(Microsoft Word - ASEC Report 2008\263\3428\277\371\310\243.doc)
|
|
- 대연 개
- 5 years ago
- Views:
Transcription
1 ASEC Report 8월 ASEC Report I. ASEC 월간통계 2 (1) 8월악성코드통계 2 (2) 8월스파이웨어통계 11 (3) 8월시큐리티통계 13 II. ASEC Monthly Trend & Issue 15 (1) 악성코드 허위안티바이러스설치를위장한사기성스팸메일기승 15 (2) 스파이웨어 악성허위안티 - 스파이웨어 AntiVirusXP (3) 시큐리티 PDF, HWP 취약점을이용한악성코드유포 23 (4) 네트워크모니터링현황 31 (5) 중국보안이슈 34 III. ASEC 컬럼 36 (1) Win-Trojan/Agent.6144.HK 분석 36 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여악성코드와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.
2 I. ASEC 월간통계 (1) 8 월악성코드통계 Top 10 분석 8 월순위 악성코드명 건수 % 1 new Win-Trojan/Fakeav % 2 new Win-Trojan/Downloader CP % 2 new Win-Trojan/Bho O % 4 new Win-Trojan/FindVM % 5 new Win-Trojan/Virtumod % 6 new Win-Trojan/Agent AF % 7 new Win-Trojan/WowHack Q % 7 new Win-Trojan/Proxy B % 9 new Win-Trojan/Agent.6144.HK % 10 new Win-Trojan/Agent E % 합계 % [ 표 1-1] 2008년 8월악성코드피해 Top 10 [ 표 1-1] 은 2008년 8월악성코드로인한피해 Top 10에랭크된악성코드들을나타내고있다. Top 10에포함된악성코드들의총피해건수는 378건으로 8월한달접수된총피해건수 (3,396건) 의 11.1% 에해당하며지난 7월 849건 (13.6%) 에비해피해건수는감소하였다. Win-Trojan/Fakeav.94208과 Win-Trojan/Downloader CP, Win- Trojan/Bho O의비율이 15~24% 로전체절반이상많은비중을차지하고있으며나머지악성코드들은대부분 10% 미만의비율로큰차이를나타내지는않고있다. 8월에는 Top 10에서도 1~3위의악성코드가다소많은피해를준것으로나타났다. 특히주목할만한현상으로허위백신류의악성코드가 1위를차지한것이다. 허위백신의경우주로스파이웨어로분류되어진단하였으나최근에는설치후 Rootkit을이용하여자신을은폐하고광고성스팸메일을발송하는등악성코드와유사한증상을보이는것들도발견되고있다. 이러한허위백신은대부분외산프로그램으로허위진단결과를보여주고결제를유도하지만 국내에서는결제방법, 언어문제등으로인해서실제로금전적인피해를입었다는신고는접 수되지않았다. 하지만잦은허위감염경고창노출및허위검사화면노출로인해 PC 사용 2
3 에많은불편을초래하여이로인한피해신고가큰폭으로증가하였다. 허위백신의배포는주로이메일 ( ) 을통해이루어지는데, 이는많이알려진방법이지만나날이그수법이교묘해지고있어많은주의가필요하다. 이러한이메일은발신인주소에대형소프트웨어제작업체등과같이잘알려진도메인으로된이메일주소를사용하고, 내용또한관련내용을담고있으며, 첨부파일이아닌본문안에특정파일을다운로드할수있는링크 (URL) 를숨겨두는방식을사용하고있다. 따라서이메일을수신한일반사용자가이메일내용만으로는악성프로그램배포를위한스팸메일인지알기가매우어렵다. 하지만메일안에포함된파일다운로드링크 (URL) 를유심히살펴보면발신인과전혀상관이없는사이트또는의심스러운사이트로연결되어있는것을발견할수있다. 이럴경우절대파일을다운받아실행하지말고해당이메일은삭제하는것이좋다. 비단이러한스팸메일이아닐지라도웹상에서파일을다운로드할경우에는파일이위치한사이트 URL을꼭확인해야한다. [ 그림 1-1] 이메일내용에포함된다운로드링크 (URL) 확인 [ 그림 1-1] 에서는다운로드링크의원본파일위치를확인하는방법을보여준다. 웹브라우저하단의붉은색박스안에보이는부분이파일의원본위치이다. 파일다운로드시브라우저에서기본적으로파일의안전성확인을안내하는창이나타나지만대부분의사용자가이를확인하지않고 [ 실행 ] 또는 [ 저장 ] 버튼을눌러악성코드가감염되도록하고있다. 따라서특정프로그램을설치할경우 [ 실행 ] 또는 [ 저장 ] 버튼을누르는데좀더세심한주의가필요하다. 3
4 월별피해신고건수 [ 그림 1-2] 2007,2008 년월별피해신고건수 [ 그림 1-2] 는월별피해신고건수를나타내는그래프로 8월은전체 3,396건의피해신고가접수되었으며지난달 6,213건과비교하면절반에가까운감소세를보였다. 2월 3,254건으로올해최저점을찍은후 5월까지가파른상승세를보이다가 6,7월소폭감소하며다소주춤한모습을보였고 8월에는지난 2월수준으로크게감소하였다. 지난달여름휴가철로인한 PC 사용감소를감안하여피해신고가어느정도줄어들것으로 예상하였으나 8 월의큰폭의감소세는휴가철 PC 사용량감소와더불어전용진단함수등 으로인한변종악성코드의사전차단효과와도관련이있어보인다. 4
5 [ 그림 1-3] 2008 년 8 월악성코드유형별피해신고건수 [ 그림 1-3] 은 2008년 8월전체악성코드유형별피해신고건수를나타내고있는그래프이다. Top 10의유형과마찬가지로전체피해신고유형을봤을때에도트로이목마가 80% 로높은비중을차지하고있으며지난달에 17% 를차지했던드롭퍼는 6% 가줄어 11% 를기록했다. 나머지는지난달과같은수준을유지했으며꾸준히감소세를보이던바이러스는 8월에는단 1건만이신고되었다. [ 그림 1-4] 2008 년 8 월피해신고된악성코드의유형별현황 [ 그림 1-4] 는 8 월한달간접수된유형별신고건수로 [ 그림 1-3] 의유형별피해신고건수 5
6 와마찬가지로트로이목마가 77% 로여전히높은비율을차지하고있으나지난달 82% 에비해 5% 가감소하였다. 나머지스크립트 6%, 드롭퍼 12%, 웜 4%, 유해가능프로그램이 1% 를골고루차지하고있으며여전히바이러스는전체비율에서 1% 도안되는비율을차지하고있다. 드롭퍼의경우지난달 ARP Spoofing관련악성코드로인한빠른확산으로인해불과 180여종의드롭퍼로인한피해신고가 1060여건이나접수되었으나 8월에는 230여종의드롭퍼로인한피해신고건수가 370여건으로나타나 7월에비해드롭퍼의신종 ( 변종 ) 의수는증가하였으나피해건수는크게줄어든것을알수있다. [ 그림 1-5] 2008 년월별피해신고악성코드종류 [ 그림 1-5] 는 2008년월별피해신고가되는악성코드의종류를나타낸그래프이다. 월별로신고되는악성코드들의종류는 [ 그림 1-2] 의월별피해신고건수와마찬가지로 2월 1,364 건으로감소한이후 5월까지계속적으로증가하였으나 6월이후증가세가꺾여소폭감소하였다가 7월에는큰폭으로감소하여하강곡선이뚜렷해졌고 8월에는이런하강곡선을이어가고있다. 6
7 국내신종 ( 변형 ) 악성코드발견피해통계 8 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 1-2] 와같다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 06 월 월 월 [ 표 1-2] 2008년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 지난달에이어서 8월역시악성코드는감소추세로서전월대비 18% 감소를하였다. 이번달감소원인은크게 2가지추정되는데, 먼저중국에서올림픽이개최된것이어느정도타당한원인으로도추정된다. 이와같이추정하는이유는년중악성코드신고및발생건수가가장적은달이중국최대명절인춘절이있는 2월인데, 이시기에는악성코드발생및국내유입건이다소주춤하고, 지난 4월의경우에도쓰촨성대지진으로악성코드신고건수는다소감소하였다. 따라서중국의이러한사회적이슈가우리나라의악성코드발생및유입에일정부분은영향을미친다고할수있다. 두번째원인으로추정되는것은 V3의 generic 기반진단율의향상이다. 중국에서유입되는악성코드상당수가온라인게임의사용자계정을탈취하는트로이목마인데, 최근 V3에지속적으로적용되고있는 generic 진단함수로사전차단되기때문에 V3에서진단되지않아안철수연구소에피해접수되는악성코드가줄어든것으로추정된다. 7월 ~8월중에수집된온라인게임핵트로이목마 1,328개를표본샘플로한후 generic 진단만으로검사를했을때 60% 정도의진단율을보이고있다. 즉, generic 진단함수가 60% 정도의게임핵관련신종악성코드를사전에치료한것으로추정된다. 다음은이번달악성코드유형을상세히분류하였다. 7
8 [ 그림 1-6] 2008 년 8 월신종및변형악성코드유형 전체적으로접수된신종악성코드의감소에영향을끼친트로이목마류가전월에비하여전체비율에서 3% 감소한 76% 를차지하고있으나, 일반적으로온라인게임핵트로이목마를드롭하는드롭퍼류는전월과비교하여오히려 6% 증가한 14% 를차지하고있다. 이러한현상이발생한원인으로는다수의중국악성코드제작자가초보적인수준이기때문으로추정된다. 다수의온라인게임핵트로이목마제작자들은파일 ( 주로 *.dll 파일 ) 이진단되면이를드롭하는드롭퍼만을제작도구를이용해서다시만들어배포를한다. 결과적으로안티바이러스에서미진단되는드롭퍼는생성될수있으나피해를입히는핵심기능을가지고있는온라인게임핵트로이목마 (dll 파일 ) 는문제없이진단이가능하다. 일반적으로쉽게구할수있는온라인게임핵제작도구들은사용자가핵심부분은건드릴수없고트로이목마를포장하는드롭퍼부분만을새롭게생성하기때문이다. 물론이와같은분석도해당악성코드의소폭증가에따른원인으로추정할뿐이며증가에따른명확한이유는정확히알수는없다. 웜과트로이목마, 바이러스, Autorun 웜유형은전월대비하여소폭감소하였고, 악성 IRCBot 웜은소폭증가하였다. 또한전월에발견되지않았던메신저웜이다시보고되기도하였다. 이메일웜도소폭감소하였으며특히기승을부리던 Win32/Zhelatin.worm 이잠잠하였다. 바이러스는 Win32/Dellboy 바이러스변형이보고되었다. 다음은최근 3 개월악성코드분포이다. 8
9 [ 그림 1-7] 2008 년최근 3 개월간악성코드분포 트로이목마는지난 6월 SWF 취약점과 ARP Spoofing 관련악성코드로폭발적으로증가를하였다. 위에서언급했듯이올림픽특수와 Generic 진단율상승등과같은복합적인이유로트로이목마의비율은최근 3개월간은하락추세에있다. 드롭퍼는상승추세이나그숫자는그리높지않다. 유해가능프로그램에대한엔진반영비율도감소추세에있다. 다음은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라인게임의사 용자계정을탈취하는트로이목마의추세를살펴보았다. 9
10 [ 그림 1-8] 온라인게임사용자계정탈취트로이목마현황 해당악성코드는전월대비무려 51% 감소하였다. 감소원인은중국의올림픽특수와 generic 진단율상승및복합적인이유로추정하였다. 온라인게임핵트로이목마의상당수는특정한유형으로이를 generic하게진단한경우가제일많았다. 지난달에언급했듯이실행압축등으로진단을회피하는형태도많았다. 그러나실행압축을하지않고문자열을암호화하며다중 PE 이미지를갖는등실행압축이외에안티바이러스진단을회피하거나무력화하여자신을진단되지않도록하는유형도늘어나는추세이다. 10
11 (2) 8 월스파이웨어통계 순위 스파이웨어명 건수 비율 1 New Win-Adware/Rogue.AntiVirusXP B 19 18% 2 New Win-Clicker/FakeAlert.6144.C 18 17% 3 New Win-Adware/Rogue.MalwareProtector % 4 New Win-Clicker/FakeAlert F 12 11% 5 New Win-Downloader/Kwsearch % 6 New Win-Clicker/FakeAlert M 7 7% 7 New Win-Adware/Rogue.AntiVirusXP % 8 New Win-Hoax/BSOD % 9 New Win-Clicker/FakeAlert E 7 7% 10 7 Win-Downloader/Kwsearch C 5 5% 합계 % [ 표 1-3] 2008년 7월스파이웨어피해 Top 년 8월스파이웨어피해 Top10에포함된스파이웨어의대부분은해외에서제작된허위안티-스파이웨어프로그램및이와연관된프로그램이다. 이들은성인사이트검색또는스팸메일에의해성인동영상을미끼로사용자를속여설치되며, 감염되는경우바탕화면이스파이웨어감염경고메시지로변경되고블루스크린을표시하는스크린세이버가설치되며, 사용자동의없이설치된허위안티-스파이웨어는주기적으로실행되어허위스파이웨어감염결과를표시한다. 최근가장많은피해를입히고있는허위안티-스파이웨어프로그램인안티바이러스XP2008(Win-Adware/Rogue.AntiVirusXP2008) 은랜덤한문자열을사용하기때문에파일및레지스트리의설치경로명이일정하지않고, 실행파일의경우매일변경될만큼수많은변형을배포하고있어보안프로그램에서탐지하기가매우어려운특징이있다. 안티바이러스XP2008의피해신고건수는 8월에만변형을포함하여 155건에이른다. 8월스파이웨어피해 Top10의 8위에올라있는혹스 BSOD(Win-Hoax/BSOD) 는마이크로소프트사에서제작한블루스크린화면보호기프로그램이악의적으로변형된것이다. 위에서언급한바와같이안티-바이러스XP2008 다운로더는사용자동의없이화면보호기를 BSOD 화면보호기로변경하여시스템에심각한문제가있는것처럼속인다. 블루스크린화면보호기는마이크로소프트사에서제작한정상프로그램이다. 안티바이러스XP2008이사용하는 BSOD 화면보호기는정상프로그램을실행압축하고시스템디렉토리에랜덤한이름으로사용자동의없이설치하는특징이있다. 마이크로소프트홈페이지에서배포하는블루스크린화면보호기 ( 는최초실행과정에서 11
12 사용자동의를받으며, 실행압축도안되어있다 년 8 월유형별스파이웨어피해현황은 [ 표 1-4] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 6월 월 월 [ 표 1-4] 2008년 8월유형별스파이웨어피해건수 스파이웨어에의한피해는지난달과비슷한수준이며, 허위안티-스파이웨어프로그램의영향으로애드웨어의피해가두배넘게증가하였다. 이와함께허위안티-스파이웨어프로그램을설치하는다운로더와드롭퍼도약간증가한수치를보이고있다. 허위경고메시지를표시하는클리커훼이크얼럿 (Win-Clicker/FakeAlert) 의경우지난달보다약 80건이나증가한 97건의피해신고가접수되었다. 전체피해신고건수는 7월보다약 37% 증가한 1348건을기록하였다. 8월스파이웨어발견현황 8 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 1-5] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 6월 월 월 [ 표 1-5] 2008년 8월유형별신종 ( 변형 ) 스파이웨어발견현황 스파이웨어피해통계와마찬가지로허위안티 - 스파이웨어프로그램과이와연관된스파이웨 어의신종및변형이많이발견되었다. 8 월신종및변형스파이웨어발견건수는 745 건으 로 6 월, 7 월에이어증가세를유지하고있다. 12
13 (3) 8 월시큐리티통계 2008년 8월에마이크로소프트사로부터발표된보안업데이트는총 11건으로각각긴급 (Critical) 6건과중요 (Important) 4건, 보통 (Moderate) 1건이다. 최근몇달동안은오피스취약점관련패치가발표되지않았으나, 이번달에는총 5건의보안업데이트가오피스관련취약점을해결하기위해발표되었다. 아직까지발표된오피스취약점을도용하는사례는보고되지않고있으나최근 PDF, Office 등어플리케이션파일들을통한공격이확산되고있으니어플리케이션보안에도주의를기울여야것으로보인다. 특히, 지난 7 월말발표된 Microsoft Access Snapshot Viewer 취약점 (MS08-041) 1 은발표 이후실제로중국발웹해킹공격을통해피해사례가보고되고있어이달에발표된해당 취약점보안업데이트를반드시적용하여야할것이다. [ 그림 1-9] 공격대상기준 MS 보안패치현황 (2007 년 9 월 ~ 2008 년 8 월 ) 위험도 취약점 긴급 (MS08-041) Microsoft Access Snapshot Viewer 에서사용하는 ActiveX 컨트롤의취약점으로인한원격코드실행문제점 긴급 (MS08-043) Microsoft Excel 의취약점으로인한원격코드실행문제점 긴급 (MS08-051) Microsoft PowerPoint 의취약점으로인한원격코드실행문제점 중요 (MS08-048) Outlook Express 및 Windows Mail 보안업데이트 [ 표 1-6] 2008년 8월발표된주요 MS 보안패치 2008 년 8월웹침해사고현황 PoC 유무무무
14 [ 그림 1-10] 악성코드배포를위해침해된사이트수 / 배포지수 이달의웹사이트경유지 / 유포지수는 238/39 으로지난달의 256/67 에비해경유지수와 유포지수가감소하였다. 하지만소수의공격자의의해다수의웹사이트가침해되고있는경 향은여전하다. 2008년 8월결과에서특이한점은 MS 취약점 1 을이용한배포가현저하게줄었으며, MS Microsoft Access Snapshot Viewer 취약점 2 을이용해악성코드배포를시도하는사례가종종발견된다는것이다. 하지만해당취약점이공개된지한달이지났지만취약점을이용한배포는아직까지다수발견되고있지않으므로앞으로의영향도그렇게크지는않을것으로보인다. 이와같이웹을이용해배포되는악성코드는운영체제나서드파티제품의취약점을이용하여배포되기때문에일반 PC 사용자들은운영체제뿐아니라서드파티제품의보안상태를항상확인하고제품을항상최신으로유지하여야한다. 또한 AV 제품을설치하여자신의 PC를보호하여야한다. 그리고침해사고를확인한웹사이트의관리자들은사이트의사후관리에신경을써그영향을최소화해야한다
15 II. ASEC Monthly Trend & Issue (1) 악성코드 허위안티바이러스설치를위장한사기성스팸메일기승 미국에서대표적인 SNS 인 MySpace 와 Facebook 을노린악성코드가발견되었다. 또한지난달에이어서허위안티바이러스인 Antivirus XP 2008 이기승을부렸다. 특히사기성메일을통하여광범위하게유포된것으로보인다. 또한중국의올림픽특수를이용한악성코드도보고되었다. MySpace 와 Facebook 을노린악성코드 미국에서대표적인 SNS(social network site) 인 MySpace와 Facebook을노린악성코드가발견되었다. MySpace를노린악성코드는사용자계정에접근하여전파되는데, 친구로등록된사용자들의계정에덧글을생성해둔다. Facebook을노린악성코드는스팸메시지를발송하는데그대상도역시등록된버디리스트이다. 스팸메시지내용은유명연예인과관련되어있다. 덧글의내용은다음과같다. Examiners Caught Downloading Grades From The Internet Hello; You must see it!!! LOL. My friend catched you on hidden cam Is it really celebrity? Funny Moments and many others. Paris Hilton Tosses Dwarf On The Street 덧글과스팸메일에는링크가포함되어있는데이것으로악의적인사이트로유도한다. 이 것은유투브를가장한사이트로최종적으로는 Flash 플레이어를가장한 codecsetup.exe 라 는파일을다운로드하도록유도하는데이는또다른 FaceBook 관련악성코드이다. 15
16 [ 그림 2-1] 악성코드로가장한 Flash Player 다운로드화면 ( 출처 Zdnet) 특히 flash player 로위장하여다운로드를유도하는사회공학적인기법에는사용자가쉽게 속을수있기때문에해당서비스를사용하는사용자들은주의를요구한다. 허위안티바이러스설치를유도하는사기성스팸메일 지난달에이어이번달에도폭발적인피해문의증가세를보인 AntiVirusXP2008 이기승을 부렸다. 특히설치를유도하는사기성스팸메일을광범위하게유포한후사용자들로하여금 실행을유도하였다. 다음은해당메일의예이다. [ 그림 2-2] AntiVirusXP2008 설치유도메일 파란색문자열의링크를클릭하면특정실행파일을다운로드하는윈도우창이보여진다. 해 당파일을실행하면바탕화면과화면보호기를변경하고다음과같이특정호스트로부터파 16
17 일을내려받는다. [ 그림 2-3] AntiVirusXP2008 다운로드 URL 다운로드되는파일은 AntiVirusXP2008 본체파일로거짓으로악성코드검사창을보여주고결제를유도한다. 변형별로다운로드되는호스트의도메인이름이매번다르게변경되고, 각도메인에서할당받은 IP 가다수이기때문에도메인과 IP를차단하여도소용없다. 7월중순부터 8월까지는이메일을통한악성코드전파사례중아마도 Win32/Zhelatin.worm 을제치고가장많은사기성스팸메일이아닐까추정을해본다. 따라서위와같은메일을받았다면메일에포함된링크나첨부파일을실행하지말고메일을 삭제하거나, 해당 URL 을안철수연구소에신고하면신속히엔진에반영할것이다. 올림픽특수를이용한악성코드 베이징올림픽을앞두고이를이용한악성코드가다수보고되었다. 특히 Win32/Zhelatin.worm 변형은베이징올림픽이취소가되었다는허위내용을담고있었고, Win-Trojan/PcClient 변형중하나는올림픽경기장그림파일을첨부한 ppt 파일을포함하고있었다. 이트로이목마는백도어로서특정커널함수를후킹하고, 특정호스트로접속하는데, 해당 IP 대역은중국이었다. 이외에도중국어문자열이포함된웹페이지에대한 SQL 인젝션공격도감행되었다. 악성코드제작자들은사회적인이슈등을이용한사회공학적인기법을사용하여악성코드설치를유도하고있으므로, 사용자가이러한메일이나게시판에포스팅된악의적인 URL을클릭하지않으면악성코드에감염될확률은매우적어진다고본다. 17
18 (2) 스파이웨어 악성허위안티 - 스파이웨어 AntiVirusXP2008 스파이웨어들은다양한경로 / 배포방식을통해사용자에게피해를입히고있다. 기존의트로이목마처럼사용자가접근하고다운로드하여설치될때까지기다리는소극적인자세는적어지고, 보다적극적으로사용자의설치를유도하고있다. 그중에대표적인것이즐롭 (Zlob) 이다. 즐롭은설치도중다양한스파이웨어들을함께설치하거나보안설정을변경하여사용자의정상적인시스템이용을방해한다. 일반적으로즐롭이사용자의설치를유도하는방법으로는동영상컨텐츠를제공하고, 해당컨텐츠를이용하기위하여필요한동영상코덱으로위장하여사용자의설치를유도하는방식과사용자의관심을끌만한컨텐츠링크를메일을통해제공하여설치를유도하는방식, 불법으로공유되는소프트웨어들을위한키젠 (Keygen) 을통해설치되는방식등이이용된다. 허위안티스파이웨어 (Rogue Anti-Spyware) 들은가장직접적이고도지능적인방법으로사용자에게피해를입히고있다. 이러한프로그램들은사용자의낮은보안지식과불안감을이용한다. 우선, 과장된진단정보를보여주어사용자불안감을자극한뒤, 치료를원하는사용자에대해사용자의가입및결제를요구한다. 대부분의보안지식이부족한사용자들은불안감을이기지못해결제를하며금전적인피해를입는다. 이러한스파이웨어행위는기존의어떤방식들보다이익이크기때문에많은변종을낳고있으며, 국내에서도이러한허위제품들이많은제작되고있으며, 해외에서도다양한형태로제작되어국내외에서많은피해를입히고있다. 최근 Zlob이설치하는허위안티스파이웨어프로그램들중 AntiVirusXP2008의경우전세계적으로기승을부리고있다. 이프로그램은설치과정중에자동실행등록및배경화면변경, 보안설정변경, 블루스크린스크린세이버설정등을수행하기때문에사용자의정상적인시스템이용을저해한다. 이러한변경내역은구체적으로다음과같다. 18
19 배경화면및스크린세이버변경 - 허위경고이미지 - 블루스크린스크린세이버 [ 그림 2-4] AntiVirusXP2008 설치후변경된배경화면과스크린세이버 AntiVirusXP2008이설치되면바로배경이미지와스크린세이버가변경된다. 배경이미지는보안경고가담긴이미지이고, 스크린세이버는 Sysinternals사에서개발한블루스크린스크린세이버이다. 스크린세이버는기본 10분으로설정되며블루스크린이뜨고시스템재부팅이이루어지는과정을보여준다. 이두가지변경을통해서사용자는시스템에대한문제의식을느끼게되며불안감을갖게된다. 디스플레이등록정보에서배경화면과스크린세이버항목이사라짐 [ 그림 2-5] AntivirusXP2008 설치후변경된디스플레이등록정보 AntiVirusXP2008 은위의두가지설정변경을보호하기위해디스플레이등록정보의배경 이미지와스크린세이버설정탭을안보이게변경한다. 이러한변경은다음의키설정을통해 서이루어진다. 19
20 [ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ] - NoDispBackgroundPage - NoDispScrSavPage 기본지식이없는사용자라면이러한변경에대해수동복구를할수없기때문에허위안 티스파이웨어업체의결제요구에응하기쉬워지게된다. 다양한허위경고 (Fake FakeAlert) - 인터넷익스플로러 - 시스템오류메시지 - Tray Icon 을이용한페이크얼럿 [ 그림 2-6] Antivirus XP 2008 의다양한허위경고메시지 AntiVirusXP2008은여타다른허위안티스파이웨어와는다른허위경고방식을이용하고있다. 타프로그램의경우단순히과장되거나허위의진단결과만을보여주지만, AntiVirusXP2008의경우 Internet Explorer를이용한방법과 tray icon을이용한방법, 그리고특히시스템오류메시지의이용등을통해사용자의불안감을자극한다. 위와같은 AntiVirusXP2008 의변경으로인해큰불안을느끼게된사용자들은허위안티 스파이웨어업체의결제요구에응하거나보안업체에분석의뢰를하게된다. 이렇게접수 되어처리된 AntiVirusXP2008 샘플이 8 월한달에 100 여건이있었다. 전체허위안티스 파이웨어로접수된샘플이 300 개정도이고종류가 50 여가지에이르는것을고려한다면대 부분의피해가 AntiVirusXP2008 에의한것으로볼수있다. 20
21 이처럼 AntiVirusXP2008 의고객피해가많은것은 AntiVirusXP2008 이기존의시그니쳐 진단방식으로는진단및치료가어려운특징을상당부분갖췄기때문이었다. 이러한특징 들은다음과같다. 다양한설치경로 AntiVirusXP2008은다양한설치경로를갖는다. 이것은단순히사용자가다운로드받아설치하는경로가아닌자신을자동설치하는다른스파이웨어를갖는다는의미이다. 이렇게다양한설치경로가있는경우진단및치료가이루어져도다시금재감염이발생한다. 대부분의설치경로에자동실행이되도록설정되어재부팅또는일정시간마다스파이웨어를설치를하는특징이있다. 이러한설치경로로는아래와같이크게두가지가있다. - Zlob을통한설치 Zlob은워낙유명한스파이웨어설치프로그램이기때문에많은설명이필요가없다. 이들 Zlob들은변형을꾸준히생성하기때문에실시간대응이어렵고, 또한개별사용자의잘못된컴퓨터이용습관으로인해지속적인피해가발생하고있다. - Agent 를통한설치 Zlob 이외에도 Agent들을통해서타스파이웨어가설치되는경우가있다. 그대표적인예로 Win-Spyware/RootKit.Wsnpoem.95744는주기적으로서버에접속해스파이웨어를설치한다. 이들은 WinLogon과같은시스템프로세스에인젝션되어실행이되고, 스스로를보호하여숨기는루틴을가지고있으며, UserInit에등록이되어자동실행이되기때문에치료가상당히어렵다. 대부분의사용자들은이러한 Agent의존재여부를알지못하기때문에 AntiVirusXP2008과같은스파이웨어의감염을지속적으로경험하게된다. 랜덤이름및파일경로 AntiVirusXP2008 은랜덤한설치경로및파일이름으로설치가되며구체적으로살펴보면 아래와같다. 아래의표는 Program Files 디렉토리에설치되는 AntiVirusXP2008 의폴더 이름을나타낸다. 21
22 Program Files 디렉토리 Program Files / rhc3sgj0eaea Program Files / rhc3sgj0eaea Program Files / rhc5wej0etc7 Program Files / rhcnm5j0erbt 위표에서보듯이폴더이름이 rhc로시작하는 12자리의랜덤이름의형태를갖고있다. 위와같이랜덤이름으로설치가되면보편화된시그니쳐가없기때문에변형이발생할때마다진단데이터를추가하거나아예넣을수없는경우가발생한다. 이러한특징때문에기존의시그니쳐진단방식으로는진단및치료에한계가있다. 잦은변형의생성 잦은변형의생성은최근스파이웨어들의보편적인특징이되어가고있다. SEED 값을입력으로하는프로그램재빌드와일정한시간간격으로바이너리가재빌드되는경우하루에도여러개의변형이만들어지게된다. 이경우대부분의보안업체들의실시간대응은어려우며, 늦은대응은더이상의미가없는대응이되기도한다. 위와같은몇가지특징들은진단및치료를어렵게하기때문에최근스파이웨어들이자주 사용하고있다. 그이외에도실행압축및내부문자열난독화, 프로세스간상호보호등의 기법을 AntiVirusXP2008 에서이용하고있다. 22
23 (3) 시큐리티 PDF, HWP 취약점을이용한악성코드유포 Office 취약점들이 2006년도부터발견된이후, 최근공격들은서비스나시스템취약점을이용하는것보다파일형식 (File Format) 의취약점들을악용하는사례가많이발생하고있다. 또한, Fuzzer 등을이용한자동화된방법으로손쉽게특정이미지및오피스, 기타어플리케이션등에서사용하는파일의취약점들이발견되고있다. PDF 자바스크립트 (JavaScript) 취약점 올해 2월에다양한 PDF 관련취약점들이발표되었다. 이중, 최근 PDF 자바스크립트 (Javascript) 관련하여다양한함수들상에서발생하는버퍼오버플로우 (Buffer Overflow) 취약점 (CVE ) 1 을이용하는악성코드가자주발견되고있어해당취약점에대하여살펴본다. 일반적으로 PDF 문서내부에는자바스크립트 (JavaScript) 관련함수들을추가할수있는데, Acrobat Reader 가해당자바스크립트의특정함수들을읽어들이면서유효검증값체크를 하지않아버퍼오버플로우취약점이발생한다. 우선, 발견된악성코드는 Collab 오브젝트 Collect Info 함수의버퍼오버플로우취약점을이용하였다. 해당악성 PDF 파일에자바스크립트가삽입된부분은아래와같다. FlateDecode 필터형태 (/Filter /FlateDecode) 를보면확인할수있듯이 Zlib를사용하여데이터가압축되어있다. [ 그림 2-7] 자바스크립트가삽입된 pdf 파일
24 악의적인 PDF 파일의압축데이터부분을풀면아래와같은악의적인스크립트가포함되어 있음을확인할수있다. [ 그림 2-8] 악의적인 pdf 파일에포함된자바스크립트 위의스크립트는 eval 및 String.fromCharCode를통해인코딩 (Encoding) 되어있으며, 이스크립트를다시디코딩하면아래그림과같이 Collect Info 함수의버퍼오버플로우취약점을이용하는 Exploit 스크립트코드임을알수있다. [ 그림 2-9] 버퍼오버플로우를발생시키는코드 해당 Exploit 은멀티다운로더기능을가지고있는데, 이를이용하여, 스파이웨어및악성코 드, 루트킷드라이버설치등의악의적인행위를야기할수있다. 이에대한해결책으로는, 제품벤더로부터권고된 Adobe Acrobat Reader version 버전으로업그레이드하여야 24
25 하며, 일반적으로가장최신의 Acrobat Reader 버전을유지하는것이좋은방법이될수있 다. 아래한글 2007 매크로실행의위험성 매크로기능은마이크로소프트오피스제품에도존재하며, 일반적으로사무용어플리케이션 들에서제공하는기능이다. 그러나, 공격자에의해악의적으로사용된매크로기능은해당 시스템에특정명령어를실행하는등의피해를발생시킬수있다. 앞서언급된 PDF와마찬가지로악의적으로조작된한글 (hwp) 파일을이용한공격사례도종종발생한다. 이중, 아래한글 에서제공하는스크립트매크로기능의구조적문제를이용한공격이최근발견되었다. 이번사례와같이매크로기능을이용한공격을단순취약점으로보기에는다소무리가따르는것같다. 일반적으로아래한글의매크로는특정명령의자동실행에사용되는데, 아래한글 2007 의 매크로기능중에는스크립트매크로기능이존재한다
26 [ 그림 2-10] 아래한글 2007 매크로기능 스크립트가포함되어있는악의적인한글파일은바이너리파일속에서다음과같이확인 가능하며, 또한, 아래한글 2007 을통해서직접삽입된스크립트를확인할수있다. 26
27 [ 그림 2-11] 스크립트가내포된악의적인한글파일 [ 그림 2-12] 아래한글 2007 을통한스크립트확인 해당스크립트는기본적으로윈도우시스템디렉토리에 HwpUpdate.exe와 hncupdate.exe 파일을생성하고실행한다. 생성된 HwpUpdate.exe는특정사이트로부터 GIF 변조파일 ( 내부적으로 dll 및 PE 파일 ) 을다운로드하고, hncupdate.exe는멀티다운로더로아래와같은다수의파일들을추가적으로다운로드한다. 이렇게다운로드된파일들은 ARP 스푸핑 (Spoofing) 공격에사용된다. 27
28 [ 그림 2-13] hncupdate.exe 로부터다운로드되는파일목록 최신판아래한글 2007 버전에는스크립트매크로의보안기능이추가되었고, 기본적으로보안수준이 높음 으로설정되어있어아래한글스크립트공격방식과같은스크립트매크로가실행되지않는다. 또한, 비록보안수준이낮음으로설정된다하더라도해당스크립트공격은수행되지않는다. 그러므로, 사용자들은가장최신의아래한글 2007 버전으로반드시업데이트하여사용하여야할것이다. 마이크로소프트오피스취약점의꾸준한증가 이번 8월마이크로소프트사로부터발표된보안패치에는 MS 엑세스, MS 엑셀, MS 파워포인트, MS Office 라이브러리, MS 워드등오피스관련취약점들이 5개나포함되어있다. 오피스프로그램은대다수사용자가이용하는어플리케이션으로스프레드시트프로그램인엑셀 (Excel), 문서작성 / 편집프로그램인워드 (Word), 프리젠테이션관련프로그램인파워포인트 (PowerPoint), 데이터베이스관련프로그램인 (Access), 이메일프로그램인아웃룩 (Outlook) 등으로구성되어있다. MS 오피스취약점은바로이러한오피스프로그램및오피스라이브러리에버그 (bug) 가존재하는것을의미하며, MS 오피스프로그램은기업을비롯하여방대한컴퓨터에설치되어있기때문에그피해로인한위험의심각도가매우높다고볼수있다. MS 오피스는다수의어플리케이션으로부터생성된데이터를하나의파일에포함시킬수있 28
29 는 Compound Document File Format을갖는다. Compound Document file은실제파일시스템과유사한데, 데이터를다수의 Stream( 파일개념 ) 으로분할하여 Storage( 디렉토리개념 ) 에나누어저장한다. 다시 Stream은작은데이터블록단위인 Sector로구분되는데반드시연속되는 Sector들이하나의 Stream을이루는것은아니며 Stream의구성은 Sector들의연결 Chain(SID chain) 으로표현된다. Compound Document File Format 1 은일반적으로다음과같이메타데이터를저장하고있는 Header 와고정된사이즈의 Sector 들로구성되어있다. [ 그림 2-14] Compound Document File Format 파일구조 일반적으로 MS 오피스의취약점은특정오브젝트의특정필드에서오버플로우가발생하거 나오피스공통라이브러리에서취약점이발견되는경우도존재한다. 오피스사용자가주의해야할점은아래와같다 1) 오피스프로그램의보안패치를주기적으로해야한다 SP3 사용또는 2007 최신판사용을고려한다. 2) 오피스파일을메일또는웹으로받은경우에는신뢰되지않은사용자이거나신뢰되지않은웹사이트인경우에주의가필요하다. 3) Anti-Virus 제품및개인방화벽을사용한다. 4) 네트워크관리자는네트워크보안제품의사용을고려한다. 5) 네트워크관리자는메일서버에서오피스파일이첨부된이메일 ( ) 을필터링 (Filtering) 하는것을고려할수도있다. 앞서언급된 PDF, 한글 (HWP), 오피스등의어플리케이션파일들을공격매체로삼는공격 방식은파일을오픈하는등의사용자개입이요구된다. 따라서, 공격자는특정사용자또는 불특정사용자에게 Internet Explorer 을통하여해당취약점이포함되어있는특수하게조작 1 Microsoft Compound Document File Format ( 29
30 된웹사이트를방문하도록유도하거나, 특수하게조작된파일을메일또는메신저등으로전 송하는경우가대부분이기때문에특정파일을오픈하는경우에는보다더신중한사용자의 주의가필요할것이다. 30
31 (4) 네트워크모니터링현황 최근 8 월한달동안네트워크모니터링시스템으로부터탐지된상위 Top 5 보안위협들은 다음과같다. 익스플로잇공격이주를이루었던 7 월과달리, 데이터베이스의관리자권한을 얻어내기위한패스워드대입시도탐지회수가 3 위로랭크되었다. 순위 취약점명 비율 1 MS Vulnerability in Server Message Block Vulnerability 70% 2 MS Microsoft SQL Server Vulnerability 9% 3 MS-SQL SA brute force login attempt 8% 4 MS04-11 Local Security Authority Subsystem Service(LSASS) 7% Vulnerability 5 MS Buffer Overrun In RPC Interface Vulnerability 6% [ 표 2-1] 네트워크공격취약점순위 상위 5 개의공격모두공개된지 3 년이상지났지만아직도많은수의호스트가이와같은 취약점의공격대상이되고있다. 이는여전히취약점이패치가되지않은시스템이많다는 것을의미하며, 이와같은공격위협을방어하기위해서는시스템의올바른패치가필요하다. 다음으로주요탐지포트들을통한동향을살펴보면, 지난달에이어 NetBIOS와관련한 TCP/445, TCP/139, TCP/135 포트가상위랭크를차지하였으며해당취약점은 MS03-026, MS04-011, MS06-040과같다. 특이한점은 80포트를이용한트래픽이엄청나게증가한것으로악성코드감염후재차다른악성코드의전송을요청하는다운로더에의한것으로추정된다. SQL 취약점이사용하는 TCP/1433 포트는큰수치로 3위에랭크되었으며, 또한악성코드를다운로드하기위해이용되는 TFTP 서비스로인하여 UDP/69 포트에대한트래픽이주요공격포트에랭크되었다. 31
32 [ 그림 2-15] 공격에이용된포트별분포 공격발생지별국가현황을살펴보면, 한국은여전히 1위를차지하고미국이 3위에서 2위로한단계올라섰다. 한국은많은공격을받고악성코드에감염되면서, 재차공격을시도하고그로인해공격발생지국가에서상위를차지하는것으로추정된다. 중국이 14위로 10위권내에랭크되지못하였고 11위에서 14위로순위가내려갔으나, 주의깊게지켜보아야할국가일것이다. 순위 국가 비율 전달비교 순위 국가 비율 전달비교 1 KR 48% - 6 TW 4% - 2 US 17% 1 7 PH 2% - 3 JP 13% 1 8 SG 2% - 4 HK 7% - 9 MY 1% - 5 IN 5% - 10 AU 1% [ 표 2-2] 공격국가별순위및비율 DNS 의 Cache Poisoning 취약점에따른네트워크현황 다음그래프는 7월 24일공격코드가공개된 DNS 캐시오염에관한위협정도를알아보기위해지난한달간 UDP/53번포트의트래픽양을조사한것이다. 갑자기트래픽양이증가한날이있었지만양의증가형태가지속적이지는않다. 따라서이러한증가가공격의형태라고는단정하기어렵다. 하지만이취약점은 DNS를이용하기때문에이러한큰파장을일으킬 32
33 수있고따라서항상동향에주목해야한다. [ 그림 2-16] DNS 포트트래픽 33
34 (5) 중국보안이슈 한국산온라인게임을노리는중국산트로이목마생성기 최근발간된 ASEC Report을통해서, 현재도끊임없이온라인게임관련트로이목마가지속적으로제작되고있다는사실과중국에서제작된온라인게임관련트로이목마생성기들에대하여살펴보았다. 이제까지소개된트로이목마생성기들은모두중국에서제작된온라인게임들과관련이있었으나이번 8월에는한국에서개발된온라인게임을노리는트로이목마생성기를중국언더그라운드를통해확보하게되었다. [ 그림 2-17] 한국산온라인게임관련트로이목마생성기의아이콘 이번에확보된트로이목마생성기는한국에서코믹북을통해널리알려진온라인게임을공격대상으로하고있으며, 일부중국언더그라운드해커그룹또는악성코드제작그룹의회원들사이에서만공유되었던것으로추정된다. 기능상으로는 HTTP와이메일을통해서사용자정보를유출하고있어기존에알려진다른트로이목마생성기와큰차이는없으며생성된트로이목마역시기존에발견된온라인트로이목마와유사하였다. 중국해커들과인도정부의사이버전쟁 8월전세계의이목이중국북경올림픽에집중되어있을때비교적조용히진행된 2건의사이버전쟁이발생하였다. 하나는러시아와그루지아간에발생한전쟁으로유럽과미국등의보안전문가들에의해서비교적자세하게다루어졌으나, 다른한건은인도일부언론에서만알려진중국해커들과인도정부간의현재진행중인사이버전쟁으로 2007년 8월경부터시작된것으로알려졌다. 최초발생은중국해커들에의해서 140개넘는인도의웹사이트가변조되고피싱이나악성코드유포지로활용되는것으로부터시작되었다. 그러나 2008년 5월경중국해커들에의해인도정부기관들의웹사이트가직접적인공격을받게되면서, 인도정부에서는중국해커들에대해적극적인대응을발표하고인도정보부를중심으로하여대대적인정부기관들의시스템을점검및공격근원지추적등으로응수하며중국해커들과인도정부간의사이버전쟁이전개되었다. 34
35 인도에서발생한이러한일련의사고들은한국에서이미발생하고있는중국발해킹이일본및인도등의주변국으로점차퍼지고있는추세라고분석할수있다. 이러한중국해커들의주변국시스템공격에대해아시아각국간의국제적인공조와협조를통한대응이필요하리라여겨진다. NetBot.DDOS.Team 의또다른공격툴 Panda DDoS V1.0 넷봇 (NetBot) 으로널리알려진중국의 NetBot.DDOS.Team에의해서 8월 13일경새로운분산서비스거부공격툴이제작된것이발견되었다. 이번에제작된툴은판다분산서비스거부공격 (Panda DDoS V1.0) 로서기존넷봇 (NetBot) 생성기등을유료로판매하는것과는다르게무료로제공하고있어중국언더그라운드내에서많은사용이있을것으로예측된다. 이번제작된판다분산서비스거부공격툴은다음과같은기능을제공하고있다. 1) 공격대상의 IP 또는도메인주소설정시스템의 IP 주소나도메인주소를설정하여특정시스템에대한공격대상설정이가능하다. 2) 분산서비스거부공격의대상이되는포트 (Port) 공격대상이되는시스템의네트워크포트 (Port) 를지정하여공격발생시특정서비스만을제공하지못하도록설정할수있다. 3) 분산서비스거부공격의형태제공되는분산서비스거부공격형태는모두기존에알려진공격형태들을복합적으로사용할수있다. 해당툴에서제공되는공격형태는 Syn 및 UDP 플로딩공격, ICMP와 TCP 플로딩공격, UDP와 TCP 플로딩공격그리고공격자의지정된시간단위에따라서자동으로공격형태를다양하게지속적으로변경해주는자동공격기능을제공하고있다. 해당툴은현재 1.0 버전이지만 NetBot.DDOS.Team 에의하면지속적으로기능들을개선 및추가되는버전들을개발할예정이며무료로제공할계획이라고한다. 35 이번에발견된판 다분산서비스거부공격툴은 NetBot.DDOS.Team 의분산서비스거부공격에대한기술 력과시와동시에상용으로판매하고있는넷봇 (NetBot) 의판매를활성화하기위한것으로 추정된다. 이러한분산서비스거부공격툴이중국언더그라운드에서많이사용될경우한국에서올 초에발생한분산서비스거부공격을통한웹사이트인질극이다시빈번해질수있을것 으로예측됨으로이러한공격에대응할수있는네트워크장비들을통해만일의사고에대 비하여야할것이다.
36 III. ASEC 컬럼 (1) Win-Trojan/Agent.6144.HK 분석 악성코드가자신의프로세스에서외부를연결하는행동은대부분행위기반탐지에서감지되어차단되거나악성코드자체가삭제된다. 이를피하기위한방법으로악성코드제작자들은시스템의정상적인프로세스를이용하기도한다. 악성코드의쓰레드를시스템프로세스에인젝션하거나리모트쓰레드를생성하기도하고, Windows Socket Layered Service provider DLL을이용하는방법도존재하였고, ws2_32.dll이나 wsock32.dll의함수를후킹하는방법도사용되었다. 이번컬럼에서분석한 Win-Trojan/Agent.6144.HK는자신의파일이감지되어파일이삭제되는것을방지하고시스템프로세스를이용하여외부와연결하기위하여 Detour Patch라는방식을사용하여시스템의함수를후킹한다. 8월중순국내에감염보고가된 Win- Trojan/Agent.6144.HK가사용하는외부연결방식과이를제거하기위한방법을상세히분석하였다. 시스템후킹 Karina.dat라는파일명으로접수된 Win-Trojan/Agent.6144.HK는 DLL로서다른악성코드에의해서시스템에감염되는것으로보인다. Karina.dat는코드자체가암호화되어존재하며가상메모리에복호화한코드를실행하고 ntdll.dll의 Undocumented API인 LdrLoadDll 함수를 Detour Patch하여자신의특정코드를실행하도록한다. [ 그림 3-1] NTDLL.DLL!LdrLoadDll 후킹전 [ 그림 3-2] NTDLL.DLL!LdrLoadDll 후킹후 36
37 [ 그림 3-3] NTDLL.DLL!LdrLoadDll 함수에대한 Detour Patch [ 그림 3-3] 은 Win-Trojan/Agent.6144.HK가 NTDLL.DLL의 LdrLoadDll함수를후킹하여자신의코드를실행하고다시본래의코드를실행하도록하는것을도식화한것이다. NTDLL.DLL의 LdrLoadDll 함수는 Undocumented API 함수로서어플리케이션에서 LoadLibrary 함수가호출되면 LoadLibrary 함수는내부적으로다시 LdrLoadDll 함수를호출하게된다. NTSYSAPI NTSTATUS NTAPI LdrLoadDll( IN PWCHAR PathToFile, OPTIONAL IN ULONG Flags, OPTIONAL IN PUNICODE_STRING ModuleFileName, OUT PHANDLE ModuleHandle ); [ 그림 3-4] Undocumented API LdrLoadDll LdrLoadDll 함수가호출되면메모리상의악성코드로분기하여다음과같은과정을거치게된 다. 가. LdrLoadDll을호출한어플리케이션이 ws2_32.dll를로드하였는지여부를 Undocumented API인 LdrGetDllHandle을이용하여찾는다. 나. 어플리케이션에자기방어를위한쓰레드를생성하여실행한다. 다. Ws2_32.dll이로드되었으면 WSAConnect, connect, send 함수에대해서 Detour Patch Hook을설정한다. 라. 어플리케이션이외부연결을시도하는경우미리설정된특정주소로의연결을시도한다. 37
38 [ 그림 3-5] WS2_32.DLL!WSAConnect, connect, send 함수에대한 Detour Patch Connect 후킹코드는다음과같이 WSAConnect 후킹코드를호출하므로 WSAConnect 후킹 코드를공유하게된다. [ 그림 3-6] connect 후킹코드 자기방어 LdrLoadDll 후킹코드에서는새로운쓰레드를생성하는데이쓰레드는일정한 Sleep 간격으로두가지의동일한작업을하도록되어있다. 하나는특정레지스트리값을새로설정하는것이며, 다른하나는실행된경로의자신의파일의속성을체크하여에러가발생하는경우자신의파일이삭제되었다고간주하고동일한파일을다시생성하도록한다. HKLM\software software\micro microsoft soft\windows nt\currentversion currentversion\windows appinit_dlls = % 실행경로 %\karina.dat 위레지스트리설정값으로인하여감염된시스템의모든어플리케이션은프로그램시작시 karina.dat(win-trojan/agent.6144,hk) 를자동으로로드하게된다. 그리하여모든어플리케이션은레지스트리설정과파일존재를계속적으로체크하여다시복원시켜줌으로써치료를어렵게만든다. 38
39 외부연결 Detour Patch된 LdrLoadDll 함수의후킹코드는 LoadLibrary를호출한어플리케이션이 ws2_32.dll을로드하고있는지를 LdrGetDllHandle 함수를이용하여알아낸다고이미앞에서설명하였다. Ws2_32.dll의 WSAConnect, connect, send 함수는외부와의네트워크소켓통신에사용되는중요 API들이다. LdrLoadDll 후킹코드는위세개의함수에대해서 Detour Patch를하여네트워크연결에대한스니핑 (Sniffing) 과스푸핑 (Spoofing) 을가능하도록한다. 먼저후킹된 WSAConnect 후킹코드는실제 IP 주소를사용하여외부호스트를연결하는 socketaddr 구조체를변경하여미리설정한특정주소로연결되도록스푸핑한다. 후킹된 connect 후킹코드는 WSAConnect 후킹코드를재호출하도록연결만하였다. [ 그림 3-7] HTTP GET Spoofing [ 그림 3-7] 는인터넷익스플로러가 MSN.CO.KR 에접속을할경우를이더리얼을통해패킷 을덤프뜬것으로 WSAConnect 를스푸핑하여다른주소로의접속을하는것과 send 를스 39
40 푸핑하여 HTTP GET 쿼리를조작하는경우이다. [ Type A ] GET /%s HTTP/1.0 Accept: */* Host: %s Connection: close [ Type B ] GET HTTP/1.0 Accept: */* Host: %s Connection: close [ 그림 3-8] 실제 HTTP GET 쿼리문을스푸핑하여특정호스트로의외부연결시도 분석당시연결된 voovle.info 라는서버는 Google Earth 로검색하면홍콩에서버가존재하 는것으로나온다. 그러나다른악성코드를다운로드하지는못하였다. 치료 Win-Trojan/Agent.6144.HK 악성코드는시스템의윈도우어플리케이션들에인젝션되어동작하며새로운쓰레드를생성하여자신의레지스트리와파일에대한감시를한다. 시스템에 V3나안티바이러스가설치되어있어사전방역을하면모를까그렇지않은경우에는완벽하게치료하기어렵게된다. 치료를위해서는다음과같은조건이선행되어야한다. 1. 윈도우어플리케이션에인젝션되어진악성코드의쓰레드를모두종료시켜야한다. 2. 악성코드가후킹한 Ntdll.dll!LdrLoadDll, ws2_32.dll!wsaconnect, connect, send 함수들에대한후킹제거 3. 레지스트리값 (appinit_dlls) 제거 4. 실행파일인 Karina.dat DLL 제거 40
41 < 전용백신 > < 수동조치 > 감염된시스템하드디스크를다른시스템에붙여악성파일인 karina.dat 를삭제하고이후에 레지스트리값을삭제하도록한다. 41
< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More informationASEC Report
ASEC Report 10 월 ASEC Report 2008. 11. I. ASEC Monthly Trend & Issue... 2 (1) 악성코드 MS08-067 윈도우보안취약점을악용하는악성코드... 2 (2) 스파이웨어 스팸메일러피해증가... 5 (3) 시큐리티 원격공격이가능한 MS08-067... 9 (4) 네트워크모니터링현황 TCP 445 포트공격시도...
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다
공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More information*****
Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More informationMicrosoft Word - AntiVirus 2008_FAQ.doc
AntiVirus XP 2008 Fake Anti-Virus FAQ 질문 1. AntiVirus XP 2008 은어떤프로그램인가요? Antivirus 2008 은시스템에설치될경우시스템을검사하여악성코드에감염된것처럼허위로검사결과를사용자에게보여주고 치료하기위해서결제를유도함으로써금전적이득을취하기위한허위백신이다. 질문 2. AntiVirus XP 2008 은어떤경로를통해유포되나요?
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -
한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 - [1 단계 ] 운영체제별시스템설정방법 Windows XP 시스템설정방법 : XP 운영체제는설정할사항이없음 Windows 7 시스템설정방법 1) [ 시작 ]-[ 제어판 ]-[ 관리센터 ] 를클릭한다. - 2 - 2) 사용자계정컨트롤설정변경 을클릭한다. 3) 알리지않음 ( 사용자계정컨트롤끄기
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationASEC Report
ASEC Report 12 월 ASEC Report 2009. 1. I. 이달의보안이슈... 2 (1) 악성코드 IE 제로데이취약점과쿠폰을가장한악성코드... 2 (2) 스파이웨어 애드웨어의새로운시도... 5 (3) 시큐리티 MS08-078 IE XML 제로데이취약점... 9 (4) 네트워크모니터링현황 MS08-067 취약점공격트래픽... 12 (5) 중국보안이슈
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More informationEDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-
EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationserver name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지
ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이
More informationWindows 10 General Announcement v1.0-KO
Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More information기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.
PDMLink 에등록된 Office 문서들의 PDF 문서변환기능및 Viewer 기능을알아보자 PDM Link에서지원하는 [Product View Document Support] 기능은 Windows-Base 기반의 Microsoft Office 문서들을 PDMLink용 Viewer인 Product View를통한읽기가가능한 PDF Format 으로변환하는기능이다.
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More informationASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information행자부 G4C
인증서발급관리모듈 Ver 1.0 개정이력 버전변경일변경사유변경내용작성자승인 1.0 2012-12-22 제정이경희 Copyright 2006. All rights reserved DreamSecurity. 2 목차 1. 인증시스템 ACTIVEX 설치절차... 4 1.1 설치... 4 2. 인증시스템 ACTIVEX 사용... 7 2.1 인증서발급... 7 2.2
More information<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information*
Korea Internet & Security Agency 29 12 CONTENTS 1 3 4 5 6 6 7 9 1 13 14 16 18 23 56 59 61 Windows XP SP1 Windows 2 SP4 1 2912 Bot 326 49 2.3 73 73 239 215 11.2% 256 199 28.6% 25 115 117.4% Bot 8,469 46
More informationOracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용
Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the
More information1
3.3 DDoS 분석보고서 2011.03.04 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011 년 3 월 3 일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그
More informationBEA_WebLogic.hwp
BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù
21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More information<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>
i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,
More information1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation
1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP
More information메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More informationMicrosoft PowerPoint - 권장 사양
Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home
More information[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀
[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다. 2011 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2011년 1월의악성코드감염보고는 TextImage/Autorun이
More informationAdobe Flash 취약점 분석 (CVE-2012-0754)
기술문서 14. 08. 13. 작성 GNU C library dynamic linker $ORIGIN expansion Vulnerability Author : E-Mail : 윤지환 131ackcon@gmail.com Abstract 2010 년 Tavis Ormandy 에 의해 발견된 취약점으로써 정확한 명칭은 GNU C library dynamic linker
More informationNetwork Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University
Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment
More information컴퓨터관리2번째시간
Company 컴퓨터 관리 참고 자료 PC 운영체제 POST 기능 :, ROM BIOS ( : [F8]) 1. Windows XP Windows XP 사용자 계정 :,,, 강화된 디지털 미디어 지원 기능 : (Windows Movie Maker), CD (Windows Media Player), Windows 홈 네트워크 기능 :, 강화된 시스템 관리 :,
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationⅠ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염
Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염보고 Top 20 2010년 10월의 감염보고 건수는 Win-Trojan/Agent가 총 856,917건
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More informationⅠ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성
Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한, 악성코드대표진단명별감염보고 Top 20 이다. 악성코드통계 [ 표 1-2]
More information<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 4 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 Resume 이력서로위장한악성코드... 5 3. 허니팟 / 트래픽분석...
More informationWindows Server 2012
Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB
More informationASEC Report
1. 악성코드 DDoS 악성코드의공격으로인한사회적혼란... 2 2. 스파이웨어 V3를도용한가짜프로그램등장... 5 3. 시큐리티 7.7 DDoS 패킷분석... 12 4. 중국보안이슈 중국에서제작된제로데이 (Zero-Day) 취약점생성기... 17 현금자동입출금기와악성코드... 22 1. 악성코드통계... 25 2. 스파이웨어통계... 35 3. 시큐리티통계...
More informationPowerPoint Presentation
오에스아이소프트코리아세미나세미나 2012 Copyright Copyright 2012 OSIsoft, 2012 OSIsoft, LLC. LLC. PI Coresight and Mobility Presented by Daniel Kim REGIONAL 세미나 SEMINAR 세미나 2012 2012 2 Copyright Copyright 2012 OSIsoft,
More informationÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó
Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해및안전한관리 - 개인 PC 및스마트폰개인정보보호 - 2012. 12. 12 최윤형 ( 한국정보화진흥원 ) 1 안전한개인 PC 관리방법 목 차 2 안전한스마트폰관리방법 1. 안전한개인 PC 관리방법 정보통신기기의보안위협요인 웜, 바이러스, 악성코드, DDos 공격침입, 네트워크공격 휴대성, 이동성오픈플랫폼 3G, WiFi, Wibro 등 웜,
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 11월의악성코드감염보고는 TextImage/Autorun이
More information<31305FBEC6C0CCC5DB2E687770>
1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix 2.7.1 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. postfix,
More information목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.
Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.
More informationChapter 1
3 Oracle 설치 Objectives Download Oracle 11g Release 2 Install Oracle 11g Release 2 Download Oracle SQL Developer 4.0.3 Install Oracle SQL Developer 4.0.3 Create a database connection 2 Download Oracle 11g
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More informationThe Pocket Guide to TCP/IP Sockets: C Version
인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)
More information#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리
#HNS-WI-13-028 북한의심 APT 공격에대한 Kaspersky 의분석정리 2013-09-12 내용요약 이보고서는 Kaspersky의 Dmitry Tarakanov가작성하여우리나라시간으로 9월 12일발표한 The Kimsuky Operation: A North Korean APT? 를정리및분석한것으로, Kaspersky는지난몇달동안한국의세종연구소, KIDA(
More information기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.
기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는
More information(Microsoft Word - ASEC Report 2008\263\3427\277\371\310\243.doc)
ASEC Report 7월 ASEC Report 2008. 8. I. ASEC 월간통계 2 (1) 7월악성코드통계 2 (2) 7월스파이웨어통계 12 (3) 7월시큐리티통계 16 II. ASEC Monthly Trend & Issue 19 (1) 악성코드 Win32/Kashu.B 재감염과메신저사용자를노린악성코드 19 (2) 스파이웨어 주춤하는국내스파이웨어 /
More informationA SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp
A SQL Server 0 설치 A. 소개 Relational DataBase Management System SQL Server 0는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 express 버전 의무료에디션을제공하는데, 이책에서는실습을위해 SQL Server 0 익스프레스에디 션 SP
More informationASEC Report
1. 악성코드 Geno 혹은 Gumblar 악성코드이슈... 2 2. 스파이웨어 리워드프로그램제작자의기소및 Clicker 이슈... 5 3. 시큐리티 IIS의 WebDAV 취약점주의요망... 9 4. 중국보안이슈 사이버머니갈취범징역형및취약한 PDF 생성기... 12 구름속백신?! 안랩스마트디펜스... 15 1. 악성코드... 24 2. 스파이웨어... 33
More information