AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center)은 악성코드 및 보안 위협으로부터 고객을 안전하게 지키기 위하여 보안 전문가로 구성된 글로벌 보안 조직입니다
|
|
- 주아 빈
- 8 years ago
- Views:
Transcription
1 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL 안철수연구소 월간 보안 보고서 악성코드 분석 특집 시스템 dll 패치 관련 게임핵 악성코드 분석 다형성 바이러스 Win32/Xpaj.C 분석
2 AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center)은 악성코드 및 보안 위협으로부터 고객을 안전하게 지키기 위하여 보안 전문가로 구성된 글로벌 보안 조직입니다. 이 리포트는 안철수연구소의 ASEC에서 작성하며, 매월 발생한 주요 보안 위협과 이슈에 대응하는 최신 보안 기술에 대한 요약 정보를 담고 있습니다. 자세한 내용은 안랩닷컴( 확인하실 수 있습니다. CONTENTS 01. 악성코드 동향 a. 악성코드 통계 시큐리티 동향 a. 시큐리티 통계 46 - 악성코드 감염보고 Top 20 - 악성코드 대표진단명 감염보고 Top 20 - 악성코드 유형별 감염보고 비율 - 악성코드 유형별 감염보고 전월 비교 - 악성코드 월별 감염보고 건수 - 신종 악성코드 감염보고 Top 20 - 신종 악성코드 유형별 분포 - 7월 마이크로소프트 보안 업데이트 현황 b. 시큐리티 이슈 47 - 국내 CVE Adobe Flash 취약점 악용 증가 - MS 취약점 악용 워드 악성코드 발견 - MS 취약점을 이용한 악성코드 유포 b. 악성코드 이슈 웹 보안 동향 - 시스템 파일 교체 악성코드는 계속 변화 중 - PDF 취약점을 악용한 Jailbreak SMS와 통화기록을 감시하는 안드로이드 악성코드 GoldDream - 카카오톡 PC 버전으로 위장한 악성코드 주의 - SNS를 통해 확산하는 SMS 과금을 발생시키는 안드로이드 악성코드 주의 - Drive by Download 기법의 안드로이드 악성 앱 Ggtrack - 신용카드 한도초과 안내 메일로 위장한 악성코드 유포 - 다수의 SNS를 전파 경로로 악용하는 메신저 악성코드 - 온라인 게임 안내 메일로 위장한 악성코드 - 러시아에서 제작된 랜섬웨어 생성기 - MS 취약점 악용 워드 악성코드 생성기 c. 악성코드 분석 특집 23 a. 웹 보안 통계 49 - 웹사이트 보안 요약 - 월별 악성코드 배포 URL 차단 건수 - 월별 악성코드 유형 - 월별 악성코드가 발견된 도메인 - 월별 악성코드가 발견된 URL - 악성코드 유형별 배포 수 - 악성코드 배포 순위 b. 웹 보안 이슈 년 7월 침해 사이트 현황 - 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포 - 노출형 배너 광고를 이용한 악성코드 유포사례 - 시스템 dll 패치 관련 게임핵 악성코드 분석 - 다형성 바이러스 Win32/Xpaj.C 분석
3 Web 악성코드 동향 a. 악성코드 통계 악성코드 감염보고 Top 20 악성코드 대표진단명 감염보고 Top 년 7월 악성코드 통계현황은 다음과 같다. 2011년 7월의 악성코드 감염 보고는 JS/Agent이 1위가 차지하고 있으며, Textimage/Autorun과 Html/Agent가 각각 2위와 3위를 차지하였다. 신규로 Top 20에 진입한 악성코드는 총 11건이다. 아래 표는 악성코드별 변종 종합 감염보고 순위를 악성코드 대표 진단명에 따라 정리한 것이다. 이 를 통해 악성코드의 동향을 파악할 수 있다. 2011년 7월의 감염보고 건수는 Win-Adware/Korad가 총 1,346,242건으로 Top20중 16.7%의 비율을 보이며 1위를 차지했다. Win-Trojan/Downloader가 733,199 건으로 2위, JS/Agent이 681,709건으로 3위를 차지 하였다. 순위 등락 악성코드명 건수 비율 1 3 JS/Agent 681, % 2 1 Textimage/Autorun 621, % 3 4 Html/Agent 416, % 4 NEW Swf/Cve , % 5 1 Win32/Induc 146, % 6 NEW Swf/Cve , % 7 NEW Win-Trojan/Downloader AE 111, % 8 NEW Win32/Virut.d 110, % 9 2 Win32/Palevo1.worm.Gen 107, % 10 3 Win32/Conficker.worm.Gen 99, % 11 NEW JS/Iframe 90, % 12 NEW Win32/Virut.b 85, % 13 2 Win32/Virut.f 79, % 14 Win32/Olala.worm 77, % 15 NEW Win-Trojan/Downloader13.Gen 72, % 16 NEW Als/Pasdoc 66, % 17 NEW Win32/Parite 65, % 18 Win32/Flystudio.worm.Gen 63, % 19 NEW Win-Trojan/Onlinegamehack57.Gen 60, % 20 NEW Win32/Virut.c 59, % 3,434, % [표 1-1] 악성코드 감염보고 Top 20 순위 등락 악성코드명 건수 비율 1 9 Win-Adware/Korad 1,346, % 2 Win-Trojan/Downloader 733, % 3 8 JS/Agent 681, % 4 3 Win-Trojan/Onlinegamehack 677, % 5 1 Win-Trojan/Agent 667, % 6 3 Textimage/Autorun 622, % 7 2 Win32/Virut 425, % 8 10 Html/Agent 416, % 9 2 Win32/Conficker 319, % 10 NEW Swf/Cve , % 11 3 Win32/Autorun.worm 270, % 12 1 Win-Trojan/Winsoft 266, % 13 2 Dropper/Malware 220, % 14 2 Dropper/Onlinegamehack 213, % 15 1 Win32/Kido 201, % 16 NEW Win-Trojan/Adload 150, % 17 Win32/Induc 146, % 18 NEW Win-Trojan/Patched 137, % 19 NEW Dropper/Agent 128, % 20 NEW Win-Trojan/Ldpinch 126, % 8,055, % [표 1-2] 악성코드 대표진단명 감염보고 Top 20
4 Vol.18 Web 7 8 악성코드 유형별 감염보고 비율 악성코드 월별 감염보고 건수 아래 차트는 2011년 7월 한달 동안 안철수연구소가 집계한 악성코드의 유형별 감염 비율을 분석한 결과다. 2011년 7 월의 감염보고건수 중 악성코드를 유형별로 살펴보면, 트로잔(TROJAN)류가 36.9%로 가장 많은 비 7월의 악성코드 월별 감염보고 건수는 14,878,454건으로, 6월의 악성코드 월별 감염 보고건수 14,176,633건에 비해 701,821건이 증가하였다. 율을 차지하였으며, 스크립트(SCRIPT)가 16%, 애드웨어(ADWARE)가 15.3%로 각각 그 뒤를 잇고 있다 % ADWARE APPCARE CLICKER DOWNLOADER DROPPER ETC SCRIPT 15.3% 0.6% 0.5% 1.8% 4.9% 7.9% 16% TROJAN SCRIPT ADWARE 36.9% 16.0% 15.3% 20,000,000 18,000,000 16,000,000 14,000,000 12,000,000 14,499, % -323,222 14,176, % +701,821 14,878, % SPYWARE TROJAN 0.5% 36.9% OTHER 31.8% 0 VIRUS WORM 5.1% 10.5% [그림 1-1] 악성코드 유형별 감염보고 비율 [그림 1-3] 악성코드 월별 감염보고 건수 악성코드 유형별 감염보고 전월 비교 악성코드 유형별 감염보고 비율을 전월과 비교하면, 스크립트, 웜, 에드웨어(ADWARE), 드롭퍼 (DROPPER), 바이러스(VIRUS), 다운로더(DOWNLOADER)가 전월에 비해 증가세를 보이고 있는 반면 트 신종 악성코드 유형별 분포 7월의 신종 악성코드 유형별 분포는 애드웨어가 42%로 1위를 차지하였다. 그 뒤를 이어 트로잔이 42%, 드롭퍼가 6%를 점유하였다. 로잔(TROJAN), 스파이웨어(SPYWARE)는 전월에 비해 감소한 것을 볼 수 있다. 애프케어(APPCARE)계열 들은 전월 수준을 유지하였다. ADWARE APPCARE CLICKER DOWNLOADER TROJAN 35.6% 36.9% DROPPER ETC SCRIPT SPYWARE VIRUS WORM [그림 1-2] 악성코드 유형별 감염보고 전월 비교 [그림 1-4] 신종 악성코드 유형별 분포
5 Web 9 10 신종 악성코드 감염보고 Top 20 아래 표는 7월에 신규로 접수된 악성코드 중 고객으로부터 감염이 보고된 악성코드 Top 20이다. 7월의 신종 악성코드 감염 보고의 Top 20은 Win-Adware/DirectKeyword 이 56,634건으로 7.8%의 비 01. 악성코드 동향 b. 악성코드 이슈 율을 보이며 1위를 차지 하였으며, Win-Adware/KorAd C가 49,484건으로 2위를 차지하였다. 순위 악성코드명 건수 비율 1 Win-Adware/DirectKeyword , % 2 Win-Adware/KorAd C 49, % 3 Win-Clicker/Agent , % 4 Win-Trojan/Onlinegamehack69.Gen 40, % 5 Win-Downloader/Enlog C 38, % 6 Win-Adware/KorAd D 37, % 7 Win-Adware/KorAd E 36, % 8 Dropper/Agent , % 9 Win-Trojan/Infostealer , % 10 Win-Trojan/Downloader , % 11 Win-Adware/KorAD , % 12 Win-Trojan/Infostealer , % 13 Win-Adware/KorAd , % 14 Win-Adware/KorAd K 31, % 15 Win-Adware/KorAd G 31, % 16 Win-Adware/KorAd J 30, % 17 Win-Adware/BHO.Adprime , % 18 Win-Adware/KorAd , % 19 Win-Trojan/Rogue , % 20 Win-Adware/KorAd C 29, % 723, % [표 1-3] 신종 악성코드 감염보고 Top 20 시스템 파일 교체 악성코드는 계속 변화 중 최근 국내 일부 침해 사이트를 통해서 윈도우 정상 시스템 파일을 교 체하는 악성코드가 유포되었는데 정상 윈도우 파일인 ws2help.dll을 교체하는 악성코드에서 '감염방식의 변화'가 있었다. 원형 vs. 변형 [그림 1-5] 원형의 ws2help.dll 교체과정 [그림 1-6] 변형의 ws2help.dll 교체과정 [그림 1-5]는 드롭퍼에 의해서 ws2help.dll로 생성된 악성 DLL이 악 의적인 목적(특정 온라인 게임 사용자의 계정정보 탈취, 백신 무력화 등)을 수행하면서 정상 프로그램과 백업된 정상 DLL인 ws3help.dll(원 본 파일명은 ws2help.dll)사이의 다리 역할을 했다. 반면 [그림 1-6]은 드롭퍼가 실행되면 sleep.dll, 패치 된 ws2help.dll을 생성하며, 이후 동 작방식은 imm32.dll이 패치 되었을 때와 같다. [그림 1-7] Win-Trojan/Patcher.98704의 동작방식 PDF 취약점을 악용한 Jailbreak 3.0 최근 ios 버전이 탑재된 아이폰/아이패드를 5초 만에 탈 옥할 수 있는 jailbreakme 3.0이 공개되었다. ios 사용자들은 아 이폰/아이패드에 탑재된 사파리(Safari) 브라우저를 통해 [그림 1-9]의 사이트에 접속해서 Free 버튼을 클릭해 Cydia를 설치하는 것만으로 간단하게 탈옥할 수 있다. [그림 1-9] Jailbreak 3.0 해당 jailbreak 방법은 사파리 브라우저가 PDF 파일을 처리하는 과정에서 발생하는 취약점을 이용한 것으로, 다음과 같은 PDF 파 일이 연결되어 있다. [그림 1-10] Jailbreak에 이용된PDF파일 드롭퍼인 Patcher.98704가 생성하는 ws2help.dll은 sleep.dll을 로딩 하도록 패치 된 중국어 버전의 ws2help.dll이다. 좀 더 살펴보면 정상 프로그램들이 해당 DLL을 로딩할 때 Patcher.98704가 생성한 악성 DLL인 sleep.dll도 로딩하도록 되어 있다. [그림 1-8] 패치된 ws2help.dll이 sleep.dll을 로딩하는 코드
6 Web 취약점 요소는 '12번 오브젝트'에 존재하는 'Type 1 font 프로그램 (CVE )'이다. Font 관련 PDF 취약점은 이미 Windows 시스템상에서도 여러 번 발표된 바 있다. 이번 취약점은 jailbreak 목 적으로 사용되었지만, 악의적인 의도로 작성된 PDF 파일링크를 통 해서 얼마든지 타인의 스마트폰을 장악할 수 있다는 점에서 매우 심 각한 위협이 될 수도 있다. 따라서 PC를 사용할 때 뿐만 아니라 모 바일 환경에서도 기본적인 보안수칙은 반드시 지켜져야 한다. SMS와 통화기록을 감시하는 안드로이드 악성코드 GoldDream 안드로이드 게임 'Fast Racing'으로 위장하여, 설치 시 사용자 휴대 전화의 SMS 발신/수신 명세, 전화통화기록 등을 사용자 모르게 감 시하고 특정 서버로 민감한 정보를 전송하는 악성코드가 발견되었 다. 해당 악성코드는 'GoldDream' 이라 불리며, 정상적인 게임에 악 의적인 코드를 추가하고 리패키징하여 중국의 써드파티마켓(블랙마 켓)에서 유포된 것이 국외 유명대학의 연구팀(Dr. Xuxian Jiang and his research team at North Carolina State University )에 의해 밝혀지면서 알려졌다. [그림 1-11] Fast Racing 게임의 실행화면 'GoldDream' 은 또한 사용자 휴대전화기를 감시하는 기능 외에 C&C 서버를 통해 스마트폰에 특정 명령을 내릴 수 있는 봇(bot) 기능도 포함되어 있다. 이는 'GoldDream'에서 최초로 발견된 기능은 아니며 'DroidKungFu'나 다른 안드로이드 악성코드에서도 나타나는 최근 악 성코드의 동향이다. 안드로이드 악성코드 또한 PC 기반의 악성코드 와 마찬가지로 이제는 실험적인 레벨을 넘어 점점 프로세스를 갖추 며 짜임새 있게 배포되고 있다. [그림 1-12] 위장된 Fast Racing 게임이 사용하는 권한 [표 1-4] Permission 설명 Permission 기능 설명 Permission 기능 설명 INTERNET VIBRATE READ_PHONE_ STATE com. vending.billing ACCESS_ NETWORK_STATE ACCESS_WIFI_ STATE WRITE_ EXTERNAL_ STORAGE ACCESS_ COARSE_ LOCATION ACCESS_FINE_ LOCATION RECEIVE_SMS 완벽한 인터넷 액세스 진동 제어 휴대전화 상태 및 ID 읽기 In-App 빌링 네트워크 상태 보기 Wi-Fi 상태 보기 USB 저장소 콘텐츠 및 SD 카드 콘텐츠 수정/삭제 네트워크 기반 의 대략적인 위치 자세한 (GPS) 위치 SMS 수신 애플리케이션이 네트워크 소켓 을 만들 수 있도록 한다. 애플리케이션이 진동을 제어할 수 있도록 한다. 애플리케이션이 장치의 휴대전 화 기능에 접근할 수 있도록 한 다. 이 권한을 갖는 애플리케이 션은 휴대전화의 전화번호 및 일련번호, 통화 활성 여부, 해당 통화가 연결된 번호 등을 확인 할 수 있다. 애플리케이션 내에서 안드로이 드마켓 결제(In-app billing) 시 스템을 이용할 수 있도록 한다. 애플리케이션이 모든 네트워크 의 상태를 볼 수 있도록 한다. 애플리케이션이 Wi-Fi의 상태에 대한 정보를 볼 수 있도록 한다. 애플리케이션이 USB 저장소 및 SD 카드에 쓸 수 있도록 한다. 기기의 대략적인 위치를 측정하 기 위해 셀룰러 네트워크 데이 터베이스와 같은 광범위한 위치 정보를 사용한다. 이 경우 악성 애플리케이션이 사용자의 위치 를 대략적으로 측정할 수 있다. 기기에서 GPS 등의 자세한 위 치 정보를 사용한다. 이 경우 악 성 애플리케이션이 사용자의 위 치를 확인하고 추가 배터리 전 원을 소비할 수 있다. 애플리케이션이 SMS 메시지를 받고 처리할 수 있도록 한다. 이 경우 악성 애플리케이션이 메시지 를 모니터링하거나 사용자가 보기 전에 삭제할 수 있다. CALL_PHONE PROCESS_ OUTGOING_ CALLS DELETE_ PACKAGES INSTALL_ PACKAGES RECEIVE_BOOT_ COMPLETED 전화번호로 직접 전화걸기 발신전화 차단 애플리케이션 삭제 애플리케이션 직접 설치 부팅할 때 자동 시작 1. 해당 악성코드의 특징 A. SMS/통화기록/휴대전화 정보 감시 및 탈취 [그림 1-13] save incoming/outcoming phone call 애플리케이션이 사용자의 조작 없이 전화번호로 전화를 걸 수 있도록 한다. 이 경우 악성 애플 리케이션으로 인해 예상치 못한 통화 요금이 부과될 수 있다 애플리케이션이 발신전화를 처 리하고 전화를 걸 번호를 변경 할 수 있도록 한다. 이 경우 악 성 애플리케이션이 발신전화를 모니터링하거나, 리디렉션하거 나, 중단시킬 수 있다. 애플리케이션이 Android 패키 지를 삭제할 수 있도록 한다. 이 경우 악성 애플리케이션이 중요 한 애플리케이션을 삭제할 수 있다. 애플리케이션이 새로운 또는 업 데이트된 Android 패키지를 설 치할 수 있도록 한다. 이 경우 악성 애플리케이션이 임의의 강 력한 권한으로 새 애플리케이션 을 추가할 수 있다. 애플리케이션이 시스템 부팅이 끝난 후 바로 시작할 수 있도 록 한다. 이 경우 기기가 시작하 는 데 시간이 오래 걸리고 애플 리케이션이 항상 실행되어 전체 기기 속도가 느려질 수 있다. [그림 1-14] upload phone log file 악성 앱을 설치하게 되면 이후에 발생하는 system event 들 을 가로채는 service (UI 없이 주기적으로 특정한 일을 수행하는 Background Process)가 등록된다. GoldDream 악성코드는 system event 중 SMS와 전화 송수신명세에 대해 감시하며 사용자 모르게 해당 정보들을 text 파일로 저장 후, 원격 서버 (le**r.g**p.net) 로 전 송한다. B. 원격지 명령수행(C&C) 설치되는 다른 service는 Remote server(c&c 서버) 에서 명령을 전 [그림 1-15] C&C Commands SEND_SMS SMS 메시지 보내기 애플리케이션이 SMS 메시지를 보낼 수 있도록 한다. 이 경우 악 성 애플리케이션이 사용자의 확인 없이 메시지를 전송하여 요금을 부과할 수 있다. READ_ SMS SMS 또는 MMS 읽기 애플리케이션이 기기 또는 SIM 카 드에 저장된 SMS 메시지를 읽을 수 있도록 한다. 이 경우 악성 애 플리케이션이 기밀 메시지를 읽을 수 있다.
7 Web 달받고 수행하는 역할을 한다. 이때 등록된 악성 Service는 부트 타 임에 로딩되도록 설계되어있어 휴대전화기가 켜져 있는 동안은 항상 C&C 서버의 조종을 받을 수 있는 이른바 '좀비폰' 상태가 된다. 이때 C&C서버로부터 수행 가능한 Command 들은 아래와 같다. - 백그라운드 SMS 발송 - 강제 전화 연결 - 지정된 애플리케이션 삭제 - 지정된 애플리케이션 설치 - 로그 파일(개인 정보) C&C 서버로 전송 'GoldDream' 악성코드는 V3 mobile 제품군에서 다음과 같이 진단 및 치료가 가능하다. - Android-Trojan/Gdream 트가 유효하지는 않지만, 아래와 같은 아이콘의 카카오톡 PC 버전 위장용 파일은 블로그나 카페를 통해 유포될 가능성이 있어 주의가 필요하다. 실제로 데스크톱에서 카카오톡을 사용하는 방법으로는 스마트폰 환 경처럼 PC에서 가상머신 프로그램을 이용해 안드로이드 운영체제 에서 카카오톡을 사용하는 방법이 있을 수 있다. 하지만 카카오톡 PC 버전을 위장한 이 악성프로그램은 기본 Windows 상에서 실행파 일 형태로 바로 실행 가능하며, 실행 시 [그림 1-18]과 같이 신규 가 입을 요구하고 있다. 특히 기존에 스마트폰에서 사용했던 이용자들 도 확인 절차를 거쳐야 한다며 개인정보 입력을 요구한다. [그림 1-18] 사용자의 가입을 요구하는 화면 SNS를 통해 확산하는 SMS 과금을 발생시키는 안드로이드 악성코드 주의 안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여 사용자 모르게 SMS 발송을 통한 과금을 발생시키고 친구 추천 기능을 통해 [그림 1-20] 허위 온라인 동영상 스트리밍 플레이어 Permission 기능 설명 SEND_SMS READ_PHONE_ STATE WRITE_ EXTERNAL_ STORAGE SMS 메시지 보내기 휴대전화 상태 및 ID 읽기 USB 저장소 콘텐츠 및 SD 카드 콘텐츠 수정/삭제 애플리케이션이 SMS 메시지를 보낼 수 있도록 한다. 이 경우 악성 애플리케이션이 사용자의 확인 없이 메시지를 전송하여 요금을 부과할 수 있다. 애플리케이션이 장치의 휴대 전화 기능에 접근할 수 있도록 한다. 이 권한을 갖는 애플리 케이션은 휴대전화의 전화번 호 및 일련번호, 통화 활성 여 부, 해당 통화가 연결된 번호 등을 확인할 수 있다. 애플리케이션이 USB 저장소 및 SD 카드에 쓸 수 있도록 한다. 카카오톡 PC 버전으로 위장한 악성코드 주의 스마트폰 사용자의 필수 앱이라 할 수 있는 대표 스마트폰 모바일 메신저 카카오톡의 PC용 버전으로 위장한 악성 프로그램이 사용자 의 개인정보 및 금전적 피해를 발생시킨 사실이 발견되어 주의가 필 RECEIVE_BOOT_ COMPLETED 부팅할 때 자 동 시작 애플리케이션이 시스템 부팅 이 끝난 후 바로 시작할 수 있 도록 한다. 이 경우 기기가 시 작하는 데 시간이 오래 걸리 고 애플리케이션이 항상 실행 되어 전체 기기 속도가 느려질 수 있다. 요하다. [그림1-16] 카카오톡 PC 버전 위장파일의 아이콘 [그림 1-19] 개인 정보 입력화면 주변에 악성 앱을 확산시키는 안드로이드 악성코드가 발견되었다. [그림 1-21] 허위 온라인 동영상 스트리밍 플레이어가 사용하는 권한 RECEIVE_SMS SMS 수신 애플리케이션이 SMS 메시지 를 받고 처리할 수 있도록 한 다. 이 경우 악성 애플리케이 션이 메시지를 모니터링하거 나 사용자가 보기 전에 삭제할 수 있다. WRITE_SMS SMS 또는 MMS 수정 애플리케이션이 기기 또는 SIM 카드에 저장된 SMS 메시 지에 쓸 수 있도록 한다. 단, 악성 애플리케이션이 이 기능 을 이용하여 메시지를 삭제할 수 있다 카카오톡 PC 버전 위장 프로그램은 카카오톡 정식 홈페이지 사이트 주소인 ' 유사한 ' 주소로 웹 사이트를 개설해 실제 홈페이지와 같은 디자인을 적용하였고, 신 규회원에게 문화상품권을 제공한다는 안내를 하며 사용자에게 PC 버전 내려받기 및 설치를 유도했다. 2011년 7월 현재 해당 웹사이 [그림1-17] 카카오톡 PC 버전으로 위장한 악성프로그램 실행 화면 또한 [그림 1-18]과 같이 '문화상품권을 나눠 드린다'는 안내 멘트로 회원가입을 통한 개인 정보입력에 더욱 현혹되기 쉽다. [표 1-5] Permission 설명 Permission 기능 설명 INTERNET 인터넷 액세스 애플리케이션이 네트워크 소 켓을 만들 수 있도록 한다 READ_SMS com. launcher. INSTALL_ HORTCUT SMS 메시지 보내기 바로가기 만들기 애플리케이션이 SMS 메시지 를 보낼 수 있도록 한다. 이 경우 악성 애플리케이션이 사 용자의 확인 없이 메시지를 전 송하여 요금을 부과할 수 있 다. 애플리케이션 바로가기 (shortcut)를 만들 수 있다. 이렇게 입력된 정보는 문화상품권 증정은 커녕 오히려 이용 희망자 로부터 11,000원을 휴대폰 소액결제로 빼 가는데 이용된다. 만약 해 당 악성 프로그램으로 말미암아 결제되었다면 이동통신사에 소액결 ACCESS_ NETWORK_STATE 네트워크 상태 보기 애플리케이션이 모든 네트워 크의 상태를 볼 수 있도록 한 다. 1. 해당 악성코드의 특징 A. SMS 과금 및 휴대폰 정보 탈취 제 사기를 알리고 결제 승인취소를 하면된다. 해당 카카오톡 PC용 해킹프로그램은 V3에서 아래와 같은 진단명으로 진단된다. - Win-Trojan/Fakecatok Win-Trojan/Fakesns MOUNT_ UNMOUNT_ FILESYSTEMS 파일시스템 마운트 및 마운트 해제 애플리케이션이 이동식 저장 소의 파일 시스템을 마운트하 고 마운트 해제할 수 있도록 한다. 악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나타 나는 동시에 하드 코딩된 중국의 premium number (할증요금 전화 번호)인 '106***82'로 SMS 을 전송하여 별도의 과금을 발생시킨다.
8 Web [그림 1-22] Send SMS to premium rate number 어 주의가 필요하다. 사용자는 좋은 앱을 소개한다는 의도로 추천링 크를 전송했는데, 받는 사람에게 악성 앱을 설치하게끔 유도한 꼴이 될 수 있다. Self-advertising은 [그림 1-25]와 같이 '친구추천' 기능 을 통해 , 또는 SMS로 악성 앱을 내려받기 및 설치할 수 있는 링크를 전송하여 이루어진다. [그림 1-25] self-advertising Drive by Download 기법의 안드로이드 악성 앱 Ggtrack 1. Android-Trojan/Ggtrack 기존의 안드로이드 악성코드는 Google Android Market에 공개된 정 상 앱으로 위장하여, 악의적인 코드를 삽입하거나, 추가적인 악성 앱 이 설치되도록 리패키징(본래 정상 앱에 악성코드를 추가시킴)하여, 다시 구글 안드로이드 마켓이나 블랙마켓에 올린 형태를 다수 보여 왔다. 이번에 발견된 악성 앱은, Drive by Download(예: '동영상을 보기 위해 코덱을 설치하라.'고 유도하는 악성코드를 설치) 기법의 [표 1-6] Permission 설명 Permission 기능 설명 ACCESS_WIFI_ STATE CHANGE_WIFI_ STATE Wi-Fi 상태 보기 Wi-Fi 상태 변경 애플리케이션이 Wi-Fi의 상태 에 대한 정보를 볼 수 있도록 한다. 애플리케이션이 Wi-Fi 액세스 포인트에 연결하거나 연결을 끊고, 구성된 Wi-Fi 네트워크 를 변경할 수 있도록 한다. 윈도우 PC에 감염되는 악성코드와 같은 방식으로, 감염을 시도한다. CHANGE_ NETWORK_STATE 네트워크 연결 변경 애플리케이션이 네트워크 연 결 상태를 변경할 수 있도록 한다. 본래 이 서비스는 중국의 해당 Premium rate number로 문자가 정 상적으로 송신되었을 시, 서비스제공자로부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용 여 [그림 1-27] 악성코드 관계도 ACCESS_ NETWORK_STATE 네트워크 상태 보기 애플리케이션이 모든 네트워 크의 상태를 볼 수 있도록 한 다. 부를 알 수 있다. 하지만 이 악성 앱은 영리하게도 '10'으로 시작되는 번호들로 전송되는 SMS에 관해 필터링하여 회신 되는 문자를 사용 자가 볼 수 없게끔 하여 과금된 사실을 전혀 알 수 없게 만든다. [그림 1-23] '10'으로 시작되는 회신 SMS를 필터링 하는 코드 [그림 1-26] self-advertising code ECEIVE_BOOT_ COMPLETED 부팅할 때 자동 시작 애플리케이션이 시스템 부팅 이 끝난 후 바로 시작할 수 있 도록 한다. 이 경우 기기가 시 작하는 데 시간이 오래 걸리 고 애플리케이션이 항상 실행 되어 전체 기기 속도가 느려질 수 있다. INTERNET 인터넷 액세스 애플리케이션이 네트워크 소 켓을 만들 수 있도록 한다 해당 악성코드는 V3 mobile 제품군에서 아래와 같이 진단된다. - Android-Trojan/SmsSend.AA - Android-Trojan/SmsSend.AB [그림 1-28] 악성 앱 관련 트래픽 조회 화면(자료제공: alexa.com) READ_PHONE_ STATE 휴대전화 상태 및 ID 읽기 애플리케이션이 장치의 휴대 전화 기능에 접근할 수 있도록 한다. 이 권한을 갖는 애플리 케이션은 휴대전화의 전화번 호 및 일련번호, 통화 활성 여 부, 해당 통화가 연결된 번호 등을 확인할 수 있다. 이외에 추가로 휴대전화의 SIM 카드의 Serial 을 얻어 특정 서버로 전송한다. [그림 1-24] SIM Card의 시리얼번호를 얻는 코드 and oid. READ_SMS SMS 또는 MMS 읽기 애플리케이션이 기기 또는 SIM 카드에 저장된 SMS 메시 지를 읽을 수 있도록 한다. 이 경우 악성 애플리케이션이 기 밀 메시지를 읽을 수 있다. A. application 정보 [그림 1-29] Battery Saver 권한 정보 / 앱의 목적에 맞지 않게 과도한 권한을 필요로 하고 있다. R CEIVE_SMS SMS 수신 애플리케이션이 SMS 메시지 를 받고 처리할 수 있도록 한 다. 이 경우 악성 애플리케이 션이 메시지를 모니터링하거 나 사용자가 보기 전에 삭제할 수 있다. B. 악성코드 확산 해당 악성 앱은 감염된 휴대전화기에서 과금을 하는 것뿐만 아니 라 악성 앱 자신을 광고(Self-advertising) 하는 기능도 포함되어 있 perm ssion.send_sms SMS 메시지 보내기 애플리케이션이 SMS 메시지 를 보낼 수 있도록 한다. 이 경우 악성 애플리케이션이 사 용자의 확인 없이 메시지를 전 송하여 요금을 부과할 수 있 다.
9 Web [그림 1-30] Battery Saver 설치/실행 정보 [그림 1-33] 개인정보를 유출하는 코드의 일부 [그림 1-34] 신용카드 한도초과 메일로 위장한 악성코드 그리고 시스템에 존재하는 대부분 파일과 폴더들을 숨김 속성으로 변경하여 일반 시스템 사용자로 하여금 사용하는 시스템에 심각한 문제가 생긴 것으로 인지하게 한다. 위 [그림 1-37]의 '확인'을 클릭 하면 [그림 1-38]과 같은 PC 성능과 안정성 검사를 위해 시스템 전 체를 검사하기 시작한다. [그림 1-38] 시스템 전체를 검사하는 허위 시스템 툴 [그림 1-31] 서버와 통신하는 코드의 일부 B. 다음의 수칙을 지켜 모바일 악성코드에 감염되는 것을 예방하도 록 하자. 1. 애플리케이션을 설치하거나 이상한 파일을 내려받은 경우에는 반드시 악성코드 검사를 한다. 2. 게임 등 애플리케이션을 내려받을 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다. [그림 1-35] PDF 파일 아이콘을 가지고 있는 악성코드 검사가 끝나면 [그림 1-39]와 같이 시스템에 존재하지 않는 허위의 심각한 장애들을 보여주고 시스템 사용자로 하여금 심각한 장애들 이 다수 존재하는 것으로 오인하도록 한다. [그림 1-39] 허위로 보여지는 시스템 오류들 [그림 1-32]은 SMS를 모니터링 하여 [그림 1-32]와 번호가 일치하 면 사용자에게 메시지를 숨김으로써 사용자 모르게 악의적 행위가 동작하도록 작성된 코드의 일부다. [그림 1-32] 특정 송신번호의 SMS를 필터링하는 코드의 일부 3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다. 4. PC로부터 파일을 전송받을 경우 악성코드 여부를 꼭 확인한다. 5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다. 6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다. 7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다. 8. ID, 패스워드 등을 스마트폰에 저장하지 않는다. 9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다. 10.임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다. 해당 파일이 실행되면 윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 강제로 실행시킨 후 아래 이미지와 같이 svchost.exe 의 메모리 영역에 자신의 코드 전체를 강제로 덮어쓰게 된다. [그림 1-36] 정상 프로세스의 특정 메모리 영역에 쓰인 악성코드 허위로 작성된 시스템의 심각한 장애들을 복구하기 위해 'Fix Errors' 를 클릭하면 [그림 1-40]과 같이 마치 시스템 장애들을 복구 작업을 수행하는 것과 같은 허위 이미지들을 보여준다. 그리고 정상 프로세스인 svchost.exe의 프로세스를 이용하여 특정 [그림 1-40] 허위 시스템 수정 작업 안내 신용카드 한도초과 안내 메일로 위장한 악성코드 유포 시스템으로 접속을 시도하여 성공적으로 접속되면 허위 시스템 복 구 프로그램으로 위장한 악성코드를 내려받아 실행하게 된다. 허위 신용카드 한도초과 안내 메일로 위장한 악성코드의 변형이 현재까 지도 지속적으로 발견되고 있으므로 PC 사용자는 각별한 주의가 필 시스템 복구 프로그램이 실행되면 [그림 1-37]과 같이 현재 사용하 는 시스템의 하드 디스크에 장애가 있음을 알린다. 요하다. 해당 메일에 첨부된 Customer details.zip(11,750바이트)의 [그림 1-37] 허위 하드디스크 장애 안내 메일 그리고 사용자의 number, message, sdk 버전 등의 정보를 서버로 압축을 해제하면 [그림 1-35]와 같이 전자문서 프로그램 어도비 아 보낸다. 크로뱃 리더(Adobe Acrobat Reader) 파일 형식인 PDF와 같은 아이 콘을 가진 Customer Details.exe(26,624바이트)가 생성된다.
10 Web 허위로 보여지는 복구 작업이 완료되면 [그림 1-41]과 같이 복구 후 다수의 SNS를 전파 경로로 악용하는 메신저 악성코드 MSN 메신저 프로그램 이외에도 감염된 시스템에서 트위터(Twitter) 취하고 있다. 에도 심각한 장애가 시스템에 다수 존재하는 것처럼 보여주며, 이를 복구하기 위해서는 프로그램을 구매 할 것을 유도한다. [그림 1-41] 복구 후에도 존재하는 허위 시스템 오류들 6월 말에 발견된 인스턴트메신저 프로그램을 통해 유포되는 악성코 드 중 다수의 소셜네트워크서비스를 또 다른 유포경로로 복합적으 로 악용하는 것이 발견되었다. 이번에 발견된 악성코드가 시스템에 서 실행되면 [그림 1-43]과 같이 윈도우 시스템에 존재하는 정상 프 로세스 중 하나인 Explorer.exe의 특정 메모리 영역에 자신의 코드 전체를 덮어쓰게 된다. [그림 1-43] 정상 프로세스의 메모리 영역 일부에 덮어 쓰여진 악성코드 와 페이스북의 로그인 세션이 이루어져 있다면, 해당 세션을 이용하 여 사용자 모르게 트위터와 페이스북으로 로그인을 시도한다. [그림 1-46] 페이스북과 트위터로 전파되는 악성코드의 코드 일부분 [표 1-7] 온라인 게임 안내 메일로 위장한 스팸 메일 구성 메일 제목 (다음 중 하나) GIFT from Your Babbie LOVE GIFT from YOUR BABY Gift for special YOU LOVE - CARD from Your Babbie Love-Card special for YOU LOVE-CARD from Your Baby NICE GIFT from YOUR GIRLFRIEND Gift for YOU LOVE-CARD for YOU LOVE - CARD from YOUR LOVE Love Gift only for YOU Love Gift from Y Nice Gift for YOU 로그인이 성공하면 SNS에 등록된 지인들에게 [그림 1-46]과 같이 메일 본문 HTML 형태를 가지고 있으며 [그림 21]의 내용을 가짐 구매를 위해 'Purchase'를 클릭하면 [그림 1-42]와 같이 신용카드 악성코드를 내려받을 수 있는 링크가 포함된 다이렉트 메시지(Direct Message), 페이스북의 담벼락 메시지, 그리고 페이스북 채팅 메시 첨부 파일 -bonus23983.exe (36,864 바이트) 파일 정보를 입력하여 결제할 것을 유도한다. 지로 전달을 시도한다. 이 외에도 해당 악성코드는 러시아에서 많이 메일 본문은 HTML 형태를 가지고 있으며 [그림 1-47]과 같이 무료 [그림 1-42] 신용카드 정보를 입력하여 결제할 것을 유도 그리고 악성코드 제작자가 지정한 명령을 수행하기 위해 외부 네트 워크에 있는 특정 시스템으로 접속을 시도하게 된다. ASEC에서 테 스트 당시 해당 악성코드는 악성코드 제작자의 명령에 따라 [그림 이용되는 Vkontakte, Bebo와 Friendster 로도 악성코드 유포를 시도 한다. 해당 악성코드는 악성코드 제작자의 명령에 따라 다음의 악의 적인 기능들도 수행 가능하다. 로 제공되는 게임이니 첨부된 파일을 실행해보라는 권유를 하고 있다. [그림 1-47] 첨부 파일 실행을 권유하는 메일 본문 1-44]와 같이 특정 시스템에 존재하는 텍스트(Text) 파일을 내려받 게 되어 있었다. - 특정 웹 사이트, 도메인 접속 차단 - Syn Flooding과 UDP Flooding를 통한 분산 서비스 거부(DDoS) [그림 1-44] 텍스트 파일을 다운로드 하는 악성코드 공격 - 파일 내려받기 및 실행 - 실행 중인 프로세스 강제 종료 - 지정된 특정 웹 사이트 및 FTP 로그인 사용자 계정과 암호 탈취 해당 메일에는 bonus23983.exe (36,864바이트) 파일이 첨부되어 있 으며, 해당 파일을 실행하게 되면 [그림 1-48]과 같은 윈도우 보안 센 터가 실행된다. 이번에 발견된 다수의 소셜 네트워크 서비스와 MSN 메신저로 유포 를 시도하는 악성코드는 V3 제품군에서 다음과 같이 진단한다. [그림 1-48] 윈도 보안 센터에 등록된 허위 백신 - Win32/Snhook.worm 이번에 발견된 신용카드 한도초과 안내 메일로 위장한 악성코드는 허위 시스템 복구 프로그램을 설치하여, 시스템 사용자의 신용카드 정보와 금전결제를 통한 금전 획득이 최종적인 목적인 것을 알 수가 있다. 이러한 시스템 복구나 시스템 유틸리티 형태로 위장한 악성코 드는 기존에 사용자들에게 알려져 있는 허위 백신에 비해 새로운 시 도라 할 수 있다. 신용카드 한도초과 안내 메일로 유포된 악성코드 들은 V3 제품군에서 다음과 같이 진단한다. 해당 텍스트 파일은 감염된 시스템에서 보안 제품의 업데이트 또는 보안 업체 웹 사이트로의 접속을 방해하기 위해 다수의 보안 업체 리스트들을 포함하고 있다. 해당 악성코드의 주된 유포 경로는 [그 림 1-45]와 같이 많은 사람이 사용하는 이동형저장장치(USB)와 마 이크로소프트사의 MSN 메신저 프로그램을 악용하고 있다.USB와 [그림 1-45] USB와 MSN 메신저로 전파되는 악성코드의 코드 일부 해당 악성코드는 소셜 네트워크 서비스를 사용하는 이용자들이 증 가함에 따라 악성코드 제작자 역시 악성코드 유포 경로의 범위를 확 장하여 오픈 API를 제공하는 다양한 소셜네트워크서비스들을 악용 한 사례로 볼 수 있다. 그러므로 소셜네트워크서비스를 통해 전달되 는 다양한 메시지 중에는 악성코드 감염을 위해 생성된 메시지도 포 함될 수 있다는 것을 인식하고 의심스러운 메시지에 포함된 링크를 클릭하지 않도록 주의가 필요하다. - Win-Trojan/Agent TG 온라인 게임 안내 메일로 위장한 악성코드 - Win-Trojan/Jorik Win-Trojan/Jorik Win-Trojan/Jorik 월 13일 새벽 온라인 게임 안내 메일로 위장하여 악성코드가 첨부 된 악의적인 스팸 메일(Spam Mail)이 유포되었다. 이번에 발견된 온 라인 게임 안내 메일로 위장한 악의적인 스팸 메일은 다음의 형태를 실행된 윈도우 보안 센터에는 XP Antivirus 2012라는 과거 발견되었 던 국외에서 제작된 허위 백신이 [보안 설정 관리 대상]에 자동으로 포함된다. 그리고 [그림 1-49]와 같이 시스템 전체를 자동으로 검사
11 Web 하고 시스템에 존재하는 정상 파일 다수를 악성코드로 진단하였다 는 허위 문구를 보여준다. [그림 1-51] 금전 결제를 유도하는 허위 백신 [그림 1-53] 부팅 시에 나타난 랜섬웨어 경고문구 국어 간체 및 번체, 일본어, 한국어 그리고 영어를 선택하여 취약한 워드 문서가 정상적으로 실행되도록 하였다. 이러한 생성기가 중국 [그림 1-49] 허위 검사 결과를 보여주는 허위 백신 언더그라운드에서 공유되고 있다는 것은 취약점이나 악성코드 제작 에 대한 특별한 기술이 필요 없이 누구나 악성코드를 생성 가능하다 는 것으로, 전자 문서 취약점을 악용한 악성코드가 지속적으로 발견 될 것으로 보인다. 이러한 전자 문서의 취약점을 악용하는 악성코드 를 예방하기 위한 근본적인 대응 방안은 보안 패치의 설치라고 할 수 있다. 이러한 랜섬웨어 생성기가 제작되고 블랙 마켓을 중심으로 공유되 고 있다는 것은 다양한 랜섬웨어 변형의 제작 시도가 이루어지고 있 으며, 이에 따른 피해 역시 지속적으로 증가할 수 있다는 것으로 해 검사가 끝나면 [그림 1-50]과 같이 사용하는 시스템에서 25개의 심 러시아에서 제작된 랜섬웨어 생성기 석할 수 있다. 이번에 발견된 랜섬웨어 생성기로 제작되는 랜섬웨어 들은 V3 제품군에서 다음과 같이 진단 및 치료한다. 각한 악성코드가 발견되었다는 허위 안내 문구를 보여주며 이를 치 료하기 위해서는 등록을 하라는 문구를 보여준다. 몇 년 전부터 러시아와 동유럽을 중심으로 컴퓨터의 정상 사용을 방 해하고 금전적 대가를 요구하는 랜섬웨어(Ransomware) 감염과 그 - Win-Trojan/Ransome [그림 1-50] 허위 감염 경고를 보여주는 허위 백신 피해는 익히 알려졌다. 이러한 랜섬웨어는 감염 시스템의 언어에 맞 는 언어로 표기되는 등 지속적인 발전을 이루고 있다. 또한 최근 러 시아 블랙 마켓(Black Market)을 중심으로 랜섬웨어를 제작할 수 있 는 생성기가 발견되었다. 이번에 발견된 랜섬웨어 생성기는 [그림 1-52]와 같은 형태로 러시아어로 모든 메뉴가 작성되어 있으며, 화 면 왼편에는 러시아어로 랜섬웨어 감염 시에 보여줄 문구를 표기해 두고 있다. MS 취약점 악용 워드 악성코드 생성기 7월 27일 ASEC에서는 MS 취약점을 악용하여 취약한 워드 문서를 만들 수 있는 악성코드 생성기를 발견하였다. 해당 악성코드 생성기는 [그림 1-54]와 같은 형태를 가지고 있으며, 클릭 몇 번만 으로 악성코드가 포함된 취약한 워드 문서를 생성할 수 있도록 구성 되어 있다. [그림 1-52] 러시아에서 제작된 랜섬웨어 생성기 [그림 1-54] 중국어로 제작된 MS 취약점 악용 악성코드 생성기 등록을 위해 'Register'를 클릭하면 [그림 1-51]과 같이 사용권을 구 매하기 위해 개인 정보들을 입력할 것을 유도한다. 이번에 발견된 온라인 게임 안내 메일로 위장해 국외에서 제작된 허 위 백신을 설치하는 악성코드는 V3 제품군에서 다음과 같이 진단한 다. - Win-Trojan/Banker AS 감염 시에 보여주는 러시아 문구의 내용은 "당신의 시스템에 불법 성인물이 발견되어 사용이 금지되었으며, 이를 해제하려면 500 루 블(한화 약 19,000원)을 내야만 해제 코드가 제공됩니다. 내지 않 을 때에는 시스템은 영원히 사용 금지되며 데이터는 모두 파괴됩니 다"이다. 실제 해당 랜섬웨어 생성기로 생성한 파일을 실행하게 되 면 윈도우 시스템이 재부팅 하게 되며 재부팅 이후에는 MBR(Master Boot Record)을 위 내용으로 덮어쓴다. 그리고 부팅 시에는 [그림 [그림 1-54]의 제일 상단에는 취약한 워드 문서를 열 때 정상적인 문서 파일인 것으로 위장하여 보여질 정상 워드 문서나 RTF 파일 을 선택하게 되어 있다. 두 번째는 취약한 워드 문서를 열었을 때 사 용자 모르게 실행될 백도어 형태의 악성코드를 선택하게 되어 있다. 마지막으로는 정상 RTF 문서 파일과 악성코드가 합쳐진 취약한 워 드 파일을 생성할 위치를 선택 하도록 구성되어 있다. 1-53](러시아의 문구가 손상되어 표기)과 같이 경고 문구가 나타나 며 잠금을 풀 수 있는 코드를 입력하도록 되어 있다. 이 외에 해당 생성기는 마이크로소프트 오피스의 버전에 맞도록 중
12 Web 악성코드 동향 c. 악성코드 분석 특집 시스템 dll 패치 관련 게임핵 악성코드 분석 [그림 1-56] 파일 생성도 최근 주말마다 웹 사이트 취약점을 통해 유포되는 게임핵 악성코드가 점점 증가하는 추세이다. 그 중 많 은 비율을 차지하는 것이 시스템 파일 변조를 통한 악성파일 실행 방법이다. 내려받은 악성코드는 실행 후 윈도우 시스템 파일을 변조하여 사용자가 특정 온라인 게임의 로그인을 시도할 때 계정 정보 유출을 시도한다. 이렇게 유출된 계정 정보는 악의적인 목적으로 거래되거나 또 다른 사용자의 정보 유출을 가 져올 수 있다. [그림 1-55]는 7월 한 달간 (7월 26일 기준) V3 진단 순위다. 게임핵은 지난 6월의 1위에 이어 여전히 상 위권을 차지하고 있다. [그림 1-55] 7월 악성코드 대표 진단명 Top 5 순위 등락 악성코드명 건수 비율 1 9 Win-Adware/Korad 1,210, % 2 1 Win-Trojan/Onlinegamehack 723, % 3 1 Win-Trojan/Downloader 642, % 4 Win-Trojan/Agent 639, % 5 2 Textimage/Autorun 626, % 본 분석문서에서는 게임핵이 사용하는 시스템 파일 변조 기법과 동작 형태 등을 기술하며, 이를 통해 날 로 진화하는 악성 기법에 유연하게 대처하고자 한다. 1. 악성코드 동작 형태 드롭퍼가 윈도우 정상 DLL 파일을 패치 후 시스템 폴더에 게임핵 파일 2개를 생성한다. 게임핵 관련 증 상이 수행될 대상은 asktao.mod 프로세스 명을 가진 중국산 게임이다. 로드된 프로세스가 AutoUpdate. exe 일 경우에는 Setup 폴더내의 모든 파일을 삭제한다. 패치된 DLL 에 의해 1004.ocx 파일이 로드되며 내부적으로 메모리에 ddr003.ocx 파일을 매핑시켜 해당 영역에 스레드를 만들고 실행시킨다. 생성된 스레드에서는 접속 대상 URL을 디코딩하고 asktao 게임 네트워크 관련 모듈인 Communicate.dll 의 메모리 영역을 패치 한다. 또한, 주기적으로 별도의 스레드를 생성하여 사용자가 입력한 계정 관련 정 보의 유출을 시도한다. (생성하는 ocx 파일명은 드롭퍼 내에 하드코딩 되어 있다.) 며, 이를 통해 날로 진화하는 악성 기법에 유연하게 대처하고자 한다. 2. 악성코드 분석 2-1. 드롭퍼 시스템 파일을 유사한 패턴으로 패치하는 드롭퍼는 크게 두 가지 종류로 접수되었다. 주로 20~30 Kbyte 크기이며 UPX로 팩 된 파일이다. 시스템 폴더 내 패치 대상 파일 - dsound.dll - ddraw.dll * 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 일반적으로 윈도우 - comres.dll 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\ - kuser.dll System32, 윈도우 XP는 C:\Windows\System32 폴더이다. - olepro32.dll
13 Web 드롭퍼 별 특징 가. UPX 로 압축된 파일 (Dropper/Onlinegamehack12.Gen) - 파일 내부의 리소스 영역에 생성할 PE 파일을 가지고 있다. [그림 1-57] Unpack 후 파일 구조 2-2. 실행 후 증상 가. 특정 프로그램을 강제 종료하기 위해 프로세스 확인 - 실행 중인 프로세스 리스트에 asktao.mod 와 AutoUpdate.exe 가 있는지 확인한다. [그림1-59] 종료 대상 프로세스 확인. 나. 팩 되지 않은 파일 (Dropper/Onlinegamehack10.Gen) - 파일 진입점(Entry Point)의 주소가 0으로 일반적인 PE 파일과는 다르며, 해당 주소 (PE 파일의 IMAGE_DOS_HEADER 영역) 에 특정 주소로 제어를 옮기는 코드를 삽입한다. - 안티 디버깅 기법을 사용하여, 디버깅 시 EP 위치에 BreakPoint를 설정하면 메모리상의 PE 시그니처 영역이 0xCC 로 변경되면서 이후 ntdll.dll 에서 PE 파일 검증 시 에러가 발생해 정상적으로 실행되지 않는다. [그림1-58] JUMP 이후에는 UPX 파일의 실행점과 동일하다. - 해당 프로세스 명이 존재할 경우 2초 후 해당 프로세스를 종료시킨다. [그림1-60] 대상 프로세스 종료 나. 파일 생성 - 시스템 폴더에 1004.ocx 파일이 존재할 경우 temp 폴더로 이동시키고, 파일 내부에 가지고 있는 실행 파일을 1004.ocx 로 생성한다. - temp 폴더에 생성하는 파일명은 [랜덤숫자열]wdtmp.dat 이다.
14 Web 시스템 폴더에 1004.ocx 파일이 존재할 경우 temp 폴더로 이동시키고, 파일 내부에 가지고 있는 실행 파일을 1004.ocx 로 생성한다. [그림 1-63] 시스템 폴더 내 생성된 파일 - temp 폴더에 생성하는 파일명은 [랜덤숫자열]wdtmp.dat 이다. [그림1-61] [랜덤숫자열]wdtmp.dat 파일 생성 - 리소스 섹션에 6A 와 6C 이름으로 가지고 있는 PE 파일 2개를 시스템 폴더에 1004.ocx, ddr003.ocx 로 생성한다. [그림1-62] 1004.ocx, ddr003.ocx 파일 생성 2-3. 시스템 파일 패치 가. 중복 감염 체크 패치 대상 파일의 모든 섹션을 검색하여 섹션 명에.data2 가 존재하는지 여부로 기 감염 상태인지를 확 인한다. 감염되지 않은 파일일 경우, 파일 내부에 가지고 있던 코드를 마지막.data2 섹션에 주입한다. 마 지막 섹션에 악의적인 코드가 성공적으로 주입되면 해당 파일의 실행 진입점(Entry Point)을 감염 위치의 주소로 변경시킨다. [그림 1-64] 패치 된 시스템 파일의 마지막 섹션 - 파일은 시스템 폴더에 숨김 속성으로 만들어지며, 생성하는 파일명은 드롭퍼 마다 하드코딩 되어있다. 파일 생성이 실패할 경우 드롭퍼 자신을 삭제 후 프로세스를 종료한다.
15 Web 나. 시스템 보호(WFP) 1분간 무력화 - sfc_os.dll 의 #5 번째 Export 함수 호출 - 파일이 교체되어도 시스템 보호 메시지가 출력되지 않음 [그림 1-68] 자신을 삭제하는 배치파일의 내용 [그림 1-65] WFP 관련 파일 * sfc_os.dll _ 윈도우 주요 파일을 보호하기 위한 기능인 WFP (Windows File Protection)와 관련된 라이 브러리 * sfc_os.dll ordinal 5 함수 _ unnamed API SfcFileException함수 다. 파일 생성시간 변조 시스템 파일을 패치 한 후 파일 생성 시간을 원래 파일의 시간으로 변경한다. 이를 통해 변조한 파일을 사용자가 쉽게 알아차릴 수 없게 한다 패치 된 DLL 파일의 동작 과정 패치된 dll 파일이 로드되면 [1001 ~ 1028].ocx 파일을 차례대로 로드 후 원본 시작 주소로 제어가 옮겨 진다. (시스템이 유사한 게임핵으로 중복 감염되었을 때 로드되는 ocx 파일은 다수가 될 수 있다.) [그림 1-69] 감염시 로드되는 ocx 라. 패치 및 파일 교체 과정 1 원본 파일을 New.dll 파일명으로 복사 2 New.dlll 파일을 패치 시킴 3 원본 파일을 [파일명].dll.[랜덤숫자열] 파일명으로 변경 4 패치된 New.dll 파일을 [원본파일명].dll 로 복사 5 패치완료 후 스스로 악성코드 자신의 파일을 삭제하는 배치파일을 생성하여 실행 후 종료한다. [그림 1-66] 시스템 파일 패치 과정 ocx 파일의 동작 과정 가. 해당 파일을 로드한 프로세스 명을 확인하여 다음과 같은 프로세스가 있으면 실행을 종료한다. - AutoUpdate.exe [그림 1-67] 패치된 시스템 파일이 실행하는 파일 - asktao.mod 나. 시스템 폴더에 ddr003.ocx 의 존재 여부를 확인하고 없을 경우 실행을 종료한다. 파일이 존재할 경 우, 메모리를 할당하여(실행/읽기/쓰기 속성 부여) ddr003.ocx파일을 메모리상에 로드시킨다.
16 Web [그림 1-70] 메모리에 로드된 ddr003.ocx 파일 [그림 1-72] Kernel32.dll 에서 호출하는 GetSystemTime 이 저장되는 SYSTEMTIME 구조체 CASE 1. 로드된 프로세스 명이 AutoUpdate.exe 일 경우 패치된 DLL을 로드한 실행파일이 위치한 폴더 내에 'Setup' 폴더가 존재할 경우, 해당 폴더 내 모든 파일 을 삭제한다. Setup\AutoUpdate.exe 경로로 존재하는 파일은 해당 악성코드가 모니터링 하는 백신 프 로그램으로 추정된다. [그림 1-71] 'setup'폴더 존재 시 모든 파일을 삭제 2-6. Mutex 생성 - [랜덤숫자열]asktao 명으로 Mutex를 생성하여 중복 실행을 방지한다. [그림 1-73] Mutex 생성 * Mutex : 시스템의 공용 자원을 사용하는 스레드들이 동시에 실행되지 않고 서로 배제되어 실행되게 하는 기술 CASE 2. 로드된 프로세스 명이 asktao.mod 일 경우 시스템 시간을 비교하여 7월 20일 이전/이후 여부를 확인한다. 20일 이후는 동작하지 않는다. (생성되는 파일마다 동작 시간대가 다를 것으로 추정됨.) 2-7. 스레드 2개 생성 각 스레드는 메모리상에 로드했던 ddr003.ocx 파일의 특정 함수를 실행시킨다. 스레드 별 기능 1) ddr003.ocx 파일 내에서 URL 디코딩 후 생성한 스레드에서 해당 주소로 접속을 시도한다. 2) 주기적으로 URL에 접속하여 사용자 계정 정보를 전송 시도한다.
17 Web 가. Thread #1 ddr003.ocx 파일 끝에서 0x4C8 (1,224) byte 위치의 바이너리를 디코딩하여 접속 대상 URL을 추출한다. [그림 1-78] 0xE9 xxxx (JMP 명령어) [그림 1-74] 디코딩을 통한 접속 URL 추출 나. Thread #2 주기적으로 동작하며 (1sec / 15sec / 2min) 첫 번째 스레드(가. Thread#1)에서 조합한 URL 주소를 이용 Communicate.dll (asktao.mod 프로세스에서 사용하는 네트워크 통신 관련 모듈로 추정)이 로드되어 있 는지 확인하며, 특정 영역의 명령어 바이너리를 비교하여 다른 명령어로 메모리 패치를 한다. 하여 네트워크 접속을 시도한다. [그림 ] 내부에서 스레드 생성 후 aaa 식별자로 네트워크에 접속한다. [그림 1-75] 메모리 패치 모듈의 특정 위치의 명령어를 비교한다. (분석 당시 조건을 통과하는 Communicate.dll 파일을 수집하지 못해 정확한 테스트는 불가 하였다.) [그림 1-76] 바이너리 비교 예 이후에 Communicate.dll 메모리의 여러 영역을 패치 하는 것으로 보인다. [그림 1-77] Communicate.dll 메모리 영역 패치 0xE9로 패치 한 이후의 4byte 주소로 JUMP 하는 명령어로 수정된다. 이때, 제어가 이동되는 주소는 메 모리에 할당된 악성 코드영역이다.
18 Web [그림 ] 내부에서 스레드 생성 후 aaa 식별자로 네트워크에 접속한다. 해당 게임핵 악성파일은 V3 제품군에서 다음과 같이 진단 및 치료가 가능하다. - Dropper/Onlinegamehack12.Gen - Win-Trojan/Onlinegamehack AT - Win-Trojan/Onlinegamehack.5632.BB - Win-Trojan/Patched.DJ 다형성 바이러스 Win32/Xpaj.C 분석 asktao.mod 프로세스 실행 시 다음의 문자열을 조합하여 사용자가 입력하는 계정 정보를 유출한다. [그림 1-80] 계정정보 유출시 조합하는 문자열 Win32/Xpaj 바이러스는 2008년에 처음 발견 되었으며 2009년에는 변형인 Win32/Xpaj.B형이 발견되었 다. 그리고 최근에는 진단 및 치료가 더욱 어렵게 되어 있는 또 다른 변형인 Win32/Xpaj.C형이 발견되었다. 대부분의 바이러스 제작자들은 원본 정상파일이 손상되는 위험을 피하기 위해 복잡하게 원본 파일을 변 경하지 않는 것이 일반적이다. 그러나 최근에 발견된 in32/xpaj B형, C형 바이러스 같은 경우는 예외라고 할 수 있다. Win32/Xpaj B형, C형 바이러스들은 EPO(Entry-point Obscuring)와 다형성 바이러스 특징을 모두 가지고 있어서 바이러스의 시작지점과 공통적인 바이러스 몸통 부분을 찾기가 어렵다. 좀 더 자세히 살펴보면 정상 CALL, JMP 명령어를 임의로 패치 하여 자신이 원하는 코드 상의 위치로 분 기하도록 하였으며 바이러스 몸통 부분으로 진입하기 위해 정상 서브루틴들을 임의로 변경하였다. 또한 명확한 바이러스 감염 표시가 없어서 파일의 감염 여부를 확인 하는 것도 다른 바이러스에 감염된 파일 에 비해 쉽지 않다. * EPO(Entry-point Obscuring) virus Entry-point Obscuring을 우리말로 하면 시작 실행시점 불명확화 라고 할 수 있을 것이다. 즉, 일반적인 바이러스 처럼 정상파일의 EP(Entry-Point:프로그램의 진입점)를 변경시켜 바이러스 자신이 실행시키고자 하는 것을 실행시키 는 것이 아니라 임의의 CALL 명령어 또는 JMP 명령어 부분을 바이러스 진입지점으로 수정하는 바이러스들을 공통적 으로 EPO라고 칭한다. 이런 EPO기법을 상당수의 AV엔진에서 진단하기 어려운 이유는 정상파일 코드영역 중 어느 부 분의 CALL 또는 JMP 명령어가 변경되었는지 알 수 없기 때문에 변경되는 패턴을 찾지 못하면 코드영역 진입점부터 끝까지 스캔해서 찾아야 하는 어려움이 있기 때문이다. 3. 대응책 게임핵의 주요 유포 경로는 취약점을 이용한 내려받기다. 따라서 사용자가 Internet Explorer 및 Adobe Reader 등을 주기적으로 업데이트하면 악성파일의 감염을 예방할 수 있다. 또한 V3에서는 시스템 파일 을 대상으로 한 악성코드를 예방, 치료하기 위해 정상파일 변조 방지 및 감염형태별 다양한 치료법을 반 영할 예정이다. * 다형성(Polymorphic) virus 파일이 감염될 때마다 그 형태가 변하는 다형성(Polymorphic)기법을 이용하여 감염여부를 확인하기 어렵도록 한 바 이러스를 다형성 바이러스라고 한다. 일반 백신에서 바이러스 코드의 특징을 찾아 감염 여부를 확인 한다는 것이 알려 지면서 바이러스 제작자들은 암호화 방법을 구현하는 코드들을 변화시켜 특징을 찾기 어렵도록 했다. 암호화를 푸는 부분이 항상 일정한 단순 암호화 바이러스와는 달리 암호화를 푸는 부분조차도 감염될 때마다 달라지도록 만든 것이다. [표 1-8]은 변종별 특이사항을 표로 나타낸 것이다. [표 1-8]에서 보이는 것처럼 최초 발견된 A형 같은 경우에는 감염 위치가 마지막 섹션으로 고정이고 CALL 명령어들만 패치 되어 있는 경우라서 진단/치료 가 비교적 쉬웠다. 그러나 최근에 발견된 C형은 감염 섹션이 임의적이고 진단 후 치료에 필요한 데이터 들이 암호화되어 있어 치료도 쉽지 않다.
19 Web [표 1-8] 변종별 감염 특징 및 특이사항 이것을 바탕으로 OllyDBG(Olly Debugger)와 같은 디버거 툴에서 감염된 서브루틴을 찾을 때 바이너리 검 색을 통해 '55 89 EC'가 어디 있는지 확인한다면 쉽게 찾을 수 있다. [그림 1-82] 정상 서브루틴과 감염된 서브루틴 비교 1. 감염된 파일 특징 Win32/Xpaj.C형에 의해 감염된 파일은 [그림 1-81]과 같은 특징을 가진다. 왼쪽의 Normal File 은 일 반 정상파일이며 이 파일이 바이러스에 감염된다면오른쪽의 Infected File 과 같이 바뀌게 된다. 가장 큰 특징은Win32/Xpaj.C형의 실질적인 몸통인 Virus body 가 파일의 섹션 중 한 곳에 삽입된다.파일 에 따라 패치된 CALL이 있을 수도 있고 없을 수도 있지만, 정상 서브루틴들이 임의로 감염되는 것은 동 일하게 나타난다. 원본 데이터들은 바이러스 몸통 부분에 인코딩 되어 저장되어 있다. 패치된 콜은 감염 된 서브루틴으로 분기되도록 동작을 하고 감염된 서브루틴들은 바이러스 몸통 부분의 데이터들을 이용 해서 실제 바이러스 코드가 실행되도록 하는 동작을 한다. 바이러스 몸통은 크게 4부분으로 분류할 수 있다. 첫 번째는 바이러스 감염 동작을 하는 Virus Code 부분, 두 번째는 정상 서브루틴이 인코딩 되어 있는 Encoded Original Subroutine 부분, 세 번째는 디코딩과 다양한 용도의 데이터를 추출할 때 사용되는 4bytes Data 부분, 그리고 마지막으로 'Virus Code'부분을 디코딩하고 그 후 분기하기 위한 코드들이 들어있는 'Decoding Routine Space'부분이다. Win32/Xpaj.C형의 가장 큰 특징 중 하나는 바이러스 몸체를 삽입하는 섹션을 선택하는 기준을 정확하 게 판단하기 어렵다는 것이다. [그림 1-83]처럼 같은 섹션 개수와 이름을 가지고 있더라도 파일속성과 Virtual Size 등의 조건에 따라 바이러스 몸체가 삽입되는 대상 섹션이 달라진다. [그림 1-83]과 같은 경 우 '.edata'섹션에 바이러스 몸체가 삽입된 경우와 '.rsrc' 섹션에 삽입된 경우이다. 두 파일의 차이는 아래 파일(ir41_qc.dll)의 '.edata' 섹션에는 'IMAGE_SCN_MEM_SHARED' 속성이 있는데 Win32/Xpaj.C형은 해 당 속성이 있으면 삽입할 수 없는 섹션으로 판단하고 아래에 있는 섹션에 바이러스 몸체를 삽입한다는 점이다. [그림 1-83] 섹션 속성에 따라 다른 감염 대상 섹션 [그림 1-81] 정상파일과 감염된 파일 비교 [그림 1-84]는 위에서 설명한 것처럼 바이러스 몸체를 삽입하고자 하는 섹션을 찾는 과정을 다이어그 램으로 나타낸 것이다. 바이러스가 감염 대상을 찾을 때 섹션 정보를 아래에서부터 확인한다. 그리고 [그림 1-82]는 감염된 서브루틴을 보여주고 있는데 여기서 Win32/Xpaj.C형의 특징 중 하나를 확인할 수 있다. 기본적으로 코드 상의 PUSH EBP 와 MOV EBP ESP 명령어의 16진수 데이터 값은 '55 8B EC' 이다. [그림 1-82]의왼쪽 Normal File 의 빨간 상자 안의 값은 정상적으로 55 8B EC 인 것 을 확인 할 수 있으나 그러나 오른쪽의 감염된 Infected File 은 같은 명령어의 데이터 값이 '55 89 E5' 인 것을 확인할 수가 있다. 즉, 감염된 서브루틴은 E5 로 시작되는 특징을 가지고 있다. '.reloc' 섹션은 감염 대상이 되지 않는 섹션으로 판단하고 '.rsrc' 섹션은 일차적으로는 감염 대상이 되지 않는 섹션으로 판단하지만 바로 위의 섹션 또한 감염 조건에 맞지 않으면 다시 '.rsrc' 섹션의 속성을 확인 해서 감염조건이 맞으면 해당 섹션에 바이러스 몸체를 삽입한다. 그리고 삽입 가능한 섹션들의 공통적인 특징으로는 해당 섹션의 속성에 'IMAGE_SCN_MEM_SHARED' 속성이 없어야 하고 Virtual Size가 너무 크지 않아야 한다.
20 Web [그림 1-84] 바이러스 몸체 삽입 대상 섹션을 찾는 과정 [그림 1-85]는 간단한 정상파일들의 분기과정들에 비해 감염된 파일의 경우는 복잡한 분기과정을 거치 는 것을 보여주고 있다. 그리고 Infector 의 경우는스레드로 생성되어 동작을 한다 Main Subroutine 메인 서브루틴은 상당히 복잡한 과정을 거친다. 바이러스 코드 부분을 정확하게 동작하고 감염시키기 위 해서 다양한 데이터들을 추출하는 과정을 거치는데 그 중 가장 먼저 추출하는 데이터는 주소값 연산할 때 'Base Address'로 사용하기 위한 '기준 주소'를 얻는 것이다. [그림 1-86]은 예제 파일의 코드 상에서 기준 주소가 되는 부분을 보여주고 있다. 대부분은 이 '기준 주소'는 메인 서브루틴에서 처음으로 호출되 는 CALL 명령어의 Return 주소가 된다. [그림 1-86] 메인 서브루틴에서 '기준 주소 위치' 2. 감염된 파일의 동작 감염된 파일이 실행되면 처음에는 정상 루틴을 돌다가 패치 된 CALL/JMP를 만나면 바이러스가 원하는 메인 서브루틴 또는 다른 서브루틴으로 분기하고 다른 서브루틴들은 다시 메인 서브 루틴으로 분기하는 동작을 한다. 이렇게 분기된 메인 서브루틴에서는 [그림 1-81]에 표기된 다음의 과정을 수행한다. 1 바이러스 몸체의 '3. 4 bytes Data'들을 이용해서 필요한 데이터들을 얻어온다. 2 '4. Decoding Routine Space' 부분에 있는 데이터들을 이용해서 '1. Virus Code' 부분을 디코딩하고 분기를 한다. 3 분기된 바이러스 코드에서는 인코딩 되어 있는 '2. Encoded Original Subroutine 부분을 디코딩해서 정상 루틴을 실행하고 시스템의.dll,.exe 등의 파일들을 검색해 감염 조건 등을 확인해서 정상 [그림 1-87]은 위에서 구한 '기준 주소'와 바이러스 몸통에 저장된 '3. 4 bytes Data'([그림 1-81])들을 이 용하여 연산하는 과정을 보여주고 있다. 4개의 4 bytes Data들([그림 1-81]), 세 번의 덧셈연산과 세 번 의 XOR 연산이 그리고 코드 상의 3개의 상숫값들이 짝을 이루고 있다. 이 연산을 통해서 디코딩 루틴의 시작 주소, 디코딩 대상 코드의 시작 주소 등의 데이터를 추출해 낸다. [그림 1-87] 3. 4bytes Data 를 이용한 연산과정 파일들을 감염하는 동작을 한다. [그림 1-85] 정상파일과 감염된 파일의 동작 차이
21 Web 위의 과정을 거치면서 추출한 데이터들로 필요한 루틴을 실행하게 되는 크게는 'ZwProtectVirtualMemory' API를 이용해서 바이러스 몸체가 있는 부분의 메모리 속성을 변경해서 데이터를 Write 할 수 있게 한다. 그리고 '3. 4 bytes Data' ([그림 1-81])영역에서 데이터들을 4 bytes씩 읽어와 PUSH/POP의 동작 으로 특정 영역에 데이터를 덮어쓰면서 디코딩 루틴을 생성하고 한번 더 덮어써서 디코딩된 바이러스 코 드로 JMP 명령어를 통해 분기될 수 있도록 한다. [그림 1-88] 바이러스 몸체 부분을 디코딩하기 위한 메인 서브루틴의 주요동작 앞에서 설명한 것처럼 첫 4 bytes는 스택에 저장된 데이터를 그대로 덮어쓰고 그 뒤의 데이터들은 4 bytes 씩 스택에 저장된 다른 데이터들을 이용해서 디코딩한다. 즉, [그림 1-90]내의 스택에 보면 각 데 이터값들을 '디코딩 연산 값. 1,2,3'으로 표현을 하였다. 여기서 '디코딩 연산 값. 2'를 하나씩 더하고 '디코 딩 연산 값3'과 더한 후 4 bytes 이후의 값들과 xor 연산을 하면서 디코딩한다. [그림 1-90] 디코딩 전후의 변화와 디코딩 과정의 수식표현 이런 과정들을 거치면서 바이러스 코드부분을 디코딩한 후에 그곳을 분기하면서 본격적으로 감염동작을 하기 위한 작업을 한다 Virus body decryptor 메인 서브루틴에 의해 생성된 디코딩 루틴은 [그림 1-89]와 같은 코드로 모든 Win32/Xpaj.C형 바이러스 에 동일하게 나타난다. 첫 4바이트는 스택에 저장해둔 4byte 값으로 바꾸고 그 후에는 역시 스택에 저장 해둔 데이터들을 이용해 덧셈연산으로 첫 4바이트 이후의 데이터들을 디코딩한다. 스택에는 디코딩하고 자 하는 크기 또한 저장되어 있어 4 bytes 씩 디코딩할 때마다 그 크기를 줄여주면서 원하는 만큼의 디코 딩 수행이 가능하다. 이를 좀 더 쉽게 설명하기 위해 그림과 동작과정을 표현한 것이 [그림 1-90]이다. [그림 1-85]는 간단한 정상파일들의 분기과정들에 비해 감염된 파일의 경우는 복잡한 분기과정을 거치 는 것을 보여주고 있다. [그림 1-89] Virus Code 디코딩 루틴 2-3. Infector 디코딩된 바이러스 코드부분을 간단하게 요약해서 감염동작 하는 부분만을 뽑아낸다면 [그림 1-91]과 같다고 할 수 있다. 실제로는 많은 양의 코드들이 있고 하나의 API 주소를 얻어오기 위해서도 많은 과정 을 거친다. 그중에는 굳이 필요 없는 'garbage code'가 많았는데 이 때문에 분석이 쉽지 않았으며 많은 시간이 필요했다. 이 복잡한 Win32/Xpaj.C형은 다음의 동작을 수행한다. 1 시스템에 있는 '.exe', '.dll' 등의 파일들을 'MapViewOfFile' API를 이용해 메모리에 매핑한다. 2 파일 헤더 부분과 섹션 정보들을 읽어서 '감염 대상파일인지', 그렇다면 '바이러스 몸체는 어느 섹션에 삽입해 놓을 것인지'를 결정하는 동작을 한다. 3 감염 조건에 맞는 파일과 섹션을 찾는 다면 '%temp%' 폴더에 임시 파일을 생성하여 다시 'MapViewOfFile' API를 통해 메모리에 매핑하고 정상파일에 바이러스에 감염된 상태의 데이터들을 저장하고 '.tmp'파일을 생성한다. 4 정상파일을 삭제하고 같은 경로와 이름으로 '.tmp'파일을 복사하고 이 파일은 삭제하는 방식으로 감염대상 파일들 을 감염한다. 5 2번의 동작에서 감염 대상 파일과 조건에 맞는 섹션을 찾지 못한다면 바로 'UnMapViewOfFile'과 'CloseHandle' API를 호출해 매핑되어 있는 메모리 영역과 파일 핸들을 끊고 다음 파일을 다시 매핑해서 파일을 스캔 하는 동작 을 한다.
22 Web [그림 1-91] Win32/Xpaj.C의 파일 감염 동작 [그림 1-92] 패치된 CALL명령어 치료 데이터 3. 진단 & 치료 정상 서브루틴 또한 위와 같은 방법으로 데이터가 저장되어 있다. 차이라면 '32bytes(0x20)' 이후의 코드 부분에 '1byte 디코딩'을 한 번 더 해주어야 정상 코드가 나온다는 것이다. [그림 1-93]은 서브루틴을 치 료하기 위해 필요한 '32bytes(0x20)'의 치료 데이터를 보여주고 있다. 이 치료 데이터들의 xor연산을 통해 치료할 위치와 크기 그리고 다음 서브루틴 치료를 위한 offset상의 위치 등을 알 수 있다. 정상파일이 바이러스에 감염된 후 확연히 구분되는 특징이 있다면 이 부분을 진단에 이용하면 된다. 그 [그림 1-93] 서브루틴 치료 데이터 러나 Win32/Xpaj.C형은 정상파일이나 감염된 파일이나 파일의 차이가 거의 없어서 현재 대부분의 AV 업 체들이 진단에 어려움을 겪고 있다. 또한 진단하더라도 파일마다 많은 시간을 들여 스캔해야 하므로 엔 진의 진단속도 이슈 역시 발생할 수 있다. 이러한 이유로 진단하는 데 어려움이 있지만 V3에서는 분석을 통해 확인된 정보와 바이러스 디코딩 루틴을 에뮬레이팅하는 등의 방법으로 Win32/Xpaj.C형을 진단한다. 바이러스는 진단보다 치료에 더 많은 시간과 리소스를 필요로 한다. 일반적으로 바이러스를 치료하기 위 해서는 치료 데이터가 필요하다. 이 치료 데이터들을 통해 원본 데이터와 위치정보를 가지고 복원과 바 이러스 몸체 부분은 삭제하는 식으로 치료를 한다. 그러나 Win32/Xpaj.C형은 그 치료데이터를 찾기가 쉽 지 않았고 분석결과 다른 일반적인 바이러스들과 다르게 이 치료 데이터들조차 인코딩되어 따로 저장되 어 있었다. 즉, 해당 치료 데이터를 얻기 위해서는 1차적으로 디코딩 작업을 진행한 후에 정보를 추출할 수 있었다. 패치된 CALL이나 서브루틴의 앞부분 '32bytes(0x20) 데이터'에 치료를 위한 정보가 있는 것을 확인하였 그리고 '1byte 디코딩'을 통해 정상 서브루틴의 코드를 완성한다. [그림 1-94]의 상단에 디코딩 코드가 있 는데 디코딩 하려는 데이터와 '32bytes(0x20)'의 첫번째 값 '4a'를 xor연산하는 것을 나타내고 있다. 처음 으로 완성된 정상 서브루틴의 초반에는 '0x '의 데이터를 갖는데, 이는 메인 서브루틴을 나타 내는 시그니처로 볼 수 있다. 마지막 5byte는 덮어 쓴 원본코드 다음 명령어로 분기하는 JMP명령어가 포 함되어 있다. 고 그 부분에 치료할 위치의 RVA, 치료할 크기, 다음 패치된 CALL의 위치 등을 유추할 수 있는 정보가 있었다. [그림 1-92]는 패치된 CALL에 대한 치료 정보 데이터와 '5bytes JMP 명령어들'과 각 데이터들에 의해 어떤 정보들을 알 수 있는지 보여준다. 구조는 '32bytes(0x20) 크기의 정보데이터'와 '5bytes의 JMP 명령어'가 짝으로 패치된 CALL의 수 만큼 정보를 가지고 있다. 그리고 '5bytes의 JMP명령어'는 패치 전 정상 CALL명령어에 의해 분기하는 곳의 RVA 값이다.
23 Web Web [그림 1-94] 1 byte 디코딩 후의 정상 서브루틴 02. 시큐리티 동향 a. 시큐리티 통계 원래 정상 루틴에서는 주소값들이 정상 코드 영역으로 분기되도록 그 값을 가지고 있는 것이 일반적이 다. 그러나 바이러스에 감염되고 디코딩된 후의 정상루틴은 바이러스 영역 내의 주소에서 동작하므로 그 주소값들을 바이러스 영역 내의 디코딩 된 정상 루틴 부분으로 보정해주는 작업을 추가로 해야 한다. 이 는 바이러스 코드에서도 그대로 보정 후에 실제 디코딩된 정상 루틴을 실행시킨다. 4. 결론 일반적으로 바이러스는 최대한 시스템 내의 많은 파일을 감염시키고 분석가들이 진단/치료하기 어렵게 한다. 그러나 Win32/Xpaj.C형은 경우는 까다로운 감염 조건 때문에 다른 바이러스들에 비해 많은 파일이 감염되는 편은 아니다. 대신 감염이 까다로운 만큼 진단/치료에 많은 시간과 노력이 필요하게 되어 있다. 하루, 이틀이 아니라 1주, 2주, 아니면 한 달에 걸쳐서 바이러스와 싸워야만 진단/치료법을 적용할 수 있 을 것이다. 이에 바이러스 치료에 새로운 접근법이 필요하지 않을까?'하는 생각들이 스쳐 지나가곤 했다. 정상파일들을 백업 해놓고 이들이 바이러스에 감염된 것으로 확인되면 백업 해놓은 정상파일로 교체해 주는 치료는 어떨까? 물론 시스템에 부하가 발생하고 저장 공간도 부족할 것이다. 그렇지만 최근의 클라 우드 기술과 파일을 MD5 또는 SHA1값으로 관리하는 방법 등을 접목한다면 AV 업체들에 조금이라도 희 망적인 방법이 나타나지 않을지 생각해본다. 바이러스와 치료에 대한 특성을 잘 알고 있는 악성코드 제작자들은 점점 늘어가고 더불어 다형성 바이러 스와 같이 분석 뿐만 아니라 진단/치료가 어려운 악성코드들이 계속해서 발전할 것이다. 이에 AV업체들 도 정보와 기술을 자신만의 재산이라 생각하지 말고 지식을 공유하고 함께 고민해본다면 더 나은 방법과 정보가 생겨날 것이라 기대한다. 7월 MS보안 업데이트 현황 마이크로소프트사가 제공하는 이달의 보안업데이트는 긴급 1건과 중요 3건으로, 총 4건이다 [그림 2-1] 공격 대상 기준별 MS 보안 업데이트 위험도 긴급 중요 중요 중요 취약점 MS Bluetooth 스택의 취약점으로 인한 원격 코드 실행 문제점( ) MS Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점( ) MS Windows CSRSS(Client/Server Runtime Subsystem)의 취약점으로 인한 권한 상승 문제점 ( ) MS Microsoft Visio의 취약점으로 인한 원격 코드 실행 문제점( ) [표 2-1] 2011년 7월 주요 MS 보안 업데이트
24 Web 시큐리티 동향 b. 시큐리티 이슈 [그림 2-5] 발견된 MS 취약점을 악용하는 워드 파일들 발견된 취약한 워드 파일들은 모두 [그림 2-6]과 같은 쉘 코드 (Shellcode)만 조금씩 다르게 조작되어 있다. 국내 CVE Adobe Flash 취약점 악용 증가 지난달 ASEC 리포트에서는 제로데이 취약점인 CVE Adobe Flash 취약점을 소개했다. 어도비사(Adobe)에서 지난 6월 중순경 해당 취약점을 해결하기 위한 보안업데이트(APSB11-16)를 발표하였음에도 불구하고, 6-7월에 걸쳐 CVE 취약점 을 악용하는 웹 공격이 매우 활발하게 이루어졌다. [그림 2-2] SWF/CVE 피해 수치 국내에서 발견되는 대부분의 악성 Flash 파일은 숨겨진 '<iframe>' 연 결 페이지 안에 삽입되어 있다. 이러한 파일(악의적인 Flash 파일)은 내부적으로 'info' 파라미터를 통해 얻은 또 다른 URL로부터 악성 콘 텐츠를 내려받도록 설계되어 있다. 초기에 발견된 Flash 파일 사례 들은 [그림 2-3]과 같이 'info' 파라미터를 디코딩하면 절대 경로를 갖는 Full URL 정보를 얻을 수 있고, 이를 통해 온전한 악성 PE 파일 을 내려받는다. [그림 2-3] 악성 Flash 링크 사례들 최근에는 [그림 2-4]와 같이 더욱 짧아진 'info' 파라미터를 사용한 다. 이를 디코딩하면 절대 경로가 아닌 상대 경로를 갖는 URL을 획 득하는 변형된 형태도 발견되고 있다. [그림 2-4] 짧아진 'info' 파라미터 또한, URL을 통해 내려받게 되는 실제 악의적인 콘텐츠 중에는 온 전한 PE 파일(디코딩하면 바로 MZ 헤더가 붙어 있는)이 아닌 쉘 코 드(Sell Code)의 일부만 받아오는 형태로 변형되기도 하였다. 이는 flash 파일 안에서 heap_spray를 위한 NOP+Shell Code를 생성하 는 데 필요한 것으로, flash 취약점을 이용해 동작 중인 악성코드의 내부에 의해서 내려받은 부분적인 쉘 코드를 XOR 디코딩하여 사용 하므로 내려받은 파일 자체는 정상적인 PE 파일이 아닐 수 있다. 한 동안 해당 취약점은 그 형태가 발전되며 주요 웹 공격 익스플로이트 (Exploit)로 활용될 것으로 예상된다. 웹 서핑 전에는 반드시 Adobe 제품군에 대한 업데이트가 최신으로 적용되었는지 확인하는 것이 필요하다. MS 취약점 악용 워드 악성코드 발견 최근 몇 년간 악성코드 유포에 사용되고 있는 취약점 대부분은 웹 브 라우저(Web-Browser) 또는 웹 애플리케이션(Web Applications)과 관 련된 것들이 많았다. 특히 최근에는 어도비 플래시 플레이어(Adobe Flash Player)에 존재하는 CVE 취약점을 악용한 악성코 드 유포가 증가하고 있어 ASEC에서 주의를 당부한 바 있다. 최근에 발견되는 워드 취약점을 악용한 악성코드는 2010년 11월 배 포한 'MS Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점( )' 취약점을 악용하는 사례가 대부분이다. 2011년 3 월 일본에서 발생한 대지진 재난을 악용한 악성코드 유포, 2011년 5 월 오사마 빈 라덴(Osama Bin Laden)의 사망을 악용한 악성코드 유 포 사례들에서도 해당 취약점이 악용되었다. 최근 다시 [그림 2-5]와 같은 파일명들로 MS 취약점을 악용한 악성코드들이 발견되 고 있으며, 이러한 취약한 워드 파일 형태의 악성코드는 메일의 첨부 파일로 유포되는 사례가 다수를 차지하고 있어 메일에 첨부된 워드 파일에 대해서는 각별한 주의가 필요하다. [그림 2-6] 취약한 워드 파일들에 사용된 쉘코드 일부분 앞서 언급한 바와 같이 PDF와 워드에 존재하는 취약점을 악용한 공 격은 2011년 4월에 알려진 RSA 침해사고에서와 같이 메일의 첨부 파일 형태로 타킷 공격(Targeted Attack)에 악용된다. 따라서 사용 하는 제품에 맞는 보안 패치를 설치하는 것이 보안 위협에 노출되는 것을 근본적으로 차단할 수 있다. 이번에 발견된 MS 취약점 을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다. - Dropper/Cve MS 취약점을 이용한 악성코드 유포 악성코드 제작자가 악성코드를 제작하고 유포하는 것은 금전적인 이득을 취하기 위한 하나의 생계수단이 되었다. 따라서 제작한 악 성코드를 여러경로(주로 침해 사이트)를 통해 유포시켜 악성코드에 감염된 PC를 많이 양산해야 한다. 이때 해킹된 웹 사이트에 접속 한 PC에 있을 만한 여러 가지 취약점들을 고려하여 최적화된 악성 스크립트가 사용되고 있다. MS 취약점을 이용한 악성코드 유포사례의 구조는 [그림 2-7]과 같다. [그림 2-7] MS 취약점을 이용한 악성코드 유포구조
25 Web 웹 보안 동향 a. 웹 보안 통계 월별 악성코드 유형 2011년 7월 악성코드 유형은 전달의 679건에 비해 유사한 677건이다. 1, % % % 웹사이트 보안 요약 안철수연구소의 웹 브라우저 보안 서비스 사이트가드(SiteGuard)를 통해 산출된 2011년 7월 웹 사이 트 보안 통계 자료를 살펴보면 악성코드를 배포하는 웹 사이트의 차단 건수는 145,467건이다. 또한, 악성코드 유형은 677건이며, 악성코드가 발견된 도메인은 799건, 악성코드가 발견된 URL은 4,863 건이다. 2011년 7월은 전월 대비 악성코드 유형은 다소 감소하였으나, 악성코드 발견 건수, 악성코드 가 발견된 도메인, 악성코드가 발견된 URL 은 증가하였다. 악성코드 배포 URL 차단 건수 49, ,467 악성코드 유형 악성코드가 발견된 도메인 악성코드가 발견된 URL [표 3-1] 웹 사이트 보안 요약 월별 악성코드 배포 URL 차단 건수 2011년 7월 악성코드 배포 웹사이트 URL 접근에 따른 차단 건수는 지난 달 49,317건에 비해 295% 수준인 145,467건이다. 150, , ,000 75,000 50,000 25,000 0 [그림 3-1] 월별 악성코드 발견 건수 , % % +16,399 49, % +96,150 2,398 4, , % [그림 3-2] 월별 악성코드 유형 월별 악성코드가 발견된 도메인 2011년 7월 악성코드가 발견된 도메인은 전달의 636건에 비해 126% 수준인 799건이다. 1, [그림 3-3] 월별 악성코드가 발견된 도메인 월별 악성코드가 발견된 URL 2011년 7월 악성코드가 발견된 URL은 전달의 2,398건에 비해 203% 수준인 4,863건이다. 5,000 4,000 3,000 2,000 1,000 0 [그림 3-4] 월별 악성코드가 발견된 URL % % % ,684 +3% , % +2, , %
26 Web 악성코드 유형별 배포 수 악성코드 유형별 배포 수는 애드웨어 류가 53,991건으로 전체 37.1%의 비율을 보이며 1위를 차지하 였고, 트로잔 류가 47,844건으로 전체 32.9%로 2위를 차지하였다. 03. 웹 보안 동향 b. 웹 보안 이슈 [그림 3-5] 악성코드 유형별 배포 수 악성코드 배포 순위 유형 건수 비율 ADWARE 53, % TROJAN 47, % DOWNLOADER 32, % DROPPER 1, % Win32/VIRUT 1, % JOKE 1, % APPCARE % SPYWARE % ETC 5, % 145, % [표 3-2] 악성코드 유형별 배포 수 ADWARE 53,991 TROJAN 47,844 DOWNLOADER 32,682 ETC 5,925 DROPPER 1,951 WIN32/VIRUS 1,723 JOKE 1,081 APPCARE 223 SPYWARE 47 악성코드 배포 순위는 [표 3-3]에서 볼 수 있듯이Win-Adware/ADPrime 이 28,560건으로 1 위를 차지하였으며, Top 10에 Win-Adware/ADPrime 등 7건이 새로 등장하였다. [표 3-3] 악성코드 배포 Top 10 50,000 40,000 5,000 2,500 순위 등락 악성코드명 건수 비율 1 NEW Win-Adware/ADPrime , % 2 NEW Win-Trojan/Downloader , % 3 NEW Win-Downloader/KorAd , % 4 1 Win-Adware/KorZlob , % 5 NEW Win-Trojan/Downloader C 6, % 6 NEW Win-Adware/Adprime , % 7-3 Win-Downloader/Cybermy , % 8-1 Win-Downloader/Cybermy , % 9 NEW Win-Adware/BHO.Adprime , % 10 NEW Win-Trojan/Agent EH 2, % 0 109, % 2011년 7월 침해 사이트 현황 [그림 3-6]은 악성코드 유포목적을 위한 침해사고 사이트 현황으로, 7월에는 전월대비 약 35%의 증가를 보이고 있다. 그 원인으로는 기 존의 침해 사이트 중 5, 6월에 잠잠했으나 7월에 들어서 침해사고가 재발한 사이트들의 증가와 신규로 발견된 침해 사이트 때문으로 풀 이할 수 있다. [그림 3-6] 2011년 7월 악성코드 유포목적의 침해 사이트 현황 [표 3-4]는 한 달 동안 침해 사이트를 통해서 유포된 악성코드 Top 10을 나타낸 것이다. 7월에 47개의 사이트에서 유포된 Win-Trojan/ Onlinegamehack55.Gen, Win-Trojan/Onlinegamehack56.Gen은 특정 온라인 게임 사용자의 계정정보를 탈취하는 온라인 게임핵 악성코드 를 보호하기 위한 RootKit이다. 주 단위로 악성코드 Top 10을 비교해 [표 3-4] 해킹된 웹 사이트를 통해서 유포된 악성코드 Top 10 순위 악성코드명 건수 1 Win-Trojan/Onlinegamehack55.Gen 47 2 Win-Trojan/Onlinegamehack56.Gen 47 3 Win-Trojan/Patched.DE 23 4 Dropper/Onlinegamehack Dropper/Onlinegamehack Win-Trojan/Agent Dropper/Onlinegamehack Dropper/Onlinegamehack Dropper/Onlinegamehack Win-Trojan/Onlinegamehack B 13 보면 일부를 제외한 대부분은 새로운 진단명이 Top 10에 랭크된다. 이는 주로 주말에 유포되고 있는 악성코드가 자동화, 대량화를 기반으 로 일회성 유포되고 있음을 의미한다. 7월 한 달간 침해 사이트들을 통 해서 유포된 악성코드들의 동향을 요약해 보면 아래와 같다. - 소셜커머스(Social Commerce) 사이트 악성코드 유포: - MS 취약점을 이용한 악성코드 유포: - 시스템 파일 교체 악성코드는 계속 변화 중: - 노출형 배너 광고를 이용한 악성코드 유포사례: 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포 최근 소셜 커머스(Social Commerce) 사이트들이 많이 생겨나면서 이런 사이트들에 대한 공격과 해킹된 소셜 커머스 사이트를 통한 악 성코드 유포사례가 발생했다. 유포된 악성코드가 PC를 감염시키기 위해서 사용한 취약점들을 정리해 보면 [그림 3-7]과 같으며, 다수의 취약점을 사용하여 최대한 많은 PC들을 악성코드에 감염시키려 했 음을 알 수가 있다. [그림 3-7] 악성코드 스크립트의 동작구조
27 Web 53 VOL. 19 ASEC REPORT Contributors 노출형 배너 광고를 이용한 악성코드 유포사례 해킹된 사이트를 통한 악성코드 유포는 평일이면 잠잠하다가 주말이 시작되는 금요일 저녁부터 발생하여 토, 일요일에 집중된다. 7월 네 번째 주에는 일부 블로그에서 악성코드가 유포되는 것이 탐지되었 다. 해당 블로그들의 공통점을 조사해 본 결과, 특정 업체에서 제공 하는 배너광고 스크립트를 사용하고 있었다. 추가로 검색 사이트를 이용해서 검색해 본 결과, 아래 그림처럼 상당수의 블로그나 사이트 에서 해당 배너광고 스크립트를 사용하고 있음을 확인할 수 있었다. [그림 3-8] 사이트 검색결과 편집장 선임 연구원 집필진 선임 연구원 선임 연구원 선임 연구원 연구원 연구원 연구원 안 형 봉 심 선 영 안 창 용 장 영 준 김 아 영 이 정 신 이 현 목 감수 상무 조 시 행 즉 특정 배너광고 업체가 해킹되었고 해당 업체에서 제공한 배너광 고 스크립트를 사용하는 모든 블로그나 사이트는 악성코드 유포 사 이트로 이용되었다는 것이다. 이번 사례와 관련해서 안철수연구소에 서는 이미 '배너광고 사이트를 통한 악성코드 유포사례'에 대해서 아 래 링크의 포스팅에서 언급한 바 있다. 참여연구원 ASEC 연구원 SiteGuard 연구원 [그림 3-9] 악성코드 유포구조 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. * 관련 정보: '여러분의 배너광고는 안전한가요?': '악성코드는 온라인 게임 사이트를 타고,,,': 배너 광고 관련 사이트 해킹을 통한 악성코드 유포 사례: ahnlab.com/218
세상에서 가장 안전한 이름 안철수연구소 월간 안 2011. 09 CONTENTS 03 04 11 13 18 21 24 25 28 CEO COLUMN 스티브 잡스와 소프트웨어 SPECIAL REPORT 우리 회사에 적합한 망분리 솔루션은? MARKET INTELLIGEN
안철수연구소 보안 매거진 2 0 1 1. 0 9 SPECIAL REPORT 우리 회사에 적합한 망분리 솔루션은? 세상에서 가장 안전한 이름 안철수연구소 월간 안 2011. 09 CONTENTS 03 04 11 13 18 21 24 25 28 CEO COLUMN 스티브 잡스와 소프트웨어 SPECIAL REPORT 우리 회사에 적합한 망분리 솔루션은? MARKET
More information월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호
안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항
More information<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...
More informationDeok9_Exploit Technique
Exploit Technique CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 > 1. Shell Code 2. Security
More information월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜
안랩 온라인 보안 매거진 2016. 02 Mobile Security 월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜섬웨어의 모든 것 모바일까지
More information만약, 업그레이드 도중 실패하게 되면, 배터리를 뺏다 다시 꼽으신 후 전원을 켜면, 안내문구가 나오게 됩니다. 그 상태로 PC 연결 후 업그레이드를 다시 실행하시면 됩니다. 3) 단말을 재부팅합니다. - 리부팅 후에 단말에서 업그레이드를 진행합니다. 업그레이드 과정 중
Froyo 고객 예상 FAQ [ 업그레이드 방법 관련 ] 2010.11.11 Q1. 프로요(Froyo) 업그레이드 방법은 어떻게 되나요? A1: PC를 통해 직접 업그레이드 하거나, 서비스센터로 오셔서 업그레이드 하실 수 있습니다. 1) 삼성모바일닷컴(www.samsungmobile.com)에 접속 후 다운로드센터에서 모델 직접검색을 하시어 Kies 프로그램을
More informationUDP Flooding Attack 공격과 방어
황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5
More informationSpecial Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위
국내외 스마트폰 보안 표준화 동향 및 추진전략 염흥열 순천향대학교 정보보호학과 교수 장기헌 순천향대학교 정보보호학과 1. 머리말 스마트폰의 보급과 활성화에 따라 기존 PC에서 발 생하던 보안 위협이 스마트폰에서 발생하는 등 사회적 스마트폰(smart phone)은 3G망은 물론 Wi-Fi, WiBro 등 다양한 인터페이스를 통해 시간과 장소의 제약 없 이 인터넷을
More information<%DOC NAME%> User Manual
AVG Anti- Virus 2012 User Manual Do c u me n t re v is io n 2012.01 ( 27.7.2011) Copy right AV G Tec hnologies CZ, s.r.o. All rights res erv ed. All other trademarks are the property of their res pec tiv
More informationP2WW-2642-01HNZ0
P2WW-2642-01HNZ0 CardMinder 유저 가이드 시작하기 전에 CardMinder 는 이미지 스캐너를 사용하여 명함을 스캔하거나 주소 데이터 베이스로 변환시키 는 애플리케이션입니다. 이 매뉴얼에는 CardMinder 의 기능 및 창에 대한 자세한 설명 및 개요를 설명합니다. 본 매뉴얼을 표시하거나 인쇄하려면, Adobe Acrobat (7.0
More information2004 IRISPen 사용자 설명서-본문-용지크기 조정-폰트포함.PDF
wwwirispencokr wwwirispencokr IRISPen IRIS PCR(Pen Character Recognition) 1 IRISPen? IRISPen Express IRISPen Executive IRISPen Executive IRISPen Executive IRISPen Express,,,,, IRISP en, IRISPen ExecutiveIRISPen
More informationSpecial Theme _ 모바일웹과 스마트폰 본 고에서는 모바일웹에서의 단말 API인 W3C DAP (Device API and Policy) 의 표준 개발 현황에 대해서 살펴보고 관 련하여 개발 중인 사례를 통하여 이해를 돕고자 한다. 2. 웹 애플리케이션과 네이
모바일웹 플랫폼과 Device API 표준 이강찬 TTA 유비쿼터스 웹 응용 실무반(WG6052)의장, ETRI 선임연구원 1. 머리말 현재 소개되어 이용되는 모바일 플랫폼은 아이폰, 윈 도 모바일, 안드로이드, 심비안, 모조, 리모, 팜 WebOS, 바다 등이 있으며, 플랫폼별로 버전을 고려하면 그 수 를 열거하기 힘들 정도로 다양하게 이용되고 있다. 이
More informationFileMaker 15 WebDirect 설명서
FileMaker 15 WebDirect 2013-2016 FileMaker, Inc.. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker FileMaker Go FileMaker, Inc.. FileMaker WebDirect FileMaker, Inc... FileMaker.
More informationVostit Product Offerings
Easily Send Video Emails With Vostit 라이프 스타일의 새로운 제안. "누구나 쉽고 간편하게 즐기는" 솔루션! 영상과 이메일의 결합, 거기에 SNS에 따른 파급력이 더해지면서 기존 방식과는 근본적으로 다른 비즈니스 기회와 거대한 성장의 기회가 있습니다. 의미와 재미를 더해주는 미학적 공학적 마케팅적인 요소를 가미한 ''는 최고의 명작으로
More information공지사항
상명사이버캠퍼스 군이러닝 강좌 학습안내 1. 사이버캠퍼스 접속방법 브라우저 주소창에서 직접 http://cyber.smu.ac.kr 입력하여 접속합니다. : 추천 2. 개설강좌 및 수업 안내 가. 개설과목 : 컴퓨터와정보사회(군인) 나. 수업시작 : 2015. 9.1(화) 10:00 이후부터 다. 평가방법 1) 중간, 기말고사는 off-line
More informationUser Guide
HP Pocket Playlist 사용 설명서 부품 번호: 699916-AD2 제 2 판: 2013 년 1 월, 초판: 2012 년 12 월 Copyright 2012, 2013 Hewlett-Packard Development Company, L.P. Microsoft, Windows 및 Windows Vista 는 Microsoft Corporation
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center)은 악성코드 및 보안 위협으로부터 고객을 안전하게 지키기 위하여 보안 전문가로 구성된 글로벌 보안 조직입니다
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.18 211.7 안철수연구소 월간 보안 보고서 이달의
More information슬라이드 1
사용 전에 사용자 주의 사항을 반드시 읽고 정확하게 지켜주시기 바랍니다. 사용설명서의 구성품 형상과 색상은 실제와 다를 수 있습니다. 사용설명서의 내용은 제품의 소프트웨어 버전이나 통신 사업자의 사정에 따라 다를 수 있습니다. 본 사용설명서는 저작권법에 의해 보호를 받고 있습니다. 본 사용설명서는 주식회사 블루버드소프트에서 제작한 것으로 편집 오류, 정보 누락
More informationESET Endpoint Security
ESET ENDPOINT SECURITY 사용자 설명서 Microsoft Windows 8 / 7 / Vista / XP / 2000 / Home Server 이 문서의 최신 버전을 다운로드하려면 여기를 클릭 ESET ENDPOINT SECURITY Copyright 2013 by ESET, spol. s r. o. ESET Endpoint Security는
More information이제는 쓸모없는 질문들 1. 스마트폰 열기가 과연 계속될까? 2. 언제 스마트폰이 일반 휴대폰을 앞지를까? (2010년 10%, 2012년 33% 예상) 3. 삼성의 스마트폰 OS 바다는 과연 성공할 수 있을까? 지금부터 기업들이 관심 가져야 할 질문들 1. 스마트폰은
Enterprise Mobility 경영혁신 스마트폰, 웹2.0 그리고 소셜라이프의 전략적 활용에 대하여 Enterpise2.0 Blog : www.kslee.info 1 이경상 모바일생산성추진단 단장/경영공학박사 이제는 쓸모없는 질문들 1. 스마트폰 열기가 과연 계속될까? 2. 언제 스마트폰이 일반 휴대폰을 앞지를까? (2010년 10%, 2012년 33%
More informationNWNATRTL0715KN.indd
C O N 8 0 2 6 8 K N 1.. 2.,. $20/ 1 $10/ $5/ 3.. 2 10.. 3 5GB Verizon Cloud 4?. * * ; 2.. 1GB $15 ( GB ).. 1 $40. 2. 3. Wi-Fi.(, ) 4,. 10 50GB. verizonwireless.com/korean 1 Step 1. 10. ( ) Hotspot / USB
More informationMicrosoft PowerPoint - G3-2-박재우.pptx
International Trends of Hacking Technology (최신 국제 해킹 기술 동향) ETRI 부설 연구소 Contents 1. Introduction 2. Major Cyber Attacks and Threats in 2013 3. Trends Of Hacking Technology 4. Future 1. Introduction MegaTrend
More information<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>
i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,
More informationMicrosoft PowerPoint - CoolMessenger_제안서_라이트_200508
2005 Aug 0 Table of Contents 1. 제안 개요 P.2 2. 쿨메신저 소개 P.7 3. VoIP 인터넷전화 서비스 P.23 4. 쿨메신저 레퍼런스 사이트 P.32 5. 지란지교소프트 소개 P.37 1 芝 蘭 之 交 2 1. 제안 개요 1) Summery 3 1. 제안 개요 2) 일반 메신저 vs 쿨메신저 보안 문제 기업 정보 & 기밀 유출로
More informationLG전자 서비스 센터 안내 사용 중 문의/불편 사항은 서비스센터 방문 전에 전화로 문의하세요. 1544-7777, 1588-7777, 080-023-7777 (수신자 부담) 상담원과 원격으로 사용자 휴대전화를 진단 및 상담할 수 있는 LG전자 원격상담 서비스도 가능합니
마스터하기 LG-F260S KitKat OS 버전 LG전자 서비스 센터 안내 사용 중 문의/불편 사항은 서비스센터 방문 전에 전화로 문의하세요. 1544-7777, 1588-7777, 080-023-7777 (수신자 부담) 상담원과 원격으로 사용자 휴대전화를 진단 및 상담할 수 있는 LG전자 원격상담 서비스도 가능합니다. 인터넷 서비스 신청은 www.lgservice.co.kr
More information<%DOC NAME%> User Manual
AVG AntiVirus 2013 사용자 설명서 문서 버전 2013.11 ( 14.2.2013.) Copy right AV G Tec hnologies CZ, s.r.o. All rights res erv ed. 다른 모든 상표는 해당 소유자의 재산입니다. 이 제품은 RSA Data Sec urity, Inc. MD5 Mes s age- Diges t Algorithm,
More information歯CRM개괄_허순영.PDF
CRM 2000. 8. KAIST CRM CRM CRM CRM :,, KAIST : 50%-60%, 20% 60%-80%. AMR Research 10.. CRM. 5. Harvard Business review 60%, 13%. Michaelson & Associates KAIST CRM? ( ),,, -,,, CRM needs,,, dynamically
More informationESET Mobile Security for Android
ESET MOBILE SECURITY OS: ANDROID ( 3.0 ) 1....3 1.1 1.2...3...3 2....4 2.1 2.2 2.3 2.4 2.5 ESET...4 Google...4 Play Amazon...4...4...5 3....6 ESET MOBILE SECURITY ESET, spol. s r.o. ESET Mobile Security
More information<%DOC NAME%> (User Manual)
AVG Email Server Edition 2013 2013.01 (20.11.2012) Copyright AVG Technologies CZ, s.r.o. All rights reserved.. RSA Data Security, Inc. MD5 Message-Digest Algorithm, Copyright (C) 1991-2, RSA Data Security,
More informationLG-LU6200_ICS_UG_V1.0_ indd
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67
More informationCopyright 2009 Hewlett-Packard Development Company, L.P. Microsoft 및 Windows 는 Microsoft Corporation 의 미국 등록 상표입니다. Bluetooth 는 해당 소유권자가 소유한 상표이 며 Hew
HP Envy 13 사용 설명서 Copyright 2009 Hewlett-Packard Development Company, L.P. Microsoft 및 Windows 는 Microsoft Corporation 의 미국 등록 상표입니다. Bluetooth 는 해당 소유권자가 소유한 상표이 며 Hewlett-Packard Company 가 라이센스 계약에 따라
More information<%DOC NAME%> (User Manual)
AVG Email Server Edition 2012 2012.06 (2/ 28/ 2012) Copy right AV G Tec hnologies CZ, s.r.o. All rights res erv ed.. RSA Data Sec urity, Inc. MD5 Mes s age-diges t Algorithm, Copy right (C) 1991-2, RSA
More informationAVG PC TuneUp User Manual
AVG PC TuneUp 사용자 설명서 문서 수정 AVG.01 (9/16/2015) Copyright AVG Technologies CZ, s.r.o. All rights reserved. 모든 상표는 해당 소유자의 재산입니다. 목차 3 1. AVG PC Tu n e U p 시작! 1.1 시스템 요구 사항 3 1.2 도움말 및 기술 지원 3 4 2. 대시보드
More information네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시
네트워크 보안도 안철수연구소입니다 통합 보안의 No.1 파트너, AhnLab TrusGuard 네트워크 환경을 수호하는 최고의 통합 보안 시스템 고성능 방화벽ㆍVPN Security 기술과 고품질 Integrated Security 기술의 강력한 결합 네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간
More informationDDX4038BT DDX4038BTM DDX4038 DDX4038M 2010 Kenwood Corporation All Rights Reserved. LVT A (MN)
DDX4038BT DDX4038BTM DDX4038 DDX4038M 2010 Kenwood Corporation All Rights Reserved. LVT2201-002A (MN) 2 3 [ ] CLASS 1 LASER PRODUCT 4 1 2 Language AV Input R-CAM Interrupt Panel Color Preout
More information정보화 산업의 발전단계 : 정보혁명의 진화 정보화 산업의 발전단계 1세기에 두 번 정도의 큰 기술혁명이 이루어져 경제성장의 원동력으로 작용 uit 시대는 정보혁명 중 인터넷 이후의 새로운 기술혁명인 컨버전스 기술이 핵심이 되는 시대 uit 시대는 정보화의 극대화와 타
모바일 혁명이 바꾸는 기업의 미래 모바일 빅뱅의 시대 기업경영환경의 변화 2011. 04. 26 더존 IT 그룹 더존씨앤티 지용구 사장 더존씨앤티 (트위터ID : Jiyonggu / E-mail : todcode@duzon.com) 11 정보화 산업의 발전단계 : 정보혁명의 진화 정보화 산업의 발전단계 1세기에 두 번 정도의 큰 기술혁명이 이루어져 경제성장의
More information게시: 2013-06-27 SWD-20130627083658546
BlackBerry Q5 Smartphone 버전: 10.1 사용자 가이드 게시: 2013-06-27 SWD-20130627083658546 내용 환영합니다...8 BlackBerry 10: 새로운 앱 및 기능... 9 시작하기...13 단말기 설정...13 홈 스크린 살펴보기... 14 애플리케이션 아이콘... 14 알림 아이콘...17 스크롤 및 항목 간
More informationDeok9_PE Structure
PE Structure CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 1. PE > 1) PE? 2) PE 3) PE Utility
More information[발표자료]기업용모바일 활성화를 위한 제언(박종봉)
2003. 2 ATLAS Research Group 2002 Atlas Research Group, Inc. All rights reserved. Reproduction or redistribution in any form without the prior written permission of Atlas Research Group is expressly prohibited.
More information목차 006/ 008/ 009/ 011/ 012/ 013/ 014/ Part 1_ 컴퓨터가 제대로 작동하지 않을 때 문제00_ 윈도우7 복구(초기화) 방법 안내 문제01_ 컴퓨터의 전원 버튼을 눌러도 아무 반응이 없어요. 문제02_ 전원을 누르면 팬(쿨러)이 돌아가는
컴퓨터 유지관리 Q&A www.npoit.kr 이 www.fb.com/npoitcenter 책은 컴퓨터를 사용하며 자주 발생하는 문제에 대한 설명 npoit@npoit.kr 및 해결 방법을 담고 있습니다. 컴퓨터를 070-4241-8883 관리할 때 필요한 기초 상식들도 함께 있습니다. 목차 006/ 008/ 009/ 011/ 012/ 013/ 014/ Part
More information...? 2 Carryover Data. 2 GB / $35 Safety Mode Safety Mode,. 3 4 GB / $50 : $20/ 4 : $10/ : $5/ : 8 GB / $70 16 GB / $ ; 6 XL,, Verizon X
Verizon Plan. C O N 8 0 2 7 0 K N NRBROCH0616KN ...? 2 Carryover Data. 2 GB / $35 Safety Mode Safety Mode,. 3 4 GB / $50 : $20/ 4 : $10/ : $5/ : 8 GB / $70 16 GB / $90 5 10 ; 6 XL,, 7 8. 1 Verizon XL.
More information1. 2., $20/ 1 $10/ $5/ GB Verizon Cloud 4? ; 2 1 GB $15 ( GB ). 1 $ Wi-Fi (, ) 4, GB verizonwireless.com/korean 1
. FPO C O N 8 0 2 6 9 K N NRBROCH0416KNR 1. 2., $20/ 1 $10/ $5/ 3. 2 10.. 3 5 GB Verizon Cloud 4? ; 2 1 GB $15 ( GB ). 1 $40 2 3 Wi-Fi (, ) 4, 10 50 GB verizonwireless.com/korean 1 , :,,,,, ;, verizonwireless.com/coveragelocator^
More informationMstage.PDF
Wap Push June, 2001 Contents About Mstage What is the Wap Push? SMS vs. Push Wap push Operation Wap push Architecture Wap push Wap push Wap push Example Company Outline : (Mstage co., Ltd.) : : 1999.5
More informationHTML5가 웹 환경에 미치는 영향 고 있어 웹 플랫폼 환경과는 차이가 있다. HTML5는 기존 HTML 기반 웹 브라우저와의 호환성을 유지하면서도, 구조적인 마크업(mark-up) 및 편리한 웹 폼(web form) 기능을 제공하고, 리치웹 애플리케이 션(RIA)을
동 향 제 23 권 5호 통권 504호 HTML5가 웹 환경에 미치는 영향 이 은 민 * 16) 1. 개 요 구글(Google)은 2010년 5월 구글 I/O 개발자 컨퍼런스에서 HTML5를 통해 플러 그인의 사용이 줄어들고 프로그램 다운로드 및 설치가 필요 없는 브라우저 기반 웹 플랫폼 환경이 점차 구현되고 있다고 강조했다. 그리고 애플(Apple)은 2010년
More informationCopyright 2009 Hewlett-Packard Development Company, L.P. Intel 은 미국 및 다른 국가에서 Intel Corporation 의 상표입니다. Microsoft 및 Windows 는 Microsoft Corporation 의
HP ENVY 15 사용 설명서 Copyright 2009 Hewlett-Packard Development Company, L.P. Intel 은 미국 및 다른 국가에서 Intel Corporation 의 상표입니다. Microsoft 및 Windows 는 Microsoft Corporation 의 미국 등록 상표입니다. Bluetooth 는 해당 소유권
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.23 211.12 안철수연구소월간보안보고서 이달의보안동향
More informationAGENDA 01 02 03 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례
모바일 클라우드 서비스 융합사례와 시장 전망 및 신 사업전략 2011. 10 AGENDA 01 02 03 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례 AGENDA 01. 모바일 산업의 환경 변화 가치 사슬의 분화/결합 모바일 업계에서도 PC 산업과 유사한 모듈화/분업화 진행 PC 산업 IBM à WinTel 시대 à
More informationSRC PLUS 제어기 MANUAL
,,,, DE FIN E I N T R E A L L O C E N D SU B E N D S U B M O TIO
More informationESET NOD32 Antivirus
ESET NOD32 ANTIVIRUS 6 사용자 설명서 (제품 버전 6.0 이상) Microsoft Windows 8 / 7 / Vista / XP / Home Server 이 문서의 최신 버전을 다운로드하려면 여기를 클릭 ESET NOD32 ANTIVIRUS Copy r ight 2013 by ESET, s pol. s r. o. ESET NOD32 Antivirus는
More information사용 전에 반드시 읽고 정확하게 사용해 주세요. 사용 중 문의사항은 1544-7777, 1588-7777, 080-023-7777(수신자 부담)로 문의하세요. 상세 사용 설명서의 화면과 그림은 실물과 다를 수 있습니다. 상세 사용 설명서의 내용은 소프트웨어 버전 또는
상세 사용 설명서 LG-F300K 사용 전에 반드시 읽고 정확하게 사용해 주세요. 사용 중 문의사항은 1544-7777, 1588-7777, 080-023-7777(수신자 부담)로 문의하세요. 상세 사용 설명서의 화면과 그림은 실물과 다를 수 있습니다. 상세 사용 설명서의 내용은 소프트웨어 버전 또는 이동통신 사업자의 사정에 따라 다를 수 있습니다. 데이터
More informationMicrosoft Word - UG-BetaDraft_KO_TT-OK.doc
DocuPrint C2090 FS 사용설명서 Adobe, Adobe 로고, Acrobat Reader는 Adobe Systems Incorporated의 상표입니다. Microsoft, Windows, Windows Server는 미국 및/또는 다른 나라의 Microsoft Corporation의 등록상표 또 는 상표입니다. 소프트웨어 스크린 샷을 사용하는
More informationDocsPin_Korean.pages
Unity Localize Script Service, Page 1 Unity Localize Script Service Introduction Application Game. Unity. Google Drive Unity.. Application Game. -? ( ) -? -?.. 준비사항 Google Drive. Google Drive.,.. - Google
More informationDR-M140 사용 설명서
사용 설명서 본 스캐너를 사용하기 전에 이 설명서를 읽으십시 오. 이 설명서를 다 읽은 후에는 이후에 참조할 수 있 도록 안전한 곳에 보관하십시오. 보증과 A/S 이 제품에는 보증서가 있습니다. 보증서는 구매처에서 받을 수 있습니다. 구매한 날짜 구매처 등의 기 입을 확인한 후 내용을 정확히 읽고 잘 보관하십시오. 보증기간 보증기간은 구매한 날로부터 1년 입니다.
More informationDisclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.21 211.1 안철수연구소월간보안보고서 이달의보안동향
More informationchapter4
Basic Netw rk 1. ก ก ก 2. 3. ก ก 4. ก 2 1. 2. 3. 4. ก 5. ก 6. ก ก 7. ก 3 ก ก ก ก (Mainframe) ก ก ก ก (Terminal) ก ก ก ก ก ก ก ก 4 ก (Dumb Terminal) ก ก ก ก Mainframe ก CPU ก ก ก ก 5 ก ก ก ก ก ก ก ก ก ก
More informationPI ZH-CN
www.philips.com/welcome PI5000316 1 5 5 5 2 8 8 8 8 3 9 9 4 10 10 10 USB 10 11 11 11 12 12 Safe Sound 12 13 14 14 / 14 15 15 5 16 Wi-Fi 16 16 17 17 18 Micro SD 18 6 19 19 19 19 QQ 19 19 19 20 20 20 7
More informationIssue. 01
해커의 시선, POS 시스템으로 향한다 Issue. 01 Issue. 01 해커의 시선, POS 시스템으로 향한다 CONTENTS Threat Review POS 시스템의 보안 문제 및 실제 침해 사례 4 국내외 주요 POS 시스템 해킹 악성코드 10 미국 대형 할인점 개인정보 유출 악성코드 분석 16 한동안 뜸했던 POS 위협, 빈틈 을 파고들다 23 Special
More information6강.hwp
----------------6강 정보통신과 인터넷(1)------------- **주요 키워드 ** (1) 인터넷 서비스 (2) 도메인네임, IP 주소 (3) 인터넷 익스플로러 (4) 정보검색 (5) 인터넷 용어 (1) 인터넷 서비스******************************* [08/4][08/2] 1. 다음 중 인터넷 서비스에 대한 설명으로
More informationRemote UI Guide
Remote UI KOR Remote UI Remote UI PDF Adobe Reader/Adobe Acrobat Reader. Adobe Reader/Adobe Acrobat Reader Adobe Systems Incorporated.. Canon. Remote UI GIF Adobe Systems Incorporated Photoshop. ..........................................................
More informationESET Cyber Security Pro
: OS X ( 6.0 ) ESET, spol. s r.o. ESET Cyber Security Pro ESET, spol. s r.o. www.eset.com All rights reserved.,,,,, ESET, spol. s r.o. : www.eset.com/support REV. 6/16/2016 1. ESET...4 Cyber Security Pro
More information무제-1
표준화 논단 스마트 시대 ICT 패러다임의 변화 최 계 영 KISDI 미래융합연구실장 1. 머리말 스마트 시대 ICT 패러다임의 변화를 이야기하기에 앞 서, 스마트 시대란 무엇인지를 먼저 정의내릴 필요가 있 다. 스마트 시대라는 용어는 사실 엄밀한 학문적 용어 는 아니며, 스마트폰 등장 이후 모바일에서 이용자가 향 유할 수 있는 서비스가 증가하면서 일반화된
More informatione-tech 발행인 칼럼 2010 01 + 02 세기말 Y2K... 21세기를 앞두고 막연한 두려움과 흥분에 떨었던 게 엊그제 같은데 벌써 10년이 훌쩍 지났습니다. 지금 생각해보면 그때왜우리가 그렇게 21세기를 두려워했을까 싶습니다. 아마도 21세기는 어렸을 때부터
Special Report 인터넷이 손안으로 쏙 앱스토어로 돈좀 벌어볼까? 양날의 칼 스마트폰 보안 SNG를 아시나요? 인터넷의 가치는 생활 속에서 풍요와 행복을 운반할 때 돋보인다. 건전한 인터넷 문화, IT인프라 및 이용자 보호, 방송통신 국제협력을 위한 한국인터넷진흥원(KISA)의 시선은 글로벌 인터넷 선진강국 실현을 향해 모아진다. 인터넷 공간에서 배려와
More information특허청구의 범위 청구항 1 디바이스가 어플리케이션을 실행하는 방법에 있어서, 상기 디바이스에 연결된 제1 외부 디바이스와 함께 상기 어플리케이션을 실행하는 단계; 상기 어플리케이션의 실행 중에 제2 외부 디바이스를 통신 연결하는 단계; 및 상기 제1 외부 디바이스 및
(19) 대한민국특허청(KR) (12) 공개특허공보(A) (11) 공개번호 10-2014-0033653 (43) 공개일자 2014년03월19일 (51) 국제특허분류(Int. Cl.) G06F 9/44 (2006.01) G06F 15/16 (2006.01) (21) 출원번호 10-2012-0099738 (22) 출원일자 2012년09월10일 심사청구일자 없음
More information02_3 지리산권 스마트폰 기반 3D 지도서비스_과업지시서.hwp
과 업 지 시 서 사 업 명 지리산권 스마트폰 기반 3D 지도서비스 2011. 7 한 국 관 광 공 사 목 차 Ⅰ. 사업개요 3 Ⅱ. 3D 등산 전자지도 개발 5 Ⅲ. 스마트폰용 등산지도 서비스 개발 8 Ⅳ. 웹사이트용 지도 서비스 개발 12 I. 사업 개요 가. 사업명 : 지리산권 스마트폰 기반 3D 지도서비스 나. 사업기간 : 2011년 7월 ~ 2012년
More information참고: 본 제품 및 설명서를 사용하기 전에 다음을 반드시 읽어보십시오. 안전 수칙 및 보증 설명서 Regulatory Notice 중요 안전 수칙 및 취급 정보 iii페이지 부록 C 주의사항 97페이지 안전 수칙 및 보증 설명서와 Regulatory Notice가 웹
사용 설명서 ThinkPad Tablet 참고: 본 제품 및 설명서를 사용하기 전에 다음을 반드시 읽어보십시오. 안전 수칙 및 보증 설명서 Regulatory Notice 중요 안전 수칙 및 취급 정보 iii페이지 부록 C 주의사항 97페이지 안전 수칙 및 보증 설명서와 Regulatory Notice가 웹 사이트에 업로드되었습니다. 이러한 문서를 참조 하려면
More informationMicrosoft Word - eClipse_사용자가이드_20130321
Storpia eclipse 사용자 가이드 1 목차 제1장. 제품 정보... 4 제품 사양... 4 시스템 요구사항... 4 지원 포맷... 5 제품 외형 및 패키지 구성물... 6 LED 램프 상태... 8 주의 및 확인사항... 8 제2장. 제품 설치 및 사용준비... 9 하드디스크 장착하기(ECLIPSE100)... 9 디스크 포맷하기(ECLIPSE100)...
More information초보자를 위한 ADO 21일 완성
ADO 21, 21 Sams Teach Yourself ADO 2.5 in 21 Days., 21., 2 1 ADO., ADO.? ADO 21 (VB, VBA, VB ), ADO. 3 (Week). 1, 2, COM+ 3.. HTML,. 3 (week), ADO. 24 1 - ADO OLE DB SQL, UDA(Universal Data Access) ADO.,,
More information차례 기본 기능 5 기본 구성품 6 각 부분의 이름 8 전원 켜기 8 전원 끄기 9 Nano-SIM 카드 사용하기 11 배터리 충전하기 13 홈 화면 사용하기 19 잠금화면 사용하기 24 터치 화면 사용하기 26 화면 캡처하기 28 문자 입력하기 앱 35 앱 설치/삭제
한국어 상세 사용 설명서 LG-F620L LG-F620S LG-F620K 사고나 위험을 미리 막기 위해 사용 전에 안전을 위한 주의사항 을 반드시 읽고 정확하게 사용하여 주십시오. 사용 설명서의 화면과 그림은 실물과 다를 수 있습니다. MFL69304501(1.2) www.lgmobile.co.kr 차례 기본 기능 5 기본 구성품 6 각 부분의 이름 8 전원
More informationOVERVIEW 디트라이브는 커뮤니케이션 환경의 다변화에 대응하기 위한 고객들의 다양한 욕구를 충족시키기 위해, TV광고부터 온라인 광고 및 프로모션과 웹사이트 구축은 물론 뉴미디어까지 아우르는 다양한 IMC 기능을 수행하는 마케팅 커뮤니케이션 회사입니다. 대표이사 설
leads the way to power brand OVERVIEW 디트라이브는 커뮤니케이션 환경의 다변화에 대응하기 위한 고객들의 다양한 욕구를 충족시키기 위해, TV광고부터 온라인 광고 및 프로모션과 웹사이트 구축은 물론 뉴미디어까지 아우르는 다양한 IMC 기능을 수행하는 마케팅 커뮤니케이션 회사입니다. 대표이사 설립일 직원수 주소 연락처 정치헌 2001년
More informationAnalytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras
Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Crash Unity SDK... Log & Crash Search. - Unity3D v4.0 ios
More informationODS-FM1
OPTICAL DISC ARCHIVE FILE MANAGER ODS-FM1 INSTALLATION GUIDE [Korean] 1st Edition (Revised 4) 상표 Microsoft, Windows 및 Internet Explorer는 미국 및 / 또는 다른 국가에서 Microsoft Corporation 의 등록 상표입 Intel 및 Intel Core
More information11111111111111111111111111111111111111111111111111111111111111111111111111111
서울시 금천구 가산동 448 대륭테크노타운 3차 301호 전화 : (02)838-0760 팩스 : (02)838-0782 메일 : support@gyrosoft.co.kr www.gyrosoft.co.kr www.gyro3d.com 매뉴얼 버전 : 1.00 (발행 2008.6.1) 이 설명서의 어느 부분도 자이로소프트(주)의 승인 없이 일부 또는 전부를 복제하여
More information( )부록
A ppendix 1 2010 5 21 SDK 2.2. 2.1 SDK. DevGuide SDK. 2.2 Frozen Yoghurt Froyo. Donut, Cupcake, Eclair 1. Froyo (Ginger Bread) 2010. Froyo Eclair 0.1.. 2.2. UI,... 2.2. PC 850 CPU Froyo......... 2. 2.1.
More information*
Korea Internet & Security Agency 29 12 CONTENTS 1 3 4 5 6 6 7 9 1 13 14 16 18 23 56 59 61 Windows XP SP1 Windows 2 SP4 1 2912 Bot 326 49 2.3 73 73 239 215 11.2% 256 199 28.6% 25 115 117.4% Bot 8,469 46
More informationIDA 5.x Manual 07.02.hwp
IDA 5.x Manual - Manual 01 - 영리를 목적으로 한 곳에서 배포금지 Last Update 2007. 02 이강석 / certlab@gmail.com 어셈블리어 개발자 그룹 :: 어셈러브 http://www.asmlove.co.kr - 1 - IDA Pro 는 Disassembler 프로그램입니다. 기계어로 되어있는 실행파일을 어셈블리언어
More information커버컨텐츠
e Magazine Contents Gallery 33 Info Desk Illustrator Expert 2 Web Technique 12 17 Column 39 Cover Story Web Center Calendar 4 21 42 New Product A to Z 7 Motion Center Q & A 24 48 Photoshop Expert Acrobat
More informationAnalyst Briefing
. Improve your Outlook on Email and File Management iseminar.. 1544(or 6677)-3355 800x600. iseminar Chat... Improve your Outlook on Email and File Management :, 2003 1 29.. Collaboration Suite - Key Messages
More informationCL100B_manual_kor_m.0.2.indd
ULTIMATE SAMRT CAR BLACK BOX BLACKSYS CL-100B USER MANUAL 2CH Full HD Car DVR with brilliant image Simultaneous recording of front with Full HD resolution (1920x1080, 25fps) and rearview with HD resolution
More informationIM-20 4 5 6 7 8 9 10 11 12 Power On Power Off 13 1 4 15 16 17 18 19 20 21 22 23 24 25 26 2 7 28 29 30 31 3 2 Music Voice Settings Delete EQ Repeat LCD Contrast Auto OFF Rec Sample BackLight Return Normal
More information<30353132BFCFB7E15FC7D1B1B9C1A4BAB8B9FDC7D0C8B85F31352D31BCF6C1A4C8AEC0CE2E687770>
지상파 방송의 원격송신과 공중송신권 침해여부에 관한 사례연구 Case Study on Copyright Infringement of Remote Transmission of Television Program 최정열(Choe, Jeong-Yeol) * 목 차 Ⅰ. 서론 Ⅱ. 사실 관계 및 재판의 경과 1. 원격시청기기 및 그 사용방법 등 2. 피고의 서비스 3.
More information05Àå
CHAPTER 05 NT,, XP,. NT NTFS, XP. D,,. XP x NT,,, ( x, x ). NT/ /XP,.. PC NT NT. + Guide to Software: Understanding and Installing Windows 2000 and Windows NT + SOFTWARE Guide to Software 3/e SOFTWARE
More informationF120S_(Rev1.0)_1130.indd
01 02 03 04 05 06 07 08 09 10 11 12 기본 구성품 구입 시 박스 안에 들어있는 구성품입니다. 구성품을 확인하세요. 누락된 구성품이 있을 경우, 또는 추가로 기본 구성품 구입을 원할 경우, LG전자 상담실 (T.1544-7777)로 문의하세요. 실제 제품과 그림이 다를 수 있으며 사정에 따라 일부 품목이 사전 통보 없이 변경될 수 있습니다.
More information*****
Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot
More informationSmart Power Scope Release Informations.pages
v2.3.7 (2017.09.07) 1. Galaxy S8 2. SS100, SS200 v2.7.6 (2017.09.07) 1. SS100, SS200 v1.0.7 (2017.09.07) [SHM-SS200 Firmware] 1. UART Command v1.3.9 (2017.09.07) [SHM-SS100 Firmware] 1. UART Command SH모바일
More information제20회_해킹방지워크샵_(이재석)
IoT DDoS DNS (jaeseog@sherpain.net) (www.sherpain.net) DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!
More information제 출 문 환경부장관 귀하 본 보고서를 습마트기기 활용 환경지킴이 및 교육 통합 서비스 개 발 과제의 최종보고서로 제출합니다. 주관연구기관 : 주관연구기관장 : 2015년 10월 주식회사 덕키즈 김 형 준 (주관)연구책임자 : 문종욱 (주관)참여연구원 : 김형준, 문병
보안과제[ ], 일반과제[ ] 최종보고서 그린 생산소비형태 촉진 기술 Technologies for the facilitation of the green production & a type of consumption 스마트기기 활용 환경지킴이 및 교육통합 서비스 개발 Development for Web/App for environmental protection
More informationDisclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.2 211.9 안철수연구소월간보안보고서 이달의보안동향타깃공격
More information±³º¸¸®¾óÄÚ-3ºÐ±â-ÃÖÁ¾
URL : www.kyoborealco.com 2007년 3/4분기 오피스시장보고서 Third Quarter 2007 Office Market Report 서울특별시 성동구 도선동 286번지 Tel. 82 2 2290 4041 Fax. 82 2 2290 4099 URL : www.kyoborealco.com Profile Contents 02 03 05 06
More information_SP28K-....PDF..
SKY 홈페이지(www.isky.co.kr)에서 제품 등록을 하시면 모델별 데이터 매니저 프로그램, 소프트웨어, 사용자 설명서 등을 다운로드 받아 사용하실 수 있습니다. 셀프업그레이드는 SKY 홈페이지 www.isky.co.kr isky service SKY 고객지원 소프트웨어 다운로드 셀프업그레이드에서 다운로드 받아 사용하실 수 있습니다. 본 사용설명서는
More informationORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O
Orange for ORACLE V4.0 Installation Guide ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE...1 1....2 1.1...2 1.2...2 1.2.1...2 1.2.2 (Online Upgrade)...11 1.3 ORANGE CONFIGURATION ADMIN...12 1.3.1 Orange Configuration
More informationÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù
21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132
More informationMicrosoft PowerPoint - XP Style
Business Strategy for the Internet! David & Danny s Column 유무선 통합 포탈은 없다 David Kim, Danny Park 2002-02-28 It allows users to access personalized contents and customized digital services through different
More informationLCD Display
LCD Display SyncMaster 460DRn, 460DR VCR DVD DTV HDMI DVI to HDMI LAN USB (MDC: Multiple Display Control) PC. PC RS-232C. PC (Serial port) (Serial port) RS-232C.. > > Multiple Display
More informationCLX8380_KR.book
이 사용설명서와 제품은 저작권법에 의해 보호되어 있습니다. 삼성전자 ( 주 ) 의 사전 서면 동의 없이 사용설명서 및 제품의 일부 또는 전체를 복사, 복제, 번역 또는 전자매체나 기계가 읽을 수 있는 형태로 바꿀 수 없습니다. 이 사용설명서와 제품은 표기상의 잘못이나 기술적인 잘못이 있을 수 있으며 사전 통보 없이 이러한 내용들이 변경될 수 있습니다. CLX-8380ND,
More information산업백서2010표지
SOFTWARE INDUSTRY WHITE PAPER 2010 NATIONAL IT INDUSTRY PROMOTION AGENCY 2 3 Contents SOFTWARE INDUSTRY WHITE PAPER 2010 NATIONAL IT INDUSTRY PROMOTION AGENCY 4 5 Contents SOFTWARE INDUSTRY WHITE PAPER
More informationScene7 Media Portal 사용
ADOBE SCENE7 MEDIA PORTAL http://help.adobe.com/ko_kr/legalnotices/index.html. iii 1 : Media Portal..................................................................................................................
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More informationLU8300_(Rev1.0)_1020.indd
LG-LU8300 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 34 35 36 37 38 39 40 41 42 43 44 45 47 48 49 50 51 52 53 54 55 56 57 58 59 60 62 63 64 65 66
More informationBH의 안드로이드 추천 어플
BH의 안드로이드 추천 어플 정병훈 소개글 목차 1 버블 버스터 (Shoot Bubble Deluxe) 4 2 [BH의 안드로이드 필수 앱] 다음 TV팟 7 3 [BH의 안드로이드 필수 앱] 휴대폰 데이터 사용량 측정 (3G, Wi-fi) 앱 - 넷사용량 13 4 [BH의 안드로이드 필수 앱] 3G 데이터 사용량 감시 - Onavo 17 5 [BH의 안드로이드
More information