Security Trend ASEC Report VOL.51 March, 2014
|
|
- 서우 소
- 5 years ago
- Views:
Transcription
1 Security Trend ASEC Report VOL.51 March, 2014
2 ASEC Report VOL.51 March, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 년 3 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 보안이슈 SECURITY ISSUE 01 검색포털사이트를악용한악성코드유포... 주의! 02 PDF 문서로위장한악성코드유포 03 사내메일주소로온메일에악성코드가? 악성코드상세분석 ANALYSIS IN-DEPTH 01 APT 악성코드, 새로운 KIMSUKY 등장 17 ASEC REPORT 51 Security Trend 2
3 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 51 Security Trend
4 보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2014 년 3 월한달간탐지된악성코드수는 435 만 2551 건으로나타났다. 이 는전월 319 만 7274 건에비해 115 만 5277 건증가한수치다. 한편 3 월에수집된악성코드샘플수는 307 만 7664 건이다. 7,000,000 6,000,000 5,000,000 5,404,470 4,000,000 4,352,551 3,000,000 3,197,274 2,000,000 1,000,000 5,753,051 3,044,669 탐지건수 0 샘플수집수 3,077,664 1 월 2 월 3 월 [ 그림 1-1] 악성코드추이 [ 그림 1-1] 의악성코드추이건수와관련해 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성 코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. ASEC REPORT 51 Security Trend 4
5 [ 그림 1-2] 는 2014 년 3 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 47% 로가장높은비중을차지했고, 트로이목마 (Trojan) 가 37.4%, 광고목적의프로그램인애드웨어 (Adware) 가 10.1% 의비율로그뒤를이었다. 47% 959, % 110, % 762, % 206,769 PUP Trojan Addware Malware [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 3 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. Trojan/Win32.Agent 가총 23 만 833 건으로가장많이탐지되었고, Trojan/Win32.OnlineGameHa ck 이 22 만 9992 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드명 건수 1 Trojan/Win32.Agent 230,833 2 Trojan/Win32.OnlineGameHack 229,992 3 ASD.Prevention 210,726 4 Trojan/Win32.Starter 92,215 5 PUP/Win32.SearchKey 82,651 6 Trojan/Win32.TopTool 76,627 7 Adware/Win32.KorAd 73,982 8 Trojan/Win32.Downloader 64,322 9 Trojan/Win32.Depok 62, Unwanted/Win32.Webcompass 58,598 ASEC REPORT 51 Security Trend 5
6 보안통계 02 웹통계 Statistics 2014년 3월에악성코드유포지로악용된도메인은 3136개, URL은 3만 8547개로집계됐다. 또한 3월의악성도메인및 URL 차단건수는총 999만 451건이다. 악성도메인및 URL 차단건수는 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 지난달보다웹사이트를통한악성코드유포가확산되고있어인터넷이용자의주의가요구된다. 1,000,000 9,422,446 9,990, , ,000 7,497,960 50,000 40,000 41,006 38,735 38,547 30,000 20,000 10,000 3,112 2,555 3,136 악성도메인 /URL 차단건수 악성코드유포 URL 수 0 1 월 2 월 3 월 악성코드유포도메인수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 ASEC REPORT 51 Security Trend 6
7 보안통계 03 모바일통계 Statistics 2014 년 3 월한달간탐지된모바일악성코드는 10 만 3892 건으로나타났다. 250, , , , , , ,892 50, 월 2 월 3 월 [ 그림 1-4] 모바일악성코드추이 ASEC REPORT 51 Security Trend 7
8 [ 표 1-2] 는 3월한달간탐지된모바일악성코드유형중상위 10건을정리한것이다. 애플리케이션설치프로그램으로위장하여문자전송등을통해수익을도모하거나실제악성코드를설치하는악성앱 (Android- Trojan/FakeInst, Android-Trojan/OpFake 등 ) 이여전히높게나타나고있어사용자들의지속적인주의가필요하다. 또한 PUP 유형도꾸준히상위권을유지하고있다. [ 표 1-2] 유형별모바일악성코드탐지상위 10 건 순위악성코드명건수 1 Android-Trojan/FakeInst 29,779 2 Android-Trojan/Opfake 9,363 3 Android-PUP/Dowgin 8,912 4 Android-PUP/Wapsx 5,324 5 Android-Axen/Prevention 5,224 6 Android-PUP/Airpush 4,301 7 Android-Trojan/Mseg 3,474 8 Android-Trojan/SMSAgent 3,164 9 Android-Trojan/GinMaster 2, Android-PUP/Leadbolt 1,811 ASEC REPORT 51 Security Trend 8
9 2 보안이슈 SECURITY ISSUE 01 검색포털사이트를악용한악성코드유포... 주의! 02 PDF 문서로위장한악성코드유포 03 사내메일주소로온메일에악성코드가? ASEC REPORT 51 Security Trend
10 보안이슈 01 검색포털사이트를악용한악성코드유포... 주의! Security Issue 인터넷이용자들의개인정보를노리는다양한악성코드가지속적으로제작및유포되는가운데, 지난 3 월에는특정검색포털사이트접속시악성코드유포증상이탐지되었다. 트가나타나도록하였다. 그림 2-3 main.js 에삽입된악성 iframe 그림 2-1 검색포털사이트접속시발생한패킷 [ 그림 2-1] 의 1, 2는정상적인흐름이지만 3과 4 는비정상적인흐름이다. 한편검색포털사이트의메인페이지인 1에는주요기능의자바스크립트를가지고있는 main.js를포함하고있다 ([ 그림 2-2]). 그림 2-2 메인페이지에포함된 main.js 공격자는메인페이지접속시자동으로호출되는이 main.js에악성 iframe을삽입하여해당검색포털사이트에접속하는모든사용자에게악성스크립 삽입된악성페이지 css /index.html은 Gongda Exploit Kit으로난독화되어있다. 그림 2-4 Gongda 패킹이되어있는 index.html 난독화되어있는해당페이지는두번의복호화과정을거친다. 최종적으로인터넷익스플로러 (IE), 자바 (Java), 플래시플레이어 (Flash player) 의취약점확인후취약점이발견되면아래와같은추가익스플로잇 (Exploit) 을다운로드및실행한다. ASEC REPORT 51 Security Trend 10
11 응용프로그램 자바 취약점 CVE , CVE , CVE , CVE , CVE , CVE CVE QQ 서비스접속후파밍서버 IP 를받아옴 - QQ 서비스를이용하여파밍서버 IP 를관리하기 때문에쉽게변경할수있다. 플래시플레이어 CVE 인터넷익스플로러 CVE 표 2-1 index.html이사용하는취약점리스트 위의 [ 표 2-1] 과같이총 9 개의취약점이준비되어있다. 그림 2-8 중국블로그서비스로파밍서버 IP 관리 4. 호스트 (hosts) 파일변조 - 변조된호스트파일을확인해보면 null 값을대량으로입력하여빈줄을추가하기때문에변경된것이없는것처럼보인다. 그림 2-5 자바취약점 CVE 의예시 위와같은취약점을이용하여 PC에다운로드및실행되는 xx.exe는아래와같은기능을수행한다. 1. xx.exe를특정폴더에복사후자기자신을삭제 (C:\Program Files\Common, Files\ 와C:\D OCUME~1\ADMINI~1\LOCALS~1\Temp\ \...\) 그림 2-6 xx.exe 의생성및삭제파일 2. 시스템재시작시자동실행을위한레지스트리등록 그림 2-9 변조된호스트파일 5. 백그라운드로동작하며 QQ 서비스에지속적으로접속및호스트파일갱신위의과정을통해감염된컴퓨터에서사용자가해당 URL로접속을시도하면변조된 IP로연결된다. 현재는해당 IP에정상적으로접속이되지않기때문에확인해볼수없지만해당 IP를통해보안카드번호와계정탈취가이루어졌을것으로추정된다. V3 제품에서는관련악성코드를다음과같이진단한다. 그림 2-7 레지스트리등록 <V3 제품군의진단명 > Trojan/Win32.Potukorp( ) Java/Cve ( ) JS/Exploit ( ) ASEC REPORT 51 Security Trend 11
12 보안이슈 02 PDF 문서로위장한악성코드유포 Security Issue 최근 PDF 파일로위장한악성코드가스팸메일을통해전파되고있어사용자들의주의가요구되고있다. 지난 3월, 특정기업에서수신한해당스팸메일의내용은아래와같다. 사용자가해당파일을 PDF 파일로착각하여실행하면악성코드는자기자신을무작위문자열폴더및파일이름으로복제한다. 생성되는모든파일명또한무작위문자열로이루어진다. C:\Documents and Settings\Administrator\Local Settings\Temp\Rawui\etupeb.exe C:\WINDOWS\system32\drivers\5bec78.sys C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ QBL7133.bat 그림 2-10 허위 PDF 파일이첨부된스팸메일 해당메일은 벌금을확인하라 는내용으로, 첨부된파일을열어볼것을유도하고있다. 첨부된파일은아이콘모양이나 [ 폴더옵션 ]>[ 알려진파일형식의확장자명숨기기 ] 옵션이체크된상태에서는확장자명이드러나지않아 PDF 파일처럼보인다. 그러나해당파일의확장자명은윈도화면보호기파일인.scr 로위장하고있다. 그림 2-11 스팸메일에첨부된악성코드 그림 2-12 파일생성 악성코드는레지스트리에키값을생성하여부팅시마다자동실행및생성된드라이버파일을서비스로동작하도록설정한다. 또한방화벽에예외처리된특정포트를오픈한다. HKCU\Software\Microsoft\Windows\CurrentVers ion\run\etupeb HKLM\SYSTEM\ControlSet001\Services\5bec78\ ImagePath "\??\C:\WINDOWS\system3 2\drivers\5bec78.sys" HKLM\SYSTEM\ControlSet001\Services\Shared ASEC REPORT 51 Security Trend 12
13 Access\Parameters\FirewallPolicy\StandardProf ile\disablenotifications HKLM\SYSTEM\ControlSet001\Services\Shared Access\Parameters\FirewallPolicy\StandardProf ile\globallyopenports\list\4876:udp HKLM\SYSTEM\ControlSet001\Services\Shared Access\Parameters\FirewallPolicy\StandardProf ile\globallyopenports\list\8684:tcp 그림 2-13 레지스트리등록 C:\Documents and Settings\Administrator\ Application Data\Microsoft\AddressBook\ Administrator.wab C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\ {3F749BE0-B4EC CE-AB }\ Microsoft\Outlook Express\ 받은편지함.dbx 그림 2-16 접근경로 서비스에등록된드라이버파일은자신을숨기기위해다른무작위문자열파일명의드라이버파일을같은경로에생성하여로드하고자기자신은삭제한다. 그림 2-17 악성코드가접근을시도하는파일 그림 2-14 드라이버파일삭제및로드 추가로, 아래 [ 그림 2-15] 와같이네트워크연결시도 또한확인되었다. 이러한악성코드감염을예방하기위해서는출처를알수없는메일에첨부된파일은실행하지않는것이바람직하며, 불가피하게실행해야할경우에는백신제품으로검사한후에실행하는것이좋다. V3 제품에서는관련악성코드를다음과같이진단한다. 그림 2-15 네트워크연결시도 이외에도 AddressBook 폴더에사용자주소록을저장하는 Administrator.wab 파일과아웃룩 (Outlook) 폴더의편지함파일들에접근한다. 이는아웃룩을이용하는사용자정보나저장된메일의주소정보에접근하려는시도로보인다. <V3 제품군의진단명 > Trojan/Win32.Zbot( ) Backdoor/Win32.Necurs( ) ASEC REPORT 51 Security Trend 13
14 보안이슈 03 사내메일주소로온메일에악성코드가? Security Issue 악성파일을첨부한스팸메일중에서특정한공격목표를정해사회공학기법을이용하여공격하는사례가종종발견되어왔다. 최근에발견된사례에서는영국의주요은행중하나인 NatWest(National Westminster Bank) 가공격목표가된것으로보인다. 의압축파일형태로되어있으며, 압축을해제하면 [ 그림 2-19] 와같이 PDF 아이콘모양의실행파일 (exe) 이나타난다. [ 그림 2-18] 을보면발신자와수신자의메일주소가 natwest.com 로, 회사메일주소와동일한것을확인할수있다. 회사메일주소로위장함으로써사용자로하여금별다른의심없이파일을실행하도록유도한것이다. 그림 2-19 첨부된악성파일 해당악성파일에감염되면 [ 그림 2-20] 과같은파일및프로세스정보가생성된다. 그림 2-18 악성파일이첨부된메일전문 해당메일은 SecureMessage 라는보안관련제 목으로위장하였다. 메일에첨부된파일은 ZIP 형식 SecureMessage.exe Create ProcessC:\DOCUME~1\ADMINI~1\LOCALS~1\ Temp\ccpin.exe SecureMessage.exe Process Start 그림 2-20 파일및프로세스정보생성 ASEC REPORT 51 Security Trend 14
15 해당악성코드는자기자신을 %Temp% 폴더에 ccpin.exe 라는이름의파일을생성한후실행한다. SecureMessage.exe Global Hook(WH_KEYBOARD) SetWindowsHookExA SecureMessage.exe Global Hook(WH_MOUSE) SetWindowsHookExA 그림 2-22 SetWindowsHookExA 의정보 그러나 C&C 에대한정보는확인되지않았다. 그림 2-21 생성되는프로세스 이렇게실행된해당악성파일은 SetWindowsHookExA를통해키보드및마우스정보를후킹하는것으로확인되었다. 한편 V3 제품에서는관련악성코드를다음과같이진단한다. <V3 제품군의진단명 > Spyware/Win32.Zbot ( ) ASEC REPORT 51 Security Trend 15
16 3 악성코드상세분석 ANALYSIS IN-DEPTH APT 악성코드, 새로운 KIMSUKY 등장 ASEC REPORT 51 Security Trend
17 악성코드상세분석 01 APT 악성코드, 새로운 KIMSUKY 등장 Analysis In-Depth 지난 2013년 9월 The Kimsuky Operation: A North Korean APT? 라는제목으로국내주요기관을대상으로한 APT 공격에대해소개된적이있다 (Kaspersky Lab, ). 해당공격에사용된악성코드는 한글취약점악용문서파일 원격제어툴 (TeamViewer) 키로깅 (Key logging) 웹메일계정을통한공격자와의통신등의특징을갖고있다. 2014년 2월 25일, 당시공격에사용된악성코드와동일한유형의파일들이확인되었으며, 이는 2차공격을위한것으로추정된다. 지난해와동일하게이번에발견된악성코드도취약한한글문서파일을통해최초로감염되었다. 지난 2월부터시작된이러한유형의공격이 3월과 4월에도지속적으로이루어지고있음을알수있다. 본문서를통해이공격의주요특징에대해알아보자. 이이루어지고있음을의미한다. (1) 소위자료 ( )_ 수석전문위원소관.hwp - (2014년 2월 25일발견 ) (2) 4.2심포기획안.hwp - (2014년 3월 19일발견 ) 2개의한글문서에서사용된취약점은문단의레이아웃 ( HWPTAG_PARA_LINE_SEG ) 을담당하는구조체에서발생했으며, 본문의내용만다를뿐동일한취약점이사용되었다. 단, 최신버전의한글프로그램에서는해당취약점이동작하지않는다. [ 그림 3-1] 은 2개의한글문서에서취약점이발생하는위치와쉘코드 (Shell Code) 부분을나타낸다. 1. 한글문서취약점악용국내기관에서아래 2개의한글문서파일이발견되었다. 두문서파일은각각 2014년 2월 25일과 2014년 3월 19일에발견된것으로, 지속적인공격 그림 3-1 한글문서의취약점이발생하는부분 ASEC REPORT 51 Security Trend 17
18 이파일이생성되는위치는 %TEMP% 폴더와 %SYSTEM% 폴더이며, %TEMP% 폴더의경우, ~tmp.dll 이름으로생성되는특징을갖는다. %SYSTEM% 폴더에생성된 DLL 파일이서비스로등록및구동된다. 단, 변종마다등록되는서비스의이름과파일명은다르다. [ 그림 3-2] 는취약점이있는한글문서를통해생성되는파일및서비스등록의예를나타낸것이다. (1) c:\documents and Settings\ 사용자계정 \Local Settings\Temp > ~tmp.dll (2) c:\windows\system32 > telnet.dll(~tmp.dll 과동일파일 ) 그림 3-2 취약점이있는한글문서를통해생성되는파일의예 이렇게생성된파일들은 %SYSTEM% 폴더의정상 calc.exe 파일의생성시간과동일하게변경하는특징을갖는다. 이는과거다른 APT 형태의악성코드에서도공통적으로사용되었던방식이다. - [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\TelnetManagement] > "DisplayName"="TelnetManagement" > "ObjectName"="LocalSystem" > "Description"="Provides the access and management WebClients." - [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\TelnetManagement\ Parameters] > "ServiceDll" = %SystemRoot%\System32\telnet.dll 그림 3-3 서비스로동작하기위해생성하는레지스트리의예 2. 공격에악용된백도어의주요기능앞서설명했듯이취약한한글문서파일을통해설치된백도어 (Backdoor) 파일은지난해 Kimsuky 샘플과동일한기능을갖고있으며, 그내용은다음과같다. (1) 특정레지스트리값변경 백신및윈도방화벽관련 : 이백도어는 V3 제품의방화벽과윈도기본방화벽의무력화를시도한다. 그러나 V3 제품의관련레지스트리값들은자체보호되어실제로는수정되지않는다. [HKEY_LOCAL_MACHINE\SOFTWARE\AhnLab\ V3IS80\is] - fwmode = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\AhnLab\ V3IS2007\InternetSec] - FWRunMode = 0 [HKLM\SYSTEM\CurrentControlSet\services\ SharedAccess \Parameters\FirewallPolicy\PublicProfile] - EnableFirewall = 0 [HKLM\SYSTEM\CurrentControlSet\services\ SharedAccess \Parameters\FirewallPolicy\StandardProfile] - EnableFirewall = 0 그림 3-4 방화벽기능무력화를위해변경하는레지스트리값 윈도보안센터관련이백도어는윈도보안센터서비스를사용하지못하도록레지스트리값을변경한다. [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\wscsvc] - Start = 4 그림 3-5 윈도보안센터무력화를위해변경하는레지스트리값 ASEC REPORT 51 Security Trend 18
19 3. 웹메일계정을통한공격자의통신 Kimsuky 악성코드는웹메일을사용해정보를유출하고공격자와통신하며, 각메일계정별인증에필요한정보도함께존재한다. 웹메일계정별로그인시필요한정보 ( 계정및패스워드 ) 를통해메일서버에접속하고, 이후 마스터 메일주소로유출한정보를첨부파일형태로전송하는기능을갖는다. 현재까지확인된웹메일계정은아래와같다. - lucky000@mail.bg - lovelove333@mail.bg - helpyou@mail.bg - monkeyone@mail.bg - AnnaLove1989@mail.com - skagh1961@mail.com - karena1989@mail.com - jhonin333@india.com - qwpejfe234@zoho.com - s24yt@opera.com - d24tf@opera.com - 3wrasd@opera.com - tilmb17.indiatimes.com - jsso.indiatimes.com - voice9911@indiatimes.com - fdjjy456@zoho.com 표 3-1 Kimsuky 악성코드에이용된웹메일계정 [ 그림 3-6] 과 [ 그림 3-7] 은각각웹메일계정에로그인과메일전송 ( 파일첨부기능사용 ) 을위해사용되는데이터중일부를나타낸것이다. &pass= urlhash=&rememberme=0&longsession=0&ht tpssession=0&jan_offset=-28800&jun_offset= &cors_capable=0&user= Referer: Cache-Control: no-cache /auth/login 그림 3-6 메일전송시사용하는정보 ( 로그인 ) var msgs = {"inbox":{" attachment\":true "subject":" inbox":{"all /message/downloadattachment /upload/xhrupload.php tmpfile":" token" value=" /message/send 그림 3-7 메일전송시사용하는정보 ( 파일첨부 ) [ 표 3-1] 의메일계정가운데 mail.bg, zoho.com 은 1차공격 (2013년 9월 ) 에서도사용되었으며, mail.com, india.com, opera.com, indiatimes.com 은이번에새롭게확인된사이트이다. [ 표 3-1] 의메일계정이외에 마스터 (master) 로불리는메일주소중일부는 [ 표 3-2] 와같다. - tgb110117@hotmail.com - nuttumcg@hotmail.com - qet11@hotmail.com - schyong1213@hotmail.com - mysun1968@hotmail.com - ytkr2013@hotmail.com - jkl110112@hotmail.com - rsh1213@hotmail.com - suhopack@aol.com [ 표그림 ] 마스터은메일 [ 주소표3-1] 에서언급된메일주소중 ASEC REPORT 51 Security Trend 19
20 에서마스터 (master) 메일주소인 과 으로첨부파일을포함하여메일이발송된것을나타낸다. 메일이발송된시기는 , , 로총 3번에걸쳐진행되었음을알수있다. Chrome/ Safari/537.1 그림 3-9 웹페이지접속시사용하는정보 [ 그림 3-10] 은실제해당 PHP 사이트접속시보이는화면으로, 특정파일에대한업로드가가능한구조를갖고있다. 그림 3-10 파일전송을위한웹페이지 그림 3-8 웹메일을통한정보유출 4. 공격자웹서버주소 ( 새로운유형 ) (1) 이용 ( 웹서버 ) 지난 2월 24일제작된백도어파일 ( telmgr.dll ) 은기존에알려진웹메일기반이아닌, 무료웹호스팅사이트 ( 를이용해정보유출을시도하고있다. [ 그림 3-9] 는실제해당악성코드내부에존재하는문자열정보중일부를나타낸것이다. Referer: UserId = Origin: Host: ftp-com.bugs3.com ftp-com.bugs3.com Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.3 Accept-Encoding: gzip,deflate,sdch HTTP/1.1 Accept-Language: en-us,en;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 5.2) AppleWebKit/537.1 (KHTML, like Gecko) (2) 이용 (FTP 서버 ) 3월 22일제작된백도어파일 ( olethk64.dll ) 은웹호스팅업체 ( 에서제공하는 FTP 서버를이용하여유출한정보들을업로드한다. 악성코드내부에공격자가설정한계정및패스워드정보가존재한다. [ 그림 3-11] 은실제해당 FTP 서버에접속했을때보이는화면이다. 그림 3-11 파일전송을위한 FTP 서버 5. 정보유출 Kimsuky 유형의악성코드에의해유출되는정보는다음과같으며, 이는최근에발견된유형과도동일하다. (1) 시스템정보 cmd.exe 에서아래와같은명령을통해감염시스템의정보를파일로저장한후공격자가지정웹메일주소로업로드를시도한다. ASEC REPORT 51 Security Trend 20
21 - /c systeminfo > %s (2) 사용자이름및컴퓨터이름 - User name: %s - Computer name: %s (3) 파일목록정보유출 : cmd.exe 에서아래와같은명령을통해감염시스템의폴더및파일들에대한목록정보를유출한다. 이러한정보수집을통해감염시스템에존재하는문서파일 / 실행파일 / 이미지파일등의정보를확인할수있으며, 2차공격에사용되는원격제어툴을통해추가적인정보유출이가능하다. - Elevation:Administrator!new:{3ad b85bdb8e09} 7. 원격제어툴 (TeamViewer) 2013년공격에사용된원격제어모듈과동일한팀뷰어버전 ( ) 이사용되었다. 드롭퍼역할을하는파일은 spl.exe 이며, browsesc.dll 파일내부에저장된공격자웹메일서버와의통신 ( ieup_8, iedown_8 ) 을통해다운로드및실행된다. spl.exe 파일의리소스영역에는 [ 그림 3-12] 와같이총 3개의실행파일을포함하고있다. - dir C:\ /s /a /t (4) 프로세스목록정보유출 : cmd.exe 에서아래와같은명령을통해감염시스템에서실행중인프로세스들에대한정보를유출한다. - tasklist /v (5) 키로깅 (Key logging) : 사용자입력키보드값에대한정보유출을시도하며, 로깅한정보는 ~msgsocm.log, c_ nls 등의이름으로저장한다. 6. UAC(User Account Control) 우회 2014년 2월과 3월에발견된 kimsuky 악성코드는 2013년 9월발견된악성코드와동일하게 UAC 를우회한다. - C:\Windows\System32\sysprep\cryptbase.dll - C:\Windows\System32\sysprep\sysprep.exe 그림 3-12 원격제어툴드롭퍼 (Dropper) 구조 리소스영역의 COM, KHK, WAVE 라는 3개의실행파일은모두파일의시작부터 0x100 크기만큼 1바이트키값으로 XOR된형태의특징을갖고있으며, 리소스에대한언어정보는한국어 (Korean) 로설정되어있다. (1) C:\Windows\System32\xpsp2.exe (TeamViewer Client) (2) C:\Windows\System32\pmspl.exe (xpsp2.exe - Install & Start) (3) C:\Program Files\Internet Explorer\ ASEC REPORT 51 Security Trend 21
22 iexplore_ko.dll (TeamViewer Client Resource DLL) spl.exe 와 xpsp2.exe 파일의제작시기는 2014 년 1월 23일이며, pmspl.exe 파일은 2014년 1월 13일에제작된것으로확인되었다. 함하는드롭퍼파일은 A exe 파일이며, [ 그림 3-15] 와같은구조이다. 이는 2014년 2월발견된파일과유사한구조를갖고있으며, 실행시 shsvcs.exe, signdrv.exe, iexplore_ko.dll 3개의파일이생성된다. [ 그림 3-13] 은과거발견파일과동일버전의팀뷰어클라이이언트모듈이사용되었으나, 실제정보유출시에는저장하는파일의경로와이름이변경되었다. 그림 3-14 ] 팀뷰어원격제어툴감염시스템 그림 3-13 과거팀뷰어모듈과의차이점 2014년 2월에수집된해당원격제어툴은 ASD(Ah nlab Smart Defense) 시스템을통해수집된파일로, 실제고객에게감염이이루어지기전에테스트를위해제작된것으로추정된다. 하지만 2014년 2월 25일 Kimsuky 악성코드에최초감염된시스템에서 4월 8일에팀뷰어원격제어툴이설치됨을확인하였다. 이감염시스템은국내특정대학의관리자시스템으로추정되며, 공격자에의해 1차로유출된 키로깅정보 및 시스템정보 등을바탕으로 2차공격대상이되었음을알수있다. [ 그림 3-14] 에서접수된팀뷰어원격제어툴을포 그림 3-15 팀뷰어원격제어툴의 PE 구조 ASEC REPORT 51 Security Trend 22
23 8. PDB(Program DataBase) 정보의변화 2013년 9월 Kimsuky Operation 에사용된악성코드내부에존재하는 PDB 정보와 2014년 2월발견된샘플을통해확인한 PDB 정보의변화는다음과같다. - E:\WORK\Attack\02_jin\TeamViwer\ie_moth\ Release\ie_moth.pdb - E:\WORK\Attack\03_kinu\TeamViwer_IE\ie_ moth\release\ie_moth.pdb - G:\work (d)\work\teamview_test\new\ie_moth\ Release\ie_moth.pdb - F:\Work\Tool\Timeviewer\ \ie_moth\ Release\ie_moth.pdb - E:\pmch\0207\TeamViewer\ie_moth\Release\ ie_moth.pdb 공격자는 2013년 9월이후새로운형태의변종을제작 (2014년 1월 /2월/3월) 하고있으며, 실제국내주요기관으로부터해당악성코드에감염된시스템이확인되어주의가필요하다. 9. 공격자 (?) 2013년 9월처음소개된해당악성코드는당시발견된공격자웹메일계정 (iop110112@hotmail. com, rsh1213@hotmail.com) 에서획득한 kimsukyang, Kim asdfa 정보를통해 Kimsuky 라는이름으로명명되었다. 으로추정된다. 해당공격자의메일계정에대한암호 ( dkdlfkqmdb??? ) 는한국어로 아이라브유 로변환되며, 메일사용자가등록한국적은 China 임을알수있다. 그림 3-16 공격자메일계정정보 (1) (2) jhonin333@india.com [ 그림 3-17] 은인도웹메일계정 (jhonin333@ india.com) 을통해확인한사항이다. 보낸메일제목에는 jinmyung( 한국이름 : 진명 ) 으로명시되어있으며, 정보유출시첨부파일로 1.pdf 형태를사용했음을알수있다. 또한공격자는서울출생의여성으로추정되며, 과거 kimsukyang 으로언급된마스터웹메일주소인 iop110112@hotmail. com 을 2차메일주소로등록했음을알수있다. (1) karena1989@mail.com [ 그림 3-16] 은 2014년 2월새롭게발견된변형샘플에서확인한공격자메일계정 (karena1989@ mail.com) 이다. 공격자메일계정을사용한악성코드제작자는중국국적의한국어를구사하는사람 그림 3-17 공격자메일계정정보 (2) ASEC REPORT 51 Security Trend 23
24 10. 관련샘플들 (1) %windir%\program Files\Internet Explorer - iexplore_ko.dll (2) %windir%\system32\ < 참고사이트 > /The_Kimsuky_Operation_A_ North_Korean_APT pdvi.dll - telnet.dll - Ahv3.exe - pmspl.exe - spl.exe - xpsp2.exe - winhelp128.exe - browsesc.dll - telmgr.dll - usermon.dll - EN.DLL - ko.dll - nmails.dll - ctfmon.exe - olethk64.dll - signdrv.exe - shsvcs.exe - chksvc.exe - hostsrv.exe... (3) %temp% - ~tmp.dll - ~df.tmp ASEC REPORT 51 Security Trend 24
25 ASEC REPORT 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T F 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다 AhnLab, Inc. All rights reserved.
ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationSecurity Trend ASEC REPORT VOL.68 August, 2015
Security Trend ASEC REPORT VOL.68 August, 2015 ASEC REPORT VOL.68 August, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작
Security Trend ASEC REPORT VOL.80 August, 2016 ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More informationASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC REPORT VOL.76 April, 2016 ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.81 September, 2016 ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More informationASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서
Security Trend ASEC REPORT VOL.82 October, 2016 ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationSecurity Trend ASEC Report VOL.52 April, 2014
Security Trend ASEC Report VOL.52 April, 2014 ASEC Report VOL.52 April, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More informationSecurity Trend ASEC Report VOL.63 March, 2015
Security Trend ASEC Report VOL.63 March, 2015 ASEC Report VOL.63 March, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.83 November, 2016 ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리
#HNS-WI-13-028 북한의심 APT 공격에대한 Kaspersky 의분석정리 2013-09-12 내용요약 이보고서는 Kaspersky의 Dmitry Tarakanov가작성하여우리나라시간으로 9월 12일발표한 The Kimsuky Operation: A North Korean APT? 를정리및분석한것으로, Kaspersky는지난몇달동안한국의세종연구소, KIDA(
More informationSecurity Trend ASEC REPORT VOL.70 October, 2015
Security Trend ASEC REPORT VOL.70 October, 2015 ASEC REPORT VOL.70 October, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationSecurity Trend ASEC REPORT VOL.67 July, 2015
Security Trend ASEC REPORT VOL.67 July, 2015 ASEC REPORT VOL.67 July, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성
Security Trend ASEC REPORT VOL.85 January, 2017 ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며,
More informationASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.78 June, 2016 ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며
Security Trend ASEC Report VOL.53 May, 2014 ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.71 November, 2015 ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationSecurity Trend ASEC Report VOL.55 July, 2014
Security Trend ASEC Report VOL.55 July, 2014 ASEC Report VOL.55 July, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호
안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.69 September, 2015 ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationSecurity Trend ASEC Report VOL.54 June, 2014
Security Trend ASEC Report VOL.54 June, 2014 ASEC Report VOL.54 June, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More informationTable of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17
Trojan.KillDisk.MBR 악성코드분석보고서 (V 4.0) ESTsoft Corp. ALTOOLS Division Malware Research 페이지 1 / 17 Table of Contents 1. 분석...1 1-1. 유포경로... 2 1-2. 악성파일분석... 3 1-2-1. 드롭퍼 A 분석... 3 1-2-2. 드롭퍼 B 분석... 10 페이지
More informationSecurity Trend ASEC Report VOL.58 October, 2014
Security Trend ASEC Report VOL.58 October, 2014 ASEC Report VOL.58 October, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationASEC Report VOL.62 February, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC Report VOL.62 February, 2015 ASEC Report VOL.62 February, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.
Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More information월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜
안랩 온라인 보안 매거진 2016. 02 Mobile Security 월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜섬웨어의 모든 것 모바일까지
More informationASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC REPORT VOL.75 March, 2016 ASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More informationSecurity Trend ASEC Report VOL.57 September, 2014
Security Trend ASEC Report VOL.57 September, 2014 ASEC Report VOL.57 September, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationRed Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL
2018.04.03 Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 레드아이즈공격그룹활동현황...
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationMOVE TO THE LEFT OF THE KILL CHAIN AND STOP THE BAD GUYS MOVE TO THE RIGHT
지능형보안위협에대한효율적인대응방안 EMC 보안사업본부 RSA 이준희 1 사이버 Kill Chain 대응방안 지능형보안위협대응을위한 RSA Framework 지능형보안위협분석예 2 사이버 Kill Chain 대응방안 3 Cyber Kill Chain 에대한두가지시선 Cyber Kill Chain 을보는관점 공격자의관점 공격을통해중요데이터수집을위한방안구성 방어자의관점
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationPowerPoint 프레젠테이션
B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More informationPowerPoint 프레젠테이션
2015. 06. 10. 0 ( 수 ) I. 악의적행위들에대하여 1. 악성코드의진화 2. 악의적행위의근원, 악성코드 3. APT 공격전략 4. APT 단계별공격방법 II. 기존보안장비의한계에대하여 1. 기존보안장비우회공격 2. 기존보안장비의 APT 대응문제점 3. 망분리운용의문제점 III. APT 방어전략에대하여 1. 악성코드유포흐름도 2. 필요기능 3. 기대효과
More information1
3.3 DDoS 분석보고서 2011.03.04 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011 년 3 월 3 일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More information메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix 2.7.1 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. postfix,
More informationASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.88 2017 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More informationASEC REPORT VOL
ASEC REPORT VOL.46 2013.10 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.44 2013.08 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More informationserver name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지
ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.90 2018 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationFileMaker 15 WebDirect 설명서
FileMaker 15 WebDirect 2013-2016 FileMaker, Inc.. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker FileMaker Go FileMaker, Inc.. FileMaker WebDirect FileMaker, Inc... FileMaker.
More informationRed Alert Malware Report
NSHC 2014. 11. 17 악성코드분석보고서 [ 인터넷뱅킹메모리해킹 ] 인터넷뱅킹파밍용악성코드가지속적으로배포되고있습니다. 해당악성코드는우리은행, 외환은행, 농협의인터넷뱅킹공인인증서에관련된 ActiveX모듈의메모리를변조하며, 기존보고되었던악성코드기능에추가적으로 Bitcoin Minor 등의기능이추가되었습니다. 감염이의심되는시스템에서는대응방안에따른조치와백신을통한치료가필요합니다.
More information[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀
[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More information<31305FBEC6C0CCC5DB2E687770>
1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.
More informationOracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용
Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.94 2019 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationWindows Server 2012
Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB
More informationWebRTC 플러그인이 필요없는 웹폰 새로운 순수 VoIP 클라이언트 기반의 최신 WebRTC 기술은 기존 레가시 자바 클라이언트를 대체합니다. 새로운 클라이언트는 윈도우/리눅스/Mac 에서 사용가능하며 Chrome, Firefox 및 오페라 브라우저에서는 바로 사용이
WebRTC 기능이 채택된 ICEWARP VERSION 11.1 IceWarp 11.1 은 이메일 산업 부문에 있어 세계 최초로 WebRTC 음성 및 비디오 통화 기능을 탑재하였으며 이메일 산업에 있어 최선두의 제품입니다. 기업의 필요한 모든 것, 웹 브라우저 하나로 가능합니다. WebRTC 플러그인이 필요없는 웹폰 새로운 순수 VoIP 클라이언트 기반의 최신
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More informationOperation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : w
2019. 02. 21 Operation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차
More information<41736D6C6F D20B9AEBCADBEE7BDC42E687770>
IDA Remote Debugging 2007. 01. 이강석 / certlab@gmail.com http://www.asmlove.co.kr - 1 - Intro IDA Remote debugging에대해알아봅시다. 이런기능이있다는것을잘모르시는분들을위해문서를만들었습니다. IDA 기능중에분석할파일을원격에서디버깅할수있는기능이있는데먼저그림과함께예를들어설명해보도록하겠습니다.
More informationTTA Journal No.157_서체변경.indd
표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 11월의악성코드감염보고는 TextImage/Autorun이
More information리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.
3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3Rabbitz Book 애플리케이션파일다운로드하여압축파일을풀고복사합니다. 3. 3Rabbitz Book 실행합니다.
More information신종파밍악성코드분석 Bolaven
신종파밍악성코드분석 Bolaven 2013.06.27 개요 지난 1월볼라벤 6차문서에서진화한파밍기법 (= 호스트파일변조 ) 에대해분석및공유를하였다. 6차문서에서는웹을통하여악성코드가유포되는과정과파밍기법의전반적인흐름을알아보았다면, 이번문서에서는파밍기법에서사용되는악성파일의행위에대해중점적으로분석하였다. 파밍기법이란? PC 를악성코드에감염시켜정상홈페이지주소로접속하여도피싱사이트로
More information