CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
|
|
- 누리 국
- 6 years ago
- Views:
Transcription
1 ASEC REPORT VOL 안랩월간보안보고서 2013 년 1 월의보안동향
2 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. I. 2013년 1월의보안동향악성코드동향 01. 악성코드통계 03-1월악성코드, 전월대비 33만여건감소 - 악성코드대표진단명감염보고최다 20-1월최다신종악성코드 Win-Trojan/Onlinegamehack 월악성코드유형트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 신규 Java 제로데이공격, 국내감염사례발견 - 국내방산업체 APT 공격포착 - 특정기업을타깃으로하는 PlugX 트로이목마 - 피싱 파밍공격및인증서유출위협증가 - 윈도우와안드로이드에서인터넷뱅킹정보를탈취하는악성코드 - YES24( 홈페이지를통한악성코드유포 - https를사용한악성코드유포 - 호기심에받은파일에담긴악성코드 - 최신영화토렌트파일을이용한악성코드유포 - 스팸메일발송악성코드주의! - 연말정산시즌, 세금관련스팸메일주의! - 신규채용메일로위장한악성코드 - 한글문서파일을위장한악성코드발견 - 한글파일제로데이취약점악용공격 - Open IOC 도구를이용하여붉은 10월악성코드점검하기 보안동향 01. 보안통계 21-1월마이크로소프트보안업데이트현황 02. 보안이슈 22 - 인터넷익스플로러제로데이취약점 (CVE ) 악용 - Java 제로데이공격의꾸준한증가 CVE 웹보안동향 01. 웹보안통계 24 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 03. 모바일악성코드이슈 18 - 구글플레이스토어 100 만다운로드 ADULTS ONLY
3 3 01 악성코드동향 악성코드통계 1월악성코드, 전월대비 33만여건감소 ASEC이집계한바에따르면, 2013 년 1월에감염이보고된악성코드는 15,000,000 10,000,000 9,976, % 9,602,029 9,938, % 3.4% -38, ,125 전체 960만 2029건인것으로나타났다. 이는전월 993만 8154건에비해 5,000,000 33만 6125건이감소한수치다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는 ASD.PREVENTION이었으며, Malware/Win32.suspicious와 JS/Agent가다음으로많았다. 또한총 8건의악성코드가최다 20건목록에새로이름을올렸다 ([ 표 1-1]) 그림 1-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 ASD.PREVENTION 726, % 2 Malware/Win32.suspicious 386, % 3 6 JS/Agent 266, % 4 Textimage/Autorun 224, % 5 2 Trojan/Win32.adh 220, % 6 1 Trojan/Win32.Gen 196, % 7 3 Trojan/Win32.agent 169, % 8 5 Trojan/Win32.onlinegames 164, % 9 3 Trojan/Win32.onlinegamehack 154, % 10 NEW Win-Trojan/Onlinegamehack , % 11 NEW Win-Trojan/Onlinegamehack W 103, % 12 2 Adware/Win32.korad 97, % 13 2 RIPPER 87, % 14 NEW Win-Trojan/Agent , % 15 NEW Win-Trojan/Rootkit , % 16 NEW Win-Trojan/Agent , % 17 NEW Html/Shellcode 68, % 18 NEW Win-Trojan/Patcher , % 19 NEW Trojan/Win32.sasfis 58, % 20 7 Malware/Win32.generic 57, % TOTAL 3,405, % 표 년 01월악성코드최다 20건 ( 감염보고, 악성코드명기준 )
4 4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다 년 1월에는 Trojan/Win32가총 142 만 9566건으로가장빈번히보고된것으로조사됐다. Win-Trojan/ Agent가 85만 329건, Win-Trojan/ Onlinegamehack이 76만 6762건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 1,429, % 2 2 Win-Trojan/Agent 850, % 3 2 Win-Trojan/Onlinegamehack 766, % 4 2 ASD 726, % 5 2 Malware/Win32 455, % 6 6 Win-Trojan/Urelas 304, % 7 8 JS/Agent 267, % 8 2 Adware/Win32 235, % 9 Textimage/Autorun 224, % 10 3 Win-Trojan/Downloader 224, % 11 1 Win-Trojan/Korad 198, % 12 7 Win-Trojan/Avkiller 152, % 13 2 Win-Adware/Korad 143, % 14 3 Win32/Virut 129, % 15 7 Downloader/Win32 126, % 16 2 Win32/Conficker 118, % 17 NEW Win-Trojan/Rootkit 105, % 18 2 Win-Dropper/Korad 91, % 19 1 Win32/Kido 89, % 20 NEW RIPPER 87, % TOTAL 6,727, % 표 1-2 악성코드대표진단명최다 20건 1월최다신종악성코드 Win-Trojan/ Onlinegamehack [ 표 1-3] 은 1월에신규로접수된악성코드중감염보고가많았던 20건을꼽은것이다. [ 표 1-3] 은 1월에신규로접수된악성코드중감염보고가가장많았던 20건을꼽은것이다. 1월의신종악성코드는 Win-Trojan/ Onlinegamehack 이 12만 1154건으로전체의 14.9% 를차지했으며, Trojan/Onlinegamehack W이 10만 3594건이보고돼 12.9% 를차지했다. 순위 악성코드명 건수 비율 1 Win-Trojan/Onlinegamehack , % 2 Win-Trojan/Onlinegamehack W 103, % 3 Win-Trojan/Rootkit , % 4 Win-Trojan/Patcher , % 5 Win-Trojan/Avkiller , % 6 Dropper/Onlinegamehack , % 7 Win-Trojan/Avkiller , % 8 Win-Trojan/Agent , % 9 Win-Trojan/Onlinegamehack , % 10 JS/Donxref 31, % 11 Win-Trojan/Onlinegamehack O 29, % 12 Win-Adware/KorAd , % 13 Win-Trojan/Agent , % 14 Win-Trojan/Downloader , % 15 Win-Trojan/Agent JS 22, % 16 Win-Trojan/Onlinegamehack , % 17 Win-Trojan/Korad , % 18 Win-Trojan/Modifiedupx , % 19 Win-Trojan/Urelas , % 20 Win-Trojan/Agent BI 16, % TOTAL 812, % 표 1-3 1월신종악성코드최다 20건
5 5 1월악성코드유형트로이목마가최다 [ 그림 1-2] 는 2013년 1월 1개월간안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 53.2% 로가장높은비율을나타냈고스크립트 (Script) 가 7.4%, 웜 (Worm) 이 4.7% 로집계됐다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 스크립트, 바이러스, 다운로더가전월에비해증가세를보였으며드롭퍼, 애드웨어, 스파이웨어는감소했다. 웜, 애프케어계열들은전월수준을유지했다. 그림 년 12 월 vs 년 1 월악성코드유형별비율
6 6 신종악성코드유형별분포 1월의신종악성코드를유형별로살펴보면트로이목마가 85% 로가장많았고, 드롭퍼가 5%, 애드웨어가 3% 로집계됐다. 그림 1-4 신종악성코드유형별분포
7 7 02 악성코드동향 악성코드이슈 신규 Java 제로데이공격, 국내감염사례발견최근발견된 Java 제로데이취약점 (CVE ) 은 Blackhole Exploit Kit, Cool Exploit Kit, Nuclear Exploit Kit 등의자동화된공격도구를통해악용되고있으며, 빠른속도로전세계로확산하고있다 년 1월 10일국내에서도 [ 그림 1-5] 와같이 에악성링크를포함해클릭을유도하거나 SEO poisoning 기법을이용해검색사이트의상위에노출시켜접근을유도하는감염사례가발견됐다. 위의사례외에도국내에서서비스하고있는웹하드업체의홈페이지를통해악성코드를유포하는사례가발견됐다. 특히사용자들의시스템에취약점이존재할경우홈페이지에접근하는것만으로악성코드에감염될수있어사용자들의주의가필요하다. 그림 1-8 악의적인스크립트가삽입된홈페이지 그림 1-5 Java 취약점을이용한악성 그림 1-9 삽입된스크립트중일부 해당사이트로부터악성코드가유포되는방식은 Gongda Exploit Kit을이용했으며최종적으로유포및실행되는악성코드를확인해본결과, Host 파일을변조하는 Banki류의악성코드로확인됐다. 해당악성코드에대해살펴보면, 아래와같다. 그림 1-6 Java 취약점을이용한스크립트코드 [W1.******.net/cctv.exe] 1. 악성코드가취약점을통해실행되면아래의파일이생성된다. 그림 1-7 다운되는악성 Jar 파일구조 해당 Exploit 이포함된악성스크립트에노출되면시스템이감염된다. - C:\WINDOWS\temp\cct.exe - C:\WINDOWS\temp\host.exe
8 8 2. 아래와같이시스템재시작시에도실행될수있도록레지스트리에값을등록한다. - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\360 寮땡렝徒 "C:WINDOWS\SHELLNEW\sever.exe" (sever.exe 파일의경우, 실제생성되는것이확인되지는않았다.) - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\(Default) "C:\WINDOWS\temp\cct.exe" 3. 생성된 cct.exe 파일은실행되면서아래의서버에접속을시도한다 ***.***.204:14465 해당파일의내부에는아래의파일로부터 DialParamsUID, PhoneNumber, Device 등의정보를탈취할것으로보이는일부문자열정보가확인된다. <V3 제품군의진단명 > JAVA/Cve ( ) Trojan/JAVA.Agent ( ) JS/Agent ( ) Win-Trojan/Hosts ( ) Win-Trojan/Farfli ( ) Spyware/Win32.Agent ( ) 국내방산업체 APT 공격포착최근국내방산업체직원을사칭해내부직원을대상으로보안에취약한 PDF 파일을첨부한이메일을유포한사례가발생했다. 해당파일은사회공학적기법을이용해업무협조문서를발송한것처럼위장하고있다. 그림 1-10 문자열정보 4. 함께생성및실행되는 host.exe 파일에의해감염시스템의 hosts 파일이변조된다. 그림 1-11 변조된 hosts 파일 1월현재관련사이트로의연결은이루어지지않았다. 하지만해당악성코드는 hosts 파일을변조해일부금융권사이트접속시, 사용자의금융정보를탈취할목적의악의적인피싱페이지로연결을시도할것으로보인다. 지속적으로발견되는보안위협에대한피해를최소화하기위해서는윈도우보안업데이트및주요응용프로그램 (Java, Adobe Flash Player 등 ) 에대한업데이트의적용을권고한다. 해당취약점은보안업데이트가제공중이며, 보안업데이트만으로도악성코드감염을예방할수있으므로반드시보안업데이트를수행하기바란다. 그림 1-12 PDF 파일내용해당 PDF 파일은지난 2012년 8월에 ASEC 블로그의 이메일을이용한어도비 CVE 취약점악성코드유포 와유사한형태로, 공격자는방산업체로수신되는문서를이용해꾸준히 APT 공격을하는것으로보인다. 이러한공격은내부기밀정보가외부공격자에게유출되는피해가발생할수있기때문에국가기관및방산업체에서는 APT 공격을심각하게받아들이고있다. 따라서이와같은보안위협에대한대응이필요하다. 방산업체직원으로사칭해유포된이메일의첨부파일은다음과같다. 그림 1-13 이메일첨부파일업무연락근무시간관련업계현황조사협조요청 _ pdf 파일을실행하면아래와같이파일과레지스트리키를생성해 webios. dll 파일이 6to4 Manager 이름으로서비스에등록되며, 시스템을시작할때마다자동실행된다.
9 9 [ 파일생성 ] - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\Temp\AdobeARM.dll - C:\WINDOWS\system32\webios.dll - C:\WINDOWS\system32\wdiguest.dll [ 레지스트리등록 ] - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\6to4\Parameters\ServiceDll "C:\WINDOWS\ system32\webios.dll" 취할목적으로 의첨부파일이나정상프로그램의업데이트서버정보를변조해유포를시도하는악성코드다. 최근에발견된 PlugX는특정대상을목적으로 첨부파일을이용해유포됐을가능성이크다. 또한사용자가 DOC파일로인식하도록 [ 그림 1-16] 처럼 DOC 아이콘을사용하고있다. 그림 1-16 Doc 아이콘으로위장한 PlugX DOC 아이콘을사용하고있지만실행파일 (SFX, 자동압축풀림 ) 이며, 해당파일의내부에는 1.exe와 1.doc 파일이존재한다. 사용자가 DOC 파일로착각해실행할경우악성코드로인지할수없도록빈문서파일인 1.doc를보여준다. 그림 to4 Manager 서비스등록상태 webios.dll 파일과 wdiguest.dll 파일은동일한파일이며, webios.dll 파일은 svchost.exe 프로세스에로드되어동작하며, 미국에위치하는 C&C 서버로주기적으로접속을시도하는것으로확인됐다. - hxxp://yy**.**.nu (173.2**.***.202, US) 그림 1-17 PlugX 실행시빈 Doc 문서출력 그림 **.***.202 접속시도패킷 C&C 서버와정상적인통신에성공하게된다면공격자의명령에따라키보드입력을가로채는키로깅과원격제어등의기능을수행하게된다. 그리고백그라운드에서는실제악성코드인 1.exe가실행되고특정폴더에 3개의파일을생성한다. (1) %USERPROFILE%\TEMP\hhx\hhc.exe <V3 제품군의진단명 > PDF/Exploit Trojan/Win32.Dllbot Win-Trojan/Dllbot.8704.E 특정기업을타깃으로하는 PlugX 트로이목마언론을통해보도된보안사고들의공통점은악성코드를사용해특정대상기업, 기관등의민감한자료 ( 기밀자료, 고객DB 등 ) 를탈취했다는것이다. Trojan/Win32.PlugX( 이하 PlugX) 역시특정대상의민감한자료를탈 그림 1-18 정상파일 Microsoft HTML Help Compiler 해당파일은서비스로실행되며실행시 hha.dll을로딩하는기능수행 - 서비스명 : Credential Manager Command Line Utility (2) %USERPROFILE%\TEMP\hhx\hha.dll hha.dll.bak파일을특정바이트만큼읽어온후복호화
10 10 복호화된코드에는악의적인기능 ( 키로깅, 특정사이트접속등 ) 이포함 (3) %USERPROFILE%\TEMP\hhx\hha.dll.bak 1.exe가실행되면서생성한파일 hha.dll가실행되는데필요한코드가암호화되어있음 hha.dll에의해서복호화되는 hha.dll.bak의일부코드를살펴보면아 래처럼감염된 PC에서키보드로입력된내용을키로깅하여 NvSmart. hlp에저장하기위한 API들이존재한다 B2C 00022B2C 0 SetWindowsHookExW B B82 0 UnhookWindowsHookEx B B98 0 CallNextHookEx C C22 0 GetAsyncKeyState C C36 0 GetKeyState 그림 1-21 NH 농협을가장한피싱사이트모바일 SMS 피싱공격뿐만아니라파밍공격또한늘어나고있다. 파밍은 hosts 파일을변조해사용자가정상적인금융권사이트에접속해도공격자의조작된은행페이지에접속되도록한다. 공인인증서가 PC에저장된경우에는파밍공격과더불어공인인증서까지탈취당할위험이있다. (4) 키로깅파일의위치 : %All Users%\cmdkey\NvSmart.hlp 그림 1-22 hosts 파일변조파밍공격 그림 1-19 NvSmart.hlp 에저장된내용 감염된 PC는 [ 그림 1-20] 처럼홍콩에위치한 C&C서버와통신을시도한다. 일반적으로공격자는금융권에서제공한보안카드번호를획득하기위해아래와같은보안카드입력화면을보여주며보안카드정보를확보하려는시도를한다. 그림 1-20 홍콩에위치한 C&C 와통신 <V3 제품군의진단명 > Dropper/Win32.Backdoor (AhnLab, ) 피싱 파밍공격및인증서유출위협증가인터넷뱅킹피싱및파밍위협이더욱커지고있다. 사회공학적기법을이용할뿐아니라, 노출된개인정보를결합한공격까지발생하고있어사용자들의각별한주의가필요하다. 최근에는모바일 SMS를이용한무차별피싱공격도증가하는추세다. 그림 1-23 보안카드번호입력유도화면금융권및은행사이트에서는보안카드번호전체를입력하라고요구하지않는다. 인터넷웹브라우저에서정상적인사이트 URL 이더라도위와같은보안카드번호전체입력화면이나타나는경우는피싱 파밍공격임으로주의가필요하다.
11 11 이러한피싱 파밍공격에대한방어및공인인증서보안을위해서는아래와같은인터넷뱅킹보안수칙을참고해인터넷뱅킹을이용하도록한다. 1. 공인인증서, 보안카드, 비밀번호등을스캔해서사진파일이나엑셀파일형태로개인이메일계정또는웹하드에저장하지않는다. 2. 가급적공인인증서는 PC보다 USB나외장하드등이동저장매체에보관하고인터넷뱅킹사용시에만 PC에연결해서사용한다. 3. 보안카드보다 OTP(One Time Password) 나 MOTP(Mobile One Time Password) 등을사용한다. 4. 은행인터넷뱅킹계정이나포털사이트메일계정의비밀번호는주기적으로변경및관리한다. 5. 인터넷금융거래계정 ID와비밀번호는포탈메일계정 ID비밀번호와다르 그림 1-24 Hosts 파일변조 사용자가주의깊게살펴보지않으면정상사이트와구분하기어렵다. 게사용하고절대타인에게알려주지않는다. 6. PC방등공공장소에서는인터넷뱅킹을사용하지않음은물론이고, 가급적각종사이트에도로그인을하지않는다. 7. MS 윈도우보안패치및백신을설치하여주기적인백신업데이트를해늘최신으로유지한다. 8. 업데이트한백신의실시간검사를이용하고주기적으로수동검사를한다. 9. 계좌이체, 공인인증서재발급등이용내역을알려주는휴대전화문자 (SMS) 서비스이용한다. 그림 1-25 정상사이트 ( 왼쪽 ) / 피싱사이트 ( 오른쪽 ) 윈도우와안드로이드에서인터넷뱅킹정보를탈취하는악성코드 취약점을이용해 PC 사용자가감염사실을인지할수없도록동작하는국내인터넷뱅킹정보탈취악성코드가끊임없이발견되고있다. 과거국내를대상으로제작된정보탈취형악성코드는주로주말에취약점을통해서유포 / 확산됐지만, 모니터링결과주중에도변형을제작해유포되고있었다. 그림 1-26 피싱사이트 국내인터넷뱅킹정보탈취악성코드는 Windows뿐만아니라, Android 기반의스마트폰앱으로도유포됐으며, 변종이계속발견되고있다. 더욱이구글공식마켓인 Play Store에도등록돼있어그영향이적지않을것으로보인다. 해킹된웹사이트에삽입된악성스크립트를통해유포되는, 즉취약점을통해감염되는흐름은이전에다루었으므로생략한다. 취약점을통해 PC에다운로드및실행되는악성파일은아래와같다. - hxxp://121.***.**.229:280/goutou.exe 해당파일이실행되면아래와같은명령으로시스템의 Hosts 파일이변조된다. 이후 PC 사용자는인터넷뱅킹을위해정상적인방법으로은행사이트를방문하지만, 실제로는제작자에의해의도된피싱사이트에접속하게된다. 그림 1-27 이름과주민번호입력을요구하는피싱사이트피싱사이트에서요구하는 [ 인증절차 ] 를확인해보면아래와같다. 1. 위페이지의소스를살펴보면 name_info1, 2, 3 사용자이름과주민번호를인자값으로받아서특정서버에전송할것으로추정된다.
12 12 5개은행의이용자를타깃으로제작됐으며, 하루간격으로변종이유포됐다. 1월 15일에는 LEAD TEAM, 16일에는 ZHANG MENG, waleriakowalczyk, 17일에는 Kyle Desjardins 의제작자명으로등록되어유포됐다. 위악성앱중에하나를살펴보자. 그림 1-28 페이지소스 2. 이름과주민번호정보를수집한후에는보안카드비밀번호와같은추가정보를수집하기위한페이지로이동한다. 그림 1-32 설치화면 ( 좌 ) / 실행화면 ( 우 ) 그림 1-29 추가정보수집페이지 3. 실제사용자에의해입력된정보가특정서버로전송되는과정은 [ 그림 1-30] 과같다. 그림 1-33 피싱사이트접속유도화면 그림 1-30 사용자에의해입력된정보가전송되는과정 이러한 Windows 기반의악성코드가 Android 기반의스마트폰에서도발견됐다. [ 그림 1-31] 의페이지는구글마켓에등록된인터넷뱅킹정보탈취형악성앱이다. 그림 1-34 은행 ( 피싱 ) 사이트접속화면 위화면에서볼수있듯이피싱사이트는사용자의개인정보및인터넷뱅킹정보를입력하도록유도하고있다. 그림 1-31 구글 Play Store 에등록된악성앱 해당부분의코드를살펴보면피싱사이트로접속을유도하는부분을확인할수있다.
13 13 wlo.js 스크립트하단에는 [ 그림 1-39] 의인코딩된형태의코드가존재한다. 그림 1-35 피싱사이트접속유도의일부코드 그림 1-39 wlo.js 스크립트에삽입된 iframe 태그 그림 1-36 인터넷뱅킹정보탈취사이트의일부코드 Windows 기반의악성코드감염을최소화하기위해선보안패치를항상최신으로유지하고, 안전성이확인되지않은파일공유사이트 (P2P, 토렌트 ) 는이용하지않는것이좋다. Android 기반의금융관련앱을설치할떄는해당금융사가등록한것인지, 제작자가올바른지등을확인하는습관이필요하다. <V3 제품군의진단명 > Trojan/Win32.Banki Android-Trojan/Yaps 위의인코딩된스크립트를풀어보면 [ 그림 1-40] 의주소를확인할수있다. 그림 1-40 디코딩된스크립트에존재하는 URL 분석당시에는연결이되지않아확인할수없었지만, 당시접속로그를확인해보면위의페이지로연결된이후 Gongda Exploit Kit을통해악성코드가유포된것으로보인다. 다음은 AkVnQn8.jpg 파일을디컴파일프로그램으로열어본화면이다. YES24( 홈페이지를통한악성코드유포 2013년 1월 5일국내인터넷서점 YES24 ( 사이트에서악성코드가유포됐다. 해당웹사이트의특정 Java 스크립트파일에는 iframe이삽입되어있으며, 이악성코드는 Gongda Exploit Kit을통해유포된것으로확인됐다. 국내의많은사용자가방문하는웹사이트에서반복적으로악성코드가유포되고있다는점에서주의가필요하다. 그림 1-41 AkVnQn8.jpg 파일정보 악성코드는 사이트에서 x2.exe 파일을다운로드해서실행된다. 해당악성코드 (x2.exe) 는 V3, 알약과같은백신프로그램이실행되는것을방해하고게임계정을탈취하는 OnlineGameHack 악성코드다. 그림 1-37 YES24 홈페이지 악성스크립트가삽입된 Java 스크립트파일 (wlo.js) 은다음과같다. 그림 1-42 파일생성정보 <V3 제품군의진단명 > Dropper/Onlinegamehack22.Gen (V3, ) Trojan/Win32.OnlineGameHack (V3, ) Win-Trojan/Onlinegamehack O (V3, ) Win-Trojan/Onlinegamehack ZI (V3, ) 그림 1-38 악성스크립트가삽입된 Java 스크립트파일
14 14 https를사용한악성코드유포악성코드제작자들의악성코드및스크립트배포방법에변화가생겼다. 악성코드를유포하는웹사이트는다양하지만, 이번에는낚시사이트를이용하는방법이발견된것이다. 호기심에받은파일에담긴악성코드다수의감염이보고된악성코드 (Trojan/Win32.Urelas) 의상위드롭퍼를확인해본결과, [ 그림 1-46] 과같이특정자료의폴더내에서수집된내용이었다. 그림 1-46 악성파일실행경로 그림 1-43 악성코드가유포된낚시사이트 해당파일은파일공유사이트의다운로드프로그램을통해다운로드된것으로이는사용자가원했던자료에함께포함돼있었던것으로보인다. 위의사이트에서악성코드가유포될당시삽입된스크립트는 [ 그림 1-44] 와같다. 그림 1-44 악성스크립트 해당악성스크립트에서연결하는사이트는키워드툴바업체다. 특이한점은악성코드제작자가해당악성스크립트를배포하기위해 http 가아닌 https를사용했다는점이다. https로통신을하면암호화통신을하기때문에스크립트파일을추출할수없다. 물론툴을이용해수동으로파일을추출할수는있다. 악성코드제작자가 https 통신을사용한이유를추측해보면악성코드의탐지를조금이나마우회하기위한것으로보인다. 최종적으로 [ 그림 1-45] 의파일이드롭되어실행되며, 실행된악성코드의파일정보를살펴보면아이콘및파일정보등이 V3와알약으로위장한것을확인할수있다. 그림 1-47 파일공유사이트일부리스트파일은이미지와관련된 JPG 확장자를가지고있지만실제로는윈도우실행파일의형태였다. 그림 1-48 파일형태확인또한 MS의파일정보로위장하고있었다. 그림 1-49 파일정보확인 악성코드가실행되면, 아래와같은파일이생성된다. 그림 1-45 PE 파일정보 <V3제품군의진단명 > Trojan/Win32.Jorik ( ) 그림 1-50 악성코드가생성하는파일
15 15 생성된일부파일 (AyUp%X.tmp) 이실행되어아래의서버에접속한뒤추가적인악성파일 (Nate%X.exe) 을다운로드한다 ***.***.146:80 다운로드된악성파일은, 시스템을재시작해도실행될수있도록레지스트리에값을등록한다. Win-Trojan/Urelas ( ) Trojan/Win32.Urelas ( ) Win-Trojan/Agent ( ) Win-Trojan/Urelas ( ) Win-Trojan/Urelas C ( ) 그림 1-51 악성코드가등록하는레지스트리값시스템재시작시시작프로그램에등록된 Nate%X.exe 파일에의해또다시추가적인악성파일이다운로드및실행된다 ***.***.164:11140 추가로다운로드된일부악성파일은아래와같은내용을포함하고있다. 이악성파일은도박성온라인게임관련프로세스를모니터링하고, 관련정보를탈취하기위한기능을포함하고있을것으로보인다. - Highlow2.exe, LASPOKER.exe, poker7.exe, Baduki.exe, HOOLA3.exe, DuelPoker.exe, FRN.exe 최신영화토렌트파일을이용한악성코드유포많은인터넷사용자들은최신영화, 게임, 유틸리티프로그램등을공유하거나자신이원하는자료를다운로드하기위해파일공유사이트 (P2P) 나토렌트 (torrent) 프로그램을이용한다. 최근토렌트에서공유된영화파일에코덱파일을위장한악성코드가발견돼사용자들의주의가요구된다. 악성코드가포함된토렌트파일은지난해개봉해 1000만관객을동원한영화 광해 ( 광해.The king.hdtv.720p.royal.torrent) 와관련된것으로 2012년 11월부터약 10만명의사용자가해당게시물을클릭한것으로확인됐다. 또한 MBR(Master Boot Record) 을감염시키는 Boot Virus 기능을가진악성코드생성도확인된다. 그림 1-54 토렌트공유사이트 그림 1-52 감염된 MBR 정보 다음은토렌트를이용해공유된파일을다운로드받는화면이다. MBR 이감염된경우전용백신으로진단및치료가가능하다. - 전용백신다운로드경로 : 그림 1-55 공유파일다운로드 다운로드가완료되면 [ 그림 1-56] 과같은파일을확인할수있다. 그림 1-53 MBR 전용백신을통한치료 <V3 제품군의진단명 > 그림 1-56 다운로드된파일
16 16 텍스트파일에는 소리혹은영상이끊어지면코덱파일 (LOL codec1.2.exe) 을설치하라 는내용의글이작성되어있다. 분석당시아래와같은서버 (118.***.**.181:81) 에접근을시도하지만정상적으로연결되지않았다. 그림 1-57 코덱파일설치유도 토렌트에서다운로드된동영상파일 ( 광해.The king.hdtv.720p.royal. avi) 은 avi확장자를가지고있지만, 실제로는 WinRAR SFX 실행압축파일이다. 그림 1-62 네트워크패킷정보 위의토렌트파일은구글검색결과다수의토렌트사이트에서배포되고있는것으로확인됐다. 그림 1-58 동영상파일정보 사용자가 LOL codec1.2.exe 파일을실행하면다음과같은악성코드 (r.exe) 가시스템에생성된다. 그림 1-59 파일생성정보 또한, 레지스트리에 [ 그림 1-60] 과같은값을추가해윈도우시작시자동으로실행된다. 그림 1-63 구글검색정보이처럼토렌트프로그램으로배포되는다양한영화파일및프로그램을통해광고성프로그램설치및악성코드의감염으로인한정보유출등의피해가발생할수있다. 따라서파일공유및토렌트사이트에서불법으로공유하는파일에대해사용자들은각별한주의를기울일필요가있다. <V3 제품군의진단명 > Trojan/Win32.Injector (AhnLab, ) 그림 1-60 레지스트리등록정보 해당악성코드는 XtreamRAT류로사용자의개인정보를전송하거나사용자가입력하는키보드값을가로채전송할것으로추정된다. 그림 1-61 악성코드의문자열정보 스팸메일발송악성코드주의! 악성코드에감염되어특정링크가포함된스팸메일을발송하는악성코드가발견됐다. 분석당시정확한감염경로는확인되지않았으나확인가능한일부정보로보아스팸메일또는특정웹사이트를통한유포, 그리고 Java 및 PDF 등의취약점을통해감염이이루어진것으로보인다. 해당악성코드는과거부터지속적으로유포된것으로보이며, 수집된드롭퍼를살펴보면 [ 표 1-4] 와같이최근까지도감염피해가발생하고있는것으로확인된다.
17 17 Date File about[1].exe about[1].exe info[1].exe calc[1].exe wgsdgsdgdsgsd.exe wgsdgsdgdsgsd.exe wgsdgsdgdsgsd.exe info[1].exe info[1].exe info[1].exe 표 1-4 최근유포된파일정보 - 연결된페이지에는특정다이어트식품관련홍보를위한내용이포함돼있으며, 추가적인악성코드유포는확인되지않았다. 일부드롭퍼를통해감염될경우특정 URL로접속해추가적인악성코드파일을다운로드한다 a7b5506e0663.doc*********emala.com - 704bf f.2xc*****dry.com 드롭퍼에의해다운로드된악성코드는아래와같이생성및실행된다. - %TEMP%\{ 문자열 }\ exe 그리고아래와같이주요파일을생성하며, 자신의복사본을생성한뒤레지스트리에등록해시스템재시작시에도실행되도록한다. - %systemroot%\system32\ohyhduearanf.exe ( 복사본 ) - %temp%\cnsddr f.tmp 생성된 { 문자열 }.tmp 파일에의해서스팸메일이발송되며, 이에다수의 SMTP 트래픽이발생되게한다. 그림 1-66 스팸메일내링크연결페이지다만악성코드유포에언제든지이용될수있으므로, 확인되지않거나불분명한메일을수신할경우주의가필요하다. 또한주요응용프로그램을항상최신버전으로업데이트해주위의보안위협으로부터더욱안전한환경을만들도록해야한다. 1. 출처가불분명하거나의심이가는제목일때는메일을열지말고삭제한다. 또는발신자와제목을비교해정상메일이아닐확률이높으면삭제한다. 2. 사용중인보안프로그램은최신버전으로업데이트하고실시간감시기능을사용한다. 3. 메일에첨부된파일은바로실행하지않고저장한다음보안프로그램으로검사한후실행한다. 4. 본문의의심가거나확인되지않은링크는클릭하지않는다. 5. 포털사이트메일계정을이용할경우스팸메일차단기능을적극활용한다. <V3 제품군의진단명 > Trojan/Win32.Spamailer ( ) Dropper/Win32.Daws ( ) 그림 1-64 SMTP 발생패킷캡처 감염된악성코드에의해발송되는일부스팸메일을확인해보면 [ 그림 1-65] 와같이특정링크를전달하는내용이확인된다. 연말정산시즌, 세금관련스팸메일주의! 연초에는근로자가세금환급을통해 제2의보너스 를챙길수있는연말정산이진행된다. 악성코드제작자에게이런 연말정산 은매력적인키워드일것이다. 악성코드제작자가연말정산시즌을악용하여악성코드를유포를할우려가있어, 이에사용자들의주의를환기하고자최근발견된호주국세청을위장한악성스팸메일을살펴보기로한다. 그림 1-65 감염시발생되는스팸메일 메일내에작성된링크를클릭하면아래의주소로 Redirection 된다. 그림 1-67 세금관련악성스펨메일사례 1
18 18 [ 네트워크정보 ] - wuauclt.exe HTTP CONNECT => 213.XXX.XX.19:80 XXXX.net//profiles/XXXX/translations/prx.exe 그림 1-70 wuauclt 프로세스에핸들로동작하는악성코드 그림 1-68 세금관련악성스팸사례 2 해당메일은호주국세청 (Australian Taxation Office) 에서발송한것으로위장한뒤메일에 Tax Report.zip 파일을첨부해유포한형태로, 메일본문은첨부된파일을참고하도록유도하고있다. 첨부된파일은압축을해제하면엑셀파일로보이지만실제로는실행가능한 exe 파일임을확인할수있다. <V3 제품군의진단명 > Trojan/Win32.Jorik 신규채용메일로위장한악성코드사회공학 (Social Engineering) 기법은사회적인이슈나사람들의관심을끌수있는심리를악용하거나신회할만한사람또는기관으로속여공격하는것을말한다. 이번에발견된스팸메일은채용과관련한것이었다. 해당메일은 [ 그림 1-71] 과같이발신자와수신자의이메일도메인이서로일치했다. 그림 1-71 신규채용스팸메일 그림 1-69 호주국세청을위장한악성스팸메일 첨부된파일이실행되면 msrkuoi.com 파일이생성이된다. msrkuoi.com 파일은 wuauclt 프로세스에핸들로등록되어동작하게된다. 프랑스에위치한시스템에접속을시도하고추가적인파일다운로드를시도한다. [ 파일생성 ] - C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msrkuoi. com [ 레지스트리등록 ] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \policies\explorer\run\62998 "C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ msrkuoi.com" 그림 1-72 스팸메일발신자 PDF 파일로위장한악성코드가실행되면아래와같은파일과레지스트리가생성되며부팅시자동으로실행된다. 생성되는파일경로는 %APPDATA% 로같지만폴더명은 4자리의랜덤한알파벳으로생성되며파일은다양한길이의랜덤한알파벳으로만들어진다. [ 생성된파일 ] - C:\DOCUME~1\ADMINI~1\LOCALS~1\ Temp\ exe - C:\Documents and Settings\Administrator\Application Data\Pybi\puvyw.exe
19 19 [ 생성된레지스트리 ] - HKCU\Software\Microsoft\Windows\CurrentVersion\ R u n \ { 4 C 0 7 D B 3 F - F E A D 7 D D 2 5 FA 5 2 E F 1 4 D } ""C:\Documents and Settings\Administrator\ Application Data\Pybi\puvyw.exe"" 또한아래와같은사이트로접속해파일을다운로드하거나암호화된데이터를전송한다. [ 접속하는사이트 ] : gate.php : bb : e2 : : e : : 그림 1-73 스팸메일발신자 <V3 제품군의진단명 > Spyware/Win32.Zbot (AhnLab, ) 그림 1-75 한글문서파일실행화면한글파일이실행되면아래와같은악성코드가함께생성된다. - C:\Documents and Settings\All Users\SxS\xxx.xxx ( 악성 ) - C:\Documents and Settings\All Users\SxS\NvSmart.exe ( 정상 ) - C:\Documents and Settings\All Users\SxS\NvSmartMax.dll ( 악성 ) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hwp.exe ( 악성 ) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hwp.hwp ( 정상 ) 그리고아래와같은레지스트리값을생성해서비스로동작하도록구성돼있다. 한글문서파일을위장한악성코드발견 최근특정대상을목적으로제작해유포된것으로추정되는한글문서파일을위장한악성코드가발견됐다. 그림 1-76 레지스트리생성정보 악성코드에감염되면키보드에입력된정보가 kl.log 파일에저장된다. 또한 bug.log 파일에에러로그가저장되는것으로추정된다. 그림 1-74 한글문서로위장한악성코드 해당악성코드는한글문서아이콘을사용하지만, 실행파일 (SFX 압축파일 ) 로확인된다. 사용자가한글문서로착각해실행하면악성코드에감염된것을인지할수없도록 [ 그림 1-75] 와같은한글문서 (hwp. hwp) 가실행된다. 그림 1-77 kl.log 키로깅파일 다음은 bug.log 파일을메모장으로열어본화면이다. 그림 1-78 bug.log 파일정보
20 20 kl.log 파일을열어보면사용자가키보드로입력한키로깅정보가저장된것을확인할수있다. 이후특정서버로접속을시도하며키로깅정보를전송할것으로추정되나, 분석시점에는확인되지않았다. 해당한글파일은 [ 그림 1-81] 의구조를갖고있으며, 이중 BinData 항목의 BIN0001.bmp 라는비정상적인이미지를파싱하는과정에서취약점이발생한다. 그림 1-79 kl.log 파일에저장된키로깅정보 <V3 제품군의진단명 > Win-Trojan/Agent (V3, ) Dropper/Agent (V3, ) Backdoor/Win32.Etso (V3, ) Win-Trojan/Agent (V3, ) 한글파일제로데이취약점악용공격 2012년도에는한글과컴퓨터에서개발하는한글소프트웨어에존재하는취약점을악용한타깃공격 (Target Attack) 이예년에비해비교적크게증가하였다. 이중에는기존에알려지지않은제로데이 (Zero Day, 0-Day) 을악용한공격형태도 2012년 6월과 11월에발견될정도로한글소프트웨어취약점을악용한공격의위험성이증가하고있다. 그림 1-81 비정상적인이미지가포함된취약한한글파일구조이로인해영향을받게되는한글소프트웨어의모듈은 HncTiff10.flt' 에서 TIFF 형식의이미지를파싱하는과정에서발생하는코드실행취약점이다. 해당제로데이취약점으로인해영향을받는한글소프트웨어는 ASEC의내부적인테스트결과로는다음버전에서동작하게된다. - 한글및한컴오피스 2007, 2010 최신보안패치가모두적용된한글 2007과 2010 버전에서는해당취약한문서를여는과정에서바로취약점이동작한다. 하지만최신패치가적용되지않은한글 2010 버전에서는아래이미지와같은오류메시지가발생하며, 해당오류메시지를종료하는순간취약점이동작한다 년 6월 - 한글제로데이취약점을악용한악성코드유포 년 11월 - 국방관련내용의 0-Day 취약점악용한글파일이러한한글소프트웨어에존재하는기존에알려지지않은제로데이취약점을악용한공격이 1월 25일경다시발견되었다. 이번에발견된한글소프트웨어의제로데이취약점을악용하는취약한한글파일은아래이미지와같이다수의개인정보를포함한형태로발견되었다. 그림 1-82 최신패치가적용되지않은한글 2010에서발생하는오류해당제로데이취약점을포함하고있는한글파일이정상적으로열리게되면아래이미지와같은전체적인구조를가진다른악성코드들이생성된다. 그림 1-80 다수의개인정보를포함한취약한한글파일 그림 1-83 취약한한글파일을악용한공격의전체구조도
21 21 취약한한글파일이열면아래경로에 HncUpdate.exe (641,024 바이트 ) 가생성된다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\HncUpdate.exe 생성된 HncUpdate.exe (641,024 바이트 ) 은 GetTempFileName 함수를이용하여임의의문자열을파일명으로가지는 tmp 파일 3개를다음과같은경로에생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\[ 임의의문자열 ].tmp (187,904 바이트 ) - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\[ 임의의문자열 ].tmp (181,760 바이트 ) - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\[ 임의의문자열 ].tmp (219,136 바이트 ) HncUpdate.exe (641,024 바이트 ) 가생성한 tmp 파일중 187,904 바이트크기를가지는 tmp 파일을다시아래경로에 w32time.exe (187,904 바이트 ) 파일명으로다시복사한다. - C:\WINDOWS\system32\w32time.exe 그리고생성된 w32time.exe (187,904 바이트 ) 을윈도우서비스로실행하기위해윈도우레지스트리다음경로에 "Windows Time" 라는윈도우서비스명으로아래와같은키값을생성한다. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\w32time ImagePath = C:\WINDOWS\system32\w32time.exe w32time.exe (187,904 바이트 ) 은파일다운로드기능만가지고있는파일이며, 다른악의적인기능은존재하지않는다. 해당 w32time.exe (187,904 바이트 ) 이실행이되면파일내부에하드코딩되어있는웹사이트주소 3곳에존재하는 GIF 또는 JPG 확장자를가진파일을다운로드한다. 분석당시다운로드된파일들은 [ 그림 1-84] 와같이 GIF와 JPG 파일시그니처만남아있는손상된파일이었다. 그리고생성된다른임의의문자열을파일명으로가지는 tmp 파일 2 개는윈도우비스타 (Windows VISITA) 와윈도우 7(Windows 7) 에존재하는 UAC(User Access Control) 기능을무력화하여생성한악성코드를정상적으로실행하기위한기능을수행한다. <V3 제품군의진단명 > HWP/Exploit Trojan/Win32.Agent Win-Trojan/Agent DC Dropper/Agent G Win-Trojan/Agent HT <TrusWatcher 탐지명 > Exploit/HWP.AccessViolation-DE <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Exploit Suspicious/MDP.Exploit Suspicious/MDP.Behavior Suspicious/MPD.DropExecutable Open IOC 도구를이용하여붉은 10월악성코드점검하기최근외국의보안업체가발표한 붉은 10월 (red October) 이라는정보탈취형악성코드가세계를떠들썩하게만들고있다. 이악성코드는각국의정부기관, 기반시설, 연구기관등의주요부서를타깃으로피싱이메일을보내악성코드감염을유도한뒤주요기밀문서를탈취하는것이주요목적으로밝혀졌다. 이에관련기관들은악성코드감염여부에대한정밀한점검이필요하다. 붉은 10월 악성코드는 2007년에처음발견되어전세계에걸쳐광범위하게확산됐다. 특히현재는동유럽, 중앙아시아등에서집중배포되고있다. 참고링크 보안뉴스붉은 10월 의사이버스파이활동분석결과는? 이에자체적으로운영중인시스템들을점검할수있도록 OpenIOC ( ) 에서제공하는침해사고분석공개도구를이용하여 붉은 10월 악성코드를점검하는방법을공유한다. 그림 1-84 다운로드되는이미지파일 해당악성코드제작자는 1월현재까지손상된 GIF와 JPG 파일을사용하고있으나, 적절한시기에는이를다른악성코드로변경하여동시에다수의악성코드를유포하기위한것으로추정된다. 그림 1-85 OpenIOC
22 22 1. 준비하기 - 시스템정보수집과정보분석을위해 IOC finder 와붉은 10월악성코드정보가담긴 IOC 파일이필요하다. 아래의링크를통해다운로드할수있다 malware_analysis/redoctober/48290d24-834c-4097-abc5-4f22d3bd8f3c.ioc -. IOC finder의압축을해제하고 IOC 파일과함께점검할 PC에 iocfinder를실행할수있도록 USB나공유폴더에복사해둔다. 2. 시스템정보수집 -. 아래의명령어를통해 IOC finder 로시스템정보를수집한다. $ mandiant_ioc_finder collect o c:\collect 정보수집에소요되는시간은대략 1시간정도이며시스템상태에따라다를수있다. 완료시 c:\collect 폴더에각종정보가 xml파일로저장되며, 이정보파일들을분석할 PC에적절히이동시킨다. 그림 1-87 수집된정보에서붉은 10 월검사 만일수집한정보에서 붉은 10월 악성코드가존재하면 [ 그림 1-88] 과같이해당파일의경로, md5 hash 및기타파일정보가저장된다. 그림 1-88 분석된리포트 리포트는 html 양식으로저장할수도있으나, 필자의경우버그가발생하여 DOC를이용했다. -t 옵션에 html을넣으면 html 형태로저장된다. 그림 1-86 Ioc finder로정보수집하기 3. 수집된정보에서 붉은 10월 분석 - 시스템에서수집된정보파일들을모은후, 아래의명령어를통해 붉은 10월 감염여부를점검할수있다. $ mandiant_ioc_finder report -i[ 저장한 ioc파일 ] -s [ 정보파일경로 ] -t doc -o [ 저장할리포트경로 ] 분석에는대략 3분정도가소요되며, 분석완료시 doc 형태로결과가저장된다. 4. 마치며지금까지 OpenIOC 도구를사용하여 붉은 10월 악성코드를점검하는방법을알아봤다. OpenIOC 도구는정보수집에 1시간이라는생각보다긴시간이걸리므로단순히악성코드점검만으로활용할땐백신으로점검하는것이시간상이득이다. 백신을사용할수없는시스템이거나, 단순백신으로검사하는것이상의타이트한점검이필요한경우, 또는명확하게침해사고가의심되어기타다른정보 ( 네트워크정보등 ) 를시스템에서같이수집하여분석할필요가있을때에활용하길권장한다.
23 23 03 악성코드동향 모바일악성코드이슈 구글플레이스토어 100 만다운로드 ADULTS ONLY 구글플레이스토어에사용자스마트폰의정보를수집하는애플리케이션이등록돼있던것으로확인됐다. 이애플리케이션을만든 DG- NET 제작자에의하여플레이스토어에등록된 3개의애플리케이션은모두같은기능이며총 100만건이상의다운로드를기록했다. 그림 1-91 서드파티마켓 (3rd Party) 에등록된애플리케이션 이외에도같은종류의애플리케이션이존재한다. 그림 1-89 스마트폰의정보를수집하는애플리케이션 ( 구글플레이스토어 ) 그림 1-92 추가적으로발견된애플리케이션 해당애플리케이션을설치하면 [ 그림 1-93] 과같은아이콘이생성된다. 그림 1-90 같은제작자가등록한애플리케이션 1월현재이 3개의애플리케이션은구글플레이스토어에서삭제됐지만서드파티마켓 (3rd Party) 에서는다운로드가가능하다. 그림 1-93 애플리케이션아이콘
24 24 애플리케이션을실행하면 [ 그림 1-94] 와같은화면을볼수있다. 그림 1-96 수집된정보를특정서버로전송하는과정 그림 1-94 애플리케이션설치후실행화면안드로이드기반의애플리케이션은권한정보를확인함으로써, 행위를예측할수있다. 해당애플리케이션의권한정보를살펴보면 [ 그림 1-95] 와같다. 스마트폰사용자는구글플레이스토어에서애플리케이션을다운로드받아설치할때도다른사용자의평판과애플리케이션의권한정보를확인해볼필요가있다. 또한, 이와유사한기능을하는애플리케이션이많으므로 V3 Mobile 과같은백신으로주기적인검사를하는습관도필요하다. 이러한애플리케이션은 V3 모바일제품에서 GWalls 또는 Airpush와같은형태로진단하고있다. 그림 1-95 애플리케이션의권한정보 애플이케이션이실행되면아래의정보를수집헤특정서버로전송한다. - 사용자의이메일 ( 구글 ) 주소 - IMEI 정보 - 위치정보 - 패키지명정보 - 이동통신사망 APN(Access Point Name) 정보실제네트워크전송과정은 [ 그림 1-96] 과같다.
25 SECURITY TREND 보안동향 보안통계 1 월마이크로소프트보안업데이트현황 년 1월마이크로소프트사에서발표한보안업데이트는총 8건으로긴급 3건, 중요 5건이다. 이번보안업데이트에서는정기보안패치이후에 CVE 인터넷익스플로러제로데이공격에대한보안패치인 MS 이포함돼있다. IE 사용자들은보안패치를반드시적용해안전하게 PC를사용하기바란다 긴급 MS Windows 인쇄스풀러구성요소의취약점으로인한원격코드실행문제점 ( ) MS Microsoft XML Core Services의취약점으로인한원격코드실행문제점 (( ) MS Internet Explorer 보안업데이트 ( ) 중요 MS System Center Operations Manager의취약점으로인한권한상승문제점 ( ) MS NET Framework의취약점으로인한권한상승문제점 ( ) MS Windows 커널모드드라이버의취약점으로인한권한상승문제점 ( ) MS Microsoft Windows의취약점으로인한보안기능우회 ( ) MS Open Data Protocol의취약성으로인한서비스거부문제점 ( ) 표 년 01 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트 ( )
26 SECURITY TREND 보안동향 보안이슈 인터넷익스플로러제로데이취약점 (CVE ) 악용마이크로소프트 (MS) 에서개발하는인터넷익스플로러 (IE) 웹브라우저의알려지지않은제로데이 (Zero Day, 0-Day) 취약점을악용한공격이공개됐다. 이번에발견된 IE의제로데이취약점을악용한공격은미국언론사인 The Washington Free Beacon이보도한기사 (Chinese Hackers Suspected in Cyber Attack on Council on Foreign Relations) 를통해미국외교협의회 (Council on Foreign Relations, CFR) 웹사이트가해킹되었다는소식이공개됐다. 이와관련해마이크로소프트에서도보안권고문 Microsoft Security Advisory ( ) Vulnerability in Internet Explorer Could Allow Remote Code Execution 을통해 IE에존재하는제로데이취약점 (CVE ) 관련정보를공개했다. IE 제로데이취약점을악용한공격에사용된 help.html(4,389 바이트 ) 의코드를살펴보면 [ 그림 2-3] 과같이운영체제에설정되어있는언어코드가중국어, 영어, 대만중국어, 일본어, 러시아어그리고한국어일경우에만해당취약점이동작하도록제작됐다. 그림 2-3 운영체제설정언어코드그리고어도비플래쉬파일인 today.swf(4,057 바이트 ) 와 news. html(849 바이트 ) 를호출하도록코드가제작되어있다. 해당제로데이취약점에영향을받는 IE 버전은다음과같다. - Internet Explorer 6 - Internet Explorer 7 - Internet Explorer 8 이번미국외교협의회웹사이트해킹을통해공개된 IE의제로데이취약점을악용한공격에는다수의 Java 스크립트파일과어도비플래쉬 (Adobe Flash) 파일이사용됐다. 이번공격의전체적인구조를도식화하면다음과같다. 그림 2-4 취약한플래쉬플레이어파일호출해킹된시스템의동일한경로에존재했을것으로추정되는 today. swf(4,057 바이트 ) 는 [ 그림 2-5] 와같이힙스프레이오버플로우 (heap-spreay overflow) 코드와함께셸코드 (Shellcode) 가포함돼있다. 그림 2-5 취약한플래쉬플레이어파일에포함된쉘코드 그림 2-2 제로데이취약점악용하는공격의전체적인구조 해당쉘코드로인해다운로드되는 xsainfo.jpg(509,440 바이트 ) 아래이미지와같이 XOR로인코딩 (Encoding) 되어있으며, 이를디코딩 (Decoding) 하게되면 flowertep.jpg(509,440 바이트 ) 가생성된다.
27 SECURITY TREND 27 Binimage/Cve BinImage/Diofopi Downloader/Win32.Agent <TrusGuard 탐지명 > ms_ie_button_memory_corruption(cve ) ms_ie_button_memory_exploit(cve ) Java 제로데이공격의꾸준한증가 CVE 그림 2-6 다운로드파일을디코딩한결과디코딩된 flowertep.jpg(509,440 바이트 ) 가정상적으로실행되면미국에위치한 web.vipreclod.com이라는도메인을가진시스템으로접속을시도하게되나, 분석당시에는정상적인접속이이루어지지않았다. 작년에이어올해에도 Java( 자바 ) 제로데이취약점을악용한공격은꾸준하게증가하고있다. 자바취약점은운영체제의독립적인취약점으로주로 Windows 및 Mac 시스템을공격대상으로하여악성코드감염에이용되고있고있다. 1월초에나온 Java CVE 취약점은제로데이공격으로 JMX( Java Management Extensions ) 의취약점을악용해 JVM 의샌드박스기능을우회하게된다. JMX는 JVM 에클라이언트의원격접속이용에사용하는패키지로, JMX 패키지 com.sun.jmx.mbeanserver.mbeaninstantiator 클래스의 findclass 메소드등에취약점이존재한다. 해당취약점을악용한악성코드 Jar 파일의클래스구조는 [ 그림 2-8] 과같다. 그림 2-7 특정시스템으로접속시도 정상적으로접속이성공하게될경우에는특정 jpg 파일을다운로드하여공격자가지정한다른명령들을수행할것으로추정되며, 다음과같은악의적인기능들을수행할수있는코드들이포함되어있다. - 키보드입력후킹 - 운영체제정보 - IP 정보 - 커맨드라인 (CommandLine) 명령수행 그림 2-8 Java 제로데이공격 Jar 파일 해당 Jar 파일을해제하면내부에악성클래스가존재하는데, 이는 jmx.mbeanserver 를이용한다. 현재 MS에서는해당제로데이취약점 (CVE ) 을제거하기위한보안패치를미국현지시각으로 1월 8일배포했다. 보안패치를적용하기전에는해당취약점에영향을받지않는IE 9와 10버전을사용하거나, 다른웹브라우저의사용을권고하고있다. 만약, 해당제로데이취약점의영향을받는버전의 IE를사용해야될경우에는 MS에서제공하는별도의 FixIT Microsoft "Fix it" available for Internet Explorer 6, 7, and 8 을설치해야한다. 그림 2-9 Java 제로데이공격악성클래스내부 <V3 제품군의진단명 > JS/Agent SWF/Cve CVE 취약점을비롯해기존 Java 취약점들이악성코드유포등에꾸준히이용되고있어사용자들의주의가필요하다. 아래와같은방법으로현재시스템에설치된 Java 버전을확인한후
28 SECURITY TREND 28 Java 7 Update 11 버전보다낮으면업데이트를반드시적용해야해당제로데이공격의위협을막을수있다. 해당보안패치는현재오라클사이트서이용할수있다. 그림 2-10 Java 현재버전확인 또한웹브라우저에서 Java 플러그인을사용해제해보안을강화하는방법도고려할수있다.
29 WEB SECURITY TREND 웹보안동향 웹보안통계 악성코드유포웹사이트는감소추세 악성코드배포 URL 차단건수 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2013년 1월악성코드를배포하는웹사이트를차단한건수는모두 8900건이었다. 악성코 16, 드유형은총 353종, 악성코드가발견된도메인은 199개, 악성코드가발견된 URL은 818개로각각집계됐다. 이는전월과비교할때악성코드발견건수는다소감소하였으나악성코드유형, 악성코드 8, % 가발견된도메인, 악성코드가발견된 URL 은소폭증가한수치다. 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 표 년 1 월웹사이트보안현황 월별악성코드배포 URL 차단건수 2013년 1월악성코드배포웹사이트의 URL 접근에대한차단건수는전월 1만 6641건과비교해약 47% 감소한 8900건으로조사 15,000 10,000 5,000 4, % +11,726 16, % -7,741 8, % 됐다 그림 3-1 월별악성코드배포 URL 차단건수변화추이
30 WEB SECURITY TREND 30 월별악성코드유형 2013년 1월악성코드유형은전월의 337건에비해소폭증가한 353건을기록했다 % % 4.7% 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2013년 1월악성코드가발견된도메인은 199건으로지난 12월의 187건에비해소폭증가했다 % % 6.4% 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2013년 1월악성코드가발견된 URL은전월의 692건에비해 18% 증가한 818건을나타냈다. 1, % % % 그림 3-4 월별악성코드가발견된 URL 수변화추이
31 WEB SECURITY TREND 31 악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 3934건 (44.2%) 으로가장많았고, 애드웨어가 1145건 (12.9%) 으로그다음을이었다. 유형 건수 비율 TROJAN 3, % ADWARE 1, % DROPPER % DOWNLOADER % Win32/VIRUT % APPCARE % JOKE % SPYWARE % ETC 2, % TOTAL 8, % 표 3-2 악성코드유형별배포수 TROJAN 3,934 ETC 2,603 4,000 ADWARE 1,145 DROPPER 517 2,500 DOWNLOADER 301 Win32/VIRUT 212 APPCARE 171 JOKE 15 SPYWARE 2 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서는 Win-Trojan/Installiq 가 914건으로가장많았고 Adware/Win32.Clicker 등 4건이새롭게등장했다. 순위 등락 악성코드명 건수 비율 1 2 Win-Trojan/Installiq % 2 4 ALS/Bursted % 3 NEW Adware/Win32.Clicker % 4 NEW Adware/Win32.Downloader % 5 4 ALS/Qfas % 6 4 Packed/Win32.Vmpbad % 7 NEW Trojan/Win32.Starter % 8 4 Trojan/Win32.Agent % 9 NEW Win-Trojan/Zegost % 10 2 Trojan/Win32.HDC % TOTAL 3, % 표 3-3 악성코드대표진단명최다 20 건
32 ASEC REPORT CONTRIBUTORS 집필진 책임연구원 이정형 선임연구원 강동현 선임연구원 안창용 선임연구원 이도현 선임연구원 장영준 주임연구원 문영조 주임연구원 김재홍 연구원 강민철 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장책임연구원안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A
ASEC REPORT VOL.27 212.4 안랩월간보안보고서 212 년 3 월의보안동향 212 년 1 분기보안동향 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc.
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.44 2013.08 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More informationASEC REPORT VOL
ASEC REPORT VOL.46 2013.10 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.39 2013.04 안랩월간보안보고서 2013 년 3 월의보안동향 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A
ASEC REPORT VOL.30 2012.07 안랩월간보안보고서 이달의보안동향 2012 년 2 분기보안동향 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.23 211.12 안철수연구소월간보안보고서 이달의보안동향
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT 2013 ANNUAL REPORT CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A
ASEC REPORT VOL.29 2012.06 안랩월간보안보고서 이달의보안동향 모바일악성코드이슈 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights
More informationASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.81 September, 2016 ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작
Security Trend ASEC REPORT VOL.80 August, 2016 ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성
Security Trend ASEC REPORT VOL.85 January, 2017 ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며,
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이
More informationSecurity Trend ASEC Report VOL.52 April, 2014
Security Trend ASEC Report VOL.52 April, 2014 ASEC Report VOL.52 April, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationSecurity Trend ASEC REPORT VOL.68 August, 2015
Security Trend ASEC REPORT VOL.68 August, 2015 ASEC REPORT VOL.68 August, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서
Security Trend ASEC REPORT VOL.82 October, 2016 ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.47 2013.11 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A
ASEC REPORT VOL.28 2012.05 안랩월간보안보고서 악성코드분석특집 불필요한옵션사용으로발생할수있는 스마트폰보안위협과대응 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab,
More informationASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.83 November, 2016 ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL 안랩월간보안보고서 2012년 12월의보안동향 2012년보안동향분석
ASEC REPORT VOL.36 2013.01 안랩월간보안보고서 2012년 12월의보안동향 2012년보안동향분석 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.41 2013.06 안랩월간보안보고서 2013 년 5 월보안동향 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More information<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>
스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 11월의악성코드감염보고는 TextImage/Autorun이
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.40 2013.05 안랩월간보안보고서 2013 년 4 월보안동향 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호
안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.48 2013.12 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationASEC REPORT VOL 안랩월간보안보고서 이달의보안동향모바일악성코드이슈
ASEC REPORT VOL.31 2012.08 안랩월간보안보고서 이달의보안동향모바일악성코드이슈 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC REPORT VOL.76 April, 2016 ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.24 212.1 안철수연구소월간보안보고서 이달의보안동향
More information4S 1차년도 평가 발표자료
모바일 S/W 프로그래밍 안드로이드개발환경설치 2012.09.05. 오병우 모바일공학과 JDK (Java Development Kit) SE (Standard Edition) 설치순서 Eclipse ADT (Android Development Tool) Plug-in Android SDK (Software Development Kit) SDK Components
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationAhnLab_template
2012 년상반기 악성코드동향과전망 - APT 2012. 10. 10 조시행연구소장 Contents 01 APT 02 최근 APT 공격사례 03 APT 공격형태의특징 04 미래 APT 공격형태 05 APT 공격대응방안 01 APT(Advanced Persistent Threat) 1) 2012 년도악성코드동향리뷰 2012 년 1 분기악성코드유형별피해분포 2012
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다. 2011 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2011년 1월의악성코드감염보고는 TextImage/Autorun이
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.32 2012.09 안랩월간보안보고서 이달의보안동향모바일악성코드이슈 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationDisclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.2 211.9 안철수연구소월간보안보고서 이달의보안동향타깃공격
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More informationSecurity Trend ASEC REPORT VOL.67 July, 2015
Security Trend ASEC REPORT VOL.67 July, 2015 ASEC REPORT VOL.67 July, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며
Security Trend ASEC Report VOL.53 May, 2014 ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.78 June, 2016 ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC REPORT VOL 안랩월간보안보고서 2012년 10월의보안동향악성코드분석특집
ASEC REPORT VOL.34 2012.11 안랩월간보안보고서 2012년 10월의보안동향악성코드분석특집 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationMicrosoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 개발환경구조및설치순서 JDK 설치 Eclipse 설치 안드로이드 SDK 설치 ADT(Androd Development Tools) 설치 AVD(Android Virtual Device) 생성 Hello Android! 2 Eclipse (IDE) JDK Android SDK with
More informationSecurity Trend ASEC REPORT VOL.70 October, 2015
Security Trend ASEC REPORT VOL.70 October, 2015 ASEC REPORT VOL.70 October, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationSecurity Trend ASEC Report VOL.63 March, 2015
Security Trend ASEC Report VOL.63 March, 2015 ASEC Report VOL.63 March, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.45 2013.09 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More informationⅠ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성
Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한, 악성코드대표진단명별감염보고 Top 20 이다. 악성코드통계 [ 표 1-2]
More informationⅠ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염
Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염보고 Top 20 2010년 10월의 감염보고 건수는 Win-Trojan/Agent가 총 856,917건
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A
ASEC REPORT VOL.26 2012.03 안랩월간보안보고서 이달의보안동향 모바일악성코드이슈 악성코드분석특집 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All
More informationDisclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.21 211.1 안철수연구소월간보안보고서 이달의보안동향
More informationDisclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. AhnLab Security Emergency response Center REPORT
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.69 September, 2015 ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격..
취약점 분석 보고서 [ Adobe Flash Player 11.3 Kern Table Parsing Integer Overflow - CVE-2012-1535 ] 2012-08-23 RedAlert Team 안상환 목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리...
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More information목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.
Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.42 2013.06 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More informationSecurity Trend ASEC Report VOL.51 March, 2014
Security Trend ASEC Report VOL.51 March, 2014 ASEC Report VOL.51 March, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리
#HNS-WI-13-028 북한의심 APT 공격에대한 Kaspersky 의분석정리 2013-09-12 내용요약 이보고서는 Kaspersky의 Dmitry Tarakanov가작성하여우리나라시간으로 9월 12일발표한 The Kimsuky Operation: A North Korean APT? 를정리및분석한것으로, Kaspersky는지난몇달동안한국의세종연구소, KIDA(
More information월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜
안랩 온라인 보안 매거진 2016. 02 Mobile Security 월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜섬웨어의 모든 것 모바일까지
More information신종파밍악성코드분석 Bolaven
신종파밍악성코드분석 Bolaven 2013.06.27 개요 지난 1월볼라벤 6차문서에서진화한파밍기법 (= 호스트파일변조 ) 에대해분석및공유를하였다. 6차문서에서는웹을통하여악성코드가유포되는과정과파밍기법의전반적인흐름을알아보았다면, 이번문서에서는파밍기법에서사용되는악성파일의행위에대해중점적으로분석하였다. 파밍기법이란? PC 를악성코드에감염시켜정상홈페이지주소로접속하여도피싱사이트로
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.38 2013.03 안랩월간보안보고서 2013 년 2 월의보안동향 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...
목차 Part Ⅰ 7 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 국내인터넷뱅킹계정정보를노리는악성코드... 6 (1) 개요... 6
More informationF O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아
F O C U S 3 홈페이지를통한악성코드유포및대응방안 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아악성코드유포가용이하다는점때문에해커는최대한많은접속자를악성코드에감염시켜금융정보를탈취하거나, APT공격의전단계로써정보수집을목적으로한다.
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.71 November, 2015 ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2013. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.22 2011.11 안철수연구소월간보안보고서 악성코드분석특집
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More informationSecurity Trend ASEC Report VOL.55 July, 2014
Security Trend ASEC Report VOL.55 July, 2014 ASEC Report VOL.55 July, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information