170922_워너크라이 수정본.indd
|
|
- 용태 삼
- 7 years ago
- Views:
Transcription
1
2
3 목차 1 Ⅰ. 개요 1. 사고발생 2. 감염확산 3. 민 관협력대응 Ⅱ. 감염증상 1. 국내사고발생현황 2. 감염증상 3. 감염시스템특징 Ⅲ. 워너크라이상세분석 1. 구성요소 2. 동작원리 3. SMB 취약점 (CVE ) 분석 Ⅳ. 해커그룹연관성 1. 해외보안업체동향 2. 연관성분석 [ 부록 ] 랜섬웨어 (WannaCry) 예방대국민행동요령 87
4
5 개요 Ⅰ. 개요 3
6 Ⅰ. 개요제 4 장. 글로벌사이버위협동향 1. 사고발생 2017년 5월 12일 ( 한국시간 ), 全세계를랜섬웨어의공포로몰아넣을만한대규모사이버공격이발생하였다. 이번랜섬웨어의정식명칭은 WannaCryptor로워너크라이 (WannaCry) 또는 WCry 라는별칭으로불리며, 전세계 150여개국에서최소 30만대이상이컴퓨터시스템들이해당랜섬웨어로인해피해를입었다. 최초사고는영국과스페인등에서발생하여전세계로확산된것으로알려졌다. 영국은잉글랜드와스코틀랜드의국민복건서비스 (NHS) 산하 48개의의료기관이감염되어진료에차질을빚었으며, 스페인은대형통신업체인텔레포니카의내부시스템들이감염되었다. 중국은출입국관리소를비롯하여각종기업 기관 3만여개와대학등 4천여교육기관이피해를입었다. 러시아는정부기관인내무부컴퓨터를포함하여다수의공공기관에서피해가보고되고있다. 일본은철도회사인 JR 히가시니혼이감염되어신칸센예약서비스가중단되었으며, 히타치, 이온몰, 카와사키상하수도국, 오사카시청등다수의기업 기관이감염되었다. 워너크라이가최초발견된것은 2017년 2월이지만, 이번사고에서사용된워너크라이의특징은美 NSA가개발한 EternalBlue 취약점이해커들에의해유출된후악용되어윈도우즈통신프로토콜중하나인 SMB* 의취약점 (CVE ) 을통해랜섬웨어가스스로주변으로자체전파할수있다는점이다. 이점이전세계로빠르게확산될수있었던주요요인으로손꼽힌다. * SMB(Server Message Block) : 파일ㆍ장치를공유하기위해사용되는통신프로토콜 4
7 그림 1-1. 워너크라이랜섬웨어감염국가 개요 워너크라이의최초유포경로는아직밝혀지지않았다. 하지만스피어피싱 * 또는해킹된웹사이트 ** 방문으로감염된후주변국가로확산및전파된것으로추정하고있다. * 메일에첨부된바로가기악성코드또는파일 (.lnk 등 ) 을통해감염 ** 이용자가많이방문하는웹사이트를해킹후악성코드를은닉시켜놓는해킹기법 5
8 Ⅰ. 개요제 4 장. 글로벌사이버위협동향 2. 감염확산 전세계적으로빠르게감염이확산된이유는웜 (Worm) 형태와유사하게자기자신을복제하여네트워크로전파하기때문이다. 3장악성코드상세분석 에서자세히설명하겠지만, 워너크라이랜섬웨어는임의의 IP를생성 ( 로컬네트워크및인터넷 ) 한후해당 IP 대상으로 SMB 포트 (445) 에대한스캔을하여취약점이존재할경우자기자신을복사및실행시키는과정을반복하는방식으로감염을확산시킨다. 랜섬웨어에감염된시스템 ( 윈도우운영체제 ) 은특정확장자를가지는내부파일들이.WNCRY로변경되고파일내용이암호화되며, 감염시스템화면에안내문구를표시한다. 워너크라이랜섬웨어는기존의랜섬웨어와다르게 OS 취약점을이용하기때문에전파가빠르게진행되었다. 영국의한보안관계자가워너크라이전파를무력화할수있는킬스위치를찾아워너크라이확산이잠시주춤하였으나, 다음날인 5월 14일킬스위치가없는워너크라이 2.0 버전이등장하였고이때문에감염이줄어들지않았다. 6
9 3. 민ㆍ관협력대응 개요 5 월 13 일랜섬웨어사태직후과학기술정보통신부 ( 이하과기정통부 ) 와한국인터넷진흥원 ( 이하 KISA) 는 118 센터를통해국내피해관련상담 문의를접수하였으며, 통신사 백신업체등과함께민ㆍ관랜섬웨어 비상대응체계를구성 운영하였다. 5월 14일 18:00부로사이버위기경보단계를관심에서주의로상향하고청와대 ( 국민소통수석 ), 과기정통부 ( 정보보호정책관 ) 에서는관련사안에대한브리핑을하였다. 이후해외에서발생한대규모피해가국내에서도발생하지않게하기위해대국민대상으로대응요령안내에힘쓰는한편워너크라이감염등에대한분석및기술지원을실시하고관련정보를공유했다. 그림 1-2. 랜섬웨어브리핑 (5.15) 7
10 Ⅰ. 개요제 4 장. 글로벌사이버위협동향 워너크라이사고시간대별대응현황 그림 1-3. 워너크라이사고에대한 KISA 시간대별대응현황 (13, 14 일 ) 14 일 PM (18:00) 사이버위기경보단계상향 ( 관심 -> 주의 ) PM (18:50) 대국민행동요령포털 ( 네이버, 다음 ) 게시, 통신사보안앱을통한공지, 보호나라공지, CISO 대상문자및메일발송등 PM (16:14) 대국민행동요령홍보자료배포 118 센터를통한접수및 KISA 원격기술지원실시 PM (15:58) MS 긴급보안패치 보안공지 PM (16:28) ISP, MSO, IDC 고객대상 445 포트차단현황파악 AM (11:59) SMB 취약점을이용한랜섬웨어주의권고 보안공지 PM (15:58) 국내주요기업 (900여개) 대상랜섬웨어주의안내메일송부 13 일 랜섬웨어확보및 KISA 자체초동분석 AM AM (09:00) 비상대응체계운영 (06:00) 해외 74개국연쇄공격확인 (08:18) AM 최초국내피해사고확인 (OO병원) 단발이벤트 지속이벤트 8
11 국내외 랜섬웨어피해확인및긴급보안권고실시 ( :00~11:59) 해외 74개국사이버공격언론보도확인 (06:00) 및국내피해사례확인 (08:18, OO 병원 ) 에따른비상대응체계구성 (09:00) 개요 랜섬웨어확보및자체초동분석을실시 (09:00), SMB 취약점을이용한랜섬웨어주의권고 보안공지실시 랜섬웨어주의관련대국민홍보실시 ( :58~21:18) 국내주요기업대상랜섬웨어부의안내메일발송 (15:58) 및 MS 긴급보안패치사항보호나라공지 (21:18) 118 상담센터로상담 신고접수된기업에대한원격기술지원및침해사고조사실시 ( 계속 ) 대국민행동요령보도자료배포및홍보실시 ( :14~18:50) 랜섬웨어관련대국민행동요령권고보도자료배포 (16:14) 및포털등홍보실시 (18:50) 방송 35건, 조 석간 165건, 통신 온라인매체 648건등 (5.15~5.17) 포털 ( 네이버, 다음 ) 메인페이지, 보호나라, 스마트폰보안앱 (T가드, 알약, 후후앱 ), 백신사등에대국민행동요령게시 보호나라 600만, 포탈 380만행동요령조회 국내주요기업 (900여개) 및 CISO(6,700여명 ) 에랜섬웨어긴급주의권고 사이버위기경보단계상향 ( 관심 -> 주의 ) 및보도자료배포 ( :00) 및 KISA 비상근무확대 < 분석및기술지원 > 국내 외랜섬웨어악성코드 246개확보및분석 1차 : 48개, 2차 180개, 3차 334개 위분석결과를바탕으로국내백신社 ( 하우리, 안랩, 이스트시큐리티, 잉카인터넷 ) S/W에 WannaCry 랜섬웨어패턴전달및업데이트지원 < 정보공유 > 국외 CERT, 국내 외인텔리전스로부터수집된악성코드, C&C 등의정보를 C-TAS(161개기관참여 ) 를통해정보공유 9
12 Ⅰ. 개요제 4 장. 글로벌사이버위협동향 그림 1-4. 랜섬웨어사태로인한해외피해사례 ( 출처 : MBC 뉴스 ) 영국등해외에서는이번랜섬웨어로인하여피해가컸으며, 상당수해외정부기관및시스템들의 서비스등이중단되기도하였다. 일부보안전문가들은국내에서도 5 월 15 일을월요일블랙먼데이라고칭하며, 대규모랜섬웨어감염 사고가발생할것으로예상하였으나상대적으로국내에서는이번워너크라이와관련된심각한상황이 발생하지않았다. 그림 1-5. 워너크라이피해가상대적으로적음 ( 출처 : 이데일리 ) 국내에서워너크라이로인한피해가적은것은랜섬웨어가발생한환경적ㆍ시간적요인등여러가지 이유가있으나, 앞에서언급한것과같이 KISA 와민ㆍ관이하나가되어선제적으로대응한것이가장 큰요인으로꼽힌다. 10
13 감염증상 Ⅱ. 감염증상 11
14 Ⅱ. 감염증상제 4 장. 글로벌사이버위협동향 1. 국내사고발생현황 다수의해외국가에서워너크라이감염사고가다수발생했던것과달리국내에서는일부감염사고만언론에보도되었다. 이는 KISA의대국민홍보단행등발빠른대처로인해피해유발가능성을감소시켰으며, 신고된사안에대해 KISA가적시에조치를취하여주변으로확산되는것을막을수있었다. 다음은 KISA의워너크라이대응이력이다. 그림 2-1. 국내워너크라이감염사고타임라인 순번 피해기관 피해일시 1 OO대학교병원 ( 의료 ) :18 2 OO약품 ( 의료 ) :53 3 OO자동차 ( 교통 ) :11 4 OO교회 ( 종교 ) :57 5 OO( 통신 ) :35 6 OO정형외과 ( 의료 ) :53 7 OO방송 ( 방송 ) :47 8 OO대학교 OO실험실 ( 교육 ) :16 9 OO영화 ( 미디어 ) :15 10 주식회사OO( 식음료 ) :47 11 OO시대중교통과 ( 교통, 공공 ) :24 12 OO장애인종합복지관 ( 복지 ) :09 13 OO( 통신 ) :10 14 OO파인더 ( 유통 ) :11 15 OO( 쇼핑몰 ) :30 16 OO대학교 ( 교육 ) :38 17 OO사 ( 출판 ) :39 18 OO공과대학교 ( 교육 ) :04 19 ( 사 ) 한국OO학회 ( 학회 ) :14 20 OO쇼핑몰 ( 쇼핑몰 ) :17 21 국제OO대학교 ( 교육 ) :21 12
15 상기분석한시스템들과신고된사고를살펴보면, 워너크라이랜섬웨어로인해피해를입은시스템은국내에서는윈도우즈계열, 그중윈도우즈서버 2008, 윈도우즈 7 및윈도우즈 XP 운영체제가주로피해를입은것으로확인된다. 또한각시스템들은공통적으로 SMB가활성화되어있었으며, MS 3월보안패치는이루어지지않았다. 2. 감염증상 감염증상 워너크라이랜섬웨어에감염되면, 감염시스템內그림, 문서등의파일들이.wncry 확장자로변경된다. 변경된파일은원래의정보가암호화되어확인하거나실행하지못한다. 그림 2-2. 워너크라이랜섬웨어에감염되어파일들이암호화된상태 13
16 Ⅱ. 감염증상제 4 장. 글로벌사이버위협동향 감염시스템의바탕화면은아래와같이감염된사실을고지하는문장이담긴이미지로변경된다. 그림 2-3. 랜섬웨어감염시변경되는배경화면 변경된바탕화면이미지의내용은백신이나기타의이유로랜섬웨어감염안내창 ( 을실행하는프로그램이삭제되었으니해당프로그램을복구하라는의미이다. 일부워너크라이변종에따라서는 랜섬노트 (@WannaDecrypter@.exe) 라불리는이랜섬웨어안내문프로그램이실행되어도위와같은바탕화면이표시되는경우가있다. 14
17 바탕화면문구번역 이런, 당신의중요한파일이암호화되었다. 이텍스트가보이지만 "Wanna Decrypt0r" 라는이름의창을보지못한경우, 백신프로그램이나당신이삭제하였을가능성이있다. 파일을복호화하고싶은경우복호화프로그램을실행시켜야한다. 감염증상 아무폴더에나들어가서 로명명된파일을찾거나백신검역소에서파일을복원하고프로그램의안내에따르시오. 이후, 복구방법을안내하는랜섬노트가팝업창으로표시된다. 그림 2-4. 워너크라이랜섬웨어감염을알리는감염안내창 15
18 Ⅱ. 감염증상제 4 장. 글로벌사이버위협동향 랜섬노트 에는비트코인주소, 해커가요구한금액 ($300), 결제유효시간등이표시된다. 최초실행시 입금해야하는금액은 $300 이지만, 3 일이지나면 $600 로늘어나며 7 일이지나면아예파일복구가 불가능하게된다. 실제, 비트코인을지불하여도암호화된파일이풀릴가능성은매우낮다. 워너크라이랜섬웨어의경우수백개의변종이발견되었으며, 해커가수동으로복호화키를전송하는방식을사용하기때문이다. 또한워너크라이변종상당수가몸값을어떤 PC에서지불하였는지에대한식별정보가없으며, 자동으로복호화가되지않는다. 16
19 3. 감염시스템특징 KISA 에서분석한국내의랜섬웨어에감염된피해시스템들은모두 SMB( 포트번호 445) 서비스를 실행하고있었으며, SMB 취약점보안업데이트또한적용하지않은상태였다. 그림 2-5. 네트워크연결정보 감염증상 17
20 Ⅱ. 감염증상제 4 장. 글로벌사이버위협동향 감염된시스템은 SMB 취약점에의해악성코드가설치ㆍ실행되었으며, 악성코드 (mssecsvc.exe, tasksche.exe*) 가 윈도우서비스 ** 로등록되어있었다. * mssecsvc.exe : 他시스템의취약점스캔및암호화악성코드드랍퍼 tasksche.exe : 파일암호화악성코드드랍퍼 ** 시스템이재부팅시악성코드가자동적으로구동될수있도록설정 그림 2-6. 악성코드 (mssecsvc.exe, tasksche.exe) 의서비스등록 18
21 또한, 감염된시스템에서 mssecsvc.exe 악성코드가자신의네트워크에있는타시스템에취약점 스캔을하려는시도를확인할수있다. 그림 2-7. 악성코드 (mssecsvc.exe) 의他시스템취약점스캔공격화면 감염증상 그림 2-8. 피해시스템內악성코드 (tasksche.exe, 실행 19
22 Ⅱ. 감염증상제 4 장. 글로벌사이버위협동향 tasksche.exe 파일이생성된후, 시스템의 rundll32.exe 에 이실행된다. 워너크라이의경우다양한변종이존재하여조금씩차이가있을수있겠지만, 2017 년 5 월 13 일경 KISA 에서분석한시스템들에서는공통적으로다음과같은파일들이발견되었다. 표 2-1. 워너크라이랜섬웨어생성위치 파일명위치기능 mssecsve.exe tasksche.exe C:\Windows 워너크라이메인악성코드 ( 취약점스캔및전파, 암호화악성코드설치및실행 ) 파일암호화악성코드드랍퍼 43 종파일 C:\ProgramData\ 랜덤생성폴더 [vikdtyvpdqxuqx993] 피해시스템의암호화관련공개키및비트코인, Tor 네트워크설정파일, 악성코드감염관련안내문구등저장 발견된악성코드수와디렉토리위치는변종이나감염시스템에따라상이할수있으며, 생성된폴더명의 [ 랜덤생성폴더 ] 는시스템정보를조합한유니크한값이다. 20
23 Ⅲ. 워너크라이상세분석 워너크라이상세분석 21
24 Ⅲ. 워너크라이상세분석 1. 구성요소 워너크라이공격의구성요소로는익스플로잇키트, 랜섬웨어확산용악성코드, 추가악성코드생성, 토르네트워크접속과암 복호화에필요한악성코드및랜섬노트, 언어설정, 공개키파일등이포함되어있다. KISA에서확보한워너크라이랜섬웨어의경우, 드랍퍼가추가파일을생성하여전체파일은총 45 종으로구성된다. 표 3-1. 워너크라이구성요소 파일명 기능 1차악성코드 mssecsvc.exe (1종) 킬스위치체크, 익스플로잇탐색, 악성코드확산, tasksche.exe 생성 2차악성코드 ㄴ tasksche.exe (1종) 7종의악성코드를생성하는드랍퍼 (Dropper) 3차악성코드 ㄴ악성코드 (7종) 암호화, 복호화, 토르접속, 라이브러리등 7종 기타 ㄴ랜섬웨어추가파일 (36종) : 언어설정 (28종), 키파일, 안내문등 8종 악성코드수는변종이나감염시스템에따라상이할수있음 22
25 2. 동작원리 워너크라이악성코드에감염되면, 다음그림과같이동작하게된다. 그림 3-1. 워너크라이동작메카니즘 워너크라이상세분석 23
26 Ⅲ. 워너크라이상세분석 1) 킬스위치체크 랜섬웨어가동작하면먼저킬스위치체크루틴을거치게된다. 킬스위치는일종의자폭장치이며, 악성코드가특정도메인으로연결이가능하다면더이상의동작을하지않고스스로종료하게만든코드이다. 악성코드, 특히나감염대수가많으면많을수록해커에게이익이되는랜섬웨어에종료기능을넣었다는것자체가많은의구심을불러일으켰다. 일각에서는 1 랜섬웨어가제어불능상태로폭주하는것을방지 2 보안회사의샌드박싱기술을이용한탐지우회 3 킬스위치접속로그를통한랜섬웨어확산규모파악을위해킬스위치를만든것으로추정하고있다. 그림 3-2. 킬스위치확인및악성행위진행여부판단코드 24
27 킬스위치는워너크라이가한창기승을부리기시작할즈음영국의보안전문가가밝혀냈고, 킬 스위치를동작시키기위해도메인을생성시키면서전파력이급격히잠시감소했으나, 킬스위치기능이 제거되는변종이출현하여감염의확산을막을수가없었다. 그림 3-3. 킬스위치체크기능이제거된다른악성코드샘플 워너크라이상세분석 킬스위치는랜섬웨어진입함수 (WinMain) 에위치해있으며, 특정도메인과의연결상태만체크하는 비교적간단한코드로구성되어있다. 표 3-2. 워너크라이킬스위치변종 샘플입수 킬스위치 비고 :00 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com :32 ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com 도메인변경 :15 킬스위치체크기능제거 기능제거 5.15 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]cum iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]testing ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]cum ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]testing 도메인확장자변경 킬스위치체크루틴에서악성코드가특정도메인에접속이되지않을경우랜섬웨어는감염시스템 대상으로악성행위를진행하게된다. 25
28 Ⅲ. 워너크라이상세분석 2) 랜섬웨어전파 랜섬웨어전파대상선정 감염을확산시키기위해감염된시스템에악성행위가진행되는것과동시에백그라운드로네트워크 단에서는 SMB 취약점이존재하는지스캔한후취약점이존재할경우랜섬웨어를전파하게된다. 랜섬웨어악성코드 (mssecsvc.exe) 는전파와관련하여내부망을대상으로하는공격과외부망을대상으로하는공격 2가지로나누어져있다. 내부망에서는감염시스템 IP와 NetMask 정보를이용하여동일대역에위치한공격대상 IP를계산하여배열을생성하고해당 IP들을대상으로순차적공격을진행한다. 그림 3-4. 내부네트워크공격을위한 IP 범위계산코드 26
29 그림 3-5. 생성한 IP 배열순서에따른내부망공격수행코드 워너크라이상세분석 그림 3-6. 내부네트워크공격을위해생성된 IP 리스트일부 27
30 Ⅲ. 워너크라이상세분석 이후, 랜덤한공인 IP 대역을생성한후외부로취약점공격을진행한다. 이러한공격형태는과거 SKB DNS DDoS( 14.12월 ) 당시 Dalloz 리눅스웜과 KT DDoS( 16.9월 ) Mirai 악성코드의주변전파방식과유사한특징을가진다. 표 3-3. 외부네트워크스캔범위 A 클래스대역 ~ C 클래스대역까지공격 A클래스 ~ B클래스 ~ C클래스 ~ 그림 3-7. 외부네트워크공격을위해랜덤 IP 생성코드 28
31 익스플로잇및악성코드전파 공격대상시스템에 SMB(445 포트 ) 취약점이존재하는경우공격코드를주입한다. 그림 3-8. 악성코드전파루틴코드 워너크라이상세분석 29
32 Ⅲ. 워너크라이상세분석 그림 3-9. 공격대상주입 Shellcode 일부 30
33 3) 리소스암호화및감염알림 추가악성코드생성 최초드랍퍼악성코드 (mssecsvc.exe) 는추가악성코드 (tasksche.exe) 가생성하는데, 최초드랍퍼가감염및감염확산을위한행동을한다면, 실제랜섬웨어행위를수행하는것은추가악성코드인 taskche.exe 이다. taskche.exe는드랍퍼에의해윈도우서비스에등록되어동작하게되는데, 서비스명은 taskche.exe가생성될때만들어진랜덤한폴더명이된다. 그림 악성코드생성순서 워너크라이상세분석 31
34 Ⅲ. 워너크라이상세분석 악성코드 tasksche.exe 의리소스영역중 XIA 에는비밀번호 를이용하여압축된추가 악성코드와악성코드동작을위한파일들이포함되어있다. 그림 리소스內 XIA 문자열검색코드 그림 특정비밀번호를통해압축해제코드 32
35 표 3-4. tasksche.exe 에의해생성된악성코드 (7 종 ) 파일명 b.wnry c.wnry r.wnry t.wnry 파일암호화후바탕화면으로설정되는이미지파일 파일행위 랜섬웨어에악용되는네트워크정보 (Tor 프로그램다운로드, 비트코인계좌정보, 키데이터전송등 ) 랜섬웨어감염사실과비트코인결제를안내하기위한텍스트파일 AES 로암호화된 u.wnry 파일 u.wnry WannaCry 랜섬웨어악성코드 (t.wnry 복호화를통해생성 ) taskdl.exe taskse.exe 비트코인송금기간만료시파일을삭제하는모듈 관리자계정으로랜섬웨어를실행시키는런쳐 (Launcher) 압축파일이해제된후생성된랜섬웨어 u.wnry 는파일암호화와비트코인결제등랜섬웨어동작에 필요한추가코드 36 종을생성한다. 또한, PKS 리소스에기록된바이너리를메모리에적재하고파일로 생성시킨다. 워너크라이상세분석 그림 추가파일생성코드 33
36 Ⅲ. 워너크라이상세분석 표 3-5. u.wnry 에의해생성된파일 (36 종 ) 파일명 파일행위 msg( 폴더 ) 국가언어설정을위한파일 (Ransom Note, 28 개파일 ) f.wnry!wannadecryptor!.exe.lnk!wannacryptor!.bmp!wannadecryptor!.exe 샘플로복호화하기위한파일의목록!WannaDecryptor!.exe 바로가기파일 파일암호화후바탕화면에랜섬웨어감염사실을안내하기위한이미지파일 (b.wnry 파일과동일 ) 랜섬웨어감염사실안내비트코인결제를위한파일!Please Read Me!.txt 랜섬웨어감염사실과비트코인결제를안내하기위한텍스트파일 ( r.wnry 파일과동일 ) eky pky 암호화된 RSA 개인키파일 RSA 공개키파일 res AES 에이용되는랜덤데이터 ( 키생성에사용 ) 랜섬웨어실행 드랍퍼 (mssecsvc.exe) 는자신이생성한 taskse.exe 파일을통해관리자권한을획득하고랜섬웨어 악성코드를실행시킨다. 그림 랜섬웨어악성코드실행 34
37 암호화대상선별 폴더등암호화제외대상을선별한다. 특히, 윈도우의정상적인동작에필요한기본폴더, 파일들과 비트코인결제와관련된인터넷익스플로러등관련파일들이제외된다. 그림 디렉토리및암호화제외파일확인 워너크라이상세분석 35
38 Ⅲ. 워너크라이상세분석 그림 비트코인결제를위한인터넷관련파일은암호화제외 36
39 그림 암호화제외대상 워너크라이상세분석 37
40 Ⅲ. 워너크라이상세분석 워너크라이는 179종의파일을암호화시킨다. 암호화된이후파일확장자는.WNCRY 로변경된다. 이들암호화대상파일종류는랜섬웨어내부에저장되어있다. 특히, 한글문서확장자 (hwp) 도그대상에속해있다. 표 3-6. 워너크라이랜섬웨어암호화대상.doc,.docx,.docb,.docm,.dot,.dotm,.dotx,.xls,.xlsx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.ppt,.pptx,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.pst,.ost,.msg,.eml,.edb,.vsd,.vsdx,.txt,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.hwp,.602,.sxi,.sti,.sldx,.sldm,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.jpeg,.jpg,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der 38
41 암호화과정 워너크라이는대칭키암호알고리즘 (AES) 을이용하여대상파일들을암호화시킨다. 또한, 해커에게 전달할키에대한암호화는비대칭키 (RSA) 암호알고리즘을사용한다. 비교적속도가빠른대칭키알고리즘으로다수의파일을암호화시키고, 해커만해독이가능하도록공개키 (Private Key) 를이용하여암호화에사용한대칭키들을암호화시켜해커에게전송하도록구성되어있다. 그림 암호알고리즘적용개요도 워너크라이상세분석 39
42 Ⅲ. 워너크라이상세분석 암호화키생성및저장 표 3-7. 암호화키생성및저장, 암복호화흐름도 사전정의 [ M ] // 암호화대상파일 [ E_M ] // 암호화된파일 [ K_aes ] // 파일암호화마다랜덤하게생성되는 AES 키값 [ E_K_aes ] // 암호화된 AES 키값 [ KU_master ] // 해커의공개키, 랜섬웨어에포함되어유포 [ KR_master ] // 해커가보유하고있는해커의개인키 [ KU_pc, KR_pc ] // 감염PC에임의로생성되는 RSA 키쌍 ( 공개키, 개인키 ), 메모리에적재 [ E_KR_pc ] // 암호화된 PC 內의개인키 [ Enc(A, B) ] // A를 B로암호화 [ Dec(A, B) ] // A를 B로복호화 키암복호화및메시지암 복호화흐름 랜섬웨어감염시스템 해커 1 암호키 K_aes = random() 2 파일암호화 E_M = Enc(M, K_aes) 3 암호키암호화 E_K_aes = Enc(K_aes, KU_pc) 4 암호화파일헤더에포함.WNCRY = E_K_aes + E_M 5 개인키는해커의마스터공개키로암호화 E_KR_pc = Enc(KR_pc, KU_master) 6 암호화키해커에게전달 9 수신받은키 (KR_pc) 로파일헤더의암호화된 AES 키를복호화 K_aes = Dec(E_K_aes, KR_pc) 10 암호화파일복호화 M = Dec(E_M, K_aes) 7 해커의개인키 (KR_master) 로복호화 Dec (E_KR_pc, KR_master) 8 복호화된키 (KR_pc) 를감염시스템으로전달 40
43 암호화과정은다음과같다. 1 RSA-2048 공개키와개인키를생성하여메모리에적재한다. * 공개키는.pky로저장하고개인키는악성코드內존재하는마스터공개키로암호화하여.eky로저장, 마스터개인키는공격자가소유 그림 공개키및개인키생성 워너크라이상세분석 41
44 Ⅲ. 워너크라이상세분석 2 파일암호화를위해서각파일마다랜덤 AES 키를생성한다. 그림 AES 대칭키생성 42
45 3 암호화대상파일들을 AES 암호알고리즘으로암호화한다. 그림 AES 알고리즘을이용한파일암호화 워너크라이상세분석 4 암호화시사용한각파일의 AES 키는 RSA 공개키로암호화후대상파일헤더에저장한다. 그림 RSA 알고리즘을이용한 AES 키암호화 43
46 Ⅲ. 워너크라이상세분석 감염알림 대상파일들이암호화된이후워너크라이는랜섬노트를표시한다. 이노트에는지불할비트코인 주소, 금액 ($300) 및남은결제가능시간등을표시한다. 또한, 감염시스템의배경화면을랜섬웨어에 감염되었음을표시하는이미지로변경시킨다. 비트코인요구 비트코인결제를위한공격자의계좌정보는최초드랍퍼 (tasksche.exe) 에서추가파일생성시생성된다. 최초드랍퍼 (mssecsvc.exe) 에서네트워크설정파일 c.wnry을생성할때코드내부하드코딩되어있는 3 개비트코인계좌중랜덤하게 1개를선택하여감염자에게알려준다. 그림 비트코인계좌정보 44
47 표 3-8. 비트코인계좌정보 비트코인계좌 ( 총 3 개 ) 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 그림 c.wnry 에기록된비트코인계좌정보및네트워크정보 워너크라이상세분석 45
48 Ⅲ. 워너크라이상세분석 다국어지원 워너크라이랜섬웨어는총 28 개의다국어를지원한다. 각언어별랜섬노트는감염된폴더의하위폴더 msg 에 저장되어있다. 지원하는언어는다음과같다. 표 3-9. 다국어지원목록 (28 개언어 ) bulgarian ( 불가리아 ) chinese(simplified) ( 중국 ( 간체 )) chinese(traditional) ( 중국 ( 공용 )) croatian ( 크로아티아 ) czech ( 체코 ) danish ( 덴마크 ) dutch ( 네덜란드 ) english ( 영어 ) filipino ( 필리핀 ) finnish ( 핀란드 ) french ( 프랑스 ) german ( 독일 ) greek ( 그리스 ) indonesian ( 인도네시아 ) italian ( 이탈리아 ) japanese ( 일본 ) korean ( 한국 ) latvian ( 라트비아 ) norwegian ( 노르웨이 ) polish ( 폴란드 ) portuguese ( 포르투갈 ) romanian ( 루마니아 ) russian ( 러시아 ) slovak ( 슬로바키아 ) spanish ( 스페인 ) swedish ( 스웨덴 ) turkish ( 터키 ) vietnamese ( 베트남 ) 46
49 기간만료시삭제 정해진결제 ( 지불 ) 기간이종료되는경우 taskdl.exe 를호출하여암호화된파일을삭제한다. 삭제과정은 다음과같다. 1 파일삭제를위해감염시스템內드라이브및폴더를확인한다. 그림 감염 PC 內드라이브및특정폴더탐색 워너크라이상세분석 47
50 Ⅲ. 워너크라이상세분석 2 감염시스템內특정폴더 ( 휴지통, 윈도우폴더, Temp 폴더 ) 탐색후메모리에내용을기록한다. 그림 탐색된특정폴더메모리기록 3 각드라이브, 디렉토리에서.WNCRYT 확장자를가지고있는파일을삭제한다. * WannaCry 변종에따라 WCYR, WNCRY, WNCRYT 등다양한확장자를가지고있다. 그림 검색한파일확장자 (.WNCRYT) 에해당하는파일을삭제 48
51 토르 (Tor) 접속 악성코드 tasksche.exe 에서생성된 c.wnry 파일에토르네트워크사용을위한정보 ( 프로그램 1 종, URL 5 개 ) 가저장되어있다. 이중 Tor 망접속프로그램은공개프로그램이다. 표 c.wnry 에기록된정보목록 Tor 프로그램다운로드 dist.torproject.org/torbrowser/6.5.1/tor-win zip gx7ekbenv2riucmf.onion 57g7spgrzlojinas.onion 랜섬웨어정보전송 URL xxlvbrloxvriy2c5.onion 76jdd2ir2embyv47.onion cwwnhwhlz52maqm7.onion 그림 c.wnry 에기록된정보 워너크라이상세분석 49
52 Ⅲ. 워너크라이상세분석 그림 다운로드한 Tor 접속프로그램저장 토르네트워크에접속되면비트코인결제또는암호키데이터를전송한다. 그림 Tor 프로그램을신규프로세스에등록 50
53 그림 Tor 프로그램을이용하여 c.wnry 에기록된 URL 접속 암호화된파일복구 랜섬웨어알고리즘으로분석한복호화과정은다음과같다. 공격자는감염시스템에서공격자의공개키로 워너크라이상세분석 암호화되어수신받은암호화된개인키를공격자의개인키로복호화하여감염시스템으로전송한다. 공격자로부터 AES 암호키를복호화할수있는개인키 (.dky) 를수신하고수신받은.dky 파일 ( 개인키 ) 로암호화 파일 (.WNCRYT) 헤더에저장된암호화된 AES 키를복호화한후암호화파일의복호화를진행한다. 그림 dky 파일생성 51
54 Ⅲ. 워너크라이상세분석 1 파일헤더를이용하여암호화파일여부체크후, 암호화된파일내부에저장된 AES 키를.dky 파일 이용해복호화한다. 그림 파일헤더의시그니처 WANACRY! 등확인 2 복호화된 AES 키를통해파일복호화한다. 그림 dky 파일을이용하여파일복호화 52
55 3. SMB 취약점 (CVE ) 분석 취약점개요 이번워너크라이랜섬웨어유포에악용된취약점은이터널블루 (EternalBlue) 로명명되었으며, CVE (SMB)* 취약점에해당된다. 해당취약점툴킷은미국 NSA 에서극비리에 개발했던것으로알려져있다. * 원격에서특수하게조작된 SMB 메시지를전송하여원격에서코드를실행시킬수있는취약점, CVSS 3.0 기준 8.1(High 등급 ), 2.0 기준 9.3(High 등급 ) 쉐도우브로커스 (Shadow Brokers) 의해킹으로 NSA 내부정보가유출되면서수면위로떠오른취약점 중하나이다. 이해킹으로인해미정부에서는정보기관이확보한중요취약점의공개에대한의견이 분분했으며, 이를위해정보기관수장들이모여공개여부를판단하는협의체구성을골자로하는 워너크라이상세분석 PATCH Act 법안을 5 월초발의한바있었다. 해당취약점은 17 년 3 월 14 일윈도우정기보안업데이트에서패치가배포되었다. 취약점을이용한악성코드전파과정 원격에위치한윈도우즈시스템의 SMB 포트 (445) 를대상으로취약점을발현시킬수있는익스플로잇및커널 쉘코드를순차적으로전송하여워너크라이를전파한다. 표 EternalBlue 취약점을이용한악성코드전파과정요약 1 취약점을통해 SMB 함수포인터변조 2 커널쉘코드실행및 DoublePulsar* 설치 3 DoublePulsar 가설치된경우, 백도어기능을이용해악성코드를 PC 에감염 4 未설치시 DoublePulsar 를먼저전파한후악성코드전파 * DoublePulsar: EternalBlue 로익스플로잇될경우실행되는백도어기능을갖는공격도구이름 53
56 Ⅲ. 워너크라이상세분석 취약점원인분석윈도우즈운영체제 SMB 메시지를처리하는 srv.sys 파일의특정함수 ( SrvOs2FeaListSizeToNt ) 에서구조체 ( FeaList ) 에대한잘못된길이계산으로인해인접한버퍼의데이터를덮어쓸수있는 OOB(Out Of Bound)* 취약점이발생한다. * OOB(Out Of Bound) : 정해진메모리범위를벗어난곳까지데이터를읽고쓸수있는취약점 그림 Out Of Bound 취약점발생원리 SMB 프로토콜은세션이맺어진상태에서 OS/2 "Full Extended Attributes(FEA)" 구조체를 NT "Full Extended Attributes(FEA)" 형태로변경하기위해 SrvOs2FeaListToNt() 함수를호출한다. 이를자세히살펴보면다음과같다. 54
57 1 SrvOs2FeaListToNt() 함수는 NT FeaList 구조체를커널메모리에할당하기위해기존의 구조체크기를변환하는 SrvOs2FeaListSizeToNt() 를호출한다. 그림 SrvOs2FeaListSizeToNt() 함수호출을통해리스트사이즈반환 워너크라이상세분석 55
58 Ⅲ. 워너크라이상세분석 2 SrvOs2FeaListSizeToNt() 함수는루프구문수행후, NT FeaList 구조체의크기값 (0x10fe8) 반환한다. 그림 SrvOs2FeaListSizeToNt() 함수중사이즈변환코드 56
59 3 이때사이즈반환전연산된길이값을리스트길이부분 (FeaList 구조체 cblist 변수 ) 에저장 할때와리스트의초기리스트길이 0x10000(DWORD 타입 ) 를 WORD 타입으로형변환후 저장하는과정에서 OOB 취약점이발생하게된다. * FEALIST 구조체정보 typedef struct _FEALIST { DWORD cblist; -> FeaList 전체길이변수 FEA list[1]; } FEALIST, *PFEALIST; 그림 잘못된형변환에의해비정상적인값으로사이즈설정 워너크라이상세분석 57
60 Ⅲ. 워너크라이상세분석 그림 메모리에비정상적인값으로사이즈설정 * 기존리스트의길이 ( 사이즈 ) 가저장된곳이 0xaa9b70d8이고, 초기값은 0x10000이었지만 WORD 형태로값이저장되어길이값이 0x1ff5d로설정되며, 해당값에의해정상적인경우보다더많은사이즈의메모리복사가이루어져취약점발생 4 구조체리스트길이에해당되는변수값이비정상적인사이즈 (0x1ff5d) 로설정되었지만, 실제메모리할당크기파라미터로사용될 NT Fea 크기 (SrvOs2FeaListSizeToNt 리턴값 ) 는 0x10fe8 로 0x1ff5d 보다작아정해진메모리를벗어나데이터를쓰는문제를악용한다. 그림 구조체의길이보다작은메모리공간이할당 SrvOs2FeaListSizeToNt 반환값이커널메모리를할당하는 SrvAllocateNonPagedPool 함수의인자값으로호출 58
61 5 SrvOs2FeaListSizeToNt() 가호출된이후 SrvOs2FeaToNt() 함수에서 memmove를통해두번의 FeaList 데이터복사과정을수행하는데, SrvAllocateNonPagedPool로할당된메모리의사이즈는 0x11000이지만, 0x11000사이즈를벗어나는곳까지메모리복사가되며이로인해인접한버퍼포인터가변조되어프로그램실행을공격자가원하는곳으로변조할수있다. 그림 SrvOs2FeaToNt 함수코드 워너크라이상세분석 59
62 Ⅲ. 워너크라이상세분석 그림 복사될메모리의할당사이즈및취약점발생 복사될곳의메모리할당은 0x874d0000 ~ 0x874E1000이지만, memmove에의해 0x874e0ff9부터사이즈 0xa8만큼복사가일어나 0x874E10A1까지복사되어 A1만큼오버플로우발생 60
63 그림 memmove 가실행된후의 SRVNET BUFFER HEADER 가오버라이트된화면 그림 오버플로우가발생될때의패킷 (memove 의사이즈부분 ) 워너크라이상세분석 61
64 Ⅲ. 워너크라이상세분석 익스플로잇과정 익스플로잇코드는먼저취약점을트리거하기전실행흐름을원하는위치로변조하기위한 커널메모리레이아웃을구성한다. 원격에서피해 PC 로다량의 SMB 패킷전송을통해커널 메모리레이아웃을구성하는데이때, Kernel Heap Feng Shui* 기법을사용한다. * Heap Feng Shui : 크기가동일한버퍼를연속적으로메모리에할당하고이중특정버퍼를해제시킨후동일한크기의취약한버퍼를프리된공간에끼워넣어인접한버퍼를오버라이트하는기법 그림 익스플로잇커널메모리레이아웃 62
65 Kernel Heap Feng Shui 를사용하여커널메모리레이아웃을구성하는세부내용은아래와같다. 1 최초 OOB 취약점을발생시키는 OS/2 FeaList 패킷을전체길이 (0x11000) 보다작은크기까지만 데이터를전송하여커널 Pool 메모리할당대기상태로만든다. 전체길이를모두수신될경우메모리가할당되는구조를가짐 그림 OS/2 FEA 데이터전송패킷 워너크라이상세분석 63
66 Ⅲ. 워너크라이상세분석 2 SMBv1 패킷을전송하여 0x10000 크기의커널 Pool 메모리할당한다. 그림 SMBv1 버퍼메모리 (0xfff0 + 0x10 = 0x10000) 할당 64
67 3 SMBv2 패킷 13 개전송하여 0x11000 크기의커널 Pool 메모리가연속적으로 할당하도록힙공간에 SRVNET BUFFER 데이터를스프레이시킨다. 그림 KERNEL HEAP FENG SHUI 워너크라이상세분석 65
68 Ⅲ. 워너크라이상세분석 4 SMBv1 패킷을 0x11000 크기의커널 Pool 메모리를할당, 향후해당메모리버퍼는 OOB 취약점이발생하는버퍼를위한공간을위해할당한다. 그림 SMBv1 버퍼메모리 (0x87f8*2+0x10 = 0x11000) 할당 66
69 5 첫번째 SMBv1 버퍼 ( 크기 :0x10000) 는세션종료이후할당된메모리가해제된다. 그림 첫번째 SMBv1 버퍼메모리해제 6 OOB 취약점이있는버퍼 (NT FEA) 뒷부분에 SRVNET BUFFER 를위치시키기위해힙 스프레이패킷 5 개를추가적으로전송한다. 그림 힙스프레이패킷추가전송 워너크라이상세분석 7 대기상태로있는 OS/2 FeaList 패킷을할당하기위해두번째 SMBv1 버퍼 ( 크기 :0x11000) 를세션종료를통해메모리해제한다. 그림 두번째 SMBv1 버퍼메모리해제 67
70 Ⅲ. 워너크라이상세분석 8 최초로보냈던 OS/2 FeaList 패킷의마지막데이터를전송하여바로전해제된메모리공간에 OOB 취약점이발생하는버퍼를할당한다. 그림 OS/2 FeaList 마지막패킷전송하여프리된공간에할당 68
71 9 수신된마지막패킷의데이터가 memmove 를통해정해진범위를벗어난메모리에복사되면서 아래그림과같이인접한 SRVNET BUFFER(0x ) 의 Header 정보가보내진데이터로 오버라이트되어변조된다. 그림 OOB 가발생하여 Srvnet Buffer Header 가변조 워너크라이상세분석 69
72 Ⅲ. 워너크라이상세분석 10 SRVNET BUFFER Header에는 Memory Discriptor List(MDL) 라는구조체정보가존재하며, 해당구조체의 MappedSystemVa 변수는데이터를저장하는버퍼주소값이저장된다. - 해당데이터주소위치를 0xffdfef80값으로덮어버퍼데이터가 0xffdff000 (0xffdfef80+0x80) 에쓰도록강제변경 0xffdfef80에서보내진바이트의수 (0x80) 를더한곳에데이터가쓰임 11 아래패킷을전송할경우 0xffdff000 주소부터데이터가저장되며, 0xffdff1f1 주소에는커널쉘코드가저장된다. 그림 커널쉘코드전송 70
73 그림 TcpDeliverDataToClient 함수를통해패킷으로전송된커널쉘코드를메모리에복사 워너크라이상세분석 71
74 Ⅲ. 워너크라이상세분석 12 OOB 취약점으로인해함수포인터주소가쉘코드주소로변조되어 DoublePulsar 를설치하는 커널쉘코드가실행된다. 그림 함수포인터가커널쉘코드로변조 그림 변조된콜스택정보 72
75 13 쉘 (Shell) 코드에의해 DoublePULSAR 가설치되며, 이후부터는 DoublePULSAR 백도어를이용해 워너크라이 DLL 을대상 PC 에인젝션하여전파한다. 그림 커널쉘코드시작부분 워너크라이상세분석 73
76 Ⅲ. 워너크라이상세분석 백도어인 DoublePULSAR 의존재유무에따라그이후행동이달라지는데, 이를위해 SMB 패킷을 전송하여 DoublePULSAR 에감염여부를판단한다. 그림 DoublePULSAR 확인을위한패킷전송 그림 응답패킷을통해 DoublePULSAR 설치여부확인 74
77 만약 DoublePULSAR가설치되어있는경우, DoublePULSAR 백도어기능을이용해워너크라이 DLL을대상 PC에인젝션하여전파한다. 하지만, DoublePULSAR 未존재시, CVE (EternalBlue) 취약점익스플로잇코드를전송해 DoublePULSAR를설치한다. 그림 익스플로잇페이로드패킷 워너크라이상세분석 75
78 Ⅲ. 워너크라이상세분석 취약점패치 취약점패치는근본적인원인인 srv.sys 파일의 SrvOs2FeaListSizeToNt() 함수에서리스트 길이설정부분을수정하여제거하면된다. 그림 취약점패치 패치전 패치후 76
79 영향받는시스템 표 SMB 취약점영향을받는시스템 o Windows 10 o Windows 8.1 o Windows RT 8.1 o Windows Vista o Windows 8 o Windows 8 Enterprise o Windows 8 Enterprise KN o Windows 8 KN o Windows 8 Pro o Windows 8 Pro KN o Windows Embedded 8 Industry Enterprise o Windows Embedded 8 Industry Pro o Windows Embedded 8 Pro o Windows 7 o Windows XP Embedded o Windows Server 2016 o Windows Server 2012 R2 o Windows Server 2008 R2 SP1 SP2 o Microsoft Windows Server 2003 Compute Cluster Edition o Microsoft Windows Server 2003 R2 Datacenter Edition(32 비트 x86) o Microsoft Windows Server 2003 R2 Datacenter x64 Edition o Microsoft Windows Server 2003 R2 Enterprise Edition(32 비트 x86) o Microsoft Windows Server 2003 R2 Enterprise x64 Edition o Microsoft Windows Server 2003 R2 Standard Edition(32 비트 x86) o Microsoft Windows Server 2003 R2 Standard x64 Edition o Microsoft Windows Server 2003, Datacenter Edition(32 비트 x86) o Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems o Microsoft Windows Server 2003, Datacenter x64 Edition o Microsoft Windows Server 2003, Enterprise Edition(32 비트 x86) o Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems o Microsoft Windows Server 2003, Enterprise x64 Edition o Microsoft Windows Server 2003, Standard Edition(32 비트 x86) o Microsoft Windows Server 2003, Standard x64 Edition o Microsoft Windows Server 2003, Web Edition o Windows XP Home Edition o Windows XP Media Center Edition 2004 o Windows XP Media Center Edition 2005 o Windows XP Professional o Windows XP Professional x64 Edition o Windows XP Tablet PC Edition o Windows XP Tablet PC Edition 2005 워너크라이상세분석 77
80 Ⅳ. 해커그룹연관성 78
81 Ⅳ. 해커그룹연관성 해커그룹연관성 79
82 Ⅳ. 해커그룹연관성 1. 해외보안업체동향 아래의표로북한과의연관관계를주장하는측과그렇지않은측의내용을요약했다. 표 4-1. 북한과의강력한연계성주장내용 분석주체 의견 o 구글社의 NeelMehta 연구원의 SNS를통한내용공유로부터시작되었으며카스퍼스키社의연구원도해당내용에동의하는내용의글을게재 (5.15) < 구글社 Neel Mehta 연구원트위터발췌 > 구글, 1) 카스퍼스키, 2) 시만텍 3) o 시만텍社는워너크라이랜섬웨어와 Lazarus그룹간의연관성분석내용공개 (5.22) - 2월, 3월, 4월해외에서발생한워너크라이초기버전에대한공격내용분석 < 시만텍분석내용 > 최초워너크라이공격이발생한이후피해자의네트워크에서 Lazarus와관련된악성코드발견 (2월) 워너크라이유포에사용된백도어악성코드가 Lazarus그룹에서사용하는악성코드계열 (3월, 4월 ) Trojan.Bravonc 계열의악성코드가 Lazarus 그룹과동일한 C&C 기반을사용 * 해당계열의악성코드의코드난독화방식이워너크라이와유사 Fake SSL 기능을구현할때사용한코드와동일 * 워너크라이초기버전유포시이용한백도어가 Lazarus 그룹에서사용한백도어의변종 - 공격기법또한 Lazarus 그룹에서사용하는 SMB 유포방식 ( 하드코딩된 ID/PW를이용한 SMB 전파 ) 과동일 1) -korea-news-crime-rfqqavibbijab.html 2) 3) 80
83 분석주체 의견 o 워너크라이악성코드에대한메타데이터분석결과에서, - 압축파일의타임스탬프, 다국어로감염알림메시지를담고있는 28개의 RTF 포맷에대한메터데이터등을분석 - 워너크라이랜섬웨어공격자는중국어페이지파일을편집하는데많은시간을보냈으며사용된 Word 프로그램의기본설정언어는한국어로설정 < 각언어별편집소요시간통계 > 일레븐패스 4) 해커그룹연관성 < RTF 메타데이터상의한국어디폴트값및 UTC 타임존에대한추정자료 > o 공격자의시간대는 UTC+2 와 UTC+12 사이의시간대로추정된다고밝힘 4) 81
84 Ⅳ. 해커그룹연관성 표 4-2. 북한소행을반론하는측면 분석주체 의견 o 플래쉬포인트社에의하면, 영어와중국어로작성된랜섬노트만이사람에의해서작성된것이며다른언어들은문법적오류가발견되어번역된것으로판단 - 중국어로작성된내용이매우유창한어구를구사한것으로분석되었으며남중국, 홍콩, 타이완또는싱가포르에서사용하는언어형태로언급 플래쉬포인트 5) < 워너크라이감염지도 > o 플래쉬포인트社는감염시표시되는랜섬웨어설명문이초기에한국어로작성된것이아닌다른언어에서변환되었던것이라고주장 (5.30) o 싸이버리즌社는북한의전통적인사이버공격정책과맞지않다고언급 (5.18) - 코드유사성이존재한다는점은인정하지만, 해당코드들이매우오래된기술이며, 코드재활용은해커들이흔하게이용하는방법이라고전함 * 또한, 재활용된코드영역이일반적인함수호출이며북한의코딩방식을특징할수있는특정근거가부족함 싸이버리즌 6) o 대부분의북한해커들은중국이나러시아에서활동하고있으며, 인터넷망역시주변국을이용하고있음 - 만일, 워너크라이랜섬웨어를개발하고실행하는과정에중국이나러시아지역의 IP를이용한경우에대한위험성도존재함 - 이번사고의감염비율중한국이상대적으로적은점도언급 5) 6) 82
85 2. 연관성분석 이번워너크라이사고를추적 분석하는많은기관 업체에서는과거해킹사태들과유사점을지적하며, Lazarus( 이하, 라자루스 )* 를공격주체로지목하기도하였다. * 소니픽쳐스해킹사고의주범으로알려진북한해커그룹 5 월 16 일, 해외구글社소속의분석가 Neel Mehta 는자신의분석내용을근거로이번워너크라이 (WannaCry) 랜섬웨어의공격주체가라자루스와관련있다고주장했다. 7) 그림 4-1. Neel Mahta 분석, 아래그림중적색으로표시된부분 해커그룹연관성 7) Neel Mehta 트위터 83
86 Ⅳ. 해커그룹연관성 그림 4-1 은라자루스관련악성코드 ( 左 ) 와이번워너크라이랜섬웨어샘플 ( 右 ) 을비교한결과로분석가 ( Neel Mehta ) 가유사하다고주장하는코드영역이다. 그림 4-2. 보안전문가 (Matthieu Suiche) 의분석내용 또다른보안전문가인 Matthieu Suiche (comae technologies) 는자신의트위터에시만텍이필리핀 SWIFT 해킹사고에서찾은악성코드 (Symantc.Contopee) 와이번워너크라이악성코드를비교분석하였다 ( 그림 4-2). 이들소스코드는유사성을가지고있었으며, 특정함수의경우 100% 동일함을언급했다. 8) 초기분석시점에서시만텍은라자루스조직, 특히북한과의연관성에대해유보적인입장을취하면서보다 9) 강력한근거를찾기위해지속적으로조사할것임을언급한바있었다. 이후, 시만텍역시그간의자사추적 내용을바탕으로금번워너크라이사고에서라자루스조직이사용하는해킹툴과의유사성이발견되었다고 발표하면서 Kaspersky 社와같이북한관련성이높음에의견을같이하는것으로선회하였다. 10) 8) Matthieu Suiche 트위터 ( 9) 10) hackers-symantec-says 84
87 그림 4-3. KISA 분석및비교, 유사성분석을위해변환 KISA 와인텔리전스네트워크에서도이를확인해본결과그림 4-3 과같이, 해당코드가유사성을가짐을 확인할수있었다. 하지만, 결정적인증거는확보되지않은상황이다. 해커그룹연관성 국내보안전문가들도이번워너크라이사고가소니픽쳐스해킹사태와유사함을지적하며관련증거를 확보하기위해지속적으로모니터링을진행하고있다. 85
88 Ⅳ. 해커그룹연관성 3. 연관성결론 해외다양한보안업체들이이번워너크라이공격배후로북한을두고있는것에대하여논란을벌이고있는상황이며 국내외정보및수사당국의명확한조사결과가나온상황도아니다. 라자루스의악성코드들과금번랜섬웨어의특정영역이일부유사하지만결정적인증거가발견되지않아서당분간 논란은지속될것으로예상된다. 86
89 [ 부록 ] 랜섬웨어 (WannaCry) 예방대국민행동요령
90 [ 부록 ] 랜섬웨어 (WannaCry) 예방대국민행동요령제 4 장. 글로벌사이버위협동향 랜섬웨어 (WannaCry) 예방대국민행동요령 1) PC 를켜기전, 네트워크 ( 인터넷 ) 물리적단절 - 랜선뽑기 - 와이파이끄기 2) PC 전원을켜고, PC 보안설정변경 - Windows 방화벽설정변경 (89 페이지참고 ) * 파일공유 (SMB) 기능차단 3) PC 인터넷재연결후, 윈도우운영체제최신업데이트실행 - Windows Update 실행 - 백신프로그램업데이트 * 파일공유기능필요시방화벽설정복구 (93페이지참고 ) 감염대상 : 최신패치를적용하지않은윈도우운영체제시스템 (PC, 서버, ATM, PoS 등 ) - 윈도우운영체제 : 윈도우 XP, 7, 8, 8.1, 10, Server 2003, 2008, 2012, 2016 주의사항 : 변종이지속적으로출현되고있어신속한윈도우운영체제업데이트필요 88
91 1. PC 보안설정 변경 Window 방화벽에서 SMB 사용되는 포트 차단 1) [제어판] [시스템 및 보안] 랜섬웨어(WannaCry) 예방 대국민 행동 요령 2) [Windows 방화벽] [고급 설정] 89
92 [ 부록 ] 랜섬웨어 (WannaCry) 예방대국민행동요령제 4 장. 글로벌사이버위협동향 3) [ 인바운드규칙 ] [ 고급설정 ] [ 포트 ] [ 다음 ] 4) [TCP] [ 특정로컬포트 ] [139, 445] [ 다음 ] 90
93 5) [ 연결차단 ] [ 다음 ] 6) [ 도메인, 개인, 공용체크확인 ] [ 다음 ] 랜섬웨어 (WannaCry) 예방대국민행동요령 91
94 [ 부록 ] 랜섬웨어 (WannaCry) 예방대국민행동요령제 4 장. 글로벌사이버위협동향 7) [ 이름설정 ] [ 마침 ] 92
95 2. 파일공유기능재사용필요시 - 방화벽설정해제 Windows 보안업데이트완료후 파일공유기능재사용을위해 Window 방화벽에서 SMB 차단설정해제 1) [ 제어판 ] [ 시스템및보안 ] [Windows 방화벽 ] [ 고급설정 ] 2) [ 인바운드규칙 ] [SMB 차단 ] [ 우클릭후삭제, 예 (Y)] [ 재부팅 ] 랜섬웨어 (WannaCry) 예방대국민행동요령 93
96 제 4 장. 글로벌사이버위협동향 memo 94
97 워너크라이분석스페셜리포트 발행일 2017 년 10 월 발행및편집 한국인터넷진흥원사이버침해대응본부침해사고분석단 주소 서울시송파구중대로 135( 가락동 78) IT 벤처타워 KISA Report 의내용은무단전재할수없으며, 인용할경우그출처를반드시명시하여야합니다. 95
98
목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.
Trojan/Win32.WannaCryptor 상세분석 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 01. 개요... 3 02. 감염경로... 4 03.
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More information- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨
QnA 형식으로알아보는 WannaCry 랜섬웨어 대응가이드 2017. 05 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. - 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요?
More information- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐
QnA 형식으로알아보는 WannaCry 랜섬웨어 대응가이드 2017. 05 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. - 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요?
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8
차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More information사행산업관련통계 2011. 6 Ⅰ 사행산업현황 정의 사행사업관련법규 사행산업규모 조세현황 기금등출연현황 업종별매출및지출구 조 업종별영업장현황 도박중독관련현황 도박중독예방 치유예산 도박중독예방 치유활동 불법사행행위신고센터현황 Ⅰ. 사행산업현황 정의 3 사행산업관련통계 사행산업관련법규 4 Ⅰ. 사행산업현황 사행산업규모 5 사행산업관련통계 6 Ⅰ. 사행산업현황
More information2. 워너크라이국내확산및피해현황 공격시기 : 2017년 5월 12일 ( 금 ) 전후 국내피해현황 : 구분피해대상피해내용감염경로 글로벌 제조업 제조공정서버및 PC 감염 공장일부 가동중지 글로벌 본사 대기업보안관제센터모니터링 PC 감염 PC 운영중단및포맷인터넷 의료기관대형
[ 본자료는한국랜섬웨어침해대응센터의자산이므로참고하실때반드시출처를명기해주시기바랍니다 ] 긴급랜섬웨어침해보고서 발행일시 일 연락처 발행번호 이메일 발행처 한국랜섬웨어침해대응센터 센터장이형택 [ 워너크라이 WannaCry 랜섬웨어긴급침해보고서 ] 5 월 12 일전후무차별유포, 전세계 74 개국으로피해확산, 한국도피해발생 랜섬웨어해커동맹에의한사상최대공격, PC 와
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More information한류 목차2_수정 1211
Ⅰ-Ⅰ 아시아대양주 Ⅰ-Ⅱ 아메리카 지구촌 Ⅱ-Ⅰ유럽 Ⅱ-Ⅱ 아프리카 중동 지구촌 한류현황 개요 464 377 228 233 234 213 142 36 76 2012 2012 2013 2013 2012 2012 2013 2013 2012 2012 2013 2013 2012 2012 2013 2013 지구촌 지역별 한류 동호회 현황 Ⅰ 지구촌 한류현황Ⅱ Ⅰ.
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information국가표본수기간 평균최초수익률 국가표본수기간 ( 단위 : 개, 년, %) 평균최초수익률 아르헨티나 20 1991-1994 4.4 요르단 53 1999-2008 149.0 오스트레일리아 1,562 1976-2011 21.8 한국 1,593 1980-2010 61.6 오스트리아 102 1971-2010 6.3 말레이시아 350 1980-2006 69.6 벨기에 114
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More information슬라이드 1
휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT
More informationSBR-100S User Manual
( 1 / 24 ) SBR-100S 모델에대한 SSID( 네트워크이름 ) 변경하는방법을안내해드립니다. 아래안내사항은제품의초기설정값을기준으로작성되어있습니다. 1. SSID 이란? SSID 는 Service Set Identifier 의약자로무선랜을통해젂송되는모든패킷의헤더에존재하는고유식별자이다. 무선랜클라이언트가무선랜 AP 에접속할때각무선랜을다른무선랜과구붂하기위해사용됩니다.
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을
리눅스 취약점대응방안권고 15. 01. 29 / KISA 취약점점검팀 15. 01. 30 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE-2015-0235 지정, 도메인네임을 IP로변환하는기능이포함된서비스 ( 메일, 웹등 ) 들은해당취약점에영향을받을수있음 취약점상세분석
More information1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전
`16 년랜섬웨어동향및 `17 년전망 2017. 01 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationJVM 메모리구조
조명이정도면괜찮조! 주제 JVM 메모리구조 설미라자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조장. 최지성자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조원 이용열자료조사, 자료작성, PPT 작성, 보고서작성. 이윤경 자료조사, 자료작성, PPT작성, 보고서작성. 이수은 자료조사, 자료작성, PPT작성, 보고서작성. 발표일 2013. 05.
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.94 2019 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More information커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서
커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More information[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀
[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500
More information<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>
SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More informationPowerPoint 프레젠테이션
System Software Experiment 1 Lecture 5 - Array Spring 2019 Hwansoo Han (hhan@skku.edu) Advanced Research on Compilers and Systems, ARCS LAB Sungkyunkwan University http://arcs.skku.edu/ 1 배열 (Array) 동일한타입의데이터가여러개저장되어있는저장장소
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More informationPoison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3
Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Example 3.1 Files 3.2 Source code 3.3 Exploit flow
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information슬라이드 1
-Part3- 제 4 장동적메모리할당과가변인 자 학습목차 4.1 동적메모리할당 4.1 동적메모리할당 4.1 동적메모리할당 배울내용 1 프로세스의메모리공간 2 동적메모리할당의필요성 4.1 동적메모리할당 (1/6) 프로세스의메모리구조 코드영역 : 프로그램실행코드, 함수들이저장되는영역 스택영역 : 매개변수, 지역변수, 중괄호 ( 블록 ) 내부에정의된변수들이저장되는영역
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More informationMicrosoft PowerPoint - chap06-2pointer.ppt
2010-1 학기프로그래밍입문 (1) chapter 06-2 참고자료 포인터 박종혁 Tel: 970-6702 Email: jhpark1@snut.ac.kr 한빛미디어 출처 : 뇌를자극하는 C프로그래밍, 한빛미디어 -1- 포인터의정의와사용 변수를선언하는것은메모리에기억공간을할당하는것이며할당된이후에는변수명으로그기억공간을사용한다. 할당된기억공간을사용하는방법에는변수명외에메모리의실제주소값을사용하는것이다.
More informationSAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2
[Win] SAS Enterprise Miner6.1 설치가이드 - Single User 작성자 : 기술지원팀 (SAS Korea) 단계 1) 설치전주의 / 확인사항 2) 사용자생성및권한할당 3) SAS Software Deport 생성 4) SAS Enterprise Miner 설치 (SAS Foundation + Enterprise Miner 6.1) 5)
More informationEQST Insight_201910
Special Report WannaCryFake 랜섬웨어분석및복호화도구활용 개요 공격자들이금전적이득을위한수단으로랜섬웨어 (Ransomware) 를이용한지수년이지났고그비율도점차감소하고있다. 하지만기존랜섬웨어를변형하여재사용하는변종공격이꾸준히발견되고있어주의가요구된다. 랜섬웨어는몸값을의미하는 Ransom 과 Software 의합성어로, 파일을인질로몸값을요구하며개인
More information본 강의에 들어가기 전
1 2.1 대칭암호원리 제 2 장. 대칭암호와메시지기밀성 2 3 기본용어 평문 (Plaintext) - original message 암호문 (Ciphertext) - coded message 암호화 (Cipher) - algorithm for transforming plaintext to ciphertext 키 (Key) - info used in cipher
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More information저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할
저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,
More informationMicrosoft PowerPoint - 권장 사양
Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More information아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다
공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More informationMicrosoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]
리눅스 설치 Vmware를 이용한 Fedora Core 8 설치 소프트웨어실습 1 Contents 가상 머신 실습 환경 구축 Fedora Core 8 설치 가상 머신 가상 머신 가상 머신의 개념 VMware의 설치 VMware : 가상 머신 생성 VMware의 특징 실습 환경 구축 실습 환경 구축 Fedora Core 8 설치 가상 머신의 개념 가상 머신 (Virtual
More information<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>
VHDL 프로그래밍 D. 논리합성및 Xilinx ISE 툴사용법 학습목표 Xilinx ISE Tool 을이용하여 Xilinx 사에서지원하는해당 FPGA Board 에맞는논리합성과정을숙지 논리합성이가능한코드와그렇지않은코드를구분 Xilinx Block Memory Generator를이용한 RAM/ ROM 생성하는과정을숙지 2/31 Content Xilinx ISE
More informationASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안
ASEC REPORT VOL.90 2018 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다.
More informationMicrosoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc
분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.
More information#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리
#HNS-WI-13-028 북한의심 APT 공격에대한 Kaspersky 의분석정리 2013-09-12 내용요약 이보고서는 Kaspersky의 Dmitry Tarakanov가작성하여우리나라시간으로 9월 12일발표한 The Kimsuky Operation: A North Korean APT? 를정리및분석한것으로, Kaspersky는지난몇달동안한국의세종연구소, KIDA(
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More information수입목재의합법성판단세부기준 [ ] [ , , ] ( ) 제 1 조 ( 목적 ) 제 2 조 ( 용어정의 ). 1.. 제3조 ( 대상상품의분류체계 ) ( ) 18 2 (Harmoniz
수입목재의합법성판단세부기준 [ 2018.10.1] [ 2018-00, 2018.0.0, ] ( ) 042-481-4085 제 1 조 ( 목적 ) 19 2 19 3 2. 제 2 조 ( 용어정의 ). 1.. 제3조 ( 대상상품의분류체계 ) ( ) 18 2 (Harmonized System Code). 1. (HS4403) 2. (HS4407) 3. (HS4407)
More information(Veritas\231 System Recovery 16 Monitor Readme)
Veritas System Recovery 16 Monitor Readme 이 Readme 정보 Veritas System Recovery 16 Monitor 에서더이상지원되지않는기능 Veritas System Recovery 16 Monitor 시스템요구사항 호스트시스템의필수조건 클라이언트시스템의필수조건 Veritas System Recovery 16 Monitor
More information당신의 AD 는안녕하십니까? AD(Active Directory) 관리자계정탈취를통한기업내부망장악사례와대응방안 본사고노트의전부나일부를인용시반드시 [ 자료 : 한국인터넷진흥원 ] 을명시하여주시기바랍니다.
당신의 AD 는안녕하십니까? AD(Active Directory) 관리자계정탈취를통한기업내부망장악사례와대응방안 2019.02.27 본사고노트의전부나일부를인용시반드시 [ 자료 : 한국인터넷진흥원 ] 을명시하여주시기바랍니다. 1. 개요 최근, 윈도우기반의 Active Directory( 이하 AD) 체계를이용하여 IT 서비스를운영하는기업이해킹된사례가다수확인된다.
More informationMicrosoft PowerPoint - chap06.ppt
2010-1 학기현대암호학 제 6 장. 하이브리드 암호시스템 박종혁 Tel: 970-6702 Email: jhpark1@snut.ac.kr 목차 하이브리드암호시스템 강한하이브리드암호시스템 암호기술의조합 6.0 주요내용 하이브리드암호시스템 대칭암호의장점인빠른처리속도 비대칭암호의장점인키배송문제의편리함 평문을대칭암호로암호화 평문을암호화할때사용했던대칭암호키를공개키암호로암호화
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More informationASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에
Security Trend ASEC REPORT VOL.83 November, 2016 ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More informationISP and CodeVisionAVR C Compiler.hwp
USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler http://www.avrmall.com/ November 12, 2007 Copyright (c) 2003-2008 All Rights Reserved. USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler
More informationTable of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17
Trojan.KillDisk.MBR 악성코드분석보고서 (V 4.0) ESTsoft Corp. ALTOOLS Division Malware Research 페이지 1 / 17 Table of Contents 1. 분석...1 1-1. 유포경로... 2 1-2. 악성파일분석... 3 1-2-1. 드롭퍼 A 분석... 3 1-2-2. 드롭퍼 B 분석... 10 페이지
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More informationASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More informationPowerPoint 프레젠테이션
Traffic monitoring for security anomaly detection 바이러스연구실 최원혁 바이러스사례 (1) 2001.07 CodeRed 최초의패킷형바이러스. IIS 의버퍼오버플로어취약점을이용해서바이러스를메모리에상주후, 무작위로 PC 를선별버퍼오버플로어패킷을보내어취약점이존재할경우다시바이러스에감염되는과정을반복함 (2) 2001.08 CodeRed_II
More informationserver name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지
ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More informationC O N T E N T S 목 차 요약 / 1 I. 성장견인국 / 3 II. 위기진행국 / 54 III. 중도성장국 / 112
11-006 2011. 05.24 남유럽재정위기 1 년, 현재유럽은? C O N T E N T S 목 차 요약 / 1 I. 성장견인국 / 3 II. 위기진행국 / 54 III. 중도성장국 / 112 남유럽재정위기 1 년, 현재유럽은? 요약 1 Global Issue Report 11-006 2 남유럽재정위기 1 년, 현재유럽은? I. 성장견인국 독일 I 경제현황및전망
More informationAndroid Master Key Vulnerability
Android Master Key Vulnerability Android Bug 8219321 2013/08/06 http://johnzon3.tistory.com Johnzone 内容 1. 개요... 2 1.1. 취약점요약... 2 1.2. 취약점정보... 2 2. 분석... 2 2.1. 기본개념... 2 2.2. 공격방법... 4 3. 방어대책... 7
More information201112_SNUwifi_upgrade.hwp
SNU무선랜 이용 방법 SNU무선랜 개선된 기능(2011년 12월) - 무선랜 처음 사용자(노트북)를 위한 접속프로그램 다운로드 방식 개선(차례 I.) 유선네트워크가 없는 환경에서 다운로드 받는 방법 제공 - 노트북이용자를 위한 통합에이전트를 제공 WindowsXP/2000/2003/Vista/7 하나의 프로그램 사용(32bit, 64bit 구분없음) 프로그램
More information임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과
임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과 System call table and linkage v Ref. http://www.ibm.com/developerworks/linux/library/l-system-calls/ - 2 - Young-Jin Kim SYSCALL_DEFINE 함수
More information<322EBCF8C8AF28BFACBDC0B9AEC1A6292E687770>
연습문제해답 5 4 3 2 1 0 함수의반환값 =15 5 4 3 2 1 0 함수의반환값 =95 10 7 4 1-2 함수의반환값 =3 1 2 3 4 5 연습문제해답 1. C 언어에서의배열에대하여다음중맞는것은? (1) 3차원이상의배열은불가능하다. (2) 배열의이름은포인터와같은역할을한다. (3) 배열의인덱스는 1에서부터시작한다. (4) 선언한다음, 실행도중에배열의크기를변경하는것이가능하다.
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More informationPowerPoint Presentation
2014 년 4 월 CISO 협의회 Windows XP 사용현황과보안대책 Jong Whoi Shin, Ph.D Chief Security Advisor Microsoft Corporation 기술의혁신 'LF 소나타 ' 는초고장력강판을 50% 이상사용해차체의강성을높여안전성을강화하고, 안전및 편의사양으로차선이탈경보장치 (LDWS), 후측방경보장치 (BSD) 등여러가지첨단기술적용
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More informationC# Programming Guide - Types
C# Programming Guide - Types 최도경 lifeisforu@wemade.com 이문서는 MSDN 의 Types 를요약하고보충한것입니다. http://msdn.microsoft.com/enus/library/ms173104(v=vs.100).aspx Types, Variables, and Values C# 은 type 에민감한언어이다. 모든
More informationCODESYS 런타임 설치과정
CODESYS 런타임설치과정 CODESYS Control RTE / SoftMotion RTE Setup Web: www.altsoft.kr E-mail: altsoft@altsoft.kr Tel: 02-547-2344 목 차 CODESYS 런타임 - Control RTE, SoftMotion RTE... 2 다운로드및설치과정... 2 CODESYS EtherCAT
More information1
3.3 DDoS 분석보고서 2011.03.04 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011 년 3 월 3 일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그
More information