안랩온라인보안매거진 Reviews & 2014 Predictions
|
|
- 량하 선우
- 5 years ago
- Views:
Transcription
1 안랩온라인보안매거진 Reviews & 2014 Predictions
2 월간 CONTENTS 3 CEO Message 안랩의가장큰힘은고객입니다 4 Special Report 2013 Reviews and 2014 Predictions 끝모르는사이버공격 다양화 고도화 가속화 8 Threat Analysis 레드킷익스플로이트키트 전격해부 16 Tech Report MySQL Forensics 2부 _InnoDB, 구조를알면데이터가보인다 20 it&life 타깃공격, 스피어피싱 의창끝에서시작된다 23 Statistics 2013년 11월보안통계및이슈 27 AhnLab News 안랩권치중號출범, 내실경영에초점맞춘다 2013 한국 CFO 대상 안랩김기인전무 2
3 CEO Message Change & Focus 안랩의가장큰힘은고객입니다 고객여러분! 2014년갑오년 ( 甲午年 ) 새해가밝았습니다. 갑오년은 말띠해 중에서가장진취적이고활달하다는 청마 ( 靑馬 ) 의해 입니다. 예부터말은신분과행운, 성공을상징한귀한동물입니다. 여러분모두행운과성공이가득한한해보내시길기원합니다. 지난 2013 년은안랩이매출성장과글로벌성장의발판을마련한중요한한해였습니다. 국내대표소프트웨어인 V3 제품군의새로운버전을 선보였으며, 다차원분석플랫폼을적용해속도와성능측면에서획기적인개선을이루었습니다. 또한 APT 사전대응솔루션인트러스와처는 글로벌경쟁력을갖춘제품으로서안랩의새로운성장동력으로급성장했습니다. 그러나지금의시장상황은그리녹록하지만은않습니다. 글로벌금융위기의여파로인해세계경제의불확실성이지속되고있습니다. IT 시장 조사기관인한국 IDC 도 2013 년에이어 2014 년국내 IT 시장이처음으로 2 년연속마이너스성장률을기록할것으로전망했습니다. 안랩은이러한시장상황에효과적으로대응하기위해 변화 (Change) 와 집중 (Focus) 이라는두가지전략을선택했습니다. 안랩은경쟁사보다발빠르게 변화 (Change) 하여경쟁우위를선점할것이며, 새로운기술뿐만아니라고객의변화에도빠르게대처하는기업으로거듭날것입니다. 또한 고객의가치 에 집중 (Focus) 하겠습니다. 안랩의핵심가치중하나는 고객의소리에귀를기울이고고객과의약속은반드시지킨다 입니다. 안랩은고객의관심과기반으로설립되었고현재와미래성장의가장큰힘이고객임을잊지않겠습니다. 고객의마음을얻는것이매출을올리는것보다더어렵다고합니다. 안랩은 2014 년에도고객을먼저생각하고, 고객을만족시키는제품과서비 스를제공하는기업이되도록노력하겠습니다 년갑오년에는소망하는모든일이풍성한결실을맺으시길바랍니다. 또한고객여러분의가정에건강과행복이가득하길기원합니다. 새해복많이받으십시오. 안랩 CEO 권치중 3
4 Special Report Reviews & Predictions 2013 Reviews & 2014 Predictions 끝모르는사이버공격 다양화 고도화 가속화 2013년우리의정보통신환경은그다지안전하지못했다. 3월과 6월에대규모의보안사고가발생했고, 점차확산되고있는여러모바일기기들로침투하려는악성코드들도늘어났기때문이다. 특정조직에대한치밀한분석을통해전략적침입을시도하는 APT(Advanced Persistent Threat) 공격도증가하는한편, 불특정다수를향한무차별적인악성코드유포도동시에진행되고있다. 금융정보를탈취해금전적이득을노리는가하면, 기업의핵심기술유출이나국가핵심인사에대한정보를감시하는경제적 정치적행위도나타나고있다. 국가단위의규모, 매우민감한사안에대한접근인만큼접근수법도기술적으로고도화, 정교화되고있다. 개인과조직, 국내와국외, 특정과불특정, 소프트웨어와하드웨어등악성코드는이제어느한곳만을겨냥하지않는다. 특히나 2013 년보안시장에서는그경계가허물어지는양상을보였고, 2014년에는그것이더욱심화될것으로예상된다. 안랩보안전문가들이국내보안위협의동향을정리 전망했다 년보안위협동향 _ 공격도, 방어도 업그레이드 1. 대규모 APT 보안사고 동시다발적피해 2013년 3월 20일금융사와방송사를대상으로한대규모공격 ( 안랩진단명 Trojan/Win32(64).XwDoor), 석달뒤인 6월 25일정부와공공기관에대한 DDoS 공격 ( 안랩진단명 Trojan/Win32(64).Ddkr) 은사회적으로큰파장을일으킨보안사고였다. 이공격들은좀비 PC 를이용했던지난 2009년 7 7 DDoS나 2011년 3 4 DDoS와는달리, APT 유형의공격이국내기반시설에동시다발적피해를준사례로꼽힌다. 이전에는불특정다수에대한무차별적인악성코드의유포형태가많았다. 하지만최근에는특정프로그램의업데이트기능취약점, 웹취약점, 스피어피싱이메일, 혹은장시간분석을통한내부인프라공격등의기법이활용되고있다. 특히 2013년 6월 25일공격은, 3월 20일공격이후취해진민관합동조사단과보안업체의조치에대응하여 MBR 삭제및 MBR 코드수정, 5.3MB에서 524KB로데이터영역삭제간격의축소, 계정암호변경등분석과복구가어렵도록단기간내악성코드를업그레이드하는기민함을보여주었다. 이같은 APT와안티포렌식 (Anti-Forensics) 혼합공격기법의사용에따라, 2013년은디지털포렌식 (Digital Forensics) 기법과포렌식준비도 (Forensics Readiness) 의필요성이어느때보다증대된한해였다. 2. 치밀한 APT 공격그룹 국제적규모 2013년국내 APT 공격은, 특정국가와기관의지원을받아국내국방기술이나제조관련기업의첨단기술유출을목적으로하는것과게임소스및인프라구축기술유출을목적으로하는활동이활발했다. 국내에서활동중인 APT 공격그룹은다음과같은특징을보였다. 1) 외부업데이트서버또는서드파티제품을통한내부네트워크침투 2) 특정산업군에서업무상필요한웹사이트를수정, 해당사이트로접속할때악성코드에감염되는워터링홀 (Watering-Hole) 기법을사용하여기업다수에동시침투 3) 안티포렌식기능적용, MBR 코드패치와메모리에로드된뒤삭제되는기능을갖는악성코드를제작해보안프로그램의진단 치료시생존율높임 4) 기업에서주로사용하는 AD(Active Directory) 서버를공격해도메인간이동, 기업내 PC 복구를위해자체제작한복구 CD의비활성화처리가되지않은마스터계정과암호, 키로거, 패스더해시 (Pass The Hash) 공격기법등을이용하여탈취된인증을통해내부자원에자유로이 4
5 접근및작업수행 5) 공격을통해획득한인증서를즉각적으로다른기업공격에사용및공격그룹별로다른악성코드사용 6) 피해기업의대응에즉각적인반응 ( 주요악성코드의기능변경, 침해대상변경, 재작성된스피어피싱메일을통한침해대상확대 ) 7) 공격대상의내부메일, 유출정보독해및위조할수있는한국어에능통한인력활용이와같은 APT 공격기법을사용하는국제적사이버산업스파이그룹은공격목적에따라국가, 군사기관이나범죄집단의지원을받고있는것으로추정되며다국어에대한처리가가능한인력으로구성되어있다. 풍부한자본과체계적인공격조구성, 기술력을바탕으로여러국가의고급정보를유출하는것뿐만아니라유출된인증서, 침해된서버를이용하여지속적인국내외공격을수행하고있다. 3. 스미싱모바일악성코드 폭발적증가 2012년 30여건에불과했던스미싱악성코드는 2013년에는 11월까지만 4868건이확인되었다. 초기에는소액결제인증문자를유출하는기능으로시작했으나최근에는스마트폰에설치된은행앱의종류를식별하고설치된은행앱을악성앱으로교체하는파밍형태가많이발견되고있다. 또보이스피싱과결합한악성앱도확인되었다. 정부와보안업체들은다양한방법을통해스미싱악성코드의피해를예방하기위해노력하고있으나, 스미싱악성코드는꾸준히발견되고있으며스마트폰사용자의금전피해도계속해서늘어나고있다. 4. 관리자계정정보를직접노리는악성코드변형확산 2013년초부터발견된특정사이트들의 관리자계정정보탈취악성코드 의변형이 IE(Internet Explorer) 제로데이취약점 (CVE ) 을이용하여급속히국내에유포되었다. 해당보안취약점에대한패치가 10월에발표되었으니상당히많은시스템이감염된것으로추정되고있다. 확인된바로는, 국내특정 CDN(Contents Delivery Network) 업체를통해서운영중인일부웹사이트들이악성코드배포지로악용되었다. 악성코드는취약점셸코드부터백신무력화증상이나타나는데, 이후다운로드되는악성코드에도같은기능이존재하여감염된시스템에설치된보안프로그램을무장해제한다. 변형에따라서탈취하려는관리자계정의웹사이트목록은다르지만, 2013년 10월에마지막으로확인된변형은무려 95곳의웹사이트관리자계정을노렸다. 여기에는언론사와기업들이다수포함되어있었다. 탈취된계정을이용하여서버를장악하면기업내부에침투하거나민감한정보를훔쳐낼수도있으며, 해당웹사이트를악성코드유포지나경유지로도사용할수있다. 이악성코드는 DDoS 증상을유발하는것도확인되었는데, 내부에존재하는관리자계정탈취웹사이트와별도의특정도메인들 (2013년 10월발견변형기준 19곳 ) 에대하여차례로파일다운로드및실행기능을수행하였다. 그러나실제파일이존재하지않는경우가대부분이었고이는웹서버에부하를발생시키는 DDoS 증상을유발하였다. 5. 국지화되는소프트웨어취약점악용악성코드는교회, 학교, 관공서, 호텔, 택배, 웹하드등일상생활에서손쉽게접근하는다수의국내웹사이트들에서더욱기승을부렸다. 특히, 어도비 (Adobe) 의플래시플레이어 (Flash Player) 보다오라클 (Oracle) 의자바 (Java) 와마이크로소프트 (MS) 의인터넷익스플로러 (IE) 취약점을이용하는공격사례가더많았다. 자바는주요제품군에비해상대적으로보안업데이트가소홀할수있기때문에웹공격툴킷 (Web Exploit Toolkit) 같은경우버전별자바취약점들을골고루활용하고있다. 또한, IE상의 Use-After-Free 취약점은 MS의보안업데이트속에서매월빠지지않고등장할정도로꾸준히보고되는취약점이다. 이와같은유형인 CVE 취약점은제로데이취약점으로등장하여대표적인웹공격툴킷 Chinese Kit(CK) 에포함되어지금도활발하게이용되고있다. 이러한웹을통한글로벌제품군을대상으로하는공격사례외에도몇년전부터는국내소프트웨어의취약점을악용하는사례가점차증가하고있다. 국내의대표적인문서작성소프트웨어인 아래아한글 에서보고되는취약점수가눈에띄게증가하였고, 스프레드시트프로그램인 한셀 에서도 2013년 6월에처음으로유사공격형태가발견되었다. 6. 인터넷뱅킹악성코드 금전피해확대 2013년 6월발견된온라인게임핵 (OnlineGameHack) 악성코드에서기존에없었던국내인터넷뱅킹사이트에대한정보유출기능이확인되었다. 국내감염자가많은온라인게임핵악성코드에인터넷뱅킹정보유출기능이추가됨으로써금전적피해규모가확대되었다. 이악성코드에서사용한각인터넷뱅킹사이트별 보안모듈무력화 및 이체정보변조 의기능은기존의인터넷뱅킹악성코드에서볼수없었던새로운기법이다. 보안모듈무력화 는각인터넷뱅킹사이트에서사용하는보안모듈중인증서패스워드및이체정보암호화를담당하는부분을무력화하는 5
6 것으로메모리상의특정코드에대한패치를통해이루어진다. 이악성코드의최초발견이후공격대상보안모듈도지속적으로추가되었으며, 보안모듈이업데이트될때마다변경된코드패턴에맞추어악성코드도변경되었다. 이체정보변조 는 2013년 9월부터새롭게추가된기능이다. 정상적인계좌이체과정중에 이체계좌번호 와 이체금액 을수정해공격자에게이체되도록하였다. 이러한공격을위해악성코드는인터넷뱅킹사이트별로사용하는고유한자바스크립트패턴정보를갖고있으며, 이중이체에필요한정보를변조하여공격을시도한다. 이러한 이체정보변조 공격은은행 2곳에서만제한적으로이루어졌다. 이같은새로운공격방식은인터넷뱅킹시지정 PC 및 OTP를사용할때에도피해를줄수있다. 또한, 피해를막기위해서는뱅킹사이트별로다양한보안업체의모듈들에대한업데이트가필요한데, 이러한점에서피해예방이쉽지않은상황이다. 2가지형태의공격에대한예방을위해서인터넷뱅킹사용자는비정상적으로은행거래가종료 ( 강제로그아웃 ) 된경우, 인증서를갱신하거나금융기관을통해해당계좌에대한거래중지를요청하고악성코드감염여부를확인하는것이필요하다. 또한, 이체후에는반드시이체내용을확인해야한다. 7. 랜섬웨어고도화국내에서는아직큰문제가아니지만, 여러나라에서랜섬웨어 (Ransomeware) 피해가발생하고있다. 랜섬웨어는시스템부팅시암호를요구하거나파일을암호화해시스템을정상적으로사용하지못하게하고돈을요구하는악성코드종류이다. 랜섬웨어의시초는 1989년으로거슬러올라간다. 1989년 12월 8일부터 12일까지 PC 사이보그사 (PC Cyborg Corporation) 의 에이즈정보 (AIDS Information) 디스켓이영국, 유럽, 아프리카, 오스트레일리아등으로보내졌다. 이프로그램은에이즈에대해다루고있다고주장하지만실제로는하드디스크의루트디렉터리정보를암호화하는트로이목마였다. 현대적랜섬웨어는 2005년러시아에서발견된 Gpcode이다. 당시랜섬웨어의상당수는간단한암호화기법을이용해악성코드분석으로복구도구를만들수있었다. 2013년하반기사용자사진, 동영상, 문서등을암호화하는크립토락커 (cryptolocker) 가여러나라에서피해를일으켰다. 감염되는순간암호해제를할수있는키를서버에생성하고암호해제를위한돈을요구한다. 달러, 유로, 비트코인류의가상화폐등다양한방식으로지불할수있다. 특정시간에돈을입금하지않거나사용자가악성코드제거를시도하면서버에생성한키를파괴해복구하지못하도록만든다. 국내에서는 2011년중앙아시아지역에서제작된랜섬웨어를번역기를이용해만든조잡한한국어판이발견된바있지만, 현재까지대규모피해는확인되지않고있다. 그러나다른나라에서는시스템을사용하지못하게하고협박하는방식이널리이용되고있다. 국내외악성코드제작자와범죄조직에서국내사용자를대상으로한한국형랜섬웨어가등장할가능성을배제할수없다 년보안위협예측 _ 공격에 경계는없다 1. APT 공격기법고도화, 불특정대상공격도확대 2013년에등장한악성코드의상당수는일반사용자의시스템정보를수정한후정교하게위조된가짜금융사이트로유도하여사용자의금융정보를빼가는기법을사용했다. 또한, 온라인게임머니를탈취하기위한온라인게임핵부류와금융정보를추출하기위한뱅커 (Banker) 부류의기능이구분되지않을정도로유사해지고있다. 악성코드감염이실제금융사고로이어지는사례가증가하고있어악성코드제작목적이금전적이익을위한직접적공격으로변화하고있음을알수있다. 정보유출에주로사용되는두가지악성코드종류의기능과목적의변화로볼때, 2014년에등장할악성코드의상당수는 APT 공격과구분이되지않을정도로유사하거나융합된형태로나타날것으로예상된다. 따라서 2014년 APT 공격은이전처럼특정대상에대한공격도지속하겠지만, 불특정다수를대상으로하는광범위한공격도확장될것으로보인다. 또한, 기존 APT 공격과워터링홀 (Watering-Hole) 공격의경계가허물어질것으로추정된다. 특히금전적이익을위해무차별적으로악성코드를유포해비트코인마이닝을시도하는국내사례도등장할수있을것이다. 2. 전자금융사기와사이버범죄의산업화 2013년악성코드를이용한전자금융사기에는피싱, 파밍, 보이스피싱, 스미싱, 메모리해킹등다양한수법들이사용되었다. 사용자의금융정보와예금을탈취하기위해서악성코드에사용한기술들이점점정교화, 고도화되고있다. 악성코드는단순히제작자들의실력을뽐내기위한도구에그치는것이아니라온라인상에서거래되는재화를탈취하는도구로써사이버범죄의산업화에사용되고있다. 2014년에도악성코드제작자들은응용프로그램취약점, 정상프로그램변조, USB와같은외부저장매체접근등다양한방법을통해서악성코드유포를시도할것이며, 인터넷뱅킹과같이온라인상에서돈을취급하는특정금융서비스를대상으로하는공격역시증가할것으로예상된다. 3. 악성코드유포방법의다양화 고도화 2014년에는악성코드유포방법이더다양해지고, 더고도화될것으로보인다. 지금까지는업데이트취약점이나스피어피싱등을통해불특정다수에게악성코드를대량으로유포하고목적에따라변종을유포하는방식이었다면, 2014년에는기존의방식외에악성코드를대량으로유포 6
7 할수있는새로운방법이등장할가능성이높다. 예를들어, 다수사용자가접속하는 CDN이나도메인관리업체및 ISP 관리업체를통해다수의악성코드를배포하는공격방식이증가할수있다. 공격자는국내주요시스템또는다수시스템공격을목적으로국내 VPN 서비스나국내도메인주소를신청하기도한다. 국내서비스의상당수가별도의본인인증이나확인절차없이과금의여부로만서비스사용을허가하므로악의적목적으로제작한사이트들의활동을막기어려울것으로예상된다. 또한, 공격자가 CDN이나도메인업체, 특정 ISP에서관리하는서비스제공시스템에침입하여무결성검증이취약한콘텐츠나제품업데이트파일을변조하면다양한도메인과서비스를통해동시에악성코드가배포될수있다. 따라서 2014년에는도메인등록이나관리절차및관리자망의사고인지에관한주의가필요하다. 4. 윈도XP 지원종료에따른보안위협증가 2014년 4월 8일, 윈도XP에대한모든지원이종료될예정이다. 이후발견된취약성에대한보안업데이트도더는제공되지않아윈도XP는제로데이공격에무방비상태가될것으로예상된다. 따라서지원종료이후보안위협에대한보호는안티바이러스, 방화벽등 PC용보안솔루션에전적으로의존하게된다. 2013년현재윈도XP는 IE 9 이상버전이지원되지않으며, 악성코드감염에취약한 IE 6~8 버전이주로사용되고있어보안위협에노출될가능성이높다. 2013년국내컴퓨터의 20% 가윈도XP를사용하고있는것으로파악되는데, 윈도XP 사용자들은지원종료일이전에윈도7 또는 8 등으로업그레이드해야한다. 5. 특정대상을감시하거나정보를유출하는스파이앱증가 2013년 SMS나모바일 SNS를통해돌잔치, 결혼초대장과택배, 카드결제내역으로위장한모바일스미싱악성코드가전파되었다. 이악성코드는동일한앱을다수의사용자에게배포하기위해제작, 공개적으로유포되어쉽게발견되었다. 하지만특정기업내부기밀유출이나감시를목적으로제작된모바일스미싱악성코드가특정사용자를대상으로유포된다면그존재가외부로쉽게노출되지않는다. 특히항상휴대하며, 개인적 업무적으로수많은정보가저장되는스마트폰은활용도에비례해사용자를감시하거나필요한정보를유출하기에최적이라할수있다. 모바일악성코드를활용해특정대상을감시하거나정보를유출하는스파이앱이활용될가능성이높아질것으로예상된다. 6. 사이버정보에대한국가적인식변화 2013년미국국가안보국 (NSA) 의광범위한정보수집을폭로한에드워드스노든비밀문건과중국인민해방군의한조직이미국을거점으로하는기업과최소 141개기관의데이터유출등국가간정보수집사건이발생하였다. 국가를대상으로하는수많은도 감청의실체가드러난만큼국가간의사이버전쟁은더욱정교해지고가속화될것이다. 국가기관이적과우방을가리지않고정보수집활동을벌였다는의혹은새삼스러운일이아닐수도있지만, 전세계에실체가공개됐으니자국의이익을위한국가단위의준비는가속될것이다. 또한고도화된공격과데이터유출의피해를줄이기위해암호화와더욱발전된보안기술이요구될것이다. 7. 하드웨어 BIOS와펌웨어업데이트에악성코드포함시도 2013년 4월특정바이오스 (BIOS) 제작업체의소스코드가유출되었으며, 10월에는특정회사의라우터펌웨어에백도어가포함된것이확인되었다. 또한, 러시아에수출된중국산다리미와주전자가무선인터넷에접속해악의적인기능을수행한다는보도가있었다. 태블릿 PC와같은전자기기는제작업체에서배포한펌웨어파일다운로드를이용한업데이트방식을사용하고있지만제조사가개발부터업로드까지철저하게관리하는지보장할수없다. 이와같은하드웨어에내장된소프트웨어를통한악의적인기능수행가능성이점차커지고있다. 이러한경로에악성코드를포함하기위해서는제조업체가의도적으로제작하거나내부공모자가있어야한다. 또는공격자가내부시스템에침입해서수정해야하므로하드웨어에악성코드가포함될가능성은낮지만, 악의적인기능이포함되었을때는발견하기가쉽지않다. 특히국가간사이버공격의존재가점차알려지면서기존사이버범죄자들뿐아니라국가기관에서도정보수집을위해하드웨어제작업체를이용하는게아닌가하는의심이확산되고있다. 악성코드를포함하기위한과정이어렵기때문에폭발적으로증가하기는어렵겠지만, 2014년에는하드웨어나펌웨어등에악의적인기능을수행하는코드를포함하는공격이시도될것으로전망된다. 7
8 THREAT ANALYSIS RedKit Exploit Kit RedKit Exploit Kit 레드킷익스플로이트키트 전격해부 2013년 3월미국 NBC.com의메인페이지가공격당해악성코드가유포되었던사례가발생했다. 이때사용된것이 레드킷익스플로이트키트 (RedKit Exploit Kit, 이하레드킷 ) 이다. 레드킷은해외에서는최근가장활발하게활동하는익스플로이트툴킷 (Exploit Toolkit) 중의하나로알려져있고, 국내에서도영향을받는사례들이속속발견되고있다. 이글을통해레드킷의자세한분석정보를소개하고자한다. 레드킷은 2013 년초에프라이빗익스플로이트킷 (Private Exploit Kit) 이라는이름으로소개된바있다. 레드킷 (RedKit) 이라는이름은본래의 제작자가공식적인이름을명시하지않아서, 이를발견하고분석한분석가가빨간색스키마를사용한데에서붙여진이름이다. [ 그림 1] 레드킷관리자페이지 ( 출처 : Trustwave) 8
9 레드킷제작자는악성 URL이 1~2일정도면추적되고차단되는것을회피하기위해시간단위로새로운 URL을생산하는 API를제공한다. 이로인해실제분석하는과정에서살아있는 URL을찾기가쉽지않고분석하는동안 URL이유지되지않는다는점도문제였다. 레드킷은아직까지다수의취약점을이용하지는않고, 주로자바취약점을공격대상으로삼고있다. 해외에서는최근가장활발하게활동하는익스플로이트툴킷 (Exploit Toolkit) 중의하나로알려져있고, 국내에서도영향을받는사례들이속속발견되고있다. [ 그림 2] 웹익스플로이트툴킷통계정보 ( 출처 : urlquery.net) 레드킷익스플로이트킷스크립트구성 [ 그림 3] 레드킷익스플로이트킷의전체연결구성 A. Redirector - 정상적인사이트에포함되어레드킷랜딩페이지로리다이렉션 (Redirection) 하는역할을수행 - 트위터연결로위장하여 iframe src 를통해랜딩페이지링크로연결 </div><iframe name=twitter scrolling=auto frameborder=no align=center height=2 width=2 src= 서버주소 ]/acwf. html?i= ></iframe></body></html> [ 그림 4] 리다이렉션코드 B. 랜딩페이지 - 랜딩페이지는아래와같은링크패턴을가짐 (html 또는 htm) 서버주소 ]/[ 영문소문자 4자리조합 ].html?[ 영문소문자 1자리 ]=[ 숫자 7자리 ] [ 그림 5] 랜딩페이지링크패턴 9
10 - 자바와 PDF 취약점을공격하는랜딩페이지 ( 초기버전 ) 는 [ 그림 6] 과같음 ( 더자세한정보는 Appendix 참고 ). [ 그림 6] 자바와 PDF 취약점을공격하는랜딩페이지 - JNLP(Java Network Language Protocol) 를이용한자바취약점공격랜딩페이지는 [ 그림 7, 8] 과같음. [ 그림 7] JNLP 파일을통한리다이렉션연결구조 [ 그림 8] 자바취약점공격랜딩페이지 특히, JNLP 파일에서 applet_ssv_validated 를 true 로설정할경우, Java 이전버전에서는보안경고팝업창을띄우지않고서 명되지않은자바애플릿을실행할수있다. [ 그림 9] JNLP(Java Network Language Protocol) 파일 10
11 주요취약점및악성코드 - 레드킷은다수의취약점을동시에공격하지는않으며, 주로다음과같은취약점을이용하는것으로알려져있음. CVE # 파일명링크연결방법악성코드다운로드 URL CVE jar Java Applet hxxp://[ 생략 ]lleurs.com/33.html CVE # 파일명링크연결방법악성코드다운로드 URL CVE jar Java Applet hxxp://[ 생략 ]lleurs.com/41.html CVE # 파일명링크연결방법악성코드다운로드 URL CVE pdf Iframe hxxp://[ 생략 ]nc.org/62.html CVE # 파일명링크연결방법악성코드다운로드 URL CVE pb.jar JNLP hxxp://[ 생략 ]on.de/36.html (AES encrypted file) 탐지패턴및방법 A. 네트워크탐지정보 - TrusGuard : : malware_redkit_redirect(http) 시그니처배포 B. 파일진단정보 - Ahnlab ASD : Trojan/JS.Retkid(RedKit Landing Page) - Ahnlab V3/ASD : Dropper/Win32.Daws( 자바취약점을통해다운로드된실행파일 ) 11
12 Appendix A. 주요취약점상세분석 CVE # 파일명취약점보안게시판 CVE pdf Adobe Reader TIFF 코드실행취약점 해당취약점파일의오브젝트 2 번에는 [ 그림 10] 과같이자바스크립트가존재하고, 해당스크립트안에서취약점의원인이되는 TIFF 파일을 생성하고힙스프레이기법을이용해서셸코드를실행한다. [ 그림 10] PDF 악의적인오브젝트 [ 그림 11] 난독화해제된악성스크립트콘텐츠 12
13 CVE # 파일명취약점보안게시판 CVE pb.jar Oracle Java Sandbox bypass 취약점 해당자바파일에는 lookup().findstaticsetter 메소드상의취약점으로인하여 SecurityManager 값을 NULL 로세팅하여샌드박스를우회할 수있는 CVE 취약점이존재한다. [ 그림 12] 취약점발생원인자바코드 취약점발생후에 URL 로부터악의적인파일을받아서 %temp%(java.io.tmpdir) 폴더에랜덤문자 6 자리.exe 파일을생성한후실행한다. 악의적인파일은 name 파라미터로부터전달받은데이터를 [ 그림 13] 과같이디코딩한 URL 로부터다운로드된다. [ 그림 13] URL 디코딩자바함수 해당 URL 로부터받은데이터는 AES 로암호화된데이터로, AES/CBC/NoPading 조건으로복호화하면악의적인실행파일을얻을수있다. 13
14 [ 그림 14] 복호화수행하는자바함수 복호화된데이터에서 Co6RkBrX 문자열의존재를확인하고, 2 개또는 1 개의실행파일 (PE) 을각각추출하여실행한다. [ 그림 15] 암호화된데이터 (AES) [ 그림 16] 복호화된실행파일 자바취약점을통해다운로드된악성코드는다음과같은악성코드이다. Appendix B. 클라이언트정보수집 (PluginDetect) 레드킷의경우, 클라이언트시스템 ( 사용자 PC) 에설치된애플리케이션들의정보수집 (fingerprinting) 을위해블랙홀익스플로이트킷과쿨익스플로이트킷에서사용하는 플러그인디텍트 (PluginDetect) 라이브러리를사용한다. 해당라이브러리는 Eric Gerds에의해서자바스크립트로구현된브라우저플러그인 (plugin) 탐지라이브러리이다. 해당라이브러리를이용하면다음과같은정보를얻을수있다. 14
15 Major Browser IE Gecko Safari Chrome Opera Mozilla Netscape SeaMonkey Flock Plugin QuickTime DevalVR Flash Shockwave Windows Media Player Silverlight VLC Player Adobe Reader Generic PDF Reader RealPlayer Java 라이브러리는다음과같은절차를통해손쉽게사용이가능하다. 사용절차 1) Plugin 선택 선택옵션 Java,QuickTime,DevalVR,Shockwave,Flash,Windows Media Player,Silverlight,VLC Player,Adobe PDF Reader,Generic PDF Reader,RealPlayer 2) Method 선택 getversion isminversion onwindowloaded ondetectiondone 설치된버전획득설치된버전이특정버전이상인지체크 Window가로드될때실행할함수지정플러그인이탐지될때실행할함수지정 1), 2) 번및기타옵션을선택한후, 스크립트생성버튼을누르면다음과같은코드가생성됨. 3) 스크립트생성 실제레드킷랜딩페이지안의코드에는 [ 그림 17] 과같이플러그인디텍트라이브러리본체가존재하고, 어도비리더버전을확인한후 iframe 으로 PDF 취약점파일을연결시킨다. [ 그림 17] 레드킷랜딩페이지상의플러그인디텍트 15
16 Tech Report MySQL Forensics MySQL InnoDB Type 의데이터파일구조분석과삭제된레코드의복구방안 구조를알면데이터가보인다 오픈소스라이선스기반의 DB 관리시스템인 MySQL은일반적으로 InnoDB 또는 MyISAM이라는두가지의저장방식 (Storage Engine) 중하나의방식을사용하여데이터를저장한다. InnoDB와 MyISAM은각각의절차와구조에따라데이터를읽거나저장한다. 따라서이들저장방식의구조를이해하면데이터에직접접근할수있을뿐만아니라 DB 내부의완전히삭제되지않은데이터에대한접근및복구도가능하다. 포렌식에서삭제된데이터의복구는공격자의고의적인데이터은닉이나삭제를밝혀낸다는점에서중요한의미를갖는다. 이글에서는 MySQL의저장방식중 InnoDB 저장방식의구조를분석하여직접적으로데이터에접근하는방법을살펴보고삭제된데이터의복구방안에대해알아본다. MyISAM 저장방식에대해서는 3부에서살펴볼예정이다. < 연재목차 > 1부 _MySQL의현황및포렌식적의미 (2013년 12월호 ) 2부 _MySQL InnoDB Type의데이터파일구조분석과삭제된레코드의복구방안 ( 이번호 ) 3부 _MySQL MyISAM Type의데이터파일구조분석과삭제된레코드의복구방안 InnoDB는대용량데이터를처리하기위해설계된저장방식이다. 기존의저장방식과는달리트랜잭션기능을포함하여안전성을크게강화하였으며외래키 (Foreign Key) 지원을통한무결성의보장으로데이터의품질을향상시키는데기여한다. 이같은다양한장점을기반으로 MySQL은 5.5 버전부터 InnoDB 방식을기본저장방식으로설치하고있다. InnoDB의구조적특징 InnoDB는페이지단위의각데이터들의집합체이다. MySQL 설치시설정된데이터저장경로에 ibdata 파일을생성하여관련데이터를저장한다. 하나의페이지는일반적으로 16,384바이트 (16KB) 의크기로이루어져있으며 ibdata 내부에여러개의페이지가순차적으로저장되어하나의파일을이룬다 ( 경우에따라 ibdata 파일을분할하여다수의파일로저장하는것도가능하다 ). [ 그림 1] 은 ibdata 파일의내부구조를나타낸것이다. 일반적으로시스템테이블 (System Table) 영역과트랜잭션 (Transaction) 영역, 그리고데이터 (Data) 영역으로나눌수있다. [ 그림 1] ibdata 파일의구조 System Table 영역 Transaction 영역 Data 영역 16
17 시스템테이블영역은 DB의시스템이생성한영역이다. 사용자가생성한데이터베이스와테이블, 테이블에대한메타정보등을정리하여관리한다. 또한시스템테이블영역을통해현재어떤데이터베이스와테이블이생성되어있는지파악할수있으며테이블내에생성된필드, 필드의데이터타입등다양한정보수집이가능하다. 더와같은다양한속성값이순차적으로위치한다. 트랜잭션영역은 DB가쿼리를처리하는과정에서시스템상의오류가발생할경우원상태로복구하기위해쿼리처리이전의데이터를보관하는영역이다. 데이터영역은실제데이터가저장되는영역으로, DB 사용자가저장한모든데이터는이영역에저장된다. 이영역에서는 DB의성능을 유지하기위해데이터삭제시, 완전삭제대신데이터가삭제된것으로표시만하고삭제영역에데이터를그대로유지한다. 이같은특징때문에삭제된데이터의복구가가능하다. InnoDB 구성파일앞서설명한바와같이 InnoDB는모든데이터를 ibdata 파일에페이지단위로기록한다. 디스크기반저장방식인 MyISAM과는달리 InnoDB는각각의데이터를파일단위로따로저장하지않고하나의파일안에모두저장한다. 따라서데이터가축적될수록 ibdata 파일의용량도증가한다. InnoDB는데이터베이스를생성할때기존에설정된데이터저장위치 (ibdata 파일이존재하는위치 ) 에데이터베이스명의폴더를생성한다. 데이터베이스를생성하고테이블을생성하는경우에는해당데이터베이스명의폴더에생성한테이블명으로 frm 이라는확장자의파일을생성한다. 파일명구분설명 ibdata 파일생성된모든데이터가저장되는파일 [ 그림 2] 페이지의구조및구성요소 이름 위치 (Offset) 크기 FIL_PAGE_SPACE 0~3 4 바이트 Page 의 ID FIL_PAGE_ OFFSET 설명 4~7 4 바이트현재페이지의시퀀스번호 FIL_PAGE_PREV 8~B 4 바이트이전페이지의시퀀스번호 FIL_PAGE_NEXT C~F 4 바이트다음페이지의시퀀스번호 FIL_PAGE_LSN 10~17 8 바이트 Log 시리얼번호 FIL_PAGE_TYPE 18~19 2 바이트페이지의타입을정의 FIL_PAGE_FILE_ FLUSH_LSN FIL_PAGE_ ARCH_LOG_NO 1A~21 8 바이트파일의첫페이지 Log 시리얼번호 22~25 4 바이트 Log 관련오프셋 [ 표 2] 파일헤더항목및설명 ( 출처 : MySQL, < 데이터베이스명 > 디렉토리데이터베이스생성시디렉터리생성 테이블생성시해당데이터베이스디렉터리 < 테이블명 >.frm 파일내부에생성 [ 표 1] InnoDB를이루는구성파일 frm 파일은 MyISAM 방식에서도동일하게사용하는파일이다. frm 파일내부에는테이블에대한각종정보와테이블을구성하는각필드의필드명과데이터타입에대한정보가존재한다. InnoDB 저장방식으로생성된테이블은 frm 파일을생성함과동시에동일한내용을 ibdata에저장하기때문에 frm 파일이존재하지않아도데이터를복구할수있다. 따라서 frm의구조에대해서는 frm 파일이필수적으로필요한 MyISAM 방식과함께 3부에서살펴보도록하겠다. InnoDB 버전별헤더구조 ibdata 파일은각각의데이터를쉽게구분하기하기위해데이터를페이지 ( 블록 ) 단위로구성하고있다. 하나의페이지는 16,384 바이트며, 여러개의페이지를하나로합친것이 ibdata 파일이다. ibdata는각페이지의상단 ( 헤더 ) 에는해당페이지의속성을정의하는다양한정보가존재하기때문에헤더가갖고있는값에주목할필요가있다. 일반적으로리프노드에해당하는모든페이지들은 [ 그림 2] 와같이파일헤더 (FilHeader) 와페이지헤더 (PageHeader), 레코드 (Record) 속성, 데이터 (Data) 항목으로구성되어있다. 각페이지에는페이지의시작위치를기준으로 [ 표 2] 의파일헤더항목과 [ 표 3] 의페이지헤 이름 위치 (Offset) 크기 [ 표 3] 페이지헤더항목및설명 ( 출처 : MySQL, 설명 PAGE_N_DIR_SLOTS 26~27 2 바이트 Page Directory 의개수 PAGE_HEAP_TOP 28~29 2 바이트첫레코드의위치 ( 오프셋 ) PAGE_N_HEAP 2A~2B 2 바이트레코드의개수 PAGE_FREE 2C~2D 2 바이트삭제된레코드의위치 ( 오프셋 ) PAGE_GARBAGE 2E~2F 2 바이트삭제된레코드의개수 PAGE_LAST_INSERT 30~31 2 바이트마지막에삽입된레코드의위치 PAGE_DIRECTION 32~33 2 바이트페이지의종류 PAGE_N_DIRECTION 34~35 2 바이트삽입된페이지의개수 PAGE_N_RECS 36~37 2 바이트사용자레코드의개수 PAGE_MAX_TRX_ID 38~3F 8 바이트트랜잭션을위한 ID PAGE_LEVEL 40~41 2 바이트노드의레벨 PAGE_INDEX_ID 42~49 8 바이트페이지가속하는 INDEX 의 ID PAGE_BTR_SEG_ LEAF PAGE_BTR_SEG_ TOP 4A~53 10 바이트 Leaf 페이지에대한 segment 헤더 54~5D 10 바이트 Nonleaf 페이지에대한헤더 17
18 [ 표 2] 와 [ 표 3] 은 [ 그림 2] 가어떤헤더값을갖고있는지보여준다. InnoDB는기본적으로 ibdata 파일의리프노드에모든데이터를저장한다. 따라서 InnoDB 방식의데이터베이스를분석하기위해서는리프노드에초점을맞추어분석을진행해야한다. 리프노드는페이지의 FIL_PAGE_TYPE 값 (0x45BF) 을확인하여찾을수있다. FIL_ PAGE_TYPE 값을확인해해당페이지가리프노드로판단되면어떤데이터가입력되어있는지분석할수있다. [ 표 4] 는 FIL_PAGE_TYPE 항목에올수있는값을설명한것이다. 해당표의 FIL_PAGE_INDEX (0x45BF) 값이리프노드에해당되며, 데이터복구를위해중요한항목이다. FIL_PAGE_TYPE의종류값 (value) 설명 이름 비트수 설명 record_status 2 레코드의상태 deleted_flag 1 레코드의삭제여부 min_rec_flag 1 최소레코드의속성 n_owned 4 소유하는레코드의개수 heap_no 13 해당페이지에서의레코드번호 n_fields 9 레코드의필드개수 1byte_offs_flag 1 오프셋 byte의길이 next 16 bits 16 다음레코드의오프셋 [ 표 5] 리던던트포맷의속성정보 ( 출처 : MySQL, FIL_PAGE_TYPE_ALLOCATED 0 할당된페이지 FIL_PAGE_UNDO_LOG 2 실행취소로그페이지 FIL_PAGE_INODE 3 인덱스노드 FIL_PAGE_IBUF_FREE_LIST 4 추가삭제리스트버퍼 FIL_PAGE_IBUF_BITMAP 5 추가비트맵버퍼 FIL_PAGE_TYPE_SYS 6 시스템페이지 FIL_PAGE_TYPE_TRX_SYS 7 트랜잭션시스템데이터 FIL_PAGE_TYPE_FSP_HDR 8 파일스페이스헤더 FIL_PAGE_TYPE_XDES 9 디스크립터페이지 FIL_PAGE_TYPE_BLOB 10 압축되지않은 BLOB 페이지 FIL_PAGE_TYPE_ZBLOB 11 처음압축된 BLOB 페이지 FIL_PAGE_TYPE_ZBLOB2 12 다음압축된 BLOB 페이지 FIL_PAGE_INDEX 45BF B-tree node [ 표 4] FIL_PAGE_TYPE 항목의종류및값 ( 출처 : MySQL, 버전별 InnoDB 복구방안 MySQL의 InnoDB 저장방식은하나의레코드에하나의속성을부여하여헤더위치에저장한다 ([ 그림 2]). 레코드속성은크게리던던트포맷 (Redundant Format) 과콤팩트포맷 (Compact Format) 으로구분된다. 리던던트포맷은 InnoDB 저장방식이생긴이후로현재까지사용되고있는포맷이다. 콤팩트포맷은 MySQL 5.0 버전이후리던던트포맷의비효율성을해결하고데이터를효율적으로관리하기위해도입된포맷이다. 리던던트포맷과콤팩트포맷은각각의레코드가저장되기전에 6바이트길이로헤더에저장된다. 각포맷을통해정의된헤더값은각레코드의속성정보를파악할수있게해준다. 리던던트포맷과콤팩트포맷의각항목은비트단위로구성되어있으며각항목의비트길이에따라계산하여해당항목의값을계산할수있다. [ 표 5] 는리던던트포맷의각항목과비트수등을설명한것으로, 속성정보를통해현재레코드의상태정보와삭제여부, 최소레코드의속성, 소유하는레코드의개수, 다음레코드의오프셋정보등을확인할수있다. [ 그림 3] InnoDB 의레코드속성헤더값 [ 그림 3] 은각레코드의앞 6바이트에존재하는리던던트포맷의헤더이다. 이와같이 InnoDB에서레코드속성은 6바이트의속성정보를통해정의되며속성정보와함께각필드의길이정보도포함하고있다. 이같은방법을통해 MySQL 4 버전의 InnoDB 저장방식의데이터를분석할수있다. InnoDB 저장방식은 MyISAM에비해삭제된레코드의분석시에도장점이있다. MyISAM이필드의일부를다른정보로덮어쓰는것과달리 InnoDB는레코드의속성정보에서 deleted_flag 값만 1로바꾼후더이상의수정을하지않는다. 따라서삭제된지오래된레코드도복구할수있는가능성이높다. 또한 MyISAM에비해데이터를새로운레코드가덮어쓸가능성이낮기때문에복구하기도상당히유리하다. MySQL 5 버전으로넘어가면서 InnoDB는기존에사용하던리던던트포맷은그대로사용하면서콤팩트포맷을추가로도입하였다. 기존 4 버전의데이터베이스시스템관련필드와유저관련필드가모두리던던트포맷이었던반면, 5 버전부터는효율성을위해시스템관련필드는리던던트포맷을사용하고유저관련필드는콤팩트포맷을사용하도록개선되었다. 콤팩트포맷은기존의리던던트포맷과같이 6바이트의길이를차지하고있지만실제로활용하는길이는 5바이트이다. 이름비트수설명 record_status 2 레코드의상태 deleted_flag 1 레코드의삭제여부 min_rec_flag 1 최소레코드의속성 n_owned 4 소유하는레코드의개수 heap_no 13 해당페이지에서의레코드번호 record type 3 레코드타입정보 next 16 bits 16 다음레코드의오프셋 [ 표 6] 콤팩트포맷의속성정보 ( 출처 : MySQL, 18
19 [ 표 6] 은유저관련필드의레코드속성을정의하는콤팩트포맷이나타내는속성정보이다. 콤팩트포맷은리던던트포맷과큰차이는없으며, 더실용적인데이터활용을위해자주사용되지않는두개의필드를제거하였다. InnoDB는각각의레코드속성을통해각레코드의상태를파악할수있다. 이를통해정상적으로존재하는레코드인지, 삭제된레코드인지여부를판단할수있다. InnoDB는페이지헤더의 PAGE_HEAP_TOP 값을이용해정상레코드의시작위치를정의한다. 각레코드는리던던트포맷및콤팩트포맷의속성중 next 16bits를통해다음정상레코드의위치로연결된다. 마찬가지로삭제된레코드는페이지헤더의 PAGE_FREE 값을통하여첫번째삭제된레코드의위치로연결되며 next 16bits를통해다음삭제된레코드의위치로연결된다. 따라서페이지에서첫번째정상데이터, 또는첫번째삭제된데이터의위치만찾으면링크를통해모든정상데이터와삭제된데이터를찾을수있다. 링크를통한분석은특정레코드를빠르게분석하는데편리하다. InnoDB, 복구의안전성과신뢰도높아디지털포렌식관점에서삭제된레코드의복구는공격자가고의로데 이터를은닉하거나삭제한데이터를복구할수있다는점에서중요한의미를갖는다. 따라서가능한많은복구를이뤄내는것은중요하다. InnoDB의 ibdata 파일은페이지단위로구분할수있으며각페이지의속성값을통해해당페이지가리프노드인지여부를파악할수있다. 리프노드에일반적인레코드값이저장되어있기때문에리프노드를구분하는것이중요하다. 리프노드의페이지에서페이지헤더를이용해첫번째정상레코드또는첫번째삭제레코드를확인할수있으며하나의레코드를복구하면대부분의레코드복구가가능하기때문이다. InnoDB는버전에따라각레코드에사용하는포맷이다르다. 따라서각버전에따라각기다른형태로분석해야한다. 또한삭제된레코드에대한데이터손상이크지않기때문에복구관점에서도안전성과신뢰도가높다. InnoDB는 frm 파일과함께분석이이루어지면테이블단위의추출이가능하며더욱정교한분석이가능하다. 3부에서는 frm의구조분석과함께 MyISAM이어떻게복구되는지살펴보며 InnoDB와어떻게연결되어데이터를추출하고복구할수있는지알아보도록하겠다. 19
20 IT & Life Spear Phising 타깃공격, 스피어피싱 의창끝에서시작된다 미디어기업인사팀에근무하는김대리는어느날 [ 이력서 ]*** 부서지원 이라는제목의메일을수신했다. 평소와같이메일을확인하고첨부되어있는문서파일을열었다. 일반적인이력서형식을갖추고는있지만내용이부실해보였다. 인재풀을형성하는절차에따라김대리는그이력서파일을업무용 DB에저장했다. 그로부터정확히 8개월후, 회사의기밀정보일부가유출된사건이발생했다. 조사결과, 김대리의 PC에침투한악성코드가공격의시작점이었던것으로드러났다. 회사에서자신의업무와관련된제목의메일을받았을때, 또는지인이나평소즐겨이용하는인터넷서비스의계정에서발송된메일을열어보지않을사람이과연얼마나될까? 알고있는 (?) 발송자가보내온메일에첨부된문서파일을의심하는사람은또얼마나될까? 이같은빈틈을파고드는사이버공격이바로 스피어피싱 이다. 스피어피싱이란? 작살로물고기를잡는 작살낚시 (Spear Fishing) 라는말에서유래된스피어피싱 (Spear Phishing) 은 창, 창으로찌르다 라는의미의영어단어스피어 (Spear) 와 사용자를속이기위한사기이메일및기타행위 를의미하는보안용어인피싱 (Phishing) 의합성어이다. 불특정다수가아닌특정인 ( 조직 ) 을표적으로, 신뢰할만한발신인이보낸것처럼위장한메일을이용해악성웹사이트로유도또는악성첨부파일로악성코드에감염시키는일종의온라인사기행위 로정의할수있다. 우리말로옮기면 표적형악성메일 로이해할수있다. 사용자가속을법한내용의메일에악성코드를첨부하는것은상당히고전적인공격방식이다. 문제는이런방법이아직도효과가있다는점이다. 때문에보안전문가들은 최대의보안취약점은바로사람 이라고지적하고있다. 특히악의적인목적으로발송된다는점은동일하지만스피어피싱이스팸메일등과구별되는점은 불특정다수가아닌특정기관또는기업을노린다는점 ( 표적성 ) 기밀정보유출, 시스템파괴등구체적인목표를위한악성코드를이용한다는점 ( 심각성 ) 정상적인파일로보이거나의심하기어려울정도로실제메일처럼보이게하는정교함등을들수있다. 스피어피싱, 무엇이그토록두려울까? 스피어피싱과같은표적공격을위해해커는페이스북, 트위터와같은 SNS(Social Network Service) 를비롯해다양한경로를통해표적이자주방문하는웹사이트, 취미, 소속조직등대상에대한정보를수집한다. 짧게는몇개월, 길게는 1년이상공격대상에관한거의모든정보를수집하기위해노력과시간을아끼지않는경우도많다. 이렇게수집한정보로공격대상의관심과호기심을자극하는이메일과첨부파일을발송하는사회공학적 (Social Engineering) 기법을이용하는스피어피싱의경우라면개인이이같은위협을피하기는쉽지않다. 게다가한개인에대한위협에서그치는것이아니라그개인이속한조직의막대한피해로이어질수있다는것도스피어피싱이위험한이유다. 보안전문가들은악성코드가기업이나기관의시스템에침투하는데성공하면이후에는들키지않고내부망을돌아다니며취약한지점을찾아내고이를이용해기밀정보를유출하거나내부망시스템을장악하는것은어려운일이아니라고지적하고있다. 개인이별다른의심없이이메일이나첨부파일을클릭하는순간악성코드에감염되고공격자는최종목적을달성하기위한공격의교두보를확보하게되는것이다. 20
21 물론, 개인이일상생활에서스피어피싱의타깃이되는경우는흔치않을수도있다. 그러나한명의개인이기업이나기관에속한경우라면, 특히소속된곳에서중요한직책이나업무를담당하고있다면얘기가달라진다. 스피어피싱은지능형지속위협인 APT와같은고도화된공격의시작점이기때문이다. 이같은스피어피싱에는첨부파일이동반되는경우가많다. 안랩의조사결과, exe나 dll 등의실행파일을이용하던방식에서최근에는사람들이별다른의심없이파일을열어보도록하기위해서 doc, pdf, hwp, xls 등문서파일이나 zip 등의압축파일과같은비실행형파일을많이이용하는추세다. [ 그림 1] 워드파일로위장한악성파일 ( 출처 : ASEC Report Vol.46) 사람들이주로이용하는문서프로그램의소프트웨어취약점을이용해문서파일에악성코드를심어사용자에게발송한후사용자가문서파일을열어보면악성코드에감염되도록하는것이다. exe나 dll 등의실행파일이지만파일명이나아이콘형태를문서파일인것처럼속여사용자가파일을열어보도록유도하는방식도나타나고있다. [ 그림 2] 문서파일로위장한실행파일 ( 출처 : ASEC Report Vol.46) 뉴욕타임스, EMC RSA 공격에도스피어피싱이용돼스피어피싱이 APT에이용된가장대표적인사례는지난 2013년 2월알려진뉴욕타임스 (New York Times, 이하 NYT) 해킹이다. 공격자는 NYT 상하이지부책임자와남아시아책임자 ( 전베이징지부책임자 ) 의메일을해킹한후약 4개월간 NYT 내부시스템에악성코드를설치하는등지속적인공격을가했다. 이공격의시작이바로내부혹은외부기관 기업으로위장한스피어피싱으로알려져있다. 이에앞서 2011년글로벌보안업체 EMC RSA의 OTP 제품과관련된기밀정보가유출된사건에도스피어피싱이이용됐다. EMC RSA는사건발생후자사블로그를통해공격의시작이 2011 인원채용계획 이라는제목의스피어피싱메일이라고밝혔다. 같은해세계최대이메일마케팅업체인미국엡실론 (Epsilon) 사또한스피어피싱에의해 JP모건체이스, 시티뱅크, 디즈니, 베스트바이등 50 여개주요고객사의명단과이메일주소를탈취당했다. 이사건으로인해엡실론사는 40억달러에이르는피해를입었으며, 특히고객사이메일계정을이용한 2차피해를야기할수있다는우려를샀다. 집요한스피어피싱, 피할수는없을까? APT 공격등고도의사이버공격의시발점으로많이이용되고있는스피어피싱. 이로부터개인과그개인이속한조직을보호하려면조직과개인모두의노력이필요하다. 기업및기관은스피어피싱의심각성에대해충분히인지하고전반적인관점에서대응방안을마련해야한다. 특히스피어피싱이어떻게 APT 등심각한공격으로이어질수있는지맥락을파악하는것이중요하다. 스피어피싱을통해침투하는악성코드는특정한대상을노리고특별하 21
22 게제작되는맞춤형악성코드인경우가대부분이다. 따라서기존에알려진악성코드에대응하기위한안티바이러스는물론, 알려지지않은악성코드에대응할수있는다계층적인보안솔루션에대한고려도필요하다. 또한정기적인보안교육과내부보안담당자육성등의노력도동시에진행되어야한다. 이와함께개인의관심과노력이스피어피싱의피해를예방하는데상당한효과를거둘수있다. 우선, 조금이라도수상한메일의첨부파일이나 URL을실행하지않는것이스피어피싱을막기위한가장확실한방법이다. 또한주로사용하는소프트웨어프로그램의제조사에서제공하는보안패치나업데이트는반드시적용해야한다. 특히문서파일과같은비실행형파일을이용하는스피어피싱공격이증가하는추세인만큼소프트웨어업데이트는더욱중요하다. 아울러회사 PC에서실수로라도모르는사람에게서받은파일이나내용이엉성하거나조잡한파일을열었을때는즉시사내보안담당자에게연락해적절한조치를취할수있도록해야한다. 실제 APT 사례를통해확인된바와같이스피어피싱은정보유출부터시스템파괴까지막대한피해를유발하는공격의시작점이될수있다. 조직과그조직에속한개인의노력이동반되어야만스피어피싱의위협을피할수있다. 22
23 Statistics 보안통계와이슈 ASEC, 11 월악성코드통계및보안이슈발표 연말연시, 신용카드명세서악용한악성코드변종주의! 안랩시큐리티대응센터 (ASEC) 는 ASEC Report Vol.47 을통해지난 2013 년 11 월의보안통계및이슈를전했다. 11 월의주요보안 이슈를살펴본다. 11월, 여전히 트로이목마 류가강세 ASEC이집계한바에따르면, 2013년 11월에감염이보고된악성코드는 206만 6944건으로나타났다. 이는전월 233만 9014건에비해 27 만 2070건이감소한수치다. [ 그림 1] 월별악성코드감염보고건수변화추이 [ 그림 3] 2013 년 10 월과 11 월악성코드유형별비교 악성코드를유형별로살펴보면트로이목마가 56.1% 로가장높은비율을나타냈고, 웜과스크립트는각각 8.4%, 7.6% 의비율을차지했다. [ 그림 2] 는 2013년 10월, 1개월동안안랩이탐지한악성코드의유형별집계결과다. 11월신종악성코드중트로이목마류가 96% 달해 11월에신규로접수된악성코드중감염보고가가장많았던 20건을살펴본결과, Win-Trojan/Agent.704가 5024건으로전체의 26.2%, 그뒤를이어 Win-Trojan/Agent.704.B가 5168건으로 26.0% 를차지했다. [ 그림 2] 2013 년 11 월악성코드유형별감염비율 악성코드의유형별감염비율을지난 10월과비교하면 [ 그림 3] 과같다. 스크립트, 다운로더는전월에비해증가세를보인반면트로이목마, 웜, 바이러스, 애드웨어, 익스플로이트, 드롭퍼는소폭감소했다. 스파이웨어, 애프케어계열은전월수준을유지했다. [ 그림 4] 신종악성코드유형별분포 11월의신종악성코드를유형별로살펴본결과, [ 그림 4] 와같이트로이목마가 96% 로가장많았고애드웨어가 2%, 드롭퍼가 2% 로각각집계됐다. 23
24 2013년 11월주요보안이슈 신용카드명세서로위장한악성코드변종유포신용카드명세서로위장한악성코드변형이이메일을통해유포되었다. 해당메일에는 ******* _04922.zip이라는이름의압축파일이첨부되어있었다. 2013년 4월에보고된악성코드의변종이 10월 30일안랩클라우드서버 (ASD) 를통해수집되었으며, 11월 15일에는이름만바뀐변종파일이이메일을통해유포된것으로확인되었다. 이번에유포된메일에첨부된파일의압축을풀면 [ 그림 5] 와같이 html 파일로위장한 exe 파일이나타난다. [ 그림 6] 가짜신용카드명세서 서비스로등록된레지스트리는은폐되어레지스트리편집기에서는보이지않는다. [ 그림 7], [ 그림 8] 과같이루트킷탐지툴을이용하면확인할수있다. [ 그림 5] 압축해제시나타나는파일 파일이름과확장자사이에공백과점 (.) 문자를다수포함해실제카드명세서파일인 html 파일로오인해서실행하도록유도한다. [ 파일명 ] *******card_ _53430.html......html.exe 해당파일을실행하면사용자에게는 [ 그림 6] 과같이실제카드명세서처럼보이는페이지를보여주면서동시에아래와같은파일을생성하고, 시스템을시작할때자동실행되도록레지스트리에등록한다. [ 그림 7] 은폐된레지스트리내용 (GomPlaySvr) [ 파일생성 ] C:\Windows\System32\mshelp.htm ( 정상 ) C:\Windows\System32\msimbc.dll C:\Windows\System32\ruby.exe C:\Windows\System32\csdujwsxo.dll ( 랜덤파일명 ) C:\Windows\System32\mshytvjiil.ocx C:\Windows\System32\mstedgakl.dll C:\Windows\System32\yqixm.dll ( 랜덤파일명 ) C:\Windows\System32\anotggnk.dll [ 레지스트리등록 ] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ GomPlaySvr\Parameters] ServiceDll="%SystemRoot%\System32\csdujwsxo.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VbSecurity\ Parameters] ServiceDll="%SystemRoot%\System32\yqixm.dll" [ 그림 8] 은폐된레지스트리내용 생성된파일중 mshelp.htm 파일은신용카드명세서이다. mshytvjiil. ocx, anotggnk.dll 파일은 *******card_ _ { 생략 }.exe 파일실행시아래 URL에서다운로드되는 arp-ping.exe 파일과 setup_482.exe 파일이다. hxxp:// hxxp://neir***.fuzh****ng.com/setup_482.exe arp-ping 파일은 [ 그림 9] 와같은옵션으로구성되어있다. 24
25 [ 그림 9] arp-ping.exe 옵션 arp-ping.exe 파일은공격자가내부네트워크에위치한시스템상태 확인등에악용할수있다. [ 그림 10] 은 setup_482.exe 파일로, 중국에서제작된인터넷검색, 스크린샷, 알림및 PC 종료타이머기능등을제공하는 PUP와같은프로그램설치파일이다. 이설치파일은악성코드감염시설치되지는않는다. 생성된파일중 [ 그림 10] 과같이 4개의파일은정상윈도파일인 svchost.exe 프로세스에로드되어동작하면서특정한국내 IP로끊임없이접속을시도한다. [ 그림 11] 랜섬웨어크립토락커 (CryptoLocker) 감염화면 크립토락커는시스템에저장된워드 (Word), 엑셀 (Excel), 파워포인트 (PowerPoint), 이미지파일등다양한파일을암호화한다. 크립토락커에감염되면 [ 그림 12] 와같은경로에악성파일이생성된다. 해당파일은윈도시작레지스트리키에등록되어부팅시자동으로실행된다. [ 그림 10] svchost.exe 프로세스에로드된모듈 이외에도다수의 GIF, JPEG 포맷의이미지파일을다운로드하지만, 대부분정상파일이며일부손상된파일이포함되어있었다. 이후해당사이트에서악성파일로변경될수있을것으로추정된다. 이같은신용카드명세서를위장한악성파일은국내실정에맞춰정상파일과구분하기어렵도록정교하게제작되기때문에메일에첨부된파일을실행할때는각별히주의해야한다. 한편해당악성코드는 V3 제품을이용해진단및치료가가능하다. [ 그림 12] 파일생성정보 [ 그림 13] 은암호화된파일을나타내는화면이다. 암호화된문서파일 (PPT) 을실행하면 [ 그림 14] 와같이파일이열리지않는다. 암호화된이들파일은공개키방식으로암호화되어있어제작자서버에저장된개인키가없으면파일을복구하는것이불가능하다. PC의파일을암호화하는크립토락커최근시스템에저장된문서, 이미지파일등을암호화하여금전적대가를요구하는랜섬웨어크립토락커 (CryptoLocker) 가발견됐다. 이번에발견된크립토락커는이메일의첨부파일을통해유포되었으며, 일정시간이지나면암호화키가삭제되어복구할수없다는메시지를사용자에게보여준다. [ 그림 11] 은악성코드에감염된사용자에게나타나는화면이다. 암호화된파일리스트를확인하는메뉴와파일복구를위해 300 달러를요구하고있다. 300달러결제뿐만아니라비트코인으로결제하는메뉴도제공하고있다. [ 그림 13] 암호화된파일들 25
26 [ 그림 14] 암호화된파일실행시 최근해당랜섬웨어제작자가운영하는것으로추정되는크립토락커디크립션서비스 (CryptoLocker Decryption Service) 웹사이트가확인되었다 ([ 그림 15]). 이사이트는암호화된파일복구를위해 10BTC( 비트코인 ) 을요구한다. [ 그림 15] 크립토락커디크립션서비스 (CryptoLocker Decryption Service) 웹사이트 그러나악의적인목적으로제작된랜섬웨어는사용자가복구비용을지불하더라도파일이정상적으로복구되지않을수있어신중하게대처하는것이바람직하다. 한편크립토락커는현재 V3 제품을통해진단및치료가가능하다. 이밖에자세한보안관련통계및이슈에관한내용은안랩닷컴시큐리티센터내 ASEC 리포트에서확인할수있다. 26
27 AHNLAB NEWS 안랩, 권치중사장 CEO 선임 권치중號출범, 내실경영에초점맞춘다 신임권치중 CEO는약 30여년간국내외유수의 IT 기업에서영업과마케팅분야를총괄지휘해온경영전문가이다. 특히소속기업의영업신기록을경신할정도로매출신장률을높인영업통이면서도임직원및고객간원활한소통능력을바탕으로영업, 마케팅, 경영전략, 사업기획, 비전수립등에서성과를보여조직관리능력을인정받고있는것으로알려져있다. 권치중신임안랩 CEO 안랩은 2013년 12월 5일사업부문을총괄하던권치중부사장을사장으로승진발령하고권사장이 CEO 업무를수행한다고밝혔다. 신임권치중 CEO는 2014년초이사회와주주총회를거쳐대표이사로선임될예정이다. 한편신임권치중 CEO의등기이사선임을위한 2014년정기주총및이사회이전까지는김기인전무 (CFO) 가임시로대표이사직을수행할예정이다. 권치중 CEO는 2011년안랩에입사한이후사업을총괄해왔으며, 안랩입사전에는테크데이타부사장 ( ), KT의계열사인 KT FDS 대표이사 ( ), BEA 시스템즈코리아영업총괄및부사장 ( ), SGI 코리아대표이사 ( 상무 / 대표이사 ) 등을역임했으며, 첫직장인 IBM코리아 ( ) 에서 10년가까이근무하는등 IT 업계에서만 30년이상의전문경력을쌓아왔다. 권치중 CEO는 앞선김홍선대표의기술기반사업확장및성과를기반으로 2014년부터는그간확장해온사업을정착시키고내실을기하도록하라는의미에서저를선임한것으로알고있다. 국내최고의보안기업인안랩이핵심가치에기반하여존경받는글로벌기업이될수있도록최선을다하겠다 고포부를밝혔다. 안랩회계투명성부문대상수상 김기인전무 2013 한국 CFO 대상 수상 안랩 (CEO 권치중 의 CFO(Chief Financial Officer, 최고재무책임자 ) 김기인전무가사단법인한국 CFO협회 ( 회장김상훈, 가 2013년 12월 20일, 웨스틴조선호텔에서주최한 2013 한국 CFO 대상 에서 회계투명성부문대상 을수상했다. 10회를맞이한 2013 한국 CFO 대상 은 기업구조조정 (Turnaround Management), 위험관리 (Risk Management), 기업인수 합병 (M&A), 자금조달 (Financing), 회계투명성 등총 5개부문으로나눠시상이진행됐다. 2013년 6월부터 10월까지경영컨설팅회사, 회계법인, 은행, 증권사, 신용평가사등전문기관으로부터우수한경영성과를보인기업 CFO를추천받아각부문별 2명씩, 총 10명이수상자로선정되었다. 한편, 안랩은창립이래투명경영원칙을높이평가받아 2007년에이어 2013년 5월, 두번째로한국회계학회로부터 2013 투명회계대상- 코스닥시장상장기업부문상 을수상한바있다. 또한, 제 11 회경제정의기업상 ( 경실련, 공정거래위, 2002년 ), 제 1회한국윤리경영대상-투명경영부문대상 ( 신산업경영원, 산업자원부, 2003 년 ) 제 1회경영정보대상-투명경영부문대상 ( 한국회계정보학회, 2003) 등을수상한바있다. 김기인전무는재무경영실적, 재무건전성, 경영투명성부문에서회계투명성을이끌고, 건전한견제와균형이가능한선진기업지배구조를정착시키기위한노력을인정받아 회계투명성부문대상 을수상했다. 김기인안랩전무, 2013 한국 CFO 대상 수상 27
28 발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T F 편집인 : 안랩콘텐츠기획팀디자인 : 안랩 UX디자인팀 2014 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 28
29 경기도성남시분당구판교역로 220 T F AhnLab, Inc. All rights reserved.
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More informationCONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안
ASEC REPORT 2013 ANNUAL REPORT CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More informationASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서
Security Trend ASEC REPORT VOL.82 October, 2016 ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationPowerPoint Presentation
FORENSICINSIGHT SEMINAR SQLite Recovery zurum herosdfrc@google.co.kr Contents 1. SQLite! 2. SQLite 구조 3. 레코드의삭제 4. 삭제된영역추적 5. 레코드복원기법 forensicinsight.org Page 2 / 22 SQLite! - What is.. - and why? forensicinsight.org
More informationASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.
Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More informationASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작
Security Trend ASEC REPORT VOL.80 August, 2016 ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호
안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More information메뉴얼41페이지-2
데이터 기반 맞춤형 성장관리 솔루션 스마트빌 플러스 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여 등록합니다. 금융정보 자동수집을 위하여 인증서이름, 아이디, 비밀번호를 등록합니다. 통합 자동 수집 금융정보 통합 자동수집을 실행합니다 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More informationSecurity Trend ASEC REPORT VOL.68 August, 2015
Security Trend ASEC REPORT VOL.68 August, 2015 ASEC REPORT VOL.68 August, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며
Security Trend ASEC Report VOL.53 May, 2014 ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More information<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>
SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More informationWindows 10 General Announcement v1.0-KO
Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows
More informationView Licenses and Services (customer)
빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차
More informationASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC REPORT VOL.76 April, 2016 ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationÈ޴ϵåA4±â¼Û
July 2006 Vol. 01 CONTENTS 02 Special Theme 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Beautiful Huneed People 03 04 Special Destiny Interesting Story 05 06 Huneed News Huneed
More information이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More informationF O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아
F O C U S 3 홈페이지를통한악성코드유포및대응방안 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아악성코드유포가용이하다는점때문에해커는최대한많은접속자를악성코드에감염시켜금융정보를탈취하거나, APT공격의전단계로써정보수집을목적으로한다.
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2013. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13
More informationAhnLab_template
2012 년상반기 악성코드동향과전망 - APT 2012. 10. 10 조시행연구소장 Contents 01 APT 02 최근 APT 공격사례 03 APT 공격형태의특징 04 미래 APT 공격형태 05 APT 공격대응방안 01 APT(Advanced Persistent Threat) 1) 2012 년도악성코드동향리뷰 2012 년 1 분기악성코드유형별피해분포 2012
More information슬라이드 1
휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More informationASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.81 September, 2016 ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More information목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault
사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More informationMicrosoft PowerPoint - 10Àå.ppt
10 장. DB 서버구축및운영 DBMS 의개념과용어를익힌다. 간단한 SQL 문법을학습한다. MySQL 서버를설치 / 운영한다. 관련용어 데이터 : 자료 테이블 : 데이터를표형식으로표현 레코드 : 테이블의행 필드또는컬럼 : 테이블의열 필드명 : 각필드의이름 데이터타입 : 각필드에입력할값의형식 학번이름주소연락처 관련용어 DB : 테이블의집합 DBMS : DB 들을관리하는소프트웨어
More information슬라이드 제목 없음
MS SQL Server 마이크로소프트사가윈도우운영체제를기반으로개발한관계 DBMS 모바일장치에서엔터프라이즈데이터시스템에이르는다양한플랫폼에서운영되는통합데이터관리및분석솔루션 2 MS SQL Server 개요 3.1 MS SQL Server 개요 클라이언트-서버모델을기반으로하는관계 DBMS 로서윈도우계열의운영체제에서만동작함 오라클관계 DBMS 보다가격이매우저렴한편이고,
More informationASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.71 November, 2015 ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More informationASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC Report 2014 Annual Report ASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationJDK이클립스
JDK 와이클립스설치 A. JDK 다운로드, 설치및환경설정 지금부터 JDK를다운로드받아설치하고 JDK를윈도우에서활용할수있도록환경을설정하는전과정을소개한다. 다운로드 www.oracle.com 사이트에접속하여 Downloads 메뉴를선택한후 [ 그림 1] 과같이 "Java for Developers" 를클릭한다. [ 그림 1] www.oracle.com 사이트
More informationC스토어 사용자 매뉴얼
쪽지 APP 디자인적용가이드 I. 쪽지 APP 소개 2 I. 쪽지 APP 소개 쪽지 APP 을통해쇼핑몰의특정회원또는특정등급의회원그룹에게 알림메시지나마케팅을위한쪽지를발송하실수있습니다. 쪽지 APP의주요기능 1. 전체회원, 특정ID, 특정회원그룹별로쪽지발송가능 2. 발송예약기능 3. 발송한쪽지에대해수신및열람내역조회가능 4. 쇼핑몰페이지에서쪽지함과쪽지알림창제공 3
More informationMicrosoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 개발환경구조및설치순서 JDK 설치 Eclipse 설치 안드로이드 SDK 설치 ADT(Androd Development Tools) 설치 AVD(Android Virtual Device) 생성 Hello Android! 2 Eclipse (IDE) JDK Android SDK with
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationBMP 파일 처리
BMP 파일처리 김성영교수 금오공과대학교 컴퓨터공학과 학습내용 영상반전프로그램제작 2 Inverting images out = 255 - in 3 /* 이프로그램은 8bit gray-scale 영상을입력으로사용하여반전한후동일포맷의영상으로저장한다. */ #include #include #define WIDTHBYTES(bytes)
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More information다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");
다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher
More informationserver name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지
ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information1
2/33 3/33 4/33 5/33 6/33 7/33 8/33 9/33 10/33 11/33 12/33 13/33 14/33 15/33 16/33 17/33 5) 입력을 다 했으면 확인 버튼을 클릭합니다. 6) 시작 페이지가 제대로 설정이 되었는지 살펴볼까요. 익스플로러를 종료하고 다시 실행시켜 보세요. 시작화면에 야후! 코리아 화면이 뜬다면 설정 완료..^^
More informationASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.83 November, 2016 ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationPowerPoint Template
JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationSecurity Trend ASEC REPORT VOL.67 July, 2015
Security Trend ASEC REPORT VOL.67 July, 2015 ASEC REPORT VOL.67 July, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.89 2017 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationDBMS & SQL Server Installation Database Laboratory
DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.
More information1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전
`16 년랜섬웨어동향및 `17 년전망 2017. 01 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나
More informationMicrosoft PowerPoint - 3장-MS SQL Server.ppt [호환 모드]
MS SQL Server 마이크로소프트사가윈도우운영체제를기반으로개발한관계 DBMS 모바일장치에서엔터프라이즈데이터시스템에이르는다양한플랫폼에서운영되는통합데이터관리및분석솔루션 2 MS SQL Server 개요 3.1 MS SQL Server 개요 클라이언트-서버모델을기반으로하는관계 DBMS로서윈도우계열의운영체제에서만동작함 오라클관계 DBMS보다가격이매우저렴한편이고,
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.94 2019 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationMOVE TO THE LEFT OF THE KILL CHAIN AND STOP THE BAD GUYS MOVE TO THE RIGHT
지능형보안위협에대한효율적인대응방안 EMC 보안사업본부 RSA 이준희 1 사이버 Kill Chain 대응방안 지능형보안위협대응을위한 RSA Framework 지능형보안위협분석예 2 사이버 Kill Chain 대응방안 3 Cyber Kill Chain 에대한두가지시선 Cyber Kill Chain 을보는관점 공격자의관점 공격을통해중요데이터수집을위한방안구성 방어자의관점
More informationMicrosoft PowerPoint - [#4-2] File System Forensic Analysis.pptx
File System Forensic Analysis Twitter : @pr0neer Blog : f Email : proneer@gmail.com Kim Jinkook Outline 1. File System Forensic Analysis (FAT/NTFS) Recovery for Deleted Files (FAT/NTFS) Unallocated Cluster
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More information신종파밍악성코드분석 Bolaven
신종파밍악성코드분석 Bolaven 2013.06.27 개요 지난 1월볼라벤 6차문서에서진화한파밍기법 (= 호스트파일변조 ) 에대해분석및공유를하였다. 6차문서에서는웹을통하여악성코드가유포되는과정과파밍기법의전반적인흐름을알아보았다면, 이번문서에서는파밍기법에서사용되는악성파일의행위에대해중점적으로분석하였다. 파밍기법이란? PC 를악성코드에감염시켜정상홈페이지주소로접속하여도피싱사이트로
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More informationPowerPoint 프레젠테이션
사용자계정관리 운영체제실습 목차 Ⅲ. 사용자계정관리 4.1 사용자계정관리 4.2 그룹관리 4.3 사용자계정관련파일 4.4 패스워드관리 4.5 사용자신분확인 4.1 사용자계정관리 사용자생성관련명령어 사용자생성 : useradd / adduser 사용자삭제 : userdel 사용자정보변경 : usermod 패스워드설정및변경 : passwd 그룹생성관련명령어 group
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>
스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More informationJVM 메모리구조
조명이정도면괜찮조! 주제 JVM 메모리구조 설미라자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조장. 최지성자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조원 이용열자료조사, 자료작성, PPT 작성, 보고서작성. 이윤경 자료조사, 자료작성, PPT작성, 보고서작성. 이수은 자료조사, 자료작성, PPT작성, 보고서작성. 발표일 2013. 05.
More informationC# Programming Guide - Types
C# Programming Guide - Types 최도경 lifeisforu@wemade.com 이문서는 MSDN 의 Types 를요약하고보충한것입니다. http://msdn.microsoft.com/enus/library/ms173104(v=vs.100).aspx Types, Variables, and Values C# 은 type 에민감한언어이다. 모든
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이
More information쉽게 풀어쓴 C 프로그래밊
Power Java 제 27 장데이터베이스 프로그래밍 이번장에서학습할내용 자바와데이터베이스 데이터베이스의기초 SQL JDBC 를이용한프로그래밍 변경가능한결과집합 자바를통하여데이터베이스를사용하는방법을학습합니다. 자바와데이터베이스 JDBC(Java Database Connectivity) 는자바 API 의하나로서데이터베이스에연결하여서데이터베이스안의데이터에대하여검색하고데이터를변경할수있게한다.
More informationPowerPoint 프레젠테이션
System Software Experiment 1 Lecture 5 - Array Spring 2019 Hwansoo Han (hhan@skku.edu) Advanced Research on Compilers and Systems, ARCS LAB Sungkyunkwan University http://arcs.skku.edu/ 1 배열 (Array) 동일한타입의데이터가여러개저장되어있는저장장소
More information