*2월완결
|
|
- 은서 양
- 8 years ago
- Views:
Transcription
1
2 본 보고서내 정부승인통계는 웜 바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 대한 이해를 돕기 위하여 기술된 악성봇 감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다. 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료 : 한국정보보호진흥원 인터넷침해사고대응지원센터]를 명시하여 주시기 바랍니다.
3 Contents Part 1 월간 동향 요약...1 침해사고 통계 분석 1-1. 증감 추이(전년, 전월대비) 침해사고 통계 요약 침해사고 통계 현황 1-4. 해킹 웜 바이러스 신고건수 추이...3 주요 웜 바이러스별 현황....4 해킹 사고 접수 처리 건수 추이...5 피해기관별분류...6 피해 운영체제별 분류....6 피싱 경유지 신고처리 현황...7 홈페이지 변조 사고처리 현황...9 악성 봇(Bot) 현황...10 Part 2 허니넷/트래픽 분석 2-1. PC 생존시간 분석 허니넷 트래픽 분석 전체추이...14 Top 3 국가별 공격유형...15 해외 국내...16 국내 국내 국내 인터넷망 트래픽 분석 바이러스 월 탐지 웜 바이러스 정보...19 Part 3 월간특집 1. ARP Spoofing 기법을 이용한 웹 페이지 악성코드 삽입 사례 Trojan (cctv.exe) 위험성 분석 <별첨> 악성코드 유포지/경유지 조기 탐지 및 차단 조치...43 <부록> 주요포트 별 서비스 및 관련 악성코드...45 <용어정리> Ⅰ-
4 표차례 [표 1] 월간 침해사고 전체 통계....2 [표 2] 월별 국내 웜 바이러스 신고 건수...3 [표 3] 주요 웜 바이러스 신고현황...4 [표 4] 해킹사고 처리 현황...5 [표 5] 해킹사고 피해 기관별 분류...6 [표 6] 해킹사고 피해 운영체제별 분류...6 [표7]피싱경유지신고건수...7 [표 8] 홈페이지 변조 사고처리 현황...9 [표 9] 국내 악성 봇(Bot) 감염률...10 [표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록...11 [표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간...12 [표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율...15 [표 13] 해외 국내(허니넷) 스캔탐지 현황...16 [표 14] 국내 국내(허니넷) 스캔탐지 현황 [표 15] 수집된 주요 웜 바이러스 현황 그림 차례 (그림 1) 월별 침해사고 전체 통계 그래프...2 (그림 2) 월별 국내 웜 바이러스 신고 건수...3 (그림 3) 해킹사고 접수 처리 건수 유형별 분류...5 (그림 4) 해킹사고 피해 기관별 분류...6 (그림 5) 월별 피싱 경유지 신고건수....7 (그림 6) 월별 홈페이지 변조 사고처리 현황...9 (그림 7) 월별 국내 악성 봇(Bot) 감염률 추이...10 (그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교...10 (그림9)악성봇관련포트비율(해외)...11 (그림 10)악성봇관련포트비율(국내)...11 (그림 11) 월별 평균 생존 가능시간 변동 추이...12 (그림 12) Windows XP SP1 생존시간 분포 분석...13 (그림 13) Windows 2000 SP4 생존시간 분포 분석...13 (그림 14)월별허니넷유입트래픽규모...14 (그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형...15 (그림 16) 해외 국내(허니넷) 스캔탐지 현황...16 (그림 17) 국내 국내(허니넷) 스캔탐지 현황...17 (그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이...18 (그림 19) 국내 인터넷망에 유입된 공격유형 Ⅱ-
5 월간 동향 요약 핫이슈 악성코드 은닉 페이지를 쉽게 찾아낼 수 없도록 위장하는 신종 악성코드 은닉기법(ARP 스푸핑) 및 이를 이용한 악성코드 은닉사이트가 대량으로 발견되어 긴급 차단조치 하였으나, 갈수록 지능화되어 가는 악성코드 은닉기법에 의한 악성코드 감염피해를 예방하기 위하여 인터넷 사용자는 최신 윈도우 보안업데이트를 적용하고, 주기적으로 PC를 백신프로그램으로 점검하는 습관이 필요(월간특집 참고) 주요 취약점, 웜 바이러스 제목 영향받는 제품/사용자 영향력/예방 및 대책 참고 사이트 MS Office 원격코드 실행 취약점으로 인한 피해 주의 MS Office 2000, XP, 2003, 2004 for MAC - 최신 윈도우 보안업데이트 적용 - 출처가 불분명한 이메일과 메신저로 첨부되는 MS Office 문서 파일에 대한 열람 자제 /korea/technet/security /bulletin/ms mspx 곰플레이어 업그레이드 보안권고 곰플레이어 이하 - 출처가 불분명한 이메일과 메신저로 첨 부되는 파일에 대한 열람 자제 - 백신프로그램의 최신 업데이트 및 실시 간 감시기능을 활성화시킴 /advisories/ /view.html?intseq=54 아래한글 제품군 보안업데이트 권고 한글 2005 (버전 미만) 한글 2007 단품 (버전 미만) 등 - 최신 한글 업데이트 적용 - 출처가 불분명한 이메일과 메신저로 첨부되는 파일에 대한 열람 자제 - 백신프로그램의 최신 업데이트 및 실 시간 감시기능을 활성화시킴 hnc5_0/haansoft/main_notice/ announce.php?mode=read& tbl=haan01_b00003&no=181 보안 공지사항에 대한 보다 자세한 내용은 KISA 인터넷침해사고대응지원센터 홈페이지 공지사항 ( 보안정보 보안공지) 에서 확인할 수 있습니다. 통계 분석 웜 바이러스 피해신고는 전월에 비하여 20.1% 증가 해킹신고 처리는 전월 대비 1.4% 증가 (스팸릴레이, 피싱경유지는 각각 20.2%, 97.7% 증가, 단순 침입시도, 기타해킹, 홈페이지변조는 각각 43.7%, 10.0%, 48.4% 감소) - 피싱경유지의 경우 국외 특정 은행에 대한 경유지 신고 증가에 따라 전월에 비하여 증가함 전 세계 Bot 감염 PC 대비 국내 Bot 감염 PC 비율 13.0%로 전월대비 0.7%p 감소 PC 생존시간 Windows XP SP1 : 16분47초 (전월대비 1분28초 증가 ) Windows 2000 SP4 : 21분32초 (전월대비 1분42초 증가 ) 인터넷 침해사고 동향 및 분석 월보 1
6 Part 1 침해사고 통계분석 Part 2 Part 3 1. 침해사고 통계분석 1-1. 증감 추이(전년, 전월대비) 구분 웜 바이러스 해킹신고처리 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지 변조 악성 봇(Bot) 통계 요약 총 622건 : 전월( 518건)대비 20.1% 증가 총 2,189건 : 전월(2,158건)대비 1.4% 증가 총 1,473건 : 전월(1,225건)대비 20.2% 증가 총 178건 : 전월( 90건)대비 97.7% 증가 총 184건 : 전월( 327건)대비 43.7% 감소 총 206건 : 전월( 229건)대비10.0% 감소 총 148건 : 전월( 287건)대비 48.4% 감소 전 세계 Bot감염 추정PC 대비 국내감염율은 13.0%로 전월(13.7%)대비 0.7%p 감소 1-2. 침해사고 통계 요약 구분 웜 바이러스 [표 1] 월간 침해사고 전체 통계 총계 , 해킹신고처리 26,808 2,158 2,189 스팸릴레이 14,055 1,225 1,473 피싱경유지 1, 단순침입시도 3, 기타해킹 4, 홈페이지 변조 3, 봇(Bot) 12.5% 13.7% 13.0% 총계 1,140 4,347 2, % 웜 바이러스 신고 접수건수 스팸릴레이 신고 처리건수 피싱 경유지 신고 처리건수 1, , ,000 1,500 1, 단순침입시도+기타해킹신고 처리 홈페이지 변조사고 처리건수 악성 Bot 감염비율 2,000 1,500 1, , % 20% 10% 0 (그림 1) 월별 침해사고 전체 통계 그래프 년 2월호
7 침해사고 통계 현황 웜 바이러스 신고건수 추이 [표 2] 월별 국내 웜 바이러스 신고 건수 구분 2006 총계 신고건수 7, ,140 웜 바이러스 신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가 공동으로 집계한 결과임 총계 1,400 1,200 1, (그림 2) 월별 국내 웜 바이러스 신고 건수 07년 2월에 국내 백신업체와 KISA에 신고된 웜 바이러스 신고건수는 622건으로 전월(518건)에 비하여 20.1% 증가하였다. - 2월에는 지난달에 1, 2위를 차지했던 BAGLE, BAGZ 등 특정 웜 바이러스에 의한 피해신고가 많았던 것과 달리 AGENT, DOWNLOAD, XEMA, HUPIGON 등 다양한 웜 바이러스에 의한 피해신고가 고루 접수되었던 것으로 나타났다. 인터넷 침해사고 동향 및 분석 월보 3
8 Part 1 침해사고 통계분석 Part 2 Part 3 주요 웜 바이러스별 현황 [표 3] 주요 웜 바이러스 신고현황 2007 순위 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 1 BAGLE 2 BAGZ 3 BANLOAD 4 DOWNLOADER 5 IRCBOT 6 VIKING 7 PARITE 8 XEMA 9 DELLBOY 10 LINEAGEHACK 기타 합계 150 AGENT 136 DOWNLOADER 32 XEMA 19 HUPIGON 15 LINEAGEHACK 15 KORGAMEHACK 14 QQPASS 13 GRAYBIRD 13 BAGLE 10 IRCBOT 101 기타 년 2월에 신고된 웜 바이러스를 명칭별로 분류한 결과 AGENT에 의한 피해가 가장 많았고 다 음으로 DOWNLOADER, XEMA 변종 웜 바이러스에 의한 피해신고가 많았던 것으로 나타났다. - 1위를 차지한 AGENT 변종 웜 바이러스는 자체 전파력 없이 메일, 메신저, 게시판, 자료실에 서 첨부파일 형태로 전파되며, 감염된 시스템은 특정사이트에 접속하여 또 다른 악성코드 파일 을 다운로드 받는 것으로 알려져 있다 년 2월호
9 해킹 해킹 사고 접수 처리 건수 추이 [표 4] 해킹사고 처리 현황 구분 총계 총계 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지변조 14,055 1,266 3,711 4,570 3,206 1, , , 합계 26,808 2,158 2,189 4,347 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반사용자로부터 신고 받아 처리한 건수로써 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 경유지로 악용되어 신고된 건수임 67.3% 8.1% 8.4% 9.4% 6.8% 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지 변조 (그림 3) 해킹사고 접수 처리 건수 유형별 분류 07년.2월 KISA에서 처리한 해킹사고는 2,189건으로 전월(2,158건) 대비 1.4% 증가 하였다. - 해킹사고 항목별 증감을 파악한 결과 스팸릴레이, 피싱경유지는 각각 20.2%, 97.7% 증가, 단순 침입시도, 기타해킹, 홈페이지변조는 각각 43.7%, 10.0%, 48.4% 감소한 것으로 나타났다. - 이번 달에는 피싱경유지 사고신고 건수가 증가하면서 가장 많은 비율을 차지하였는데, 국외 특 정 은행에 대한 피싱경유지 신고가 증가하였기 때문이다. 인터넷 침해사고 동향 및 분석 월보 5
10 Part 1 침해사고 통계분석 Part 2 Part 3 피해 기관별 분류 [표 5] 해킹사고 피해 기관별 분류 기관 총계 총계 기업 대학 비영리 연구소 네트워크 기타(개인) 합계 3,689 1, , , ,829 26,808 2,158 2,189 기관 분류기준 : 기업(co, com), 대학(ac), 비영리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 또는 ISP에서 제공하는 유동 IP 사용자) ,383 4,347 피해 기관별 분류 결과는 전월과 동일하게 기타(개 인), 기업, 대학, 비영리의 순으로 나타났다. 피해 비율이 83%로 가장 높은 비율을 나타낸 기타(개 기업 11% 대학 3% 네트워크 1% 인)는 침해사고관련 IP가 주로 ISP에서 제공하는 유동 IP(주로 개인용 컴퓨터)인 경우를 의미하며, 기업의 경우 홈페이지변조, 단순침입시도 피해 감 개인 83% 비영리 2% 소에 따라 전체 피해건수가 감소하였다. 피해 운영체제별 분류 [표 6] 해킹사고 피해 운영체제별 분류 (그림 4) 해킹사고 피해 기관별 분류 운영체제 총계 총계 Windows 22,193 1,868 1,980 Linux 3, Unix 기타 합계 26,808 2,158 2,189 운영체제별 분류 자료는 각 운영체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임 3, ,347 해킹신고 처리결과를 운영체제별로 분류한 결과는 전월과 마찬가지로 Windows, Linux 운영체제 순이었다. 신고 처리결과중 Windows 운영체제가 차지하는 비율은 90.4% 였으며, Linux는 6.7% 이었다. 전체 피해 기관 중 windows 시스템을 주로 사용하는 기타(개인)의 피해건수가 가장 많아 windows 운영체제에 대한 피해가 가장 높았 고, 홈페이지변조 사고가 대부분인 Linux의 경우 홈페이지변조 사고 감소에 따라 사고 건수가 같이 감소하였다 년 2월호
11 피싱 경유지 신고처리 현황 [표 7] 피싱 경유지 신고 건수 구분 총계 총계 피싱경유지 신고건수 1, 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반사용자로부터 신고 받아 처리한 건수로서 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 경유지로 악용되어 신고된 건수임 이번달 피싱 경유지 신고건수는 총 178건으로, 전월(90건)대비 88건이 증가하였다. 증가원인은 지난 1월에는 한달 동안 4건에 불과했던 미국의 WellsFargo은행 피싱사이트 신고건이 이달에는 1일~7일 사이 96건이나 신고되었기 때문이다. 신고내용 분석결과 신고된 대부분의 IP는 개인사용자와 PC방 등에 할당된 것으로, 피싱 경유지 대 상 시스템을 일반적인 서버시스템이 아닌 PC를 대상으로 하였으며, 보안이 취약한 여러 대의 윈도 우즈 PC를 해킹하거나 악성코드에 감염시킨 뒤 동적 DNS서비스를 통해 피싱 경유지로 사용했기 때문에 사고건수가 많았던 것으로 추정된다. 따라서 개인 사용자들은 피싱 경유지사이트로 악용되 지 않도록 PC보안을 더욱 철저히 하여야 한다. 피싱 대상기관 유형으로는 이달에도 금융기관이 큰 비중을 차지하였다. 기관별로는 WellsFargo은 행(97건)이 가장 많았으며, 그 뒤를 이어 전자상거래 유형인 PayPal(22건), ebay(14건)등의 순 으로 나타났다. 기관 금융기관 전자상거래 기타 합계 건수 (그림 5) 월별 피싱 경유지 신고건수 전자상거래 8.4% 금융기관 91.6% 인터넷 침해사고 동향 및 분석 월보 7
12 Part 1 침해사고 통계분석 Part 2 Part 3 피싱 대상기관 및 신고건수를 국가별로 분류한 결과, 총 6개국 22개 기관으로 집계되었다. 미국이 15 개(68.2%) 기관, 신고건수 168건(94.4%)을 차지하여, 이달에도 전월과 동일하게 국내 신고건의 대부분을 미국이 차지하였음을 알 수 있다. 구분 기관 분류 기관수 신고건수 금융기관 미국 전자상거래 기타 0 0 독일 금융기관 2 4 영국 2 2 아르헨티나 1 2 캐나다 홍콩 총6개국 피싱 경유지로 악용된 국내 사이트를 기관유형별로 분류한 결과, 기업 20건(11.2%), 개인/기타 14건 (7.9%), 교육 9건(5.1%), 비영리 7건(3.9%) 등의 순으로 집계되었으며, 홈페이지가 없거나 Whois 정보 에 ISP 관리대역으로만 나와 연락처를 확인할 수 없는 경우에 해당되는 ISP서비스이용자 유형이 128건(71.9%)으로 나타났다. 기관유형 기업 건수 20 기업 11.2% 교육 5.1% 비영리 3.9% 교육 9 비영리 개인/기타 7 14 ISP 서비스 71.9% ISP서비스이용자 합계 개인/기타 7.9% 피싱 경유지 시스템에서 이용된 포트는 이달에도 표준 HTTP포트인 80포트를 이용한 경우가 170건 (95.0%)으로 지난달 80포트 비율(85.6%)에 비해 약 10%가 증가하였다. 포트 건수 포트 82 포트 84 포트 85 포트 443 포트 8080 포트 80 포트 95.0% 합계 년 2월호
13 홈페이지 변조 사고처리 현황 [표 8] 홈페이지 변조 사고처리 현황 구분 2006 총계 피해홈페이지 수 3,206 피해시스템 수 1, 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 IP에 수십~수백 개의 홈페이지를 운영하는 경우도 있으므로 피해홈페이지 수는 피해시스템 수 보다 많을 수 있음 총계 (그림 6) 월별 홈페이지 변조 사고처리 현황 이번 달에는 80개 시스템(IP)의 148개 사이트(도메인)에 대한 홈페이지 변조가 발생하여 피해시스템 수는 전월(95개) 대비 15.7% 감소하였고, 피해홈페이지 수는 전월(287개) 대비 48.4% 감소한 것 으로 나타났다. - 낮은 버전(ver 4.1 pl8 이하)의 무료 웹 게시판 S/W(제로보드)를 운영하는 웹 호스팅업체에서 최신버전으로 업그레이드하여, 피해 건수가 전월에 비하여 감소하였으나, 여전히 낮은 버전으로 운영하는 업체가 존재하여 피해가 지속적으로 발생하고 있으므로, 해당 게시판 S/W를 구동중인 웹 사이트 관리자들은 최신버전(제로보드 5)으로 업그레이드하기를 권장한다. 참고 사이트 제로보드 5 다운로드 : 웹 어플리케이션 보안템플릿 : 초기화면 왼쪽 웹어플리케이션보안템플릿 ModSecurity를 이용한 아파치 웹서버 보안 : 보안정보 기술문서 ModSecurity를 이용한 아파치 웹서버 보안 WebKnight를 이용한 SQL Injection 공격 차단 : 보안정보 기술문서 WebKnight를 이용한 SQL Injection 공격 차단 인터넷 침해사고 동향 및 분석 월보 9
14 Part 1 침해사고 통계분석 Part 2 Part 3 악성 봇(Bot) 현황 [표 9] 국내 악성 봇(Bot) 감염률 구분 2006 평균 국내 비율 12.5% 13.7% 13.0% 13.4% 전 세계 Bot 감염 추정 PC 중 국내 Bot 감염 PC가 차지하는 비율임 봇(Bot) : 운영체제 취약점, 비밀번호 취약성, 웜 바이러스의 백도어 등을 이용하여 전파되며, 명령 전달사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용 가능한 프로그램 또는 실행가능한 코드 평균 25% 20% 15% 10% 5% 0 (그림 7) 월별 국내 악성 봇(Bot) 감염률 추이 100,000 80,000 60,000 40,000 20,000 0 (그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교 년 2월호
15 전 세계 Bot 감염추정 PC 중에서 국내 감염 PC 비율은 13.0%로 지난달에 비해 0.7%p 감소하였다. 지난달에 감염 시도 트래픽이 많았던 TCP/2967 포트 트래픽이 감소하여 Bot 감염률이 감소되었다. - Bot의 전파에 사용되는 주요 포트는 NetBIOS 관련 포트인 TCP/445, TCP/139, TCP/135 와 웹 관련 TCP/80 포트, MS-SQL 관련 포트인 TCP/1433 등으로 지난달 Top5를 차지한 포트들 이 그대로 주요 포트로 사용되고 있다. (그림 9) 전월 악성 Bot Top5 포트 : TCP/445, TCP/139, TCP/80, TCP/135, TCP/1433 TCP/445 TCP/139 TCP/80 TCP/135 TCP/1433 기타 TCP/139 TCP/80 TCP/1433 TCP/135 TCP/2967 기타 10.2% 7.8% 7.9% 32.1% 15.1% 10.8% 5.8% 34.3% 19.8% 22.2% 14.6% 19.4% (그림 9) 악성봇 관련 포트 비율(해외) (그림 10) 악성봇 관련 포트 비율(국내) [표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록 포트 관련 취약점 및 웜/악성 Bot 포트 관련 취약점 및 웜/악성 Bot 23 Cisco Telnet 2967 Symantec Exploit 80 WebDAV, ASN.1-HTTP, Cisco HTTP 2745 Bagle, Bagle2 135 DCOM, DCOM MyDoom 139 NetBIOS, ASN.1-NT 3140 Optix 143 IMail 5000 UPNP 445 NetBIOS, LSASS, WksSvc, ASN.1-SMB, DCOM 6101 Veritas Backup Exec 903 NetDevil 6129 Dameware 1025 DCOM Kuang MS-SQL Sub7 인터넷 침해사고 동향 및 분석 월보 11
16 Part 1 Part 2 허니넷/트래픽 분석 Part 3 2. 허니넷/트래픽 분석 2-1. PC 생존시간 분석 2월 평균생존가능 시간은 WindowsXP SP1는 16분47초, Windows2000 SP4는 21분32초로 측정 되었다. 전월에 비하여 WindowsXP SP1는 1분28초 Windows 2000 SP4는 1분42초 증가하였다. - 생존시간이 전월에는 큰 폭으로 감소하였으나, 금월에 XP SP1, 2K SP4 두 운영체제에서 모두 다소 증가하는 경향을 보였다. 생존시간의 증가 폭이 크지 않으므로 웜의 전파활동 추이에 큰 변 화는 없는 것으로 추정된다. 사용자는 웜 감염을 방지하기 위하여 추측하기 어려운 윈도우 암호 를 설정하고 사전에 패치를 적용하여야 한다. 생존시간의 측정은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 Windows XP SP1과 Windows 2000 SP4 2개군으로 분류하여 1000 여회를 실시하였다. WinXP SP2는 개인방화벽이 기본으로 설치되므로 웜 감염피해를 상당부분 예방할 수 있음 생존가능시간 : 취약한 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간 60min 50min 40min 30min 20min 10min 0 (그림 11) 월별 평균 생존 가능시간 변동 추이 [표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간 Windows XP SP1 구분 Windows 2000 SP4 최장 최단 평균 최장 최단 평균 년 2월호
17 Min ,500 1, Day (그림 12) WindowsXP SP1 생존시간분포분석 Min ,500 1, Day (그림 13) Windows2000 SP4 생존시간분포분석 인터넷 침해사고 동향 및 분석 월보 13
18 Part 1 Part 2 허니넷/트래픽 분석 Part 허니넷 트래픽 분석 전체 추이 이번 달 KISC 1) 허니넷에 유입된 전체 유해 트래픽은 약 990만 건이었으며, 이를 IP 소재별로 분류한 결과 국내 소재 IP로부터 유발된 트래픽은 전체의 62%였으며, 해외 소재 IP로부터의 트래픽은 38%를 차지한 것으로 나타났다. 허니넷에 유입되는 트래픽은 웜 바이러스, 악성 봇 등에 의한 감염 시도 트래픽(취약점 스캔)이 가장 많으며 이러한 악성코드의 네트워크스 캔은 유효한 네크워크에 대한 접근효율을 높이기 위하여, 1차적으로 감염된 시스템의 IP주소의 A, B클래스를 고정하고 C또는 D클래스 주 소를 변경하면서 스캔하는 경우가 대부분이기 때문에 일반적으로 자국에서 유발된 유해트래픽이 해외에서 유입된 트래픽보다 많음 1) KISC - Korea Internet Security Center(인터넷침해사고대응지원센터) 1,500 만 1,200 만 900 만 600 만 300 만 0 (그림 14) 월별 허니넷 유입 트래픽 규모 참고 : 허니넷 으로 유입되는 트래픽은 초당 수백 건 이상이 될 수 있으므로 구체적인 건수는 큰 의미가 없으며, 국내외 비율 및 월별증감을 참고하기 바람 년 2월호
19 Top 3 국가별 공격 유형 허니넷에 유입된 트래픽의 근원지 IP소재 국가별로 분석한 결과 전월과 동일하게 중국으로부터 유입 된 트래픽이 가장 많았으며, 다음으로 미국, 일본 순이었다. 국가별 가장 많이 이용된 포트도 전월과 동 일하여 중국발 트래픽은 TCP/22 포트에 대한 서비스 스캔(포트스캔)이 가장 많았으며, 미국발, 일본 발 트래픽은 Nmap, Advanced IP Scanner와 같은 네트워크 스캐너 도구에 의한 ICMP 스캔이 가 장 많았던 것으로 나타났다. 5% 14% CHINA 16% 30% 35% TCP/22-tcp service scan TCP/1433-tcp service scan TCP/42-tcp service scan TCP/4899-tcp service scan 기타 JAPAN 64% 17% 6% 6% ICMP-icmp ping Nmap scan TCP/22-tcp service scan TCP/10000-tcp service scan TCP/445-tcp service scan 기타 5% 22% 9% 16% USA 48% ICMP-icmp ping Nmap scan TCP/22-tcp service scan UDP/135-udp service scan TCP/10000-tcp service scan 기타 (그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형 [표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율 순위 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 중국 미국 일본 유럽연합 대만 독일 체코 공화국 영국 홍콩 이탈리아 기타 중국 47.3 미국 16.6 일본 5.6 대만 2.9 유럽연합 2.6 베니수엘라 2.4 독일 2.2 인도 2.1 불가리아 2.0 호주 1.4 기타 14.9 인터넷 침해사고 동향 및 분석 월보 15
20 Part 1 Part 2 허니넷/트래픽 분석 Part 3 해외 국내 해외로부터 KISC 허니넷에 유입된 트래픽을 국가 구분 없이 포트/공격(스캔)유형별로 분석한 결 과 TCP/22번 서비스스캔이 가장 많았으며, Nmap 네크워크 스캔 도구를 이용한 Ping 2) 스캔이 다음으로 많았던 것으로 나타났다. 2) Ping - 지정된 IP 주소 통신 장비의 접속성을 확인하기 위한 명령, 대상이 되는 장비가 가동하고 있는지, 통신망이 연결되어 있는지의 여부를 확인할 때 이용된다. 통신 규약으로는 인터넷 제어 메시지 프로토콜(ICMP)을 사용한다. [표 13] 해외 국내(허니넷) 스캔탐지 현황 순위 월 2월 3월 프로토콜 / 프로토콜 / 프로토콜/ 공격유형 비율(%) 포트번호 공격유형 비율(%) 포트번호 포트번호 공격유형 비율(%) ICMP icmp ping Nmap scan 30.5 TCP/22 tcp service scan 27.3 TCP/22 tcp service scan 18.8 ICMP icmp ping Nmap scan 21.9 TCP/1433 tcp service scan 12.3 TCP/1433 tcp service scan 16.1 ICMP icmp ping Advanced IP Scanner v TCP/42 tcp service scan 6.8 TCP/42 tcp service scan 3.9 ICMP icmp ping Advanced IP Scanner v ICMP icmp ping Superscan4 scan 3.5 TCP/4899 tcp service scan 3.0 TCP/4899 tcp service scan 3.1 ICMP icmp ping Superscan4 scan 2.8 TCP/8080 tcp service scan 2.7 TCP/139 tcp service scan 2.2 TCP/2967 tcp service scan 2.3 TCP/8080 tcp service scan 2.1 UDP/135 udp service scan 2.3 TCP/10000 tcp service scan 2.0 기타 13.5 기타 11.0 TCP/22-tcp service scan ICMP-icmp ping Nmap scan TCP/1433-tcp service scan TCP/42-tcp service scan 기타 27.9% 27.3% 6.8% 16.1% 21.9% (그림 16) 해외 국내 (허니넷) 스캔탐지 현황 년 2월호
21 국내 국내 국내에서 KISC 허니넷에 유입된 트래픽을 포트/공격(스캔)유형별로 분석한 결과 전월과 동일하게, TCP/135 스캔이 가장 많았으며, TCP/139, TCP/1433번 포트스캔이 그 뒤를 이었다. 3개 포트 모두 Bot 전파에 이용되는 포트로 여전히 Bot 스캔이 지속되고 있음을 알 수 있다. [표 14] 국내 국내(허니넷) 스캔탐지 현황 순위 월 2월 3월 프로토콜 / 프로토콜 / 프로토콜/ 공격유형 비율(%) 포트번호 공격유형 비율(%) 포트번호 포트번호 공격유형 비율 TCP/135 tcp service scan 43.7 TCP/135 tcp service scan 46.3 TCP/1433 tcp service scan 13.1 TCP/139 tcp service scan 15.0 TCP/139 tcp service scan 12.7 TCP/1433 tcp service scan 13.3 ICMP icmp ping Nmap scan 9.9 ICMP icmp ping Nmap scan 7.9 TCP/445 tcp service scan 5.9 TCP/445 tcp service scan 5.4 TCP/22 tcp service scan 3.4 TCP/22 tcp service scan 3.5 TCP/2967 tcp service scan 3.2 TCP/1434 worm slammer 1.5 TCP/5900 tcp service scan 0.9 TCP/2967 tcp service scan 0.9 UDP/500 udp service scan 0.7 TCP/5900 tcp service scan 0.6 TCP/8080 tcp service scan 0.6 TCP/8080 tcp service scan 0.6 기타 6.1 기타 5.0 TCP/135-tcp service scan TCP/139-tcp service scan TCP/1433-tcp service scan ICMP-icmp ping Nmap scan 기타 17.5% 7.9% 46.3% 13.3% 15.0% (그림 17) 국내 국내 (허니넷) 스캔탐지 현황 인터넷 침해사고 동향 및 분석 월보 17
22 Part 1 Part 2 허니넷/트래픽 분석 Part 국내 인터넷망 트래픽 분석 KISC 허니넷에서 탐지된 Top3 포트 비율을 국내 ISP의 일부구간에서 수집된 트래픽에서 파악한 결과 TCP/139번 포트관련 트래픽이 지속적으로 많았으며, TCP/1433 트래픽의 경우 일시적인 증가 현상을 확인할 수 있었고, TCP/135번 포트 트래픽이 그 다음 순으로 나타났다. PPS 6,500 6,000 5,500 5,000 4,500 4,000 3,500 3,000 2,500 2,000 1,500 1, ISP업계 : 프로토콜 / 포트 추이 (그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이 TCP/139 TCP/1433 TCP/135 02/01 18:00 02/02 05:00 02/02 16:00 02/03 03:00 02/03 14:00 02/04 01:00 02/04 12:00 02/04 23:00 02/05 10:00 02/05 21:00 02/06 08:00 02/06 17:00 02/07 06:00 02/07 17:00 02/08 04:00 02/08 15:00 02/09 02:00 02/09 13:00 02/10 00:00 02/10 11:00 02/10 22:00 02/11 09:00 02/11 20:00 02/12 17:00 02/12 18:00 02/13 05:00 02/13 16:00 02/14 03:00 02/14 14:00 02/15 01:00 02/15 12:00 02/15 23:00 02/16 10:00 02/16 21:00 02/17 08:00 02/17 19:00 02/18 06:00 02/18 17:00 02/19 04:00 02/19 15:00 02/20 02:00 02/20 13:00 02/21 00:00 02/21 11:00 02/21 22:00 02/22 09:00 02/22 20:00 02/23 07:00 02/23 18:00 02/24 05:00 시간 이번 달 국내 ISP의 일부구간에서 수집된 공격유형을 분석한 결과 TCP SYN Flooding, UDP Flooding, TCPACK Flooding 과 같은 DDoS 공격 트래픽이 가장 많이 탐지되었다. 시도건수 4,000,000 3,600,000 3,200,000 2,800,000 2,400,000 2,000,000 1,600,000 1,200, , ,000 ISP업계 : 공격 추이 TCP SYN Flooding(DDo... UDP Flooding TCP ACK Flooding 0 07/02/01 07/02/02 07/02/03 07/02/04 07/02/05 07/02/06 07/02/07 07/02/08 07/02/09 07/02/10 07/02/11 07/02/12 07/02/13 07/02/14 07/02/15 07/02/16 07/02/17 07/02/18 07/02/19 07/02/20 07/02/21 07/02/22 07/02/23 07/02/24 (그림 19) 국내 인터넷망에 유입된 공격유형 시간 년 2월호
23 바이러스 월 탐지 웜 바이러스 정보 KISA 및 2개 기관/업체의 바이러스 월을 통하여 수집된 웜 바이러스를 파악한 결과 전월과 동일 하게 웹 사이트 등을 통하여 1차 감염된 후 웜 바이러스, 트로이잔 등 악성코드 본체를 추가로 다운로드 받는 Downloader가 가장 많았던 것으로 파악되었으며, Downloader가 전월대비 53% 감소하는 등 전체적으로 수집된 숫자가 감소하였다. [표 15] 수집된 주요 웜 바이러스 현황 순위 합계 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 DOWN DOWN LOADER 197,235 LOADER 92,238 NOTIFIER 142,634 HLLW 36,260 PWS LINEAGE HLLW MULDROP HLLM PARITE CLICK STARTER 기타 71,417 66,175 MULDROP 58,001 51,208 CASHPACK 30,129 30,117 26,618 25, ,205 1,143,823 PWS LINEAGE PROXY CLICK HLLM PARITE 기타 30,491 28,394 24,774 22,942 17,439 16,949 16,363 15, , ,686 인터넷 침해사고 동향 및 분석 월보 19
24 월간 특집 Part 1 Part 2 Part 3 월간특집 1. ARP Spoofing 기법을 이용한 웹 페이지 악성코드 삽입 사례 1. 개요 인터넷 침해사고 중 전통적인 웹 변조 행위는, 사이트 초기페이지를 공격자가 원하는 메시지로 바꾸어, 실력을 과시하거나 정치적인 의미를 전달하고자 하였다. 하지만 최근 대부분의 경우에서는 눈에 띄지 않도록 악성코드를 숨겨두어 방문자의 컴퓨터에 악성프로그램을 설치하고 구동시키는 양상으로 발전하고 있다. 이 러한 악성 코드의 전파를 통해, 웹 변조 침해사고의 범위를 일반 사용자들의 PC까지 확대시킨 대표적인 이 유는, PC 사용자의 계정 정보 또는 개인정보를 탈취하거나 수집하여 악용함으로써, 금전적인 이익을 얻기 위 함이다. 그러므로 원하는 정보의 수집을 극대화하기 위해서 악성코드들의 수명을 장기간 지속시키고, 많은 수의 PC에 침투해야 하기 때문에 더욱더 정교한 방법으로 이루어지고 있다. 따라서 웹 변조사고에 대해 관리 자들이 탐지하거나 조치하기가 더욱 어려워지고 있는 실정이다. 지금까지 발견된 악성코드 삽입의 대표적인 대상으로는 웹사이트 소스파일, 접속자 측 스크립트(자바 스크 립트, 비주얼베이직 스크립트 등), CSS 또는.inc등의 참조파일, 플래시파일의 액션스크립트, 데이터베이스 자료 값 등이 있다. 하지만 이러한 경우는 대부분 웹 서버 내부의 침해사고이므로, 원인분석이나 보완 조치 등이 해당 서버 내에서만 이루어 졌었지만, 본 사고의 경우에는 네트워크상의 트래픽을 탈취/변조하여 악성 iframe 코드를 삽입하였으므로, 지금까지의 악성코드삽입 사례들과는 다른 특징을 지니고 있으며, 다음과 같이 요약할 수 있다. 대상 웹서버에 침투하지 않고, 동일한 서브네트워크의 취약 시스템 악용 동일한 서브네트워크에서 동적 ARP cache를 운용중인 모든 서버의 트래픽 변조 가능 ARP Spoofing 기법을 수동적인 스니핑에서 그치지 않고 트래픽 변조에 악용 악성코드 삽입 관련 침해사고 분석 시 서버단위에서 네트워크 단위로 분석 범위의 확장 필요 즉, (그림 1)과 같이 ARP Spoofing 기법을 통해 공격자의 서버가 게이트웨이인 것으로 위장하여 외부로 나가는 트래픽을 가로채고 변조하였기 때문에, 피해 시스템뿐만 아니라 네트워크 환경에서의 이상유무도 함 께 확인해야 한다 년 2월호
25 Internet 악성프로그램 유포서버 (FreeBSD) G/W 210.XX.129 (Cisco) Client 정상페이지 소스 Web Server 210.X.X.139 (LINUX) Attacker 210.X.X.222 (Win.2000) 게이트웨이와 Web서버에 자신의 MAC과 위장 IP로 ARP 패킷을 전송하여, 서버와 Client간의 트래픽을 가로채고 변조하여 전달! (그림 1) 침해사고 개요도 최종 분석 결과 ARP Spoofing을 수행했던 서버는 같은 서브네트워크의 윈도우즈 2000 서버였으며, 이 서버 또한 공격자가 침투한 후에 ARP Spoofing 프로그램을 설치하여 동작시킨 피해서버 중의 하나였다. 이러한 침해사고 분석 결과에 따라, 웹 서버의 ARP cache에서 게이트웨이 MAC주소를 정적(permanent) 으로 설정하고, 윈도우즈 시스템에서 ARP Spoofing 프로그램을 종료시키고 나서야, 그동안 웹 페이지에 삽입되었던 악성코드가 사라지게 되었다. 그리고 악성프로그램을 유포한 사이트의 분석결과, 1,000여개의 다른 웹사이트를 해킹한 후 유포지 서버로 자동 접속하도록 악용하였으며, 62만 여개의 Unique IP가 악성프로그램 다운로드 페이지를 방문하고, 이 중 보안 취약점이 있는 9만 2천여 대의 PC가 감염된 대규모 악성코드 유포 사례였다. 이에 따라, 인터넷 침해사고대응지원센터에서는 발견된 1,000여개의 경유지 사이트의 목록을 확보하여 담당자에게 해당 사실 을 통보하고 보완 조치하도록 하였다. 인터넷 침해사고 동향 및 분석 월보 21
26 Part 1 Part 2 Part 3 월간특집 2. 악성코드 경유지 웹사이트 분석 분석 대상 서버는 휴대전화 게임관련 사이트였으며 운용환경은 다음과 같다. 네트워크 환경 : 부산 모 통신 社 의 IDC 서버호스팅 시스템 용도 : 웹 서버 운영체제 : LINUX (CentOS 3.6) -웹 서버 : Apache , PHP 기타 서비스 : MySQL 그리고 이 서버에 인터넷 브라우저로 접속하게 되면, (그림 2)와 같이 모든 HTML페이지에 악성 프로그램 설치를 유도하는 iframe 코드가 아래와 같이 삽입되어 있었다. (그림 2) 접속자 브라우저에서 수신한 웹 페이지 이 외에도, 피해 서버에서 나타나던 이상 증상은 다음과 같았다. HTML페이지가 시작되는 부분인 <title>태그 부근에 iframe 삽입 HTTP 또는 SSH연결의 접속 지연 및 접속 장애 OS재설치를 위해 새로운 OS와 물리적으로 다른 서버로 이전하였음에도 동일하게 발생 악성코드가 삽입되는 현상이 지속되지 않고 일시적으로 발생 분석 초기에는 침해사고 분석절차에 따라 각종 로그 분석과 시스템 분석을 장기간 진행하였으나 원인을 찾지 못하였다. 시스템 분석 결과 원인을 찾지 못했기 때문에, 네트워크 트래픽을 관찰하였으며, 해당 서버에서 발송되는 트래픽과 웹 접속자의 브라우저에서의 내용이 상이함을 발견하였다. 아래의 (그림 3)은 웹 서버에서 접속자에게 보내는 tcpdump결과이며, 전송되는 내용에는 악성코드가 없는 상태이지만, 접속자에게는 (그림 4)와 같이 iframe을 이용한 악성코드가 삽입된 채로 수신되었다 년 2월호
27 (그림 3) 웹 서버에서 접속자에게 전송한 HTML 코드 (그림 4) 접속자에게 수신된 HTML 코드 그러므로 웹서버와 접속자간의 통신구간에서 문제가 있을 것으로 추정하고, ARP Spoofing 여부를 확인 하였다. 해당 서버가 입주해 있는 IDC측에 문의한 결과 웹서버 ARP cache 상의 게이트웨이 MAC과 실제 게이트웨이 MAC이 다른 것을 확인하였으며, 게이트웨이로 위장하고 트래픽을 변조하고 있는 서버를 찾아서 추가 분석을 진행하였다. 인터넷 침해사고 동향 및 분석 월보 23
28 Part 1 Part 2 Part 3 월간특집 3. 트래픽 변조 서버 분석 웹서버와 게이트웨이에 위장 ARP패킷을 보내어 트래픽을 변조한 서버의 운용환경은 다음과 같다. 운용환경 : 부산 모 통신 社 의 IDC 서버호스팅 시스템 용도 : 웹 호스팅 및 테스트 서버 운영체제 : WINDOWS 2000 Server Std. (SP4) -웹 서버 : IIS 5.0 -기타 서비스 : MS-SQL 2000 이 서버는 웹서버와 동일한 서브네트워크 안에서 웹호스팅 서버로 쓰이면서, 홈페이지 개발 테스트용으로도 쓰이고 있었다. 시스템 분석을 위해 동작하고 있는 프로세스들을 살펴보았으나, ARP Spoofing과 관련된 프로세스는 발견하지 못했는데, 나중에 밝혀진 결과 공격자가 스크립트를 이용하여 관리자의 로그인을 탐지 하여 해당 프로세스를 중지시켰기 때문이었다. 침해사고 분석을 위해 공격자의 파일을 확보하고자 웹 취약점이 있는지 확인하였으며, 취약한 웹 사이트의 디렉토리를 점검한 결과 공격자가 생성해 둔 파일들을 찾을 수 있었다. 웹 사이트의 침해사고를 분석하기 위해 웹로그를 찾아 보았으나, 서버의 HDD 용량문제 때문에 로그를 남기지 않도록 운영해 왔기 때문에 웹로그 분석은 할 수 없었다. (그림 5) IIS 웹로그 설정화면 가. ARP Spoofing 관련 프로그램 분석 웹 디렉토리에 남겨진 파일은 server.asp 파일이었으며, ARP Spoofing을 구동시키는 역할을 하는 파일 이었다. 그리고 ARP Spoofing에 필요한 파일들은 c:\winnt\addins\ 디렉토리에서 발견 할 수 있었으며, 각 파일들의 역할을 분석해 보면 다음과 같다 년 2월호
29 C:\webhome\board\server.asp : 외부에서 HTTP를 이용하여 ARP Spoofing 프로그램을 구동 시키기 위한 스크립트 파일을 실행 (그림 6) server.asp C:\winnt\addins\a.vbs : ARP Spoofing을 수행하는 프로그램(ppppt.exe)에 인자값들을 전달하여 실행 (그림 7) a.vbs C:\winnt\addins\a.bat : a.vbs와 동일한 역할을 수행하지만 배치파일 형태로 동작하고, ppppt.exe 프로세스를 강제로 중지(kill)시키게 되면 ping 명령으로 약 20여 분간 지연시킨 후 다시 ppppt.exe 실행시키기 때문에, 관리자가 프로세스를 계속해서 모니터링 하지 않으면 ppppt.exe 프 로세스의 재시작을 알기 어려움 (그림 8) a.bat C:\winnt\addins\go.bat : 관리자 그룹의 계정이 로그인 하게 되면 로그오프하면서 ppppt.exe 프로세스 종료 (그림 9) go.bat C:\winnt\addins\job.txt : ARP spoofing하는 동안 수신되는 트래픽 중에서 지정한 형식의 패킷이 수신 되면 job.txt파일의 문자열 규칙에 따라 대체하여 변조하기 위한 참조파일이며 2행은 검색 조건이고 4열은 대체할 문자열이므로, 트래픽중에 <title 이라는 문자열이 검색되면 iframe코드를 삽입함 (그림 10) job.txt 인터넷 침해사고 동향 및 분석 월보 25
30 Part 1 Part 2 Part 3 월간특집 나. ARP Spoofing관련 프로그램 분석 실제로 이 서버에서 ARP Spoofing을 수행한 프로그램 파일명은 ppppt.exe이며, UPX로 실행 압축된 상태 였다. 실행압축 해제 후 (그림 11)과 같이 바이너리를 분석한 결과 ARP spoofing용으로 제작된 공개 소스 를 이용한 것으로 확인되었다. (그림 11) ppppt.exe파일의 strings 본 분석에서의 네트워크 환경은 개요에서 설명한 (그림 1)과 같이 게이트웨이 IP는 210.X.X.129, 웹서버 IP는 210.X.X.139, 트래픽 변조 서버 IP는 210.X.X.222이다. 참고로, Windows XP에서는 raw socket을 통한 트래픽에 제한을 받기 때문에 패킷 변조에 제약이 있다. 위장 ARP 전송 단계 ARP Spoofing 프로그램을 실행하면, (그림 12)와 같이 출력되면서 트래픽 변조를 위한 모니터링을 시작 한다. (그림 12) ppppt.exe 프로그램 실행 그리고 (그림 13)을 보면 알 수 있듯이, 게이트웨이와 웹 서버 양쪽에 MAC과 IP주소를 위장하는 ARP 패킷 을 보내면, 동적인 ARP cache를 사용하는 시스템에서는 수신된 ARP 패킷의 정보를 받아들여 (그림 14)와 같이 ARP cache를 갱신하게 되며, 트래픽 변조 서버는 웹 서버의 ARP cache를 유지시키기 위해 지속적 으로 ARP 패킷을 보낸다 년 2월호
31 (그림 13) 변조서버에서 위장 ARP 전송 위장된 ARP패킷을 수신한 웹 서버에서는 아래의 그림과 같이 ARP cache를 갱신하게 되어 실제의 게이트웨이로 보내야 할 트래픽을 변조 서버로 보내게 된다. 트래픽 변조 단계 (그림 14) 위장 ARP 수신 후 변경된 ARP cache 위장 ARP를 전송한 후 인입되는 트래픽을 관찰하여, 지정한 형식의 패킷이면, 아래 (그림 15)의 job.txt 파일을 참조하여 지정한 문자열로 대체(replace)하여 전송 한다. (그림 15) 문자열 대체 규칙 정의 파일 인터넷 침해사고 동향 및 분석 월보 27
32 Part 1 Part 2 Part 3 월간특집 아래의 (그림 16)을 살펴보면 웹 서버에서 전송한 패킷에는 iframe이 없지만, (그림 17)과 같이 변조 서버 에서 변조한 후 (그림 18)과 같이 전송하게 되면 접속자에게는 (그림 19)와 같이 변조된 페이지가 수신된다. (그림 16) 웹서버에서 접속자에게 전송되는 트래픽을 변조서버가 수신 (그림 17) 변조서버에서 트래픽 변조 (그림 18) 변조한 내용으로 변조서버가 웹 접속자에게 전송 (그림 19) 웹 접속자의 브라우저로 수신된 변조 페이지 지금까지의 과정을 거친 후, 브라우저에서는 iframe에 정의되어 있는 페이지에 접속을 시도하게 된다 년 2월호
33 4. 악성코드 유포지 웹사이트 분석 본 장에서는 악성코드 유포지로 사용된 서버의 분석 결과를 살펴보도록 한다. 악성코드 유포지로 사용된 서버는 FreeBSD 상에서 Apache 웹서버(버전 )를 사용하고 있었다. 악성코드 은닉 사고의 상당수가 중국발 공격이었는데, 이번 유포지 서버 역시 중국으로 부터의 침입흔적이 발견되었다. 한 가지 특이한 것은 지금까지의 악성코드 유포지/경유지 사이트들은 대부분 윈도우즈 OS와 IIS 웹서버를 주 공격 대상으로 하였는데, 본 사례의 경우 FreeBSD OS와 Apache 웹서버를 공격하였다는 것이다. 다음 그림은 악성프로그램 유포사고의 대략적인 시나리오이다. 1. 경유지 및 유포지 사이트 해킹 악성코드 경유지 웹사이트(1,000여개) <iframe src= height=0 width=0></iframe> 해외 공격자 6. 한게임/메이플스토리 게임정보 유출 2. 경유지 웹 사이트 방문 3. 유포지 사이트로 자동 접속 5. 미패치 PC 감염(9만2천여대) 4. PC 감염 시도(62만여대) 인터넷 사용자 악성코드 유포지 웹사이트 ( (그림 20) 악성코드 유포 시나리오 가. 악성코드 경유지 사이트에서 유포 사이트로 접속 유도 아래와 같이 다수의 악성코드 경유지 사이트에 본 사고분석을 진행한 악성코드 유포 사이트로 접속하도록 iframe을 은닉하였다. <iframe src= height=0 width=0></iframe> 일반사용자가 경유지 사이트를 방문할 경우 위의 은닉된 부분으로 인해 자동으로 dreamxxx.com 사이트로 접속되고 PC의 보안취약점(MS06-014)을 공격하는 music.htm에 의해 보안 패치가 되어 있지 않은 PC에 cctv.exe 라는 파일이 실행되어 한게임 및 메이플스토리 온라인게임 ID와 패스워드를 유출시키는 트로이 목마를 설치한다. 인터넷 침해사고 동향 및 분석 월보 29
34 Part 1 Part 2 Part 3 월간특집 나. 피해 규모 1,000여 개의 경유지 웹사이트 발견 해당 유포 사이트에서는 웹로그에 referer 를 남기도록 설정되어 있었다. referer는 해당 페이지를 요청한 이전 URL을 의미하는 것으로 일반적으로 어떤 경로를 통해 자사의 웹사이트를 방문했는지 확인하기 위한 목적으로 남기는 경우가 많다. 즉, 자사 사이트가 어떤 검색 서비스를 통해 접속했는지 확인하여 사이트 홍보에 활용하기 위한 용도로 많이 사용된다. 본 사고의 유포지 사이트에서는 아래와 같이 referer를 같이 남기도록 설정되어 있어 이를 통한 경유지 사이트를 찾는데 많은 도움이 되었다. LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\"\"%{User-Agent}i\""combined LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i %U" referer LogFormat "%{User-agent}i" agent 다음은 웹 로그파일에 남은 music.htm 파일 접속 로그의 한 예인데, 사이트를 통해 xxx.xxx 인 IP 주소를 가진 사용자가 music.htm 파일에 대한 접속 요청을 한 것을볼수있다. xxx.xxx [19/Dec/2006:17:07: ] "GET /img/jang/music.htm HTTP/1.1 " " (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR ;.NET CLR )" 일반적인 경우, 인터넷 사용자가 공격자가 만들어 놓은 music.htm 파일의 경로를 정확히 알고 주소창에 직 접 입력하는 경우는 드물 것이다. 따라서, 이 경우 인터넷 사용자가 경유지 사이트를 방문했는데 경유지 사이 트에 숨겨진 iframe으로 인해 자동으로 공격자가 만들어 놓은 music.htm에 접속하였다고 추측할 수 있다. music.htm 파일을 요청한 웹사이트는 총 1,000여 개였으며, 이들은 악성코드 경유지 사이트로 악용되고 있는 사이트들로 추정된다. 이들 중 상당수는 게임관련 사이트들이었으며, 분석 당시에도 이들 사이트 중 일부에서 악의적인 iframe이 숨겨져 있는 것을 확인할 수 있었다. 약 62만여대 PC 중 9만 2천여대 PC 감염 추정 악성프로그램을 PC에 설치하는 공격 코드인 music.htm 파일에 대한 접속시도는 총 11,806,862회 있었다. # grep music.htm xxx.xxx.com-access.log wc -l 이 중 실제 접속이 정상적으로 이루어진 것(HTTP 상태코드 200)은 625,505개의 Unique IP로부터의 접속이었다. 관리자에 의해 music.htm이 수시로 삭제되어 나머지는 파일이 존재하지 않는다는 오류 메시지 (HTTP 상태코드 404)가 나타났다. 62만여 대의 컴퓨터 중 보안 패치가 되지 않은 PC가 악성프로그램을 다운로드 받은 기록이 남겨져 있었으며, 그 수는 약 9만 2천여대로 확인되었다 년 2월호
35 5. 결론 및 대책 본 사고의 분석 결과 가장 큰 특징으로는, 웹 변조와 관련된 침해 사고가 더 이상 서버 내부에서만의 문제가 아니라는 점이다. 그러므로 아무리 웹 사이트보안을 철저히 관리해도 네트워크상에서의 웹 변조를 방지하기 는 어렵기 때문에, 네트워크상에서의 보안도 함께 고려해야 한다. 또한, 서버 담당자뿐만 아니라 네트워크 담당자, ISP 또는 IDC운용자, 호스팅사업자 등의 제반 환경에 연관된 담당자들의 협조도 반드시 필요하다. 본 사고는 웹 서버나 프로그램의 취약점이 아니라, ARP 프로토콜 표준의 악용으로 인한 것이므로, 취약점 패치나 조치가 필요하지는 않으며, 운용환경의 설정을 강화하는 것으로 보완할 수 있다. ARP spoofing에 대응할 수 있는 대책으로는, 네트워크 관리자가 게이트웨이에서 정적 ARP Table을 관리 하고, 스위칭 장비에서 각 포트별 정적인 MAC 설정 및 서버에서도 정적인 ARP cache로 운용하는 것이 바람직하다. 현실적으로는 지켜지기 어렵지만, NIC 또는 서버나 라우터의 교체가 빈번하지 않은 IDC환경 에서는 충분히 관리할 수 있을 것이다. 그리고 만약 특정 호스트로부터 지속적인 ARP 패킷이 수신된다면 비정상적인 호스트일 가능성이 높으므로 주의해야 한다. ARP cache를 감독하기 위한 도구도 있는데, 예를 들면 arpwatch라는 프로그램은 ARP cache를 모니터링하여 변경되는 경우에는 관리자에게 알린다. 최종적으로 악성코드 삽입으로 인한 피해를 줄이기 위해서는, PC의 올바른 관리와 서버들의 보안수준 강화 로 사고를 예방하고, 악성프로그램의 중계지 뿐만 아니라 악성프로그램의 유포지에 대해서도 적극적인 재발 방지 노력을 기울여야 한다. 이러한 웹 변조 침해사고가 재발되는 대부분의 경우는 악성코드만을 삭제하거나 악성프로그램 파일을 삭제하는 것으로 조치를 끝내는 경우가 많기 때문인데, 원인 분석을 통해 침해사고의 경로를 파악하고 취약점을 보완하지 않으면 계속해서 재발되는 사고를 막기는 사실상 불가능하다. 그러므로 침해사고가 발생하면 분석절차 가이드 등과 같은 문서를 참조하여, 철저한 원인분석과 보완작업 등의 사후 조치가 반드시 필요하다. 인터넷 침해사고 동향 및 분석 월보 31
36 Part 1 Part 2 Part 3 월간특집 2. Trojan (cctv.exe) 위험성 분석 1. 개요 웹 사이트에 악성코드가 은닉되는 방식으로 Trojan에 감염되는 피해가 많이 발생하고 있다. 최근에는 이러한 웹 사이트 은닉기법과 함께 은닉서버를 추적하기 어렵도록 ARP Spoofing 기법을 동시에 이용한 사고사례가 보고되었다. 공격자는 원인파악 및 대응조치를 보다 어렵게 하고자 이러한 기법을 이용한 것으로 보인다. 악성코드 은닉을 통한 감염유형이 ARP Spoofing 기법과 함께 악용된 사례는 이번에 최초로 보고되었지만 이러한 방식의 악성코드 유포가 다른 사이트들에서도 다수 발생하고 있을 가능성이 있어 주의 할 필요가 있다. 공격자는 Trojan 전파를 위하여 MDAC 취약점을(MS06-014) 이용하였다. 사용자가 취약한 웹 브라우저를 사용할 경우 웹 서핑 중에 사용자 모르게 Trojan에 감염될 수 있으며, 감염 시에는 특정 게임사이트의 계정 입력 정보가 유출된다. 사용자는 이러한 악성코드 감염피해를 사전 예방하기 위하여 인터넷 사용 전에 반드시 OS를 최신으로 패치하여야 한다. 2. 전파 기법 및 감염 절차 전파에 이용되는 취약점 -MDAC 취약점 (MS06-014) 유포지 사이트에서 발견된 music.htm의 내용을 살펴본 결과, 악성코드 유포를 위한 공격코드가 삽입되어 있었다. 전파에 이용된 취약점은 MDAC 취약점 (MS06-014)인 것으로 확인되었다. 유포지 music.htm 파일 내용 예 년 2월호
37 music.htm의 디코딩 결과 디코딩 하면 아래와 같은 MS 공격코드 스크립트를 확인할 수 있다. Trojan 감염 절차 분석 사용자의 Internet Explorer취약점 공격이 성공하면 cctv.exe 파일이 악성 사이트로부터 다운로드되며 실행된다. cctv.exe는 백도어 기능을 수행하는 okviewer4.dll 파일을 생성하며, 이 파일을 LSP(Layered Service Provider)로 등록한다. LSP란 winsock2 호출을 가로채어 조작 및 기타 기능을 수행할 수 있는 컴포넌트를 의미한다. 여기에서는 정보 유출을 위한 악의적인 목적으로 이용된다. IE 취약점 공격 cctv.exe 생성 및 실행 okviewer4.dll 생성 및 LSP 등록 alg.exe 생성 및 서비스 등록 - 악성코드 설치 과정 상세 1 Internet Explorer의 취약점 공격이 성공하면, 악성 사이트로 부터 악성코드 cctv.exe 가 다운로드 되어 실행된다. 2 cctv.exe 는 윈도우폴더에 alg.exe 파일과 시스템 폴더에 okviewer4.dll 파일을 생성한다. 윈도우 폴더 WinNT,2000 c:\winnt WinXP c:\windows 인터넷 침해사고 동향 및 분석 월보 33
38 Part 1 Part 2 Part 3 월간특집 윈도우 시스템 폴더 WinNT,2000 c:\winnt\system32 WnXP c:\windows\system32 3 cctv.exe 는 okviewer4.dll 를 LSP로 등록한다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters \Protocol_Catalog9\Catalog_Entries의 PackedCatalogItem에 okviewer4.dll 등록 < okviewer4.dll LSP 등록 예> 4 cctv.exe 는 okviewer4.dll 를 IEXPLORER.EXE 및 기타 몇몇 프로세스에 Injection 시킨다. <IE 프로세스에 okviewer4.dll 가 인젝션 된 예> 년 2월호
39 5 alg.exe는 부팅 시에도 계속적으로 메모리에 로드되기 위하여 아래와 같이 서비스에 등록된다. 서비스이름 : PCIDown 표시이름 : PCIAdapter 실행파일경로 : 윈도우 폴더 \alg.exe 인터넷 침해사고 동향 및 분석 월보 35
40 Part 1 Part 2 Part 3 월간특집 3. 악성 기능 분석 백도어 기능 구현 원리 네트워크 응용 프로그램 (lexplorer, FTP etc) Winsock2 LSP Base Protocol (TCP/IP, IPX/SPX, etc.) Winsock2 환경에서는 Winsock2와 기본 프로토콜 (TCP/IP, IPX/SPX) 사이에 특정 기능을 수행하는 컴포넌트를 삽입할 수 있는데 이 삽입 컴포넌트를 LSP라고 한다. Winsock2는 이러한 LSP 기능 구현을 위한 인터페이스를 제공해 주고 있다. LSP를 통하여 기본 프로 토콜 (TCP/IP, IPX 등) 바로 위 계층에서 통신 내용 감시, 차단 등 기타 행위를 할 수 있다. 이번 Trojan의 경우 백도어 기능구현을 위하여 LSP 와 IE 인젝션 기법을 이용하였다. 감염 시 okviewer4.dll 파일이 LSP 로 등록되며, 공격자는 이 코드를 통하여 정보를 유출한다. 백도어 기능 분석 cctv.exe 는 특정 게임 사이트의 ID와 Password 정보를 유출하기 위한 Trojan 이다. 감염 후 사용자가 특정 게임 사이트에 접속하여 게임 계정정보를 입력할 경우 해당 정보 (ID, Password)는 공격자에게로 유출되게 된다. 감염시유출정보 감염되면 Trojan은 hangame 및 maplestory 게임 사이트 접속여부를 체크한다. 사용자가 해당 사이트에 접속하여 게임을 실행하면, Trojan 은 접속 ID와 Password, 접속 게임 PVP 서버정보를 공격자에게로 유출시킨다. <정보유출 내용> hangame 게임 상의 ID, Password를 유출 maplestory 게임 상의 ID, Password를 유출 접속 대상 게임서버 호스트 명, 사용자 컴퓨터 이름 유출 <공격자에게로의 정보 전송 > Trojan은 공격자가 구성한 아래의 사이트로 정보를 전송함. 도메인 : 포트 : TCP 년 2월호
41 정보유출과정상세 감염 시 공격자에게 게임정보를 유출하기 위하여 okviewer4.dll 코드 내에 아래와 같은 루틴이 구현되어 있다. hangame 접속 및 r2 게임의 프로그램 실행여부를 확인하여 해당 웹사이트 및 게임 프로그램 상 에서 입력되는 ID와 Password를 유출시킨다. 사용자 PC명 및 접속되어 있는 게임 서버명 정보도 함께 유출 시킨다. 한 게임 및 maplestory 사이트 접속여부 확인 한 게임 프로그램인 R2Client.exe 실행여부 확인 maplestory 게임 프로그램 실행여부 확인 인터넷 침해사고 동향 및 분석 월보 37
42 Part 1 Part 2 Part 3 월간특집 gethostname Function을 통하여 감염 PC의 이름을 확인한다. 접속된 게임서버 IP, 서버번호를 확인한다. 사용자 입력 ID와 Password, 사용자 PC명, 접속된 게임서버 정보를 공격자 사이트 략]X.com (TCP80 port)로 유출시킨다. 해당 서버에서는 recvmail.asp 파일이 전송된 정보를 받 아 처리한다. 분석 시간대에는 recvmail.asp에 대한 접속이 불가능한 것으로 관찰되었다. <hangame 계정정보 유출 예> <maplestory 계정정보 유출 예> 년 2월호
43 4. 피해 현황 및 위험 요소 cctv.exe 악성코드를 유포시키는 은닉사이트 웹 서버에 이미 매우 많은 사용자들이 접속한 것으로 확인되고 있어 국내 다수의 PC가 감염되었을 것으로 보인다. hangame 및 maplestory 게임 이용자들은 패스워드를 주기적으로 바꾸어 계정이 도용되는 것을 예방 하도록한다. 5. 감염 시 치료 방법 <감염 시 치료 절차 요약> 1 안전모드로 부팅 2 악성코드 alg.exe 삭제 3 악성코드에 의하여 손상된 Winsock 복구 4 악성코드 okviewer4.dll 삭제 재 부팅 <절차별 상세> 1 안전모드로 부팅 윈도우를 다시 시작하여 안전 모드로 부팅한다. (부팅시 F8을 누른 후 안전모드 선택) 2 악성코드 alg.exe 삭제 Trojan이 윈도우 폴더에 생성한 alg.exe를 삭제한후재부팅한다. 윈도우 폴더 WinNT,2000 c:\winnt WnXP c:\windows 인터넷 침해사고 동향 및 분석 월보 39
44 Part 1 Part 2 Part 3 월간특집 3 악성코드에 의하여 손상된 Winsock 복구 윈도우 XP SP2 일경우의 Winsock 복구방법 Step 2. netsh winsock reset 명령을 입력 Step 3. 재 부팅 윈도우 XP SP1 일 경우의 Winsock 복구방법 Step 1. 시작 실행 regedit 를 입력 후 확인 레지스트리 편집기에서 아래 경로의 키를 찾아 마우스 오른쪽 버튼을 눌러 삭제 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock 년 2월호
45 Step 2. TCP/IP 설치 시작 제어판 네트워크 및 인터넷 연결 네트워크 연결 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 속성 선택) 설치 클릭 프로토콜 선택 후 추가 디스크 있음 c:\windows\inf 를 입력한 다음 확인 을클릭 Step 3. 인터넷 프로토콜(TCP/IP) 선택 후 확인 클릭 Step 4. 재 부팅 윈도우 2000일 경우의 Winsock 복구방법 Step 1. 시작 설정 제어판 네트워크 및 전화접속 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 등록정보 선택) 인터넷프로토콜 (TCP/IP) 선택한 후 제거 메뉴 클릭 Step 2. 재 부팅 인터넷 침해사고 동향 및 분석 월보 41
46 Part 1 Part 2 Part 3 월간특집 Step 3. 시작 설정 제어판 네트워크 및 전화접속 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 등록정보 선택) 설치 클릭 프로토콜 선택 후 추가 인터넷 프로토콜(TCP/IP) 선택 후 확인 4 악성코드 okviewer4.dll 삭제 윈도우 시스템 폴더에 생성된 okviewer4.dll를 삭제 윈도우 시스템 폴더 WinNT,2000 c:\winnt\system32 WnXP c:\windows\system32 6. 사전 예방 방법 사용자는 감염을 예방하기 위하여 인터넷 사용 전에 반드시 최신 패치를 적용하도록 한다. 웹 관리자는 관리 웹페이지 내에 관리자가 알지 못하는 확인되지 않은 코드가 존재하는지 수시로 점검한다. 또한, 웹 서버에 취약점이 없도록 최신 패치를 적용하고 암호설정, 접근제어 등을 강화 하도록 한다. Arp Spoofing 공격을 방지하기 위해서는 동일 세그먼트 내에 있는 서버들에 대한 보안관리가 필 요하다 년 2월호
47 별첨 악성코드 유포지/경유지 조기 탐지 및 차단 조치 1. 개요 KISA 인터넷침해사고대응지원센터에서는 국내 웹사이트에 악성코드가 삽입되어 웹사이트 방문자에게 게임 ID/비밀번호를 유출하는 트로이잔을 감염시키는 사례가 발생하여 05년 6월부터 지속 대응하여 왔으며, 월부터는 악성코드 은닉사이트 탐지 프로그램을 자체 개발 적용하여 약 77,000개의 국내 웹 사이 트를 대상으로 악성코드 은닉 여부를 탐지 및 차단 조치하고 있다. 2. 전체 추이 07년 2월 KISA에서 탐지하여 대응한 악성코드 유포지 및 경유지 사이트는 396건으로 전월 대비 17.3%( 건) 감소하였다. 악성코드 경유지사이트 수는 전월대비 17.5%( 건) 감소하였고, 유포사이트 수는 전월에 비하여 16.7%(108 90건) 감소한 것으로 나타났다. 각 기관(기업)의 웹 서버 관리자는 웹페이지가 악성코드 유포 및 경유지로 악용되는 피해예방을 위 해 웹서버 해킹에 주로 사용되는 SQL Injection 등의 취약점에 대한 보안대책을 마련하는 것이 중 요하다. 참고 사이트 ModSecurity를 이용한 아파치 웹서버 보안 : 초기화면 왼쪽 공개 웹 방화벽을 이용한 홈페이지 보안 WebKnight를 이용한 SQL Injection 공격 차단 : 초기화면 왼쪽 공개 웹 방화벽을 이용한 홈페이지 보안 홈페이지 개발 보안가이드 : 초기화면 왼쪽 홈페이지 개발 보안가이드 웹 어플리케이션 보안 템플릿 : 초기화면 왼쪽 웹 어플리케이션 보안 템플릿 [표] 악성코드 유포지/경유지 사고 처리건수 기관 총계 총계 유포지 경유지 5, 합계 6, 기관별 분류 악성코드 유포지 및 경유지로 악용된 사이트를 기관별로 분류하면 기업, 기타(개인), 비영리 홈페이지 순이 었으며, 특히 기업으로 분류된 co.kr, com 도메인이 악성코드 유포지/경유지 사이트로 많이 악용되는 것 으로 나타났다. 이는 해커가 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포지/경유지 사이트로 악 용하고 있는 것으로 판단된다. 인터넷 침해사고 동향 및 분석 월보 43
48 Part 1 Part 2 Part 3 월간특집 [표] 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 기관 총계 총계 기업 4, 대학 비영리 연구소 네트워크 기타(개인) 1, 총계 6, 기관 분류기준 : 기업(co, com), 대학(ac), 비영리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 등) 네트워크 3% 비영리 7% 기타(개인) 30% 대학 1% 기업 59% (그림) 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 4. 웹서버별 분류 악성코드 유포지 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 IIS 웹서버가 58.9%, Apache 웹 서버가 2.9%, 기타 38.2%로 분류되었다. [표] 악성코드 유포지/경유지 사이트 웹서버 별 분류 웹서버 총계 총계 MS IIS Apache 기타 합계 5, ,427 6, 웹서버별 구분 자료는 각 운영체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임 악성코드 유포지/경유지 사이트가 이미 폐쇄되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음 년 2월호
49 부록 주요포트별 서비스 및 관련 악성코드 포트번호 프로토콜 서비스 관련 악성코드 22 TCP SSH Remote Login Protocol [trojan] Adore sshd, [trojan] Shaft Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, 80 TCP World Wide Web, HTTP Yaha,Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor, Executor, Hooker, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader, Zombam 135 TCP/UDP DCE endpoint resolution, MS-RPC Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, Lovgate, Spybot 139 TCP Netbios-ssn God Message worm, Netlog, Qaz, Deborms, Moega, Yaha Agobot, Deloder, Yaha, Randex, Welchia, Polybot, 445 TCP netbios-ds Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, Zotob, IRCBot, SDBot 1025 TCP/UDP network blackjack Dasher, Remote Storm, ABCHlp, Lala, Keco 1080 TCP/UDP SOCKS Protocol MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 1433 TCP/UDP Microsoft-SQL-Server Spida, SQL Snake 1434 TCP Microsoft-SQL-Server SQL Slammer 2745 TCP urbisnet Bagle 3410 TCP/UDP NetworkLens SSL Event OptixPro, Mockbot 4899 TCP radmin-port RAdmin Port 5000 TCP/UDP commplex-main Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Bobax, Trojan.Webus 6129 TCP/UDP DameWare Mockbot. 인터넷 침해사고 동향 및 분석 월보 45
50 용어정리 Part 1 Part 2 Part 3 월간특집 구분 구성설정오류 공격 바이러스(Virus) 바이러스 월(Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇(Bot) 분산서비스거부공격 (DDoS : Distributed DoS) 불법자원사용 불법침입 서비스거부공격 (DoS : Denial of Service) 스파이웨어(Spyware) 스팸릴레이(Spam Relay) 허니넷 악성프로그램 악성프로그램 공격 애드웨어(Adware) 웜(Worm) 내용 운영체제 및 응용프로그램의 설정 오류(위험성이 있는 기본설정의 사용, 사용자 편의를 위한 설정 조정 등)를 이용하는 해킹기법으로 홈페이지 위 변조, 불법침입 등에 주로 이용됨 컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여 불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드 네트워크 환경 내부에 인-라인(In-line) 상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽 상의 네트워크 바이러스를 예방 및 차단하는 시스템 메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어씀으로써 호출 프로그램으로의 복귀오류 등 을 일으켜 정상적인 프로그램의 실행을 방해하는 대표적인 공격기법 운영체제 취약점, 비밀번호의 취약성, 웜 바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전 달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램 또는 실행 가능한 코드 DoS용 에이전트를 여러 개의 시스템에 설치하고, 이 에이전트를 제어하여 DoS 공격을 함으로써 보 다 강력한 공격을 시도할 수 있으며, 공격자에 대한 추적 및 공격트래픽의 차단을 어렵게 만드는 공 격형태 정당한 권한 없이 특정 시스템을 스팸릴레이, 피싱사이트 개설 등에 이용하는 행위 주요 정보 자료를 수집 또는 유출하기 위하여 정당한 권한 없이 시스템에 침입하는 행위 특정 네트워크에서 허용하는 대역폭을 모두 소모시키거나, 공격대상(victim) 시스템의 자원(CPU, 메 모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 대한 공격으로 서비스를 못하도록 만드는 공격 이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템, 데이터 또는 프로그램 등을 훼손 멸 실 변경 위조하거나 정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램. 즉, 이용자 의 동의 없이, 웹브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운영을 방해 중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집 전송하는 등의 행위를 하는 프로그램 스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용 KISA 인터넷침해사고대응지원센터 내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위, 웜 바이러스 등을 수집 사용자의 시스템에 설치되어 백도어를 오픈하여 정보를 유출하거나, 시스템의 정상적인 동작을 방해 하는 프로그램 컴퓨터 시스템에 악성프로그램을 설치하게 유도하거나 고의로 감염시키는 해킹기법으로 주로 백 도어 등을 이용하여 상대방의 주요 정보를 빼내기 위한 목적으로 이용함 사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가 의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드 독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한 코드 년 2월호
51 구분 지역센서 취약점정보수집 공격 침입시도 트로이잔(Trojan) 피싱(Phishing) 해킹(Hacking) ASP.NET Botnet DHTML Editing Component ActiveX 관련 공격 Hyperlink 개체 라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 내용 공격징후 탐지를 위하여 KISA에서 전국 45개 주요도시에 설치한 센서 대상시스템의 운영체제, 설정 등을 알아보기 위하여 스캔하는 등의 행위로 주로 해킹의 사전단계로 이용됨 시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위 자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도 하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드 정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기 수법으로 Bank Fraud, Scam이라고도 함 다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나, 정보시스템의 정상적인 기능이나 데이터에 임의적 으로 간섭하는 행위 개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과 스크립팅 을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를 제공함 많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크 인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤 상대방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 을 보냄으로써 상 대방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨 응용프로그램들이 HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공 KISA내 침해사고대응팀(CERT)으로서, 국내에서 운영되고 있는 인터넷 망의 침해사고 대응 활동을 지원 하고, 전산망 운용기관 등에 대해 통일된 협조 체제를 구축하여, 국제적 침해사고 대응을 위한 단일창구를 제공하기 위하여 설립됨 License Logging Service의 약자로 MS서버제품에 대한 라이센스를 고객이 관리할 수 있도록 해주는 도구 네트워크의 기본적인 입출력을 정의한 규약 Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의 일종 으로서 서로 다른 응용프로그램이나 플랫폼이 데이터를 공유하는데 사용 Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX 환경에서 아이콘 등에 많이 사용 Server Message Block의 약자로 파일이나 네트워크 폴더 및 프린터 공유 등에 사용되는 프로토콜 TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을 보내서 대 상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격 많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한 서비스 윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있다. 인터넷 침해사고 동향 및 분석 월보 47
21 8 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 33 36 37 2 218 Bot 1,45 1,69 12.7% 1,644 1,3 26.5% 666 556 19.8% 25 66 24.2% 423 44 4.7% 323
More information*****
Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot
More information*
Korea Internet & Security Agency 29 12 CONTENTS 1 3 4 5 6 6 7 9 1 13 14 16 18 23 56 59 61 Windows XP SP1 Windows 2 SP4 1 2912 Bot 326 49 2.3 73 73 239 215 11.2% 256 199 28.6% 25 115 117.4% Bot 8,469 46
More informationÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù
21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132
More informationÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó
Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information*2월완결
2 May 27 5 인터넷침해사고동향및분석월보 본보고서내정부승인통계는웜 바이러스피해신고건수, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조건수 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률, PC 생존시간, 허니넷통계등은해당되지않습니다. 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터
More information*2월완결
2 August 27 8 인터넷침해사고 동향 및 분석 월보 본 보고서내 정부승인통계(승인번호 제2호, 통계작성기관 : 정보통신부)는 웜 바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 대한 이해를 돕기 위하여 기술된 악성봇 감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다.
More information*2월완결
8 November 월간특집 MS8-67을이용하여전파되는악성코드분석 인터넷침해사고동향및분석월보 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터 ] 를명시하여주시기바랍니다. Contents Part Part Part 3 월간동향요약침해사고통계분석 -. 증감추이 ( 전년, 전월대비 ) -. 침해사고통계요약 -3.
More information*2월완결
34203 March 3 월간특집 도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 인터넷침해사고 동향및분석월보 본보고서내정부승인통계 ( 승인번호제 34203 호, 통계작성기관 : 한국정보보호진흥원 ) 는웜 바이러스피해신고, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률,
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More informationuntitled
5월 인터넷 침해사고 동향 및 분석 월보 2006. 6 한국정보보호진흥원 해킹 바이러스 상담전화 (국번없이) 118 www.krcert.or.kr 본보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 [자료 : 한국정보보호진흥원(KISA)]을 명시하여 주시기 바랍니다. 컬러로 출력하거나 화면으로 보시면 도표를 구분하기 쉽습니다. 목 차 주요
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More information인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8
차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More information. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -
Quick Network Setup Guide xdsl/cable Modem PC DVR ~3.., PC, DVR. Cable IP Cable/ADSL/ VDSL or 3 4 VIDEO OUT (SPOT) AUDIO IN VGA ALARM OUT COM ALARM IN RS-485 3 4 G G + 3 CONSOLE NETWORK DC V VIDEO IN VIDEO
More informationUDP Flooding Attack 공격과 방어
황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5
More information< F36BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BE292E687770>
2006 년 6 월 인터넷침해사고동향및분석월보 2006. 7 한국정보보호진흥원 해킹 바이러스상담전화 ( 국번없이 ) 118 www.krcert.or.kr 본보고서내용의전부나일부를인용하는경우에는반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 을명시하여주시기바랍니다. 컬러로출력하거나화면으로보시면도표를구분하기쉽습니다. 목차 주요통계 1. 총평
More information<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationNetwork Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University
Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment
More informationNetwork seminar.key
Intro to Network .. 2 4 ( ) ( ). ?!? ~! This is ~ ( ) /,,,???? TCP/IP Application Layer Transfer Layer Internet Layer Data Link Layer Physical Layer OSI 7 TCP/IP Application Layer Transfer Layer 3 4 Network
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationIP Cam DDNS 설정설명서(MJPEG)-101021.hwp
PH-MIP001 PH-MIP002 PH-MIP003 기능이란? 대부분의 자가 가입한 인터넷 서비스는 유동IP 방식을 합니다. 유동IP 방식은 필요에 따라 할당되는 IP가 변화하기 때문에 공유기 또는 공유기에 연결된 를 외부에서 접근이 필요할 경우 불편함을 느낄 수 있습니다. (Dynamic DNS)는 이와같은 불편함을 해소하기 위해 자가 지정한 도메인 이름으로
More information<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707
최근정보보호위협과 침해사고동향 김홍석보안프로그램매니저고객지원부한국마이크로소프트 해킹으로부터안전하고 바이러스걱정도안하고 보안취약점염려도없이 컴퓨터를가장안전하게사용하는 방법은? 컴퓨터를네트워크에연결하지않고 CD, 디스켓, USB 메모리를사용하지않는다 한국정보보호진흥원 (KISA) 2006. 12. * 정보통신부 Dynamic u-korea 정보보호강화사업결과물
More information<31305FBEC6C0CCC5DB2E687770>
1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationContents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처
Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황 2. 허니넷 / 트래픽분석 3 2-.
More informationVol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5
6 212 Vol.6 June CONTENTS 2 page 1. 월간동향요약 1-1. 6월보안이슈 2 1-2. 주요보안권고 2 1-3. 침해사고통계분석요약 3 1-4. 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5 2-2. 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트
More informationXcovery 사용설명서
ㄱ 센티리온 프리미엄 사용설명서 목 차 Chapter 1 프로그램 소개 및 기본개념 1) 시스템 복구 2) 시스템백업 3) 시스템 백업 및 시스템 복구 활용하기 4) 폴더보호 Chapter 2 프로그램 설치하기 1) 프로그램 설치 방법 2) Centillion 설치 소프트웨어 사용권 계약서 3) 제품 인증 키 입력 4) Centillion 폴더보호 5) Windows
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More information< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>
DDoS 대응장비보안기능요구사항 2010. 1 IT 보안인증사무국 목차 1. 소개 1 1.1 참고 1 1.2 목적및범위 1 1.3 문서구조 2 2. DDoS 공격유형및대응기술 3 2.1 DDoS 공격유형 3 2.2 DDoS 대응장비구성방식 6 3. DDoS 공격대응을위한보안기능 7 4. DDoS 대응장비시험방법 8 1. 1.1 소개 참조 본요구사항의식별정보는다음과같다.
More information슬라이드 1
TCPdump 사용법 Neworks, Inc. (Tel) 070-7101-9382 (Fax) 02-2109-6675 ech@pumpkinne.com hp://www.pumpkinne.co.kr TCPDUMP Tcpdump 옵션 ARP 정보 ICMP 정보 ARP + ICMP 정보 IP 대역별정보 Source 및 Desinaion 대역별정보 Syn 과 syn-ack
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationH3250_Wi-Fi_E.book
무선 LAN 기능으로 할 수 있는 것 2 무선 LAN 기능으로 할 수 있는 것 z q l D w 3 Wi-Fi 기능 플로우차트 z q l D 4 Wi-Fi 기능 플로우차트 w 5 본 사용 설명서의 기호 설명 6 각 장별 목차 1 2 3 4 5 6 7 8 9 10 11 12 13 14 7 목차 1 2 3 4 8 목차 5 6 7 8 9 9 목차 10 11 12
More information이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN
More information목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정
W2K8 R2 RemoteApp 및 Web Access 설치 및 구성 Step-By-Step 가이드 Microsoft Korea 이 동 철 부장 2009. 10 페이지 1 / 60 목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host)
More information비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리
ArcGIS for Desktop 10.4 Single Use 설치가이드 Software: ArcGIS for Desktop 10.4 Platforms: Windows 10, 8.1, 7, Server 2012, Server 2008 ArcGIS for Desktop 10.4 시스템 요구사항 1. 지원 플랫폼 운영체제 최소 OS 버전 최대 OS 버전 Windows
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>
스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation
1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP
More informationPowerPoint Presentation
Zeroday-worm ( 침해사고유형및발전 ) 2005.3 보안서비스사업본부전상훈과장 ( 바다란 ). 중앙관제센터 / MAIN CERT 인포섹 winsnort@skinfosec.co.kr OR p4ssion@gmail.com 목차 개요 공격유형의변화 Why Zeroday-worm? Web Hacking 유형-ex 결론및대안 개요 1. 침해사고환경의급변 2.
More information온라인등록용 메뉴얼
WIZPLAT Corporation User Manual Gigabit LAN Port + USB3.0 HUB 사용자 설명서 이번에는 Gigabit LAN Port + USB3.0 HUB 를 구입해 주셔서 대단히 감사합니다. 이 사용설명서에는 중요한 주의 사항과 제품의 취급방법이 설명되어 있습니다. 사용하기 전에 설명서를 잘 읽어 보신 후 본 제품을 바르고
More information[Brochure] KOR_TunA
LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /
More informationPowerPoint 프레젠테이션
B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationPathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.
PathEye Mobile Ver. 0.71b 2009. 3. 17 By PathEye 공식 블로그 다운로드 받으세요!! http://blog.patheye.com 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye 설치 1/3 최종 배포 버전을 다 운로드 받습니다. 다운로드된 파일은 CAB 파일입니다. CAB 파일에는
More information본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.
211 Vol.7 7 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다. Contents 월간동향요약 : 핫이슈, 주요보안권고, 통계요약 2 1. 침해사고통계분석 3 1-1. 침해사고증감추이 3 1-2. 침해사고통계요약 3 1-3. 악성코드통계현황 4 악성코드신고건수추이 주요악성코드현황 1-4.
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More information6강.hwp
----------------6강 정보통신과 인터넷(1)------------- **주요 키워드 ** (1) 인터넷 서비스 (2) 도메인네임, IP 주소 (3) 인터넷 익스플로러 (4) 정보검색 (5) 인터넷 용어 (1) 인터넷 서비스******************************* [08/4][08/2] 1. 다음 중 인터넷 서비스에 대한 설명으로
More informationThinkVantage Fingerprint Software
ThinkVantage 지문 인식 소프트웨어 First Edition (August 2005) Copyright Lenovo 2005. Portions Copyright International Business Machines Corporation 2005. All rights reserved. U.S. GOVERNMENT USERS RESTRICTED RIGHTS:
More informationI. 서론 FOCUS 한국인터넷진흥원(KISA) 인터넷침해대응센터(KrCERT)는 다양한 방법으로 해킹사고를 탐지하고 있다. 인터넷침해대응센터 자체적으로 보유하고 있는 탐지체계 뿐만 아니라 시스템 담당자들이 직접 신고하는 신고체계 또한 해킹사고 탐지에 있어 중요한 역할
FOCUS 1 주요 해킹기법과 대응 전략 이재광 인터넷을 통한 침해사고는 꾸준히 증가하고 있다. 해킹된 시스템은 악성코드를 유포하는 경유지로 악용되거나 또 다른 시스템을 공격하는 공격 도구로 악용되기도 한다. 또한, 시스템을 해킹한 공격자는 시스템을 파괴하거나 시스템이 보유하고 있는 중요 자산을 탈취하여 피해 대상에게 막대한 손실을 입히기도 한다. 한국인터넷진흥원(KISA)
More informationMicrosoft PowerPoint - [Practice #1] APM InstalI.ppt
Practice #1 APM Install 2005. 8. 31 Lee Seung-Bok http://hpclab.uos.ac.kr Contents 2 APM 소개 Apache 설치 PHP 설치 MySQL 설치기타사항 Q & A APM(Apache,, PHP, MySQL) 소개 3 Apache PHP 현재전세계에서가장보편적으로사용되고있는오픈소스웹서버안정성및우수한기능
More informationserver name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지
ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,
More information컴퓨터관리2번째시간
Company 컴퓨터 관리 참고 자료 PC 운영체제 POST 기능 :, ROM BIOS ( : [F8]) 1. Windows XP Windows XP 사용자 계정 :,,, 강화된 디지털 미디어 지원 기능 : (Windows Movie Maker), CD (Windows Media Player), Windows 홈 네트워크 기능 :, 강화된 시스템 관리 :,
More informationuntitled
디렉토리리스팅취약점을이용한게임 DB 서버해킹사고 2006. 8. 3 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요중국발해킹의표적이온라인게임서버에까지이어지고있다. 특히중국에는현재수많은게임작업장이있으며, 이곳에서는많은중국인들이단순히게임을즐기는것이아니라아이템매매로인한금전적인이득을목적으로한범죄행위를하고있다.
More information<C0CCC8ADC1F82E687770>
분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상
More informationTTA Journal No.157_서체변경.indd
표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH
More information시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /
시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!
More information1-1 5 월보안이슈 국내금융기관 ( 은행 ) 웹사이트의파밍 (Pharming) 사례가발생하여이용자들의주의가요구됨 - PC 의 hosts 파일이변조되어정상적인은행홈페이지주소를입력해도해커가만든피싱사이트로접속되고, 보안승급신청화면을가장해주민등록번호, 이체비밀번호, 보안카드
5 212 Vol.5 May CONTENTS 2 page 1. 월간동향요약 1-1. 5월보안이슈 2 1-2. 주요보안권고 2 1-3. 침해사고통계분석요약 3 1-4. 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5 2-2. 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트 15
More informationPDF_Compass_32호-v3.pdf
Design Compass는 특허청의 디자인맵 웹사이트에서 제공하는 디자인, 브랜드, 기술, 지식재산권에 관한 다양한 콘텐츠를 디자이너들의 입맛에 맞게 엮은 격월간 디자인 지식재산권 웹진입니다. * Design Compass는 저작이용이 허락된 서울서체(서울시)와 나눔글꼴(NHN)을 사용하여 제작되었습니다. 2 4 5 6 7 9 10 11 편집 / 디자인맵
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More informationAssign an IP Address and Access the Video Stream - Installation Guide
설치 안내서 IP 주소 할당 및 비디오 스트림에 액세스 책임 본 문서는 최대한 주의를 기울여 작성되었습니다. 잘못되거나 누락된 정보가 있는 경우 엑시스 지사로 알려 주시기 바랍니다. Axis Communications AB는 기술적 또는 인쇄상의 오류에 대해 책 임을 지지 않으며 사전 통지 없이 제품 및 설명서를 변경할 수 있습니다. Axis Communications
More information1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포
CR-15-78 WeGuardia WIPS V2.0 인증보고서 인증번호 : NISS-0650-2015 2015년 10월 IT보안인증사무국 1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다.
More informationMF5900 Series MF Driver Installation Guide
한국어 MF 드라이버설치설명서 사용자소프트웨어 CD-ROM................................................ 1.................................................................... 1..............................................................................
More information호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀
호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀 2015. 3. 제 1 장개요 1 1. ( 사고사례 1) ARP 스푸핑 2 2. ( 사고사례 2) 공유폴더악용 3 제 2 장 ARP 스푸핑 6 1. ARP 스푸핑공격개요 7 2. ARP 스푸핑공격발생증상 7 3. ARP 스푸핑공격확인방법 8 4. ARP 스푸핑공격대응방안 ( 서버 ) 9 5.
More information<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>
여 48.6% 남 51.4% 40대 10.7% 50대 이 상 6.0% 10대 0.9% 20대 34.5% 30대 47.9% 초등졸 이하 대학원생 이 0.6% 중졸 이하 상 0.7% 2.7% 고졸 이하 34.2% 대졸 이하 61.9% 직장 1.9% e-mail 주소 2.8% 핸드폰 번호 8.2% 전화번호 4.5% 학교 0.9% 주소 2.0% 기타 0.4% 이름
More informationNTD36HD Manual
Upnp 사용 D7 은 UPNP 를지원하여 D7 의네크워크에연결된 UPNP 기기에별다른설정없이연결하여, 유무선으로네트워크상의연결된 UPNP 기기의콘텐츠를재생할수있습니다. TV 화면의 브라우저, UPNP 를선택하면연결가능한 UPNP 기기가표시됩니다. 주의 - UPNP 기능사용시연결된 UPNP 기기의성능에따라서재생되지않는콘텐츠가있을수있습니다. NFS 사용 D7
More informationCODESYS 런타임 설치과정
CODESYS 런타임설치과정 CODESYS Control RTE / SoftMotion RTE Setup Web: www.altsoft.kr E-mail: altsoft@altsoft.kr Tel: 02-547-2344 목 차 CODESYS 런타임 - Control RTE, SoftMotion RTE... 2 다운로드및설치과정... 2 CODESYS EtherCAT
More information목 차 DEXTUpload Pro 소개 시스템 요구 사항 기능 및 특징 시스템 구성도 벤치마킹 적용 효과 유지보수 안내 담당자 안내
LOW SYSTEM RESOURCE REQUIREMENTS HIGH UPLOAD SPEED GRAPHICAL PROGRESS INDICATOR DEXTUpload Pro Introduction www.devpia.com l www.dextsolution.com 목 차 DEXTUpload Pro 소개 시스템 요구 사항 기능 및 특징 시스템 구성도 벤치마킹 적용
More informationMF Driver Installation Guide
Korean MF 드라이버 설치설명서 사용자 소프트웨어 CD-ROM... 드라이버 및 소프트웨어 정보...1 지원되는 운영 체제...1 MF 드라이버 및 MF Toolbox 설치... [쉬운 설치]를 사용한 설치...2 [사용자 정의 설치]를 사용한 설치...10 USB 케이블 연결(USB를 이용해 연결하는 경우만)...20 설치 결과 확인...21 온라인
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여
100G 백업계정 서비스 이용안내 (주)스마일서브 가상화사업본부 클라우드 서비스팀 UPDATE 2011. 10. 20. 목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법...4 1.
More informationWeb Scraper in 30 Minutes 강철
Web Scraper in 30 Minutes 강철 발표자 소개 KAIST 전산학과 2015년부터 G사에서 일합니다. 에서 대한민국 정치의 모든 것을 개발하고 있습니다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 스크래퍼/크롤러의 작동 원리를 이해한다. 목표
More information메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF
More information기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.
PDMLink 에등록된 Office 문서들의 PDF 문서변환기능및 Viewer 기능을알아보자 PDM Link에서지원하는 [Product View Document Support] 기능은 Windows-Base 기반의 Microsoft Office 문서들을 PDMLink용 Viewer인 Product View를통한읽기가가능한 PDF Format 으로변환하는기능이다.
More information아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다
공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는
More information목 차 1. 드라이버 설치...3 1.1 설치환경...3 1.2 드라이버 설치 시 주의사항...3 1.3 USB 드라이버 파일...3 1.4 Windows XP에서 설치...4 1.5 Windows Vista / Windows 7에서 설치...7 1.6 Windows
삼성SDS 하이패스 USB 드라이버 설치 매뉴얼 삼성SDS(주) 목 차 1. 드라이버 설치...3 1.1 설치환경...3 1.2 드라이버 설치 시 주의사항...3 1.3 USB 드라이버 파일...3 1.4 Windows XP에서 설치...4 1.5 Windows Vista / Windows 7에서 설치...7 1.6 Windows 8에서 설치...9 2. 드라이버
More information