호
40 구분취약점정보수집공격침입시도트로이잔 (Trojan) 피싱 (Phishing) 해킹 (Hacking) ASP.NET Botnet DHTML Editing Component ActiveX 관련공격 Hyperlink 개체라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 내용대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam이라고도함다른사람의컴퓨터나정보시스템에불법침입하거나, 정보시스템의정상적인기능이나데이터에임의적으로간섭하는행위개발자가웹응용프로그램및 XML 웹서비스를구축할수있도록돕는기술로, 정적 HTML과스크립팅을사용하는일반웹페이지와는달리, 이벤트에기반한동적인 HTML 웹페이지를제공함많은 Bot 감염시스템들이명령을수신할목적으로 IRC 에연결되어있는네트워크인터넷익스플로러가웹메일처럼 HTML문서를제작할수있도록해주는 ActiveX 컨트롤상대방의시스템에메일서버를설치하여스팸릴레이에악용하거나, 관심을끄는 을보냄으로써상대방이악성프로그램을설치하도록하는해킹기법으로주로스팸릴레이나악성프로그램의설치에이용됨응용프로그램들이 HTML 문서에서사용되는 Hyperlink 처리를위한기능을제공 Korea Computer Emergency Response Team Coordination Center의약어로, 국내외인터넷침해사고대응업무를수행하는한국대표침해사고대응팀 (CERT/CSIRT) 이며, KISA 인터넷침해사고대응지원센터가역할을수행 License Logging Service의약자로 MS 서버제품에대한라이센스를고객이관리할수있도록해주는도구네트워크의기본적인입출력을정의한규약 Object Linking And Embedding, Component Object Model의약자로 MS의객체기반기술의일종으로서서로다른응용프로그램이나플랫폼이데이터를공유하는데사용 Portable Network Graphics의약자로 GIF 나 JPEG처럼그림파일포맷의일종으로, 주로 UNIX/LINUX 환경에서아이콘등에많이사용 Server Message Block의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable한주소로 IP를위조하여 Syn 을보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격많은인원이동시에다양한정보공유와공동문서제작을위한웹사이트를제작하는데필요한서비스윈도우시스템의제반실행환경을제공해주는것으로 explorer.exe가책임을맡고있다. 인터넷침해사고동향및분석월보 36
41 37 8 년 월호
42
21 8 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 33 36 37 2 218 Bot 1,45 1,69 12.7% 1,644 1,3 26.5% 666 556 19.8% 25 66 24.2% 423 44 4.7% 323
More information*****
Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot
More information*
Korea Internet & Security Agency 29 12 CONTENTS 1 3 4 5 6 6 7 9 1 13 14 16 18 23 56 59 61 Windows XP SP1 Windows 2 SP4 1 2912 Bot 326 49 2.3 73 73 239 215 11.2% 256 199 28.6% 25 115 117.4% Bot 8,469 46
More informationÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù
21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132
More informationÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó
Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%
More information*2월완결
34203 March 3 월간특집 도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 인터넷침해사고 동향및분석월보 본보고서내정부승인통계 ( 승인번호제 34203 호, 통계작성기관 : 한국정보보호진흥원 ) 는웜 바이러스피해신고, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률,
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information*2월완결
2 May 27 5 인터넷침해사고동향및분석월보 본보고서내정부승인통계는웜 바이러스피해신고건수, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조건수 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률, PC 생존시간, 허니넷통계등은해당되지않습니다. 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More informationContents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처
Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황 2. 허니넷 / 트래픽분석 3 2-.
More information본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.
211 Vol.7 7 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다. Contents 월간동향요약 : 핫이슈, 주요보안권고, 통계요약 2 1. 침해사고통계분석 3 1-1. 침해사고증감추이 3 1-2. 침해사고통계요약 3 1-3. 악성코드통계현황 4 악성코드신고건수추이 주요악성코드현황 1-4.
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8
차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote
More information<31305FBEC6C0CCC5DB2E687770>
1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.
More information< F36BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BE292E687770>
2006 년 6 월 인터넷침해사고동향및분석월보 2006. 7 한국정보보호진흥원 해킹 바이러스상담전화 ( 국번없이 ) 118 www.krcert.or.kr 본보고서내용의전부나일부를인용하는경우에는반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 을명시하여주시기바랍니다. 컬러로출력하거나화면으로보시면도표를구분하기쉽습니다. 목차 주요통계 1. 총평
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707
최근정보보호위협과 침해사고동향 김홍석보안프로그램매니저고객지원부한국마이크로소프트 해킹으로부터안전하고 바이러스걱정도안하고 보안취약점염려도없이 컴퓨터를가장안전하게사용하는 방법은? 컴퓨터를네트워크에연결하지않고 CD, 디스켓, USB 메모리를사용하지않는다 한국정보보호진흥원 (KISA) 2006. 12. * 정보통신부 Dynamic u-korea 정보보호강화사업결과물
More informationVol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5
6 212 Vol.6 June CONTENTS 2 page 1. 월간동향요약 1-1. 6월보안이슈 2 1-2. 주요보안권고 2 1-3. 침해사고통계분석요약 3 1-4. 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5 2-2. 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트
More informationUDP Flooding Attack 공격과 방어
황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5
More information1-1 5 월보안이슈 국내금융기관 ( 은행 ) 웹사이트의파밍 (Pharming) 사례가발생하여이용자들의주의가요구됨 - PC 의 hosts 파일이변조되어정상적인은행홈페이지주소를입력해도해커가만든피싱사이트로접속되고, 보안승급신청화면을가장해주민등록번호, 이체비밀번호, 보안카드
5 212 Vol.5 May CONTENTS 2 page 1. 월간동향요약 1-1. 5월보안이슈 2 1-2. 주요보안권고 2 1-3. 침해사고통계분석요약 3 1-4. 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5 2-2. 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트 15
More information<C0CCC8ADC1F82E687770>
분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상
More information<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /
시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!
More information< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>
DDoS 대응장비보안기능요구사항 2010. 1 IT 보안인증사무국 목차 1. 소개 1 1.1 참고 1 1.2 목적및범위 1 1.3 문서구조 2 2. DDoS 공격유형및대응기술 3 2.1 DDoS 공격유형 3 2.2 DDoS 대응장비구성방식 6 3. DDoS 공격대응을위한보안기능 7 4. DDoS 대응장비시험방법 8 1. 1.1 소개 참조 본요구사항의식별정보는다음과같다.
More information인터넷침해사고 동향및분석월보 2011 Vol.12 12
인터넷침해사고 동향및분석월보 211 Vol.12 12 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다. Contents 핫이슈, 주요보안권고, 통계요약 1-1. 침해사고증감추이 3 1-2. 침해사고통계요약 3 1-3. 악성코드통계현황 4 악성코드피해신고건수추이 주요악성코드피해신고현황 1-4.
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More information*2월완결
2 August 27 8 인터넷침해사고 동향 및 분석 월보 본 보고서내 정부승인통계(승인번호 제2호, 통계작성기관 : 정보통신부)는 웜 바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 대한 이해를 돕기 위하여 기술된 악성봇 감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다.
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationNetwork seminar.key
Intro to Network .. 2 4 ( ) ( ). ?!? ~! This is ~ ( ) /,,,???? TCP/IP Application Layer Transfer Layer Internet Layer Data Link Layer Physical Layer OSI 7 TCP/IP Application Layer Transfer Layer 3 4 Network
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationMicrosoft PowerPoint - thesis_rone.ppt
엔터프라이즈네트워크에서인터넷웜의실시간탐지방법 포항공과대학교정보통신대학원정보통신학과 분산시스템과네트워크관리연구실 2005 년 12 월 21 일 조룡권 rone@postech.ac.kr 목차 서론 연구의필요성과목표 관련연구 인터넷웜탐지알고리즘 웜트래픽발생툴 알고리즘의검증 네트워크에서의탐지결과분석 결론 (2) 서론 (1) 인터넷웜은전파속도가빠르고네트워크의마비를일으킴
More informationPowerPoint Presentation
Zeroday-worm ( 침해사고유형및발전 ) 2005.3 보안서비스사업본부전상훈과장 ( 바다란 ). 중앙관제센터 / MAIN CERT 인포섹 winsnort@skinfosec.co.kr OR p4ssion@gmail.com 목차 개요 공격유형의변화 Why Zeroday-worm? Web Hacking 유형-ex 결론및대안 개요 1. 침해사고환경의급변 2.
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More information<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>
i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -
Quick Network Setup Guide xdsl/cable Modem PC DVR ~3.., PC, DVR. Cable IP Cable/ADSL/ VDSL or 3 4 VIDEO OUT (SPOT) AUDIO IN VGA ALARM OUT COM ALARM IN RS-485 3 4 G G + 3 CONSOLE NETWORK DC V VIDEO IN VIDEO
More information[Brochure] KOR_TunA
LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /
More information- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨
QnA 형식으로알아보는 WannaCry 랜섬웨어 대응가이드 2017. 05 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. - 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요?
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationuntitled
5월 인터넷 침해사고 동향 및 분석 월보 2006. 6 한국정보보호진흥원 해킹 바이러스 상담전화 (국번없이) 118 www.krcert.or.kr 본보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 [자료 : 한국정보보호진흥원(KISA)]을 명시하여 주시기 바랍니다. 컬러로 출력하거나 화면으로 보시면 도표를 구분하기 쉽습니다. 목 차 주요
More information*2월완결
본 보고서내 정부승인통계는 웜 바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 대한 이해를 돕기 위하여 기술된 악성봇 감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다. 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료 : 한국정보보호진흥원 인터넷침해사고대응지원센터]를
More informationSecure Programming Lecture1 : Introduction
해킹및침해대응 Lecture2 침해사고동향 보안위협의증대 APT 를기반으로하는기업 / 기관을대상으로하는공격이지속적으로발생 : ADD, MND, 한수원등 DDoS 공격의지속적인발생, 공격목적의변화 서비스거부해제를위한금품요구 사회혼란, 정치적목적 공공기관사칭피싱사이트증가 금융, 게임, 포털 검찰청, 경찰청, 금감원 추가적으로모바일형태의피싱사이트증가 주요인기키워드및사회이슈를활용한악성코드배포
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More information1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation
1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More information목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...
목차 Part Ⅰ 3 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Trojan.Rootkit.LoaderA... 6 (1) 개요...
More informationPowerPoint 프레젠테이션
B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10
More informationESET Endpoint Security
ESET ENDPOINT SECURITY 사용자 설명서 Microsoft Windows 8 / 7 / Vista / XP / 2000 / Home Server 이 문서의 최신 버전을 다운로드하려면 여기를 클릭 ESET ENDPOINT SECURITY Copyright 2013 by ESET, spol. s r. o. ESET Endpoint Security는
More informationPowerPoint 프레젠테이션
Traffic monitoring for security anomaly detection 바이러스연구실 최원혁 바이러스사례 (1) 2001.07 CodeRed 최초의패킷형바이러스. IIS 의버퍼오버플로어취약점을이용해서바이러스를메모리에상주후, 무작위로 PC 를선별버퍼오버플로어패킷을보내어취약점이존재할경우다시바이러스에감염되는과정을반복함 (2) 2001.08 CodeRed_II
More informationEndpoint Protector - Active Directory Deployment Guide
Version 1.0.0.1 Active Directory 배포가이드 I Endpoint Protector Active Directory Deployment Guide 목차 1. 소개...1 2. WMI 필터생성... 2 3. EPP 배포 GPO 생성... 9 4. 각각의 GPO 에해당하는 WMI 연결... 12 5.OU 에 GPO 연결... 14 6. 중요공지사항
More informationAssign an IP Address and Access the Video Stream - Installation Guide
설치 안내서 IP 주소 할당 및 비디오 스트림에 액세스 책임 본 문서는 최대한 주의를 기울여 작성되었습니다. 잘못되거나 누락된 정보가 있는 경우 엑시스 지사로 알려 주시기 바랍니다. Axis Communications AB는 기술적 또는 인쇄상의 오류에 대해 책 임을 지지 않으며 사전 통지 없이 제품 및 설명서를 변경할 수 있습니다. Axis Communications
More information제20회_해킹방지워크샵_(이재석)
IoT DDoS DNS (jaeseog@sherpain.net) (www.sherpain.net) DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!
More information아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다
공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More information- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐
QnA 형식으로알아보는 WannaCry 랜섬웨어 대응가이드 2017. 05 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. - 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요?
More informationMicrosoft PowerPoint - AME_InstallRoutine_ver8.ppt
AMESim Install Routine and License Manager Tel : +82-31-608-0434 Fax : +82-31-608-0439 E-mail :support@shinho-systems.co.kr http://www.shinho-systems.co.kr Ssangyong IT Twin Tower 702, Sandaewon-dong,
More information네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시
네트워크 보안도 안철수연구소입니다 통합 보안의 No.1 파트너, AhnLab TrusGuard 네트워크 환경을 수호하는 최고의 통합 보안 시스템 고성능 방화벽ㆍVPN Security 기술과 고품질 Integrated Security 기술의 강력한 결합 네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More information초보자를 위한 ASP.NET 2.0
(World Wide Web), HTML., (ebay) (Amazon.com) HTML,., Microsoft ASP.NET. ASP.NET ASP.NET., ASP.NET HTML,,. ASP.NET HTML.. ASP.NET, Microsoft Visual Basic. Visual Basic. 5 Visual Basic, Visual Basic. ASP.NET
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationPowerPoint 프레젠테이션
스팸릴레이기술적예방대책 김상철 Kims@certcc.or.kr kims@kisa.or.kr 한국정보보호진흥원 배경 스팸, 웜바이러스, 해킹사례가증가하여주변국가를보안을위협 초 중 고교, PC 방중소기업등이정보보호인식부족과투자 / 관리소홀 초고속국가망의위신뿐만아니라국가전체의이미지를실추 설정오류의프락시서버와메일서버 잘못설정된프락시서버, 메일서버를운영하면서스팸메일을중계하여기관전체가스팸머로오인
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More informationserver name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지
ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,
More information<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 4 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 Resume 이력서로위장한악성코드... 5 3. 허니팟 / 트래픽분석...
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More informationSMB_ICMP_UDP(huichang).PDF
SMB(Server Message Block) UDP(User Datagram Protocol) ICMP(Internet Control Message Protocol) SMB (Server Message Block) SMB? : Microsoft IBM, Intel,. Unix NFS. SMB client/server. Client server request
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More informationindex 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D
DoS, DDoS 1012 1705 사이버경찰학과 홍윤기 index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 Definition of DDOS (Distribute
More information메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More information<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>
기업정보보호를위한악성코드대응 2009.10.27 27 안철수연구소소프트웨어연구실전성학실장 목 차 1. 악성코드위협의변화 2. 악성코드의보안위협사례 3. 악성코드의주요감염경로 4. 기업의악성코드대응방안 1. 악성코드 위협의 변화 범죄화 금전적 목적/조직적 Targeted 공격 쉽고 빠른 변형 제작 Zero Day 공격 Zero-Day 금전적인 목적 빠른 감염
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More informationORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O
Orange for ORACLE V4.0 Installation Guide ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE...1 1....2 1.1...2 1.2...2 1.2.1...2 1.2.2 (Online Upgrade)...11 1.3 ORANGE CONFIGURATION ADMIN...12 1.3.1 Orange Configuration
More information최종연구보고서 KISA-RP 정보시스템 해킹 바이러스현황및대응
최종연구보고서 KISA-RP-2009-0014 2009 정보시스템 해킹 바이러스현황및대응 2009. 12. 발간사 한국, 일본, 중국등에서음력 7월7일은은하수양쪽둑에있는견우성과직녀 성이 1 년에한번만난다는전설에따라별을제사지내는칠석날입니다. 하지만 2009년 7월 7 일은청와대를비롯한정부기관, 금융기관, 포탈사이트등사회적 파급효과가큰사이트들에 DDoS 침해사고가발생하여보안전문가들만의전문용어
More information1217 WebTrafMon II
(1/28) (2/28) (10 Mbps ) Video, Audio. (3/28) 10 ~ 15 ( : telnet, ftp ),, (4/28) UDP/TCP (5/28) centralized environment packet header information analysis network traffic data, capture presentation network
More information