(Microsoft Word - ASEC Report 2007\263\3425\277\371\310\243.doc)
|
|
- 재석 여
- 6 years ago
- Views:
Transcription
1 ASEC Report 5월 ASEC Report I. ASEC 월간통계 2 (1) 5월악성코드통계 2 (2) 5월스파이웨어통계 11 (3) 5월시큐리티통계 14 II. ASEC Monthly Trend & Issue 16 (1) 악성코드 Autorun.inf 파일의정체에대하여 16 (2) 스파이웨어 국산스파이웨어의증가 21 (3) 시큐리티 디지털환경에따른트렌드의변화 24 III. ASEC 컬럼 28 (1) 악성코드분석가입장에서본 PE 구조 28 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여바이러스와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.
2 I. ASEC 월간통계 (1) 5월악성코드통계 순위 악성코드명 건수 % 1 2 Win-Trojan/Xema.variant % 2 new Win32/IRCBot.worm J % 3 5 Win32/Virut % 4 new Win-Trojan/Downloader AF % 5 new Win-Trojan/InfoStealer D % 5 new Win32/IRCBot.worm % 7 new VBS/Solow 9 4.2% 8 new Win-Trojan/Downloader Z 8 3.7% 8 new Win-Trojan/LineageHack % 8 4 Win32/IRCBot.worm.variant 8 3.7% 합계 % [ 표 2-1] 2007 년 5 월악성코드피해 Top 10 월악성코드피해동향 2007년 5월악성코드 Top10에는전월에 4위였던아이알씨봇 (Win32/IRCBot.worm.variant) 이 8위로하락하였으며, 전월의 1위였던 Win-Trojan/Downloader I은 Top10순위에서밀려났다. 바이럿 (Win32/Virut) 은 5위로순위가두단계상승하였다. 1월에서 4월까지꾸준히 Top10중 7종을차지하였던트로이목마류가 5월에이르러 Top10중 5종만속하는약세를보였다. 5월악성코드 1위는 Win-Trojan/Xema.variant이며, 지난달에비해한단계상승하였으며, 이외순위에는새로운트로이목마및기타악성코드가 Top10에진입하였다. 5 월의악성코드피해 Top 10 을도표로나타내면 [ 그림 1-1] 과같으며, 1 위인 Win- Trojan/Xema.variant 이외의나머지 9 개악성코드들의비율을비교하면근소한차이임을확 인할수있다. Copyright AhnLab Inc,. All Rights Reserved. 2
3 5 월악성코드피해 Top % 3.7% 3.7% Win-Trojan/Xema.variant 4.2% Win32/IRCBot.worm J Win32/Virut 4.6% 4.6% Win-Trojan/Downloader AF Win-Trojan/InfoStealer D Win32/IRCBot.worm VBS/Solow Win-Trojan/Downloader Z 5.1% Win-Trojan/LineageHack Win32/IRCBot.worm.variant 7.4% 7.9% 55.1% [ 그림 1-1] 2007 년 5 월악성코드피해 Top 10 [ 그림 1-2] 에서와같이 1월부터꾸준히감소하던피해신고는 4월에증가하다가 5월이되면서다시감소하였음을알수있다. 잠시증가하였던 4월에는아이알씨봇 (IRCBOT) 변형의다수출현이피해신고가증가한원인이었고, 금월은광범위하게확산되는웜 ( 메스메일러, 봇 ) 보다는인터넷사이트, 게시판으로전파되는트로이목마위주로확산됨으로써피해건수가감수되는것으로보인다. Copyright AhnLab Inc,. All Rights Reserved. 3
4 2, 년월별피해신고건수 2,000 2,057 1,500 1,000 1,558 1,617 1,264 1, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-2] 2007 년월별피해신고건수 5월악성코드 Top 10 전파방법별현황 [ 표 1-1] 의악성코드피해 Top 10에서확인된악성코드는 [ 그림 1-3] 과같이전파방법을기준으로구분될수있다. 5 월악성코드 Top10 의전파방법별현황 스크립트 4% 웜 16% 트로이목마바이러스스크립트웜 바이러스 7% 트로이목마 73% [ 그림 1-3] 2007 년 5 월악성코드 Top 10 의전파방법별현황 5 월에도변함없이트로이목마류가가장많은피해를발생시켰으며, 점유률은 73% 로전월 (53%) 에비해증가하였으며, 웜의경우전월 (31%) 에비해소폭하락하였다. 바이러스는바 Copyright AhnLab Inc,. All Rights Reserved. 4
5 이럿 (Win32/Virut) 의순위가두단계올랐으나점유율은반대로하락하였다. 피해신고된악성코드유형현황 2006년 5월에피해신고된악성코드의유형별현황은 [ 그림 1-4] 와같다 년 5 월악성코드유형별현황 드롭퍼 11.5% 유해가능 4.9% 스크립트 2.4% 웜 10.0% 웜트로이목마바이러스드롭퍼유해가능스크립트 바이러스 2.5% 트로이목마 68.8% [ 그림 1-4] 2007 년 5 월피해신고된악성코드유형별현황 전체피해신고에서의악성코드유형을확인해보면, 트로이목마가 68.8% 로가장많았으며그다음은드롭퍼가 11.5% 였고, 3위는웜으로 10% 를차지하였다. 그외유해가능프로그램이 4.9%, 뒤를이어스크립트가 2.4%, 바이러스는 2.5% 였다. 이중주요악성코드유형인트로이목마, 바이러스, 웜에대한피해신고비율을따져보면 [ 그림 1-5] 와같다. Copyright AhnLab Inc,. All Rights Reserved. 5
6 2007 년 5 월웜, 트로이목마, 바이러스피해신고비율 90% 84.62% 80% 70% 60% 50% 40% 30% 20% 10% 0% 12.37% 3.02% 웜 트로이목마 바이러스 [ 그림 1-5] 2007 년 5 월웜, 트로이목마피해신고비율 월별피해신고된악성코드종류현황 [ 그림 1-6] 에서와같이피해신고된악성코드종류는 1월부터 3월까지꾸준히감소하다가 4월에소폭상승하고다시 5월에이르러다시소폭감소된것을알수있다 년월별피해신고악성코드종류 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-6] 2007 년월별피해신고악성코드종류개수 Copyright AhnLab Inc,. All Rights Reserved. 6
7 국내신종 ( 변형 ) 악성코드발견피해통계 5 월한달동안접수된신종 ( 변형 ) 악성코드의건수는 [ 표 1-2], [ 그림 1-7] 과같다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 3 월 월 월 [ 표 1-2] 2007년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달은전월대비 8% 정도악성코드수가감소하였다. 이는지난달에다수발견되었던 Win32/IRCBot.worm ( 이하악성 IRCBot 웜 ) 과 Win32/Zhelatin.worm ( 이하젤라틴웜 ) 등의감소로기인한것으로분석된다. 악성 IRCBot 웜경우지난달알려진 MS RPC DNS 서버관련취약점을이용한변형이증가하였다가해당취약점을이용한악성 IRCBot 웜이크게피해를주지못하자변형제작율이떨어진것으로추정된다. 이는취약점사용으로인한확산및감염성공률이높다면제작자들은적극적으로사용했을것이라는추정에근거한다. 또한젤라틴웜의감소는이웜의제작자가변형을유포를하지않아자연스럽게감소하였다기보다는 V3 엔진에젤라틴웜이사용한다형성루틴과실행압축형태를진단할수있는 Generic 한진단함수를개발하여엔진에반영한결과로보인다. 5월신종 ( 변형 ) 악성코드유형 7% 1% 5% 트로이목마 6% 드롭퍼웜 (IRC) 12% 웜 (Mail) 유해가능 파일 ( 바이러스 ) 69% [ 그림 1-7] 2007 년 5 월신종및변형악성코드유형 [ 그림 1-8] 에서와같이젤라틴웜변종에대한고객접수샘플및타사샘플에대한엔진반 영비율이뚜렷하게감소하였다. 물론이를기반으로실제샘플수가감소했다고분석할수 는없으나본리포트의기초가되는통계자료는안철수연구소가고객으로부터접수받은샘 Copyright AhnLab Inc,. All Rights Reserved. 7
8 플을첫번째기준으로작성하기때문에국내외다른업체및기관과의악성코드관련통계와차이가발생할수있다. 또한악성코드에대한피해가국지적으로뚜렷하기때문에최근들어악성코드통계를타사와비교하기에는다소무리가있다. 해당악성코드는주로국외 ( 북미또는유럽지역 ) 에서피해가많았으나, 국내에서는국외에비하여뚜렷한피해를주지않고있다. 이는해당악성코드가은폐형으로일반사용자들이쉽게감염여부를알아채지못하기때문에피해나샘플신고가그다지원할하지못하기때문이다 Win32/Zhelatin.worm Generic 진단적용후엔진반영수치 월 2월 3월 4월 ~5월 10일 ~5 월 30 일 [ 그림 1-8] Win32/Zhelatin.worm Generic 진단적용후엔진반영수치 [ 그림 1-9] 와같이악성코드유형별로웜과드롭퍼유형의감소가눈에띄고, 유해가능프로 그램은오히려지난달과비교하여 2 배증가한수치를보이고있다. Copyright AhnLab Inc,. All Rights Reserved. 8
9 악성코드유형병증감현황 월 5 월 웜드롭퍼유해가능 [ 그림 1-9] 2007 년 5 월감소및증가악성코드유형 웜과드롭퍼는지난달대비 37%, 24% 정도하락하였다. 드롭퍼의감소원인은중국발악성코드의영향이크다고하겠다. 드롭퍼대부분이온라인게임의사용자계정을훔쳐내는유형이 80% 이상차지하고있으며감소도역시해당유형의악성코드가많았다. 따라서드롭퍼에서 Drop 된트로이목마의수도지난달과비교하여 7% 정도감소하였다. 유해가능프로그램의경우지난달에언급했던 Win-AppCare/Virtumond ( 이하버추몬드 ) 의증가율이뚜렷하다. 팝업광고를노출하는증상이있는이유해가능프로그램은악성코드로분류되기도하는데, 안철수연구소는해당악성코드의진단율을놓이기위해서 Generic 한진단방법을연구중에있으며조만간그결과를토대로엔진에반영할예정이다. 실행파일을감염시키는바이러스는이번달에 4 종이발견되었다. 모두신종으로다음과 같다. - Win32/Alman: Win-Trojn원형과 B 형이존재한다. B 형은암호화된바이러스바디를가지고있으므로진단을위해서는복호화작업이필요하다. - Win32/Expiro: 감염된파일은 *.IVR 이란확장자로변경해두며이는중복감염여부를체크할때사용한다. - Win32/Klest: 마지막섹션에 652 바이트만큼의쉘코드를추가한다. 해당쉘코드는특정호스트로부터파일을다운로드받도록하는코드가담겨있다. - Win32/Mebangki: 후위형바이러스로감염된파일은.TNT 섹션이추가되며 14,516 바이트증가한다. Copyright AhnLab Inc,. All Rights Reserved. 9
10 다음 [ 그림 1-10] 은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라 인게임의사용자계정을탈취하는트로이목마의추세이다 년온라인게임사용자계정탈취악성코드추세 년 01 월 2 월 3 월 4 월 5 월 [ 그림 1-10] 온라인게임사용자계정탈취트로이목마현황 1 전월대비 7% 정도감소율을보이고있다. 이러한감소율은 2월을제외하고최근 3개월간하락수치를보이고있다. 이는다음과같은원인에기인한것으로추정된다. - 국내온라인게임보안솔루션의고도화 - 대만및중국현지자국온라인게임시장의활성으로타켓게임변경 - 중국내주식시장광풍으로인한악성코드제작율하락 - 계정탈취로인한아이템현금화후중국및대만발전화사기업체설립위정리내용중현재중국경제상황과국내의피해상황을유추하여보고일부는필자나름대로약간의상상력을추가해서정리한것도있다. Copyright AhnLab Inc,. All Rights Reserved. 10
11 (2) 5월스파이웨어통계 순위 스파이웨어명 건수 비율 1 New Win-Adware/BHO.Adod % 2 New Win-Downloader/Rogue.Nv % 3 New Win-Adware/Boome % 4 New Win-Adware/BHO.Adod % 5 New Win-Downloader/Adod % 6 New Win-Downloader/ToolBar.OK % 7 New Win-Adware/Irich % 8 New Win-Downloader/Rogue.BioPCmedic % 9 New Win-Downloader/Bagle % 10 New Win-Spyware/Rizo % 기타 % 합계 % [ 표1-3] 2007년 5월스파이웨어피해 Top 년 5 월스파이웨어피해 Top 10 1% 1%1%1%1% 1% 1% 1% 1%1% 89% Win-Adware/BHO.Adod Win-Downloader/Rogue.Nv Win-Adware/Boome Win-Adware/BHO.Adod Win-Downloader/Adod Win-Downloader/ToolBar.OK Win-Adware/Irich Win-Downloader/Rogue.BioPCmedic Win-Downloader/Bagle Win-Spyware/Rizo 기타 [ 그림 1-11] 2007 년 5 월스파이웨어피해 Top 년최근 6 개월간의스파이웨어피해통계를살펴보면피해통계상위 Top 10 에위치 한스파이웨어중그어느것도다음달통계의피해통계 Top 10 에오르지않았다는사실 을알수있다. 이점은 2007 년발견된모든스파이웨어가꾸준한피해를입히고있지않다 Copyright AhnLab Inc,. All Rights Reserved. 11
12 는사실을말해준다 년발견된스파이웨어중변형의배포주기가짧은스파이웨어크 립터 (Win-Spyware/Cryprt) 와온라인게임계정유출목적의스파이웨어를제외하고는꾸준 한피해를입힌스파이웨어를찾아보기는힘들다. 2007년 5월가장많은피해신고접수건수를기록한애드웨어어도드 (Win- Adware/Adod.65536) 는허위안티-스파이웨어프로그램과같은다른스파이웨어에의해사용자동의없이설치되는 BHO(Browser Helper Object, 브라우저도우미개체 ) 형태의애드웨어이다. 애드웨어어도드가설치된시스템에서 IE 브라우저가강제로종료되는증상은 IE 브라우저의확장기능으로동작하는애드웨어어도드의자체오류에의한것으로, 이때문에 2007년 5월 7일많은피해신고가접수되었다. 애드웨어어도드이외에도피해통계 Top 10 의대부분은국내에서제작된애드웨어가차지하고있는것도 5월피해통계의특징이다 년 5 월유형별스파이웨어피해현황은 [ 표 1-4] 와같다. 전체스파이웨어피해신고건수는전월인 4 월에비하여약 100 건정도증가하였으며, 피해 통계 Top 10 의내용을반영하듯전체피해통계수치에서도국내에서제작 / 배포되는애드웨 어에의한피해신고가크게증가하였다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 3월 월 월 [ 표 1-4] 2007년 5월유형별스파이웨어피해건수 Copyright AhnLab Inc,. All Rights Reserved. 12
13 5월스파이웨어발견현황 5 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 1-5], [ 그림 1-12] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 3월 월 월 [ 표 1-5] 2007년 5월유형별신종 ( 변형 ) 스파이웨어발견현황 2007년 5월발견된스파이웨어 0% 0% 2% 1% 0% 스파이웨어류 20% 2% 애드웨어드롭퍼다운로더다이얼러클리커익스플로잇 AppCare 조크 13% 62% [ 그림 1-12] 2007 년 5 월발견된스파이웨어프로그램비율 [ 표 1-5] 와 [ 그림 1-12] 2007년 5월발견된신종및변형스파이웨어통계를보여준다. 4 월에비하여약 29% 증가한 232건의신종및변형스파이웨어가발견되었다. 최근 3개월간꾸준히새로운변형이발견되고있는스파이웨어크립터 (Win-Spyware/Crypter) 의경우 40 건의새로운변형이발견되었으며, 온라인게임계정유출목적의스파이웨어도약 30건의변형이발견되었다. Copyright AhnLab Inc,. All Rights Reserved. 13
14 (3) 5월시큐리티통계 [ 그림 1-13] 과같이 2007년 5월에는마이크로소프트사에서총 9개의보안업데이트를발표하고, 발표된업데이트는모두긴급 (Critical) 에해당된다. 이중에서오피스취약점들 (MS07-023, MS07-024, MS07-025) 에대한패치가포함되었으며, Exchange 서버관련취약점인 MS07-026, DNS 서버관련취약점인 MS07-029가포함되어있다. 14 공격대상기준 2006 년 5 월 ~ 2007 년 5 월 MS 보안패치분류현황 12 패치갯수 시스템 IE 오피스어플리케이션서버총수 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 4 월 5 월 [ 그림 1-13] 2006 년 5 월 ~ 2007 년 5 월공격대상기준 MS 보안패치현황 [ 그림 1-13] 을보면, 전반적으로 2007 년에들어와서, 오피스및 IE 취약점이증가추세에 있는것을알수있다 년에이슈가되고있는마이크로소프트취약점은인터넷익스플로러 VML 취약점인 MS07-004, Animated Cursor Handling 취약점인 MS07-017, 그리고 DNS 서버취약점인 MS 등이있다. 그리고몇몇국내 ActiveX 관련취약점도발견되었다. 2007년에들어와서도오피스취약점의증가추세는꾸준하다. 오피스취약점공격을방지하기위해서는신뢰되지않은사이트접속및오피스 / 아래한글파일이메일로첨부해서오는경우에주의가필요하며, 보안패치를반드시해야한다. 아울러 Anti-Virus 제품및개인방화벽제품또한필요하다. Copyright AhnLab Inc,. All Rights Reserved. 14
15 2007 년 5월웹침해사고현황 웹사이트침해사고현황 경유지유포지 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 0 [ 그림 1-14] 웹사이트침해사고현황 2007년 5월의침해 / 악성코드유포사이트의수는 91/68이다. 2007년 4월과비교하여침해사이트의수는 10개감소하였지만유포사이트의수가 19개증가하였다. 이는악성코드유포지를다양하게하여보안장비나 Anti Virus 프로그램의대응을무력화하려는시도로분석된다. 악성코드배포유형은 2007년 4월과마찬가지로 MS07-017(Ani) 취약점이전체의 68% 로과반수이상을차지하고있다. 이러한현상은 MS07-017취약점이후 Internet Explorer(IE) 과관련하여새롭게발견된취약점이없기때문인것으로보인다. 앞으로새로운 IE의취약점이발견되기전까지는 MS 취약점을이용한악성코드유포하는비율이과반수이상을차지하는현상이계속하여유지될것으로보인다. Copyright AhnLab Inc,. All Rights Reserved. 15
16 II. ASEC Monthly Trend & Issue (1) 악성코드 Autorun.inf 파일의정체에대하여 이번달악성코드이슈로는먼저윈도우정품인증을가장한트로이목마가국외에서보고되었는데일종의사회공학기법을이용한형태였다. 그리고새로운형태의 SSDT 후킹을시도하여자신의은폐모듈을숨기는악성코드가국, 내외에서보고되었다. 이새로운시도로기존의은폐형악성코드탐지툴로부터자신을우회하기때문에이목이집중되었다. 또한최근들어가장큰이슈가집중되는플래쉬메모리에생성되는 autorun.inf 파일의정체에대해서알아본다. 윈도우정품인증을가장한트로이목마 Win-Trojan/Kardphisher는윈도우정품인증을가장하여사용자로하여금신용카드정보를입력하도록유도하는트로이목마이다. 이트로이목마는마치윈도우정식인증을위하여그럴듯한메시지와절차로사용자로하여금신용카드정보를입력받고이것을탈취한다. 무엇보다도이트로이목마는실행된후자신을가장상위로활성화하기때문에다른응용프로그램이나화면으로전환할수가없게된다. 개인정보와카드입력을받는방법은특별한기법이아닌단지 Fake 된화면을보여주는일종사회공학기법에불과한다. 최근 MS 는윈도우와 IE 7 에대하여정품인증을강화하면서이것을노리고사용자의민감한개인정보를갈취하는트로이목마가출현한것으로보인다. [ 그림 2-1] Win-Trojan/Kardphisher 실행화면 1 Copyright AhnLab Inc,. All Rights Reserved. 16
17 [ 그림 2-2] Win-Trojan/Kardphisher 실행화면 2 새로운형태의 SSDT 후킹을시도하는트로이목마 Win-Trojan/Almanahe 이라고명명된이악성코드는기존과다른 SSDT (System Service Descriptor Table) 후킹을이용하여기존의알려진루트킷진단프로그램에서진단되지못하도록자신을숨긴다. 이트로이목마가사용한 SDT 후킹기법은후킹주체가악성코드모듈이아닌정상 ntoskrnl.exe를가르킨다. 즉, 서비스함수포인터의위치에대해서해당트로이목마는서비스주체인 ntoskrnl.exe를가르키도록했다. 후킹주체인은폐된커널드라이버가악성코드자신이아닌 ntoskrnl.exe 를보이도록해서 우회한다. 그러나후킹된함수까지숨기지는못하므로이를통하여 SSDT 후킹여부는확인 될수있다. [ 그림 2-3] Win-Trojan/Almanahe 의 SSDT 후킹함수및주체 Copyright AhnLab Inc,. All Rights Reserved. 17
18 이트로이목마는실행파일을감염시키는바이러스증상도가지고있으며, 또한일부온라인 게임의사용자계정을훔쳐내는증상도있다. V3 는이또한 Win32/Alman 이라고명명했고 진단 / 치료가가능하다. 플래쉬메모리에생성된 Autorun.inf 의정체는? 근래들어이동식드라이브 ( 대부분 USB 방식의플래쉬메모리스틱 ) 에생성된 Autorun.inf 의정체에대한문의가다수접수되고있다.. 매체에대한단가하락과대량생산은자연스럽게이러한미디어에대한접근을쉽게하므로요즘플래쉬메모리스틱을한개이상은보유하고있다고해도과언이아니다. 따라서이러한미디어를대상으로악성코드를감염시키려는악성코드제작자들의노력이계속되고있다. 그렇다면왜? 이동식드라이브를감염대상으로하는것일까? 이는예전에플로피디스켓에부트바이러스나파일바이러스를감염시켰던것과같이좀더확산력을높이기위해서이다. 또한그당시에는없었던 Autorun.inf 파일을이용하여자동으로실행할대상을지정하여악성코드를사용자의도와는관계없이실행및감염그리고확산시키려는데목적이다. VBS/Solow는 Autorun.inf 파일을생성하는대표적인악성코드이다. 이외에도스크립트형태가아닌 *.EXE 확장자를갖는실행파일형태의악성코드도있다. VBS/Solow는각드라이브루트폴더비롯하여이동식드라이브루트폴더에 Autorun.inf 파일을생성한다. 이러한활동을 200초마다반복적으로실행하기때문에사용자가 Autorun.inf 파일을삭제해도다시생성된다. 생성된 Autorun.inf 파일은특정드라이브또는이동식드라이브에생성된악성코드복사본을실행하도록하는명령이포함되어있다. 예를들어플래쉬메모리스틱에 Autorun.inf 파일이있다면해당플래쉬메모리를 USB 포트에연결한후바탕화면의내컴퓨터를선택하여플래쉬메모리스틱이연결된이동식드라이브를클릭할경우 Autorun.inf 에의해서악성코드가자동으로실행된다. 고객들이많이질문하는내용은크게 2 가지로다음과같다. - Autorun.inf 파일의삭제후재생성 - Autorun.inf 파일과악성코드파일을수동으로삭제한경우바탕화면에서내컴 퓨터를이용하여각드라이브접근불가 Copyright AhnLab Inc,. All Rights Reserved. 18
19 먼저 Autorun.inf 파일의재생성은위에서언급한것처럼 VBS/Solow 는 200초마다반복적으로각드라이브에대한 Autorun.inf 파일을생성한다. 또한해당악성코드는스크립트웜으로자신이실행되기위해서일종의인터프리터인 WScript.exe 라는파일을실행함으로써자신의스크립트를실행한다. 그러므로프로세스에서실행중인 WScript.exe를종료하지않으면 Autorun.inf파일이재생성되는원인이된다. 중요한것은 WScript.exe는정상적인윈도우파일이므로삭제해서는안된다. 두번째로 Autorun.inf 파일과악성코드를사용자가직접삭제한경우내컴퓨터를이용한각드라이브접근시다음 [ 그림 2-4] 와같은에러메시지가나오고드라이브열기가불가능한경우가발생할수있다. [ 그림 2-4] VBS/Solow 레지스트리미치료시나오는에러메시지 이는자동실행되기위해서각드라이브에대한클래스 ID가저장된레지스트리키를변경해주지않았기때문이다. 이키는각드라이브의클래스 ID 가저장된하위키에 Autorun.inf 에의해서자동실행되도록대상파일이기록되어있다. 따라서이하위키를변경또는삭제하지않으면드라이브열기를시도할때마다레지스트리키값에명시된파일이존재하지않는다는메시지를출력하고열기가불가능해진다. 물론탐색기를통해서나다른파일관리자를이용해서는각드라이브탐색은가능하다. 구글 Adsense 의부정클릭유도한사건 5 월중순 MSN 메신저로다음과같은메시지가국내외퍼졌다. 제거됨 ).com <- Find out who deleted and blocked you from the MSN 위링크를클릭하여자신의 MSN 메신저아이디와비밀번호를입력하면자신을버디리스트에서차단하거나삭제한것을알려준다고한다. 하지는이는사용자를속이는것이고, 입력받은계정과비밀번호를이용하여 MSN 서버로부터버디리스트를받아와위링크를현재온라인된모든사용자에게발송하는사건이있었다. 초기에는이링크를보내는별도의악성코드가있다고추정하였지만, 실제로는그렇지않고, 위링크의주소로들어가 MSN 계정을입력하면현재로그인된자신의 MSN 메신저는로그아웃이되고, 입력받은계정으로 MSN 서버로로그인하여버디리스트를가져와위링크를보내는것으로최종분석되었다. Copyright AhnLab Inc,. All Rights Reserved. 19
20 또한해당링크의페이지는구글의 Adsense 광고가다수노출되어있었다. 이러한점을종합해보면위링크의방문자들로하여금구글 Adsense 의부정클릭을유도하여돈을벌어드리려는것으로위와같은웹페이지와호스트를운영하는것으로추정된다. 만약위링크에서자신의 MSN 계정을입력했다면혹시있을지모르는개인정보도용을예방하기위해서라도 MSN 계정의비밀번호를지금변경할것을권장한다. Copyright AhnLab Inc,. All Rights Reserved. 20
21 (2) 스파이웨어 국산스파이웨어의증가 Win-Adware/Adod 5월초, 다수의고객으로부터 Internet Explorer( 이하 IE) 가동작하지않는다는신고가접수되어인터넷대란이또다시일어나는것은아닌지, 많은사람들을우려케하였지만다행히특정애드웨어가설치된 PC에서만발생하는문제로밝혀졌으며그주범은 Win- Adware/Adod였다. Win-Adware/Adod가 PC에설치되면 BHO(Browser Helper Object) 와 Toolbar가등록된다. 본래의동작은 IE의주소표시줄에입력되는한글키워드를감시하여특정한글키워드가입력되면제작사와제휴된검색사이트의검색결과를노출하도록되어있다. 그러나 BHO로등록되는모듈이버그를포함한채로배포되었고, IE가시작되면서 BHO 모듈을로딩할때, Win-Adware/Adod의잘못제작된 BHO 모듈이로딩되면서오류가발생하여, 이로인하여 IE가실행되자마자종료되었다. 대부분의애드웨어는 Win-Adware/Adod와같은문제점을시한폭탄처럼안고있다고볼수있다. 애드웨어제작업체들대다수가프로그램개발시간단히동작만확인할뿐, 별도의품질테스트과정을거치지않기때문에언제어느시점에서시스템에치명적인오류를야기할지모르며이와같은사례는허다하다. 이러한문제는시스템의중요부분과관련이있을경우더욱큰문제가될수있는데, Win- Adware/Adod와같이 IE의중요한프로그램의일부모듈로동작하거나시스템드라이버로등록되는경우시스템을망가뜨리거나주요어플리케이션사용에불편을주는등사용자에게큰불편을줄수있다. 특히시스템드라이버로등록되는경우는 BSOD(Blue Screen of Death) 를발생시키거나윈도우가부팅되지않는상황까지발생할수있다. 과거 Win-Adware/Rogue.CC가등록한루트킷드라이버로인하여레지스트리에관련한작업시매번 BSOD가발생한사례가있는데, 이경우사용자는일반적인방법으로는 Win-Adware/Rogue.CC를제거할수없어더욱큰문제가되었다. 스파이웨어나애드웨어제작자들에게시스템의오류를발생하지않도록테스트를잘해달라 고요구할수는없는노릇이기에, 현재로서는이러한것들이설치되지않도록사용자가주의 하거나안티 - 스파이웨어프로그램을사용하여이들을제거하는수밖에없다. Copyright AhnLab Inc,. All Rights Reserved. 21
22 국산스파이웨어피해급증 최근국산스파이웨어로인한사용자피해신고가크게증가하였다. 발견되는스파이웨어의수는국외에서제작된것이훨씬많으나그피해신고는국내에서제작된것들로인한피해신고가더많아지고있다. 외국산스파이웨어의경우, 동일한스파이웨어대해피해신고가다수접수되는것은보안취약점을이용하거나바이러스혹은웜에의해배포되어그확산력이컸기때문인반면, 국산의경우는난이도가높은해킹기법은사용되지않았으나그피해신고는비슷하거나오히려많았다. 물론지역적인이유로그런것일수있겠지만유독국산스파이웨어로인한피해가증가한이유는무엇일까? 이는국내 UCC 산업의발전과관련이있는것으로보인다. 과거, 카페나게시판등에단순히 ActiveX 코드를삽입하는것이전부였다면, 요즘은블로그를이용하여 UCC 동영상을보기위해서는 ActiveX 컨트롤을설치해야한다는식으로사용자들을속이고있다. 일부 UCC 동영상사이트에서동영상재생을위해서는 ActiveX를설치해야한다는점을교묘히이용한것이다. 국내유명포털사이트를보면대부분메인페이지에 실시간인기검색어 라는제목으로사용자들이많이입력하는키워드의목록이나오는데, 이키워드로검색을하면관련된 UCC 동영상을볼수있다는제목의글을어렵지않게찾을수있다. 그런데이글들중에일명 낚시글 이라고불리는사용자를속이는글들이함께노출된다. 스파이웨어배포자들은더욱많은사람들에게자신의사이트가노출되도록하기위해 실시간인기검색어 로등록된키워드가들어간글을무작위로생성하고검색사이트에노출되기만을기다린다. 그리고국내유명검색사이트에서는보다많은 UCC 확보를위해기계적으로이를검색 DB에저장하고결국사용자에게보여지는것이다. 이러한낚시글을클릭해보면 UCC 동영상관련사이트인것처럼사용자들을완전히속이고, ActiveX 컨트롤을설치할것을요구한다. 아래의 [ 그림 2-5] 는 UCC와는전혀관련이없으며단순히이미지로만제작된허위 UCC 동영상사이트이다. 그림의동영상재생기역시가짜이다. 설치되는 ActiveX 컨트롤은동영상재생과는전혀관련이없으며설치할경우다수의스파이웨어가설치된다. Copyright AhnLab Inc,. All Rights Reserved. 22
23 [ 그림 2-5] 허위 UCC 동영상사이트 보다많은 UCC 사이트를검색하려는검색사이트의헛점을스파이웨어배포자들이잘이용하고있는샘이다. 물론검색사이트에서이러한사이트를발견하는즉시차단하는등의조치를취하고있는것으로보이지만아직미미하며, 이로인한피해는지속적으로증가하고있는실정이다. Copyright AhnLab Inc,. All Rights Reserved. 23
24 (3) 시큐리티 디지털환경에따른트렌드의변화 마이크로소프트사에서이번 2007년 5월에발표한보안업데이트는총 7개로모두긴급 (Critical) 에해당하는업데이트들이다. 이중 DNS 서버의 RPC 원격코드실행취약점은지난 4월패치가공개되기이전에공격코드가공개되어있었던만큼, DNS 시스템을운영하는사용자는바로패치를적용할것을권고한다. 이것은 DNS 서버서비스에바인딩되어있는 RPC 에조작된공격패킷을보내임의의코드를실행할수있고이미 IRCBot 악성코드에서해당코드를사용하여공격하는것이확인된만큼주의가필요하다. 다음은악의적인공격에이용될수있는원격코드실행취약점과살펴볼만한주요취약점 들에대한목록이다. 위험등급 취약점 PoC 긴급긴급긴급긴급 마이크로소프트엑셀원격코드실행취약점 (MS07-023) 023) 무 마이크로소프트워드원격코드실행취약점 (MS07-024) 024) 무 마이크로소프트오피스원격코드실행취약점 (MS07-025) 025) 무 윈도우 DNS 서버의 RPC 원격코드실행취약점 (MS07-029) 029) 유 긴급 긴급 Samba 원격코드인젝션취약점 Sun JDK(Java Development Kit) 이미지처리취약점 [ 표 2-1] 2007년 5월주요 MS 취약점패치 무 유 유닉스기반에서많이사용되고있는삼바 (SAMBA) 는윈도우의파일공유와같은기능을제공해주고있는프로그램으로서사용자의입력파라미터로 /bin/sh 와같은인자가넘어올경우원격지에서명령어실행이가능하다. 삼바 rc3 버전을사용하고있는사용자는최신의버전으로사용할것을권고하며관련정보는삼바사이트 ( 에서얻을수있다. 데이터의분실사건사고의현장 5 월은다른달과달리데이터분실사고등이많이발생하였다. 데이터분실은기업또는개 인의입장에서큰피해를줄수있는부분중의하나이다. 특히많은자료들이이제디지털화 되어가며과거에몇백페이지종이들이유출되어야했다면이제는작은이동형장치에더 많은정보들이유출될수있는환경에놓여있다. 최근해외투자사로유명한 JP 모건이고객 과직원의개인정보가들어있는백업테이프를분실한사건이발생하였다. 백업테이프를 이동하는과정에서분실된것으로알려지고있는데대략 47,000 명정도의고객이포함되었 다고한다. 이외미국교통보안국 (TSA:Transportation Security Administration) 이대략 100,000 여명의직원개인정보가담긴하드드라이브를분실한것으로알려졌다. TSA 직원 Copyright AhnLab Inc,. All Rights Reserved. 24
25 의 2002년 1월부터 2005년 8월사이의직원정보들로이름, 사회보장번호, 은행계좌정보등이포함되었다고하며이메일을통해직원들에게이소식을알렸다고한다. 이드라이브가 TSA의본사에서분실된것으로보고있으며 FBI 와미국정보국에서이사건을조사중이라고한다. 이렇게한순간에많은양의데이터가유출될수있는만큼기업들은이러한데이터분실에대해서도대비책을세워두어야한다. 웹공간의 10% 가위험하다고요? 여러분들이방문하고있는웹사이트는항상안전할까요? 방문한사이트가신뢰할수있으며악의적인요소가포함되어있지않은페이지로만들어져있다고믿고있었다면이제다시생각해보아야할것이다. 세계적인터넷검색업체중하나인구글에서흥미로운발표를하였는데, 4백5십만개의웹페이지를분석한결과그중 10% 가악의적코드를포함하고있었다는것을발표하였습니다. 안철수연구소시큐리티대응센터에서도국내의웹해킹을추적, 검토등을통해서상당히많은수가감염되어있을것으로추정하고있었지만구글의자료가이를뒷받침하는증거가되었다. 10% 인 45만여개의웹사이트가악의적코드를설치하는데, 이는주로사회공학적기법으로사용자를유혹할만한제목의링크로유도를한다. 예를들면, 포르노사이트또는유명소프트웨어다운로드등이해당된다. 이러한악의적코드의설치는주로마이크로소프트사의인터넷익스플로러의취약점을이용하는것으로밝히고있다. 그렇다면왜 IE 의취약점을주로이용하는것인가? 이유는바로 IE 의사용률이전세계적으로가장높기때문이다. 많이사용되지않는브라우저의취약점보다는많이사용되는브라우저취약점을이용하는것이보다감염을쉽게시키기위한방법이기때문이다. 악의적코드설치로인한피해는즐겨찾기의변경, 툴바설치, 브라우저의시작페이지변경등이해당되며키로거등의설치를통해사용자계정정보를빼내가기도한다. 웹환경의변화에따라전통적인방법의악성코드감염에서이제는웹으로그방법이많이옮겨지고있다. 이에대한대책으로는사용하는컴퓨터에최신의보안패치설치와의심되는사이트는방문하지않고안티바이러스, 개인용방화벽등과같은보안제품의설치를통해피해를최소화할수있다. 오피스취약점을파헤쳐본다. 이번달에도오피스관련많은취약점 (MS07-023, MS07-024, MS07-025) 이발생하였는데 오피스취약점은무엇이고이를통해어떠한피해들이발생할수있는지살펴보도록한다. 사용자들이많이묻는주요한질문몇가지에대해서알아볼것이다. Copyright AhnLab Inc,. All Rights Reserved. 25
26 1. MS 오피스취약점이란무엇인가? 오피스프로그램은대다수사용자가이용하는응용프로그램으로스프레드시트프로그램인엑셀 (Excel), 문서작성 / 편집프로그램인워드 (Word), 프리젠테이션관련프로그램인파워포인트 (PowerPoint), 데이터베이스관련프로그램인 (Access), 이메일프로그램인아웃룩 (OutLook) 등으로구성되어있다. MS 오피스취약점은이러한오피스프로그램및오피스라이브러리에버그 (Bug) 가존재하는것을말한다. 사용자가악의적으로조작된오피스파일 (File) 을읽는과정에서, 사용자가관리자권한으로로그인되어있는경우취약점을악용한공격자는프로그램의설치, 보기, 변경, 데이터삭제등과같은권한을얻게되어시스템을완전히제어할수있게된다. 하지만, 취약점을이용한공격에성공하기위해서는사용자의개입이필요하다. 그러나, MS 오피스프로그램이기업의많은컴퓨터에설치되어있어위험의심각도가높다고볼수있다. 2. MS 오피스취약점동향및피해사례 MS 오피스취약점은 2006년상반기부터본격적으로나타나기시작하였다. MS 사의보안패치중에 2006년과 2007년 5월까지 MS 오피스공격에이용될수있는취약점은총 22 건이다. 이것은같은기간동안의전체보안패치중약 21.5% 정도를차지하고있다. 취약점을이용한공격에는조작된파일을특정 / 불특정사용자에게메일또는웹으로전달하 여사용자가해당오피스파일 (File) 읽는경우임의의코드또는악성코드를실행할수있 게된다. 악성코드는 V3 진단명으로 PP97M/Exploit-PPDropper, X97M/Exploit.Excel, X97M/Exploit.ControlExcel 등이존재하며, 내부코드에트루잔 (Trojan) 및다운로더 (Downloader) 등이포함되어져있기도하며, 최근에는특정오피스취약점을공격하는자동제작기가중국에서발견되기도하였다. 외국뿐만아니라국내에서도 MS 오피스취약점을이용한공격이발생하고있는데, 이러한공격은주로특정목적을가지고수행되는것으로보이며, 개인및기업등의민감한정보를노리는것으로파악된다. MS 오피스취약점은제로데이 (Zero-Day) 공격에도자주사용이되고있기때문에, 주의가필요하다. 3. MS 오피스종류에따라취약점이발견되는것인지? 엑셀, 워드, 파워포인트개별로취약점이발견되며또한오피스공통라이브러리에서취약점 Copyright AhnLab Inc,. All Rights Reserved. 26
27 이발견되는경우도존재하며공격형태는유사하다고볼수있다. 4. 사용자가주의해야할점 1) 오피스프로그램의보안패치를주기적으로해야한다. 2) 오피스파일을메일또는웹으로받은경우에는신뢰되지않은사용자이거나신뢰되지않은웹사이트인경우에주의가필요하다. 3) Anti-Virus 제품및개인방화벽을사용한다. 4) 네트워크관리자는네트워크보안제품의사용을고려한다. 5) 네트워크관리자는메일서버에서오피스파일이첨부된이메일 ( ) 을필터링 (Filtering) 하는것을고려할수도있다. Copyright AhnLab Inc,. All Rights Reserved. 27
28 III. ASEC 컬럼 (1) 악성코드분석가입장에서본 PE 구조 1. 악성코드와 PE(Portable Executable) 파일의조우 PE 파일이라부르는형식은플랫폼에관계없이 Win32 운영체제시스템이면어디든실행가능한프로그램을뜻한다. PE 파일 (*.EXE, *.DLL) 의실행을위해서는운영체제에실행파일의정보를제공할필요가있는데, 예를들면실행파일의기계어코드위치, 아이콘및그림파일등의위치, 해당파일이실행될수있는플랫폼의종류, 운영체제가파일을실행시킬때첫시작코드의위치등수많은정보를제공하여야한다. 이와같은다양한정보들이저장된곳이 PE 파일의처음에위치한 PE 헤더구조체이다. 악성코드를분석하여보면 PE 헤더구조체에흥미로운정보들이많이존재하고있음을알수있다. 악성코드의크기를줄이기위해헤더정보를속이거나, 바이러스에감염되어원본파일의헤더가변경되기도한다. 또한특정악성코드만의고유한정보가숨어있기도하며, 일반정상파일에서는있을수없는값들이들어있기도하다. 2. 현재의악성코드가 DOS 시절의헤더를이용한다? PE 파일은 IMAGE_DOS_HEADER 구조체로시작한다. 이는 DOS 시절에사용되던실행파 일의헤더로서실행파일이 DOS 에서실행되었을때 DOS 운영체제에알려줘야할정보들 이담겨있다. 다음은 IMAGE_DOS_HEADER 구조체이다. typedef struct _IMAGE_DOS_HEADER { WORD e_magic; WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_maxalloc; WORD e_ss; WORD e_sp; WORD e_csum; WORD e_ip; // Magic number // DOS.EXE header // Bytes on last page of file // Pages in file // Relocations // Size of header in paragraphs // Minimum extra paragraphs needed // Maximum extra paragraphs needed // Initial (relative) SS value // Initial SP value // Checksum // Initial IP value Copyright AhnLab Inc,. All Rights Reserved. 28
29 WORD e_cs; // Initial (relative) CS value WORD e_lfalc; // File address of relocation table WORD e_ovno; // Overlay number WORD e_oemid; // OEM identifier (for e_oeminfo) WORD e_oeminfo; // OEM information; e_oemid specific WORd e_res2[10]; // Reserved words LONG e_lfanew; // File address of new exe header } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER; 그러나, 이것은 DOS 운영체제를위해제공하는정보들이기때문에현재 Windows 환경에서는필요치않다. 대다수의필드들은무시되며 e_magic 및 e_lfanew 필드만이유용한정보가된다. e_magic 필드는 IMAGE_DOS_HEADER의시작을나타내는것으로항상 MZ 라는문자열로시작을한다. 그리고 e_lfanew 필드는 IMAGE_DOS_HEADER 다음에나오는헤더파일의오프셋값을가지고있다. 그외의필드들은 Windows에서파일을실행시켰을때이용되지않는다. 다음 [ 그림 3-1] 은일반적인실행파일의 IMAGE_DOS_HEADER의값이다. [ 그림 3-1] IMAGE_DOS_HEADER 정보 이위의값들은만일 DOS Mode 실행시 Dos Stub 실행을목적으로지정된값들로이헤더뒤에따르는문자열 This program cannot be run in DOS mode 을출력해주기위해지정된값들이다. Dos가아닌 Windows 모드에서실행시켰을경우에는이용되지않는다. 그러나몇몇악성코드를분석하다보면실제사용되지않는필드값들이악성코드에의해사용되고있는흥미로운사실을발견할수있다. 다음 [ 그림 3-2] 는악성코드에서많이사용되는실행압축방식의하나인 Upack의 IMAGE_DOS_HEADER 부분이다. [ 그림 3-2] Upack 의 IMAGE_DOS_HEADER 정보 앞서설명한 IMAGE_DOS_HEADER 와는확연한차이를보인다. e_magic 및 e_lfanew 필 드이외의값들이 KERNEL32.DLL, LoadLibraryA, GetProcAddress 등의문자열로채 Copyright AhnLab Inc,. All Rights Reserved. 29
30 워진것을확인할수있다. 이들문자열들은동적링크를위한함수호출에필요한문자열들로실행압축인 Upack에서필요한라이브러리함수 (DLL) 들을가져다쓰는루틴을위해존재한다. 여기서는범용실행압축모듈인 Upack을통해실제이용되지않는필드들을활용하는사례를다루었지만, 악성코드들역시필요한정보들의보관을위해 IMAGE_DOS_HEADER 의빈공간을적절히이용하고있다. 3. e_lfanew 필드가 IMAGE_DOS_HEADER 범위안을가리키고있다? IMAGE_DOS_HEADER의 e_lfanew 필드는다음에올헤더위치의파일오프셋을가리키고있다. 즉, 실제 PE 파일의시작이라고할수있는 IMAGE_NT_HEADER의시작오프셋값을가지고있다. 다음 [ 그림 3-3] 은일반적인실행파일의 e_lfanew 필드의값인 0x E 위치의값을보여준다. [ 그림 3--3] IMAGE_DOS_HEADER 의 e_lfanew 정보 위그림과같이일반적인실행파일은다음에올헤더위치의파일오프셋을가리키고있다. 0x000000E0 위치에있는헤더는 IMAGE_NT_HEADER 로써다음과같은구조체로정의가 되어있다. typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADER32, *PIMAGE_NT_HEADER32; Copyright AhnLab Inc,. All Rights Reserved. 30
31 첫필드인 Signature는 PE 헤더의시작을알리는값으로 PE 라는문자열이들어가게된다. 그렇기때문에 IMAGE_DOS_HEADER의 e_lfanew 필드가가리키는위치를가보면 PE\0\0 과같은문자열이나타나게된다. IMAGE_FILE_HEADER와 IMAGE_OPTIONAL_HEADER32는 PE 구조체의세부적인값들로지정된구조체이다. 그럼 e_lfanew 필드는언제나자신보다뒤에있는영역을가리키고있는것일까? 일반적인실행파일의경우그렇다고할수있다. 그러나몇몇악성코드들에서는다음 [ 그림 3-4] 와같은모습이보여지기도한다. [ 그림 3-4] 악성코드에서의특이한 e_lfanew 정보의예 일반적인실행파일과다르게 IMAGE_DOS_HEADER의 e_lfanew 필드가자신보다앞의영역을가리키고있다. 이와같이다소일반적이지않은형태로구조체가정의되더라도각필드에맞는값들이채워진다면운영체제가파일을읽어들여서실행하는것에는문제가되지않는다. 특히 IMAGE_DOS_HEADER의첫필드와마지막필드를제외하고는현재이용되지않기때문에전혀문제가되지않는다. 단, IMAGE_NT_HEADER 구조체의시작이앞으로이동하게되면 e_lfanew 필드값이 PE 헤더값과겹치게되므로, e_lfanew 필드값과매칭되는 PE 헤더의값 (BaseOfData) 에문제가없어야만한다. 다음 [ 그림 3-5] 를살펴보면 IMAGE_DOS_HEADER의 e_lfanew 필드는파일오프셋으로 0x 을가리키고있다. 그리고 IMAGE_NT_HEADER의앞부분에위치한이용되지않는 IMAGE_DOS_HEADER의영역에 KERNEL32.DLL 문자열을숨겨두었다. IMAGE_NT_HEADER를보면 PE 헤더의시작뒤를보면파일오프셋 0x A 부분부터 LoadLibraryA 문자열이있는것을확인할수있다. [ 그림 5] 악성코드가삽입한 IMAGE_DOS_HEADER 내의문자열정보 해당영역은 IMAGE_NT_HEADER 에멤버로등록된구조체인 Copyright AhnLab Inc,. All Rights Reserved. 31
32 IMAGE_OPTIONAL_HEADER 의영역으로각대칭되는필드는다음그림 [2-6] 과같다. [ 그림 2-6] IMAGE_OPTIONAL_HEADER 정보 Major Linker Version, Minor Linker Version, SizeOfCode, SizeOfInitializedData, SizeOfUninitializedData의값이된다. Major 및 Minor Linker Version 필드는실행파일을만든링커의버전을담고있으며, SizeOfCode 필드는모든코드섹션들의사이즈를합한크기이다. SizeOfInitializedData 필드는코드섹션을제외한초기화된데이터섹션의전체크기를나타내며, SizeOfUninitializedData 필드는초기화되지않은데이터섹션의바이트수를나타낸다. 일반적인실행파일의경우이러한값들은거의쓰이지않는다. 4. 다른컴퓨터의정상적인실행파일과내컴퓨터의정상적인실행파일이다르다? 일반적으로같은플랫폼에서의같은실행파일의경우직접링커를통해실행파일을만들지않는이상 ( 즉, 일반적으로제공되는어플리케이션을설치했을경우에는 ) 같은속성을가지게된다. 그러나이실행파일헤더의특정몇몇부분이다를경우에는실행파일이감염되었음을의심해볼수있다. [ 그림 3-7] 과 [ 그림 3-8] 에서진단명 Tufic.C에감염전후의 explorer.exe 파일의차이를확인해볼수있다.. Copyright AhnLab Inc,. All Rights Reserved. 32
33 [ 그림 7] Tufic.C 감염전 Number of Sections 정보 [ 그림 8] Tufic.C 감염후 Number of Sections 정보 [ 그림 2-7] 은 Tufic.C 감염되기이전의 IMAGE_NT_HEADER에속한 IMAGE_FILE_HEADER의값이며, [ 그림 2-8] 은감염된이후의모습이다. 박스안의 NumberOfSections 필드를살펴보면감염된이후에값이 1만큼증가한것을확인할수있다. Tufic.C는원본파일의맨뒤에바이러스를첨가시키는 Appending 바이러스의한유형으로바이러스를추가할부분을만들기위해섹션의수를하나증가시켜놓은것이다. [ 그림 2-9] Tufic.C 감염후추가된섹션정보 [ 그림 2-9] 는추가된섹션헤더의모습이다. 여기에서상당히많은악성코드정보를얻을 수있으며, 이러한정보는악성코드분석에큰도움을준다. 우선섹션의이름은.adate 임을 알수있다. Tufic.C 와같이바이러스감염시섹션이름을특정문자열로주게되면, 바이러 Copyright AhnLab Inc,. All Rights Reserved. 33
34 스감염여부에대한기초적인판단정보가되기도한다. VirtualSize는감염파일이운영체제에의해로드되었을때, 이섹션의이미지상의크기를나타내어준다. 이것은바이러스코드의길이를짐작할수있다. RVA는실행파일이운영체제에의해로드되었을때메모리상의위치정보이며, 감염파일을분석할때바이러스코드를확인할수있다. SizeOfRawData는파일상에서섹션의크기에대해알수있으며, 치료할때사용된다. PointerToRawData는파일상의섹션위치를알수있으며이것또한치료할때사용된다. Characteristics은해당섹션의속성을나타내는플래그의집합이다. 바이러스가생성한섹션의플래그는 IMAGE_SCN_CNT_CODE, _EXECUTE, _READ, _WRITE 등의속성이지정되어있으며각각은 코드를포함하고있다, 실행가능한섹션이다, 읽기가능섹션이다, 쓰기가능섹션이다 는것을의미한다. [ 그림 3-10] 에서와같이섹션정보이외에수정되는것이더있는지확인을해보면중간부분에서와같이몇개의필드가수정된것을확인할수있다. [ 그림 3-10] Tufic.C 감염전 / 후의 IMAGE_OPTIONAL_HEADER 정보 IMAGE_NT_HEADER에속해있는 IMAGE_OPTIONAL_HEADER32 구조체의필드값들이다. 왼쪽이감염이전의 explorer.exe 파일이며, 오른쪽이감염이후의 explorer.exe 파일이다. 감염전 / 후를비교해보면, 세부분이바뀐것을확인할수있는데, 첫번째 SizeOfCode는앞서설명과같이모든코드섹션의사이즈를합한크기이며그크기가증가한것을확인할수있다. 또한맨마지막의 SizeOfImage는운영체제가이실행파일을로드할때확보 / 예약해야할메모리상의크기를가리킨다. 이또한 SizeOfCode가증가한크기만큼증가한것을확인할수있다. Copyright AhnLab Inc,. All Rights Reserved. 34
35 중요한것은 AddressOfEntryPoint 인데이부분은운영체제가실행파일을로드했을때, 이실행파일의코드시작점을나타낸다. Tufic.C에감염되었을경우에는이와같이코드진입점이변경되며변경된코드진입점은바이러스의시작주소를가리키게된다. 이것은바이러스분석에결정적자료가된다.( 물론이처럼 AddressOfEntryPoint 필드를변경하지않고, 실제시작코드를변경하는바이러스들도존재한다.) 변경된원본 AddressOfEntryPoint 는바이러스가나중에원본파일을정상실행시키기위해서임의의위치에백업을해둔다. 5. Import Address A Table 정보를이용한악성코드분석 DLL(Dynamic Link Library) 은서로다른프로그램이실행된후공통적으로사용하는함수들을하나로묶어두고이를필요로할때동적으로링크하여사용하는공유라이브러리파일이다. 각각의프로그램에서하나의함수를공통적으로사용하게되므로메모리가절약되고, 주프로그램과함께컴파일되는정적링크에비해상대적으로작은사이즈를가지는잇점이있다. 최대한간략하게만들어야하는악성코드역시필요한함수를동적링크하는것이일반적이므로, 함께링크되는 DLL 함수정보를살펴보면악성코드가의도하는목적을유추할수있다. PE 구조에서해당정보를보관하고있는 Import Address Table을찾아가보기로한다. 1) PE 파일의시작 (e_magic) 에서 0x3C 만큼이동하면 IMAGE_NT_HEADERS 시작오프셋 값 (e_lfanew) 을찾을수있다 2) IMAGE_NT_HEADERS 시작오프셋 (Signature) 에서 0x80 만큼이동한지점이 Import Directory RVA 구조체정보이다. 구조체엔트리에대한의미는 WinNT.H 파일에다음과같 이정의되어있다. typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; Copyright AhnLab Inc,. All Rights Reserved. 35
36 [ 그림 3-11] Import Directory RVA 정보 3) Import Directory RVA에대한 FileOffset으로이동하면동적으로링크하는 DLL 파일들의구조체 (IMAGE_IMPORT_DESCRIPTOR) 정보를확인할수있다. 다음은 Win- Trojan/Backdoor B 에서동적으로링크하는 DLL 및그에따른함수 (Import Address Table) 정보를일부발췌한것이며, 이를통해해당악성코드는 URL 접속및정보유출, 불특정파일다운로드등의증상을유추해볼수있겠다. urlmon.dll: Internet Explorer의구성요소로, 웹사이트에서반환된 URL과정보를처리한다 WS2_32.dll: Windows Socket API, WSAStartup 함수를통해 DLL을로딩하여사용한다 [ 그림 3-12] IMAGE_IMPORT_DESCRIPTOR 정보 (Win-Trojan/Backdoor B) Copyright AhnLab Inc,. All Rights Reserved. 36
37 [ 그림 3-13] Import Address Table 정보 (Win-Trojan/Backdoor B) 6. Import Address Table 정보를은닉한악성코드분석 레지스트리및파일 I/O, 소켓연결, 프로세스관련함수호출은악성코드들이즐겨사용하며, 이를통하여안티바이러스프로그램및분석가들도악성여부를판단하는기초자료로사용한다. 이러한특성을인지한악성코드제작자들은치료백신업데이트및분석지연을목적으로 DLL 정보및호출함수정보를은닉하게되는데실행압축 (Packer), 암호화 (Encrypt) 등을사용하는것이일반적이며, 일부악성코드는 PE 구조체의 Import Address Table 정보를메인루틴에서생성하기도한다. 1) GetProcAddress() 함수주소획득호출함수들의주소정보획득을위해서 DLL 핸들, 함수명을인자값으로 GetProcAddress() 를호출하며, GetProcAddress() 함수에대한주소정보는메인루틴상의 kernel32.dll 에서획득한다. 다음은 Win32/MaDang 에서 GetProcAddress() 함수주소를획득하는과정을보여준다. [ 그림 3-14] GetProcAddress 함수에대한주소획득과정 (Win32/MaDang) Copyright AhnLab Inc,. All Rights Reserved. 37
38 2) 함수명추출을위한서브루틴호출 LoadLibrary() 를통해 DLL핸들이확보되면, GetProcAddress() 인자값으로사용할함수명을추출해야하는데, Win32/MaDang 에서는다소변칙적인함수호출과정을이용한다. 일반적인함수호출은서브루틴이호출되면복귀주소 (Return Address) 가스택에쌓이고 (PUSH) 서브루틴종료시복귀주소를스택에서꺼내어 (POP) 메인루틴으로복귀하는과정을밟는다. 다음은 Win32/MaDang 에서위와같은함수호출과정으로스택에쌓인값이복귀주소를가리키지않고함수명을가리킬수있음을보여준다. [ 그림 3-15] 함수명추출을위한서브루틴호출과정 (Win32/MaDang) 3) 호출함수들의주소정보획득다소변칙적인함수호출과정을통해필요한함수명이스택에저장되었고 DLL핸들또한확보되었다. 최종적으로 GetProcAddress() 함수호출을통해메인루틴에서사용될함수들의주소정보를모두획득하면 Import Address Table 이완성된다. Copyright AhnLab Inc,. All Rights Reserved. 38
39 [ 그림 3-16] 호출함수들의주소정보획득과정 (Win32/MaDang) 7. PE(Portable Executable) 구조체와악성코드분석가의조우 악성코드를분석하다보면이이외에도많은흥미로운것들을발견할수있다. 그러나앞에서언급을했듯이모든악성코드들이이러한특성들을가지고있는것은아니며, 정상파일은이러한특성을가지지않는것은아니다. 다만악성코드들에서발생빈도가더높을뿐이다. 이러한정보들은악성코드의악의적인동작들과는관계가없는것들은많지만, 악성코드를분석하고악성 / 정상을판단하는것에결정적인힌트가되어주기도한다. 또한각악성코드만의 PE 헤더특성을악성코드진단에이용할수있으며바이러스와같은경우에는정상파일을감염시켜 PE 헤더의내용을바꾸는동작을수행할가능성이높기때문에치료함수를제작하기위해서이러한 PE 헤더의바뀐부분에대한파악이중요하다. 그러므로 PE 구조체와악성코드분석은떼어낼래야뗄수없는관계이다 Copyright AhnLab Inc,. All Rights Reserved. 39
목 차 1. 개요 2. PE(Portable Executable) 이란? 3. IMAGE_DOS_HEADER 4. IMAGE_NT_HEADER 1) IMAGE_FILE_HEADER 2) IMAGE_OPTIONAL_HEADER 3) IMAGE_DATA_DIRECTORY
작성자 : 한서대학교 H.I.S.L 동아리진선호 sunho104@msn.com 본보고서의전부나일부를인용시반드시 [ 자료 : 한서대학교정보보호동아리 (H.I.S.L)] 를명시하여주시기바랍니다. - 1 - 목 차 1. 개요 2. PE(Portable Executable) 이란? 3. IMAGE_DOS_HEADER 4. IMAGE_NT_HEADER 1) IMAGE_FILE_HEADER
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More informationDeok9_PE Structure
PE Structure CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 1. PE > 1) PE? 2) PE 3) PE Utility
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More informationA Hierarchical Approach to Interactive Motion Editing for Human-like Figures
단일연결리스트 (Singly Linked List) 신찬수 연결리스트 (linked list)? tail 서울부산수원용인 null item next 구조체복습 struct name_card { char name[20]; int date; } struct name_card a; // 구조체변수 a 선언 a.name 또는 a.date // 구조체 a의멤버접근 struct
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More informationWindows Server 2012
Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀
[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More information<4D F736F F D20B0ADB5BFC7F65FB1E2BCFAB9AEBCAD5F4645B1B8C1B620B1E2BCFAB9AEBCAD5F66726F6D E6B5F66696E F2E646F63>
기술문서 08.10.24. 작성 PE 구조분석 Windows 계열 OS 의파일구성 (PE: Portable Executable) 작성자 : 동명대학교 THINK 강동현 (cari2052@gmail.com) 0. 시작하면서 -------------------------------------------------------------------------- p.02
More informationPoison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3
Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Example 3.1 Files 3.2 Source code 3.3 Exploit flow
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More information<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>
SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......
More information다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");
다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationMicrosoft PowerPoint - chap06-2pointer.ppt
2010-1 학기프로그래밍입문 (1) chapter 06-2 참고자료 포인터 박종혁 Tel: 970-6702 Email: jhpark1@snut.ac.kr 한빛미디어 출처 : 뇌를자극하는 C프로그래밍, 한빛미디어 -1- 포인터의정의와사용 변수를선언하는것은메모리에기억공간을할당하는것이며할당된이후에는변수명으로그기억공간을사용한다. 할당된기억공간을사용하는방법에는변수명외에메모리의실제주소값을사용하는것이다.
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More information(Microsoft Word - ASEC Report 2007\263\3429\277\371\310\243.doc)
ASEC Report 9월 ASEC Report 2007. 10 I. ASEC 월간통계 2 (1) 9월악성코드통계 2 (2) 9월스파이웨어통계 11 (3) 9월시큐리티통계 14 II. ASEC Monthly Trend & Issue 16 (1) 악성코드 Win-Trojan/Eldo 16 (2) 스파이웨어 교묘해진스파이웨어의동의과정 19 (3) 시큐리티 데이터복원이슈
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More informationDLL(Dynamic Linked Library)
제 11 장동적연결라이브러리 11.1 DLL 의링크 11.2 DLL 의종류 실습 11-1 Implicit 링킹을통한정규 DLL 달력만들기 실습 11-2 Explicit 링킹을통한정규 DLL 달력만들기 실습 11-3 확장 DLL 을통한주민등록번호조회 프로그램만들기 DLL(Dynamic Linked Library) DLL 이란? 동적연결라이브러리 프로그램내부에라이브러리가있는것이아니라따로독립적으로실행가능한파일
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More information임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과
임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과 System call table and linkage v Ref. http://www.ibm.com/developerworks/linux/library/l-system-calls/ - 2 - Young-Jin Kim SYSCALL_DEFINE 함수
More informationMicrosoft PowerPoint - additional01.ppt [호환 모드]
1.C 기반의 C++ part 1 함수 오버로딩 (overloading) 디폴트매개변수 (default parameter) 인-라인함수 (in-line function) 이름공간 (namespace) Jong Hyuk Park 함수 Jong Hyuk Park 함수오버로딩 (overloading) 함수오버로딩 (function overloading) C++ 언어에서는같은이름을가진여러개의함수를정의가능
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서
커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드
More informationJAVA 프로그래밍실습 실습 1) 실습목표 - 메소드개념이해하기 - 매개변수이해하기 - 새메소드만들기 - Math 클래스의기존메소드이용하기 ( ) 문제 - 직사각형모양의땅이있다. 이땅의둘레, 면적과대각
JAVA 프로그래밍실습 실습 1) 실습목표 - 메소드개념이해하기 - 매개변수이해하기 - 새메소드만들기 - Math 클래스의기존메소드이용하기 ( http://java.sun.com/javase/6/docs/api ) 문제 - 직사각형모양의땅이있다. 이땅의둘레, 면적과대각선의길이를계산하는메소드들을작성하라. 직사각형의가로와세로의길이는주어진다. 대각선의길이는 Math클래스의적절한메소드를이용하여구하라.
More informationMicrosoft PowerPoint - ch09 - 연결형리스트, Stack, Queue와 응용 pm0100
2015-1 프로그래밍언어 9. 연결형리스트, Stack, Queue 2015 년 5 월 4 일 교수김영탁 영남대학교공과대학정보통신공학과 (Tel : +82-53-810-2497; Fax : +82-53-810-4742 http://antl.yu.ac.kr/; E-mail : ytkim@yu.ac.kr) 연결리스트 (Linked List) 연결리스트연산 Stack
More information(Microsoft Word - ASEC Report 2007\263\3423\277\371\310\243.doc)
ASEC Report 3 월 ASEC Report 2007. 3 I. ASEC Monthly 통계 2 (1) 3월악성코드통계 2 (2) 3월스파이웨어피해통계 9 (3) 3월시큐리티통계 12 II. ASEC Monthly Trend & Issue 14 (1) 악성코드 ANI 관련취약점과 Win32/Virut 바이러스변형출현 14 (2) 스파이웨어동향 : 복합공격의증가
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More informationASEC Report
1. 악성코드 메신저관련악성코드와테러뉴스를위장한월덱 (Waledac) 변형... 2 2. 스파이웨어 애드웨어들간의전쟁 (AdWars)... 5 3. 시큐리티 컨피커 (Conficker) 웜의세번째공격... 8 4. 네트워크모니터링현황- MS08-067 취약점의위험성지속... 11 5. 중국보안이슈 해외기관을공격하는 GhostNet 발견... 13 악성코드의국지성...
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트
3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트워크주소와 브로드캐스트주소를설명할수있다. 학습내용 1 : IP 헤더필드구성 1. Network Layer Fields 2. IP 헤더필드의구성 1)
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More informationPowerPoint 프레젠테이션
BOOTLOADER Jo, Heeseung 부트로더컴파일 부트로더소스복사및압축해제 부트로더소스는웹페이지에서다운로드 /working 디렉터리로이동한후, wget으로다운로드 이후작업은모두 /working 디렉터리에서진행 root@ubuntu:# cp /media/sm5-linux-111031/source/platform/uboot-s4210.tar.bz2 /working
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More information목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault
사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash
More informationView Licenses and Services (customer)
빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More information금오공대 컴퓨터공학전공 강의자료
C 프로그래밍프로젝트 Chap 14. 포인터와함수에대한이해 2013.10.09. 오병우 컴퓨터공학과 14-1 함수의인자로배열전달 기본적인인자의전달방식 값의복사에의한전달 val 10 a 10 11 Department of Computer Engineering 2 14-1 함수의인자로배열전달 배열의함수인자전달방식 배열이름 ( 배열주소, 포인터 ) 에의한전달 #include
More informationPathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.
PathEye Mobile Ver. 0.71b 2009. 3. 17 By PathEye 공식 블로그 다운로드 받으세요!! http://blog.patheye.com 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye 설치 1/3 최종 배포 버전을 다 운로드 받습니다. 다운로드된 파일은 CAB 파일입니다. CAB 파일에는
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More informationASEC Report
ASEC Report 10 월 ASEC Report 2008. 11. I. ASEC Monthly Trend & Issue... 2 (1) 악성코드 MS08-067 윈도우보안취약점을악용하는악성코드... 2 (2) 스파이웨어 스팸메일러피해증가... 5 (3) 시큐리티 원격공격이가능한 MS08-067... 9 (4) 네트워크모니터링현황 TCP 445 포트공격시도...
More informationⅠ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성
Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한, 악성코드대표진단명별감염보고 Top 20 이다. 악성코드통계 [ 표 1-2]
More informationASEC Report
ASEC Report 12 월 ASEC Report 2009. 1. I. 이달의보안이슈... 2 (1) 악성코드 IE 제로데이취약점과쿠폰을가장한악성코드... 2 (2) 스파이웨어 애드웨어의새로운시도... 5 (3) 시큐리티 MS08-078 IE XML 제로데이취약점... 9 (4) 네트워크모니터링현황 MS08-067 취약점공격트래픽... 12 (5) 중국보안이슈
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information11장 포인터
Dynamic Memory and Linked List 1 동적할당메모리의개념 프로그램이메모리를할당받는방법 정적 (static) 동적 (dynamic) 정적메모리할당 프로그램이시작되기전에미리정해진크기의메모리를할당받는것 메모리의크기는프로그램이시작하기전에결정 int i, j; int buffer[80]; char name[] = data structure"; 처음에결정된크기보다더큰입력이들어온다면처리하지못함
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More information(Microsoft Word - ASEC Report 2007\263\3426\277\371\310\243.doc)
ASEC Report 6월 ASEC Report 2007. 7 I. ASEC 월간통계 2 (1) 6월악성코드통계 2 (2) 6월스파이웨어통계 10 (3) 6월시큐리티통계 13 II. ASEC Monthly Trend & Issue 16 (1) 악성코드 Win32/Alman.C 바이러스국내발견, 보고 16 (2) 스파이웨어 스파이웨어의새로운시도 22 (3) 시큐리티
More informationASEC Report
1. 악성코드 AimBot 웜의출현과 Virut 바이러스변형기승... 2 2. 스파이웨어 스파이웨어배포방식의지능화... 5 3. 시큐리티 다양한취약점을이용한공격증가... 8 4. 네트워크모니터링현황 MS08-067 취약점을이용한공격증가... 12 5. 중국보안이슈 가짜경품웹사이트사기단검거... 14 주요백싞프로그램의오진사례와원읶... 17 1. 악성코드 Autorun
More information메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF
More informationⅠ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염
Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염보고 Top 20 2010년 10월의 감염보고 건수는 Win-Trojan/Agent가 총 856,917건
More informationPowerPoint 프레젠테이션
System Software Experiment 1 Lecture 5 - Array Spring 2019 Hwansoo Han (hhan@skku.edu) Advanced Research on Compilers and Systems, ARCS LAB Sungkyunkwan University http://arcs.skku.edu/ 1 배열 (Array) 동일한타입의데이터가여러개저장되어있는저장장소
More informationchap 5: Trees
5. Threaded Binary Tree 기본개념 n 개의노드를갖는이진트리에는 2n 개의링크가존재 2n 개의링크중에 n + 1 개의링크값은 null Null 링크를다른노드에대한포인터로대체 Threads Thread 의이용 ptr left_child = NULL 일경우, ptr left_child 를 ptr 의 inorder predecessor 를가리키도록변경
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix 2.7.1 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. postfix,
More informationTablespace On-Offline 테이블스페이스 온라인/오프라인
2018/11/10 12:06 1/2 Tablespace On-Offline 테이블스페이스온라인 / 오프라인 목차 Tablespace On-Offline 테이블스페이스온라인 / 오프라인... 1 일반테이블스페이스 (TABLESPACE)... 1 일반테이블스페이스생성하기... 1 테이블스페이스조회하기... 1 테이블스페이스에데이터파일 (DATA FILE) 추가
More informationMicrosoft Word - ASEC Report doc
Manual 목 ASEC Report 11월 ASEC Report 2004. 12 I. 11 월악성코드피해 Top 10 3 II. 11 월국내신종악성코드발견동향 8 III. 11 월신규보안취약점 13 IV. 11 월일본피해동향 16 V. 11 월중국피해동향 20 안철수연구소의시큐리티대응센터 (Ahnlab Security E-response Center) 는악성코
More informationSecurity Trend ASEC REPORT VOL.68 August, 2015
Security Trend ASEC REPORT VOL.68 August, 2015 ASEC REPORT VOL.68 August, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information컴퓨터관리2번째시간
Company 컴퓨터 관리 참고 자료 PC 운영체제 POST 기능 :, ROM BIOS ( : [F8]) 1. Windows XP Windows XP 사용자 계정 :,,, 강화된 디지털 미디어 지원 기능 : (Windows Movie Maker), CD (Windows Media Player), Windows 홈 네트워크 기능 :, 강화된 시스템 관리 :,
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More informationAdobe Flash 취약점 분석 (CVE-2012-0754)
기술문서 14. 08. 13. 작성 GNU C library dynamic linker $ORIGIN expansion Vulnerability Author : E-Mail : 윤지환 131ackcon@gmail.com Abstract 2010 년 Tavis Ormandy 에 의해 발견된 취약점으로써 정확한 명칭은 GNU C library dynamic linker
More informationASEC Report
1. 악성코드 파워포읶트제로데이관련취약점과또다른 Conficker 웜변형... 2 2. 스파이웨어 Zlob 방식으로배포되는국내애드웨어... 6 3. 시큐리티 PPT 0 day 취약점 (CVE-2009-0556)... 12 4. 중국보안이슈 중국의정보보안관련법... 16 Ineternet Explorer 8.0 의편리함과보안위협... 18 1. 악성코드...
More informationMicrosoft PowerPoint - [#4-2] File System Forensic Analysis.pptx
File System Forensic Analysis Twitter : @pr0neer Blog : f Email : proneer@gmail.com Kim Jinkook Outline 1. File System Forensic Analysis (FAT/NTFS) Recovery for Deleted Files (FAT/NTFS) Unallocated Cluster
More informationMicrosoft PowerPoint - e pptx
Import/Export Data Using VBA Objectives Referencing Excel Cells in VBA Importing Data from Excel to VBA Using VBA to Modify Contents of Cells 새서브프로시저작성하기 프로시저실행하고결과확인하기 VBA 코드이해하기 Referencing Excel Cells
More informationChapter 4. LISTS
C 언어에서리스트구현 리스트의생성 struct node { int data; struct node *link; ; struct node *ptr = NULL; ptr = (struct node *) malloc(sizeof(struct node)); Self-referential structure NULL: defined in stdio.h(k&r C) or
More informationPowerPoint Template
16-1. 보조자료템플릿 (Template) 함수템플릿 클래스템플릿 Jong Hyuk Park 함수템플릿 Jong Hyuk Park 함수템플릿소개 함수템플릿 한번의함수정의로서로다른자료형에대해적용하는함수 예 int abs(int n) return n < 0? -n : n; double abs(double n) 함수 return n < 0? -n : n; //
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More information<C0CCC8ADC1F82E687770>
분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상
More informationMicrosoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집
Modern Modern www.office.com ( ) 892 5 : 1577-9700 : http://www.microsoft.com/korea Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와
More informationThe Pocket Guide to TCP/IP Sockets: C Version
인터넷프로토콜 03 장 도메인네임시스템과주소 패밀리 (IPv4-IPv6 서비스 ) 1 목차 제 3 장도메인네임시스템과주소패밀리 3.1 도메인네임주소를숫자주소로매핑하기 3.2 IP 버전에무관한주소-범용코드의작성 3.3 숫자주소에서도메인네임주소획득하기 2 getaddrinfo() 를활용한주소 범용 (Generic) 코드 주소범용 (Generic) 코드란? 주소버전
More information<4D F736F F F696E74202D20B8AEB4AABDBA20BFC0B7F920C3B3B8AEC7CFB1E22E BC8A3C8AF20B8F0B5E55D>
리눅스 오류처리하기 2007. 11. 28 안효창 라이브러리함수의오류번호얻기 errno 변수기능오류번호를저장한다. 기본형 extern int errno; 헤더파일 라이브러리함수호출에실패했을때함수예 정수값을반환하는함수 -1 반환 open 함수 포인터를반환하는함수 NULL 반환 fopen 함수 2 유닉스 / 리눅스 라이브러리함수의오류번호얻기 19-1
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More information슬라이드 1
휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다. 2011 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2011년 1월의악성코드감염보고는 TextImage/Autorun이
More information