<C0CCC8ADC1F82E687770>

Similar documents
*2008년1월호진짜

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Windows 8에서 BioStar 1 설치하기

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

생활가이드내지최종

TGDPX white paper

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

07_alman.hwp


08_spam.hwp

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

Microsoft PowerPoint - ch06_악성 코드 [호환 모드]

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

PowerPoint Template

RHEV 2.2 인증서 만료 확인 및 갱신

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

PowerPoint Presentation

Microsoft PowerPoint - 원유재.ppt

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

Microsoft PowerPoint - ch06_악성 코드 [호환 모드]

Windows 10 General Announcement v1.0-KO

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

MCS2

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

ActFax 4.31 Local Privilege Escalation Exploit

SGA-SC 2.0 Manual

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

untitled

BOT Generator Analysis

CPU 점유율이 100%시 대처방법

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

Secure Programming Lecture1 : Introduction

untitled

*****

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

5th-KOR-SANGFOR NGAF(CC)

SIGIL 완벽입문

슬라이드 1

사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

TTA Journal No.157_서체변경.indd

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

Microsoft Word - kis7.0.MASTER.doc

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

Studuino소프트웨어 설치

IT CookBoo, 컴퓨터 실습

PowerPoint Presentation

CODESYS 런타임 설치과정

슬라이드 1

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

PowerPoint 프레젠테이션

Xcovery 사용설명서

<31305FBEC6C0CCC5DB2E687770>

슬라이드 제목 없음

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

- 2 -

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

유포지탐지동향

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

내PC지키미 사용자메뉴얼

<B0B3C0CE5043BAB8BEC8BCB3C1A4C6C4C0CF2E687770>

목차 q 백도어 유닉스계열의백도어 윈도우계열의백도어 : NetBus q 스니핑 : Wireshark q 스푸핑 IP 스푸핑 ARP 스푸핑 DNS 스푸핑 q 패스워드크래킹 : Brutus AET2 q 봇네과 DDOS 2

Microsoft PowerPoint ISS_ ( , , v2.1).ppt

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

슬라이드 1

한국정보보호진흥원

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

프로젝트관리시스템(PMS) 기능개선 검토회

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

SBR-100S User Manual

Chapter ...

게시판 스팸 실시간 차단 시스템

슬라이드 1

Mango-E-Toi Board Developer Manual

슬라이드 1

제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11 제 4 장코드서명인증서보안가이드항목해

I

#WI DNS DDoS 공격악성코드분석

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

Consider the USB Malicious Program.hwp

PowerPoint Presentation

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

Transcription:

분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 -

- 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상 3. 악성봇현황... 8 4. 예방방법... 10 5. 참고문헌... 11-2 -

1. About 봇 1) 봇의정의 악성봇 (Malicious Bot) 이란사용자의 PC를감염시켜, 감염된 PC와시스템을해커가마음대로조종할수있게하는악성코드의일종입니다. 봇이라는명칭은마치로봇과같이컴퓨터를외부에서조종한다는유래했습니다. 즉봇에감염된컴퓨터는악의적인제3자로부터여러명령을받아조종됩니다. 현재무수히많은봇유형이존재하고있으며매일새로운종이출현하고있는데특히변종이많고감염여부도일반인들이쉽게인지할수없어치료하기가쉽지않습니다. 2) 봇의특징 일반적으로윈도우시스템의취약점을악용하는악성봇은웜처럼자동으로전파되는특징을가지고있으며, 대개악성봇에감염된컴퓨터는특정사이트의서비스거부공격을비롯해불법프로그램을유포하거나, 스팸메일발송, 개인정보유출, 애드웨어및스파이웨어설치등에악용된다. 무엇보다악성봇에대한우려의목소리가높은것은악성봇프로그램의소스가해커들사이에서공유되거나제작자간에거래됨에따라수많은변종이양산되고있고, 또지능화되고있어사용자가적절한대응책을마련하는데어려움이있다는점이다. 3) 봇의동작원리 - 3 -

해커에의해제작된악성봇은윈도우와같은운영체제의취약점을가진 PC나바이러스백신등이설치되지않은 PC를대상으로삼게된다. 해커는 Botnet C&C(Command & Control) 라고불리우는서버를구축한후악성봇에감염될 PC를스캐닝해이중취약점패치가이뤄지지않았거나, 바이러스백신프로그램이설치되지않은 PC를감염시켜 BotNet C&C의명령즉, 해커의명령을받는 좀비 PC 로만들어버린다. 특히최근에는복잡한전파방법을이용하기보다는 MSN 등과같은인스턴트메신저를이용해봇을전파하거나운영체제가아닌응용프로그램의취약점을이용하는경우도증가하고있는것으로알려져있다. 또, 하나의취약점만을이용한전파방법에서진화해서동시에몇개의취약점을악용해전파하는등보다지능화되는추세를보이고있다는점이특징이다. 이좀비 PC에게공격자가중앙제어서버프로그램으로봇들에게명령을내리면수많은 PC가해당서버로접속을시도하거나악성트래픽을유발하는패킷을발생시켜전송하게되면서버가마비되는것이다. 2. 악성 IRC 봇 1) 정의 - 4 -

IRC(Internet Relay Chatting) 는일종의채팅서비스이며대화를위해서는 IRC 서버에접속해야한다. IRC서버에접속하는프로그램은 IRC클라이언트라부르며윈도우에서는 mirc가가장널리사용된다. 보통 IRC클라이언트에는스크립트를처리할수있는기능이있고 mirc 클라이언트에도막강한스크립트기능을포함하고있으며이를 IRC봇으로부르고있다. 2) 동작원리 악성 IRC봇은 IRC채널에서채널방장이접속자들에게특정명령을내릴수있고클라이언트들이해당명령을수행할수있는기능을악용한다. 이런명령을수행하기위해서는미리정해진 IRC서버, 채널, 명령어가필요하다. 보통접속서버주소는제작자가직접프로그램속에지정한다. 감염된컴퓨터는사용자몰래특정 IRC서버에접속해특정방에서대기하며방장의명령이오기를대기한다. 악성 IRC봇은여러사람이제작, 배포하는것으로보이며구버전의악성IRC봇은공격이내려지는채널이 IRC 서버관리자에의해폐쇄되는경우전파외에는다른일은하지못하는경우도존재한다. - 채널에접속시 (URL 을 mirc 의자동인사말기능을이용하여채널에접속시출력 ) - 5 -

- 채널에퇴장시 (URL 을채널에서퇴장시 1:1 채팅창을오픈 ) - 출력 URL 은조금씩다르며다르며웹사이트접속시사용자의시스템에루트에 ROL.VBS 파일을생성하고동영상을가장한웜을다운받아실행하게된다. 현재까지알려진파일이름은 Maram.avi.exe 이지만다른형태로도존재할수있다. - 인터넷익스플로러가보안패치되어있다면다음과같은메시지가인터넷익스플로러하단에 - 6 -

출력되면서감염되지않는다. - 파일을실행하면윈도우의 Command 폴더 ( 일반적으로 C: Windows Command ) 에다음과같은파일이생성된다. FORCAD.EXE 파일은실행되면컴퓨터를꺼버리는기능을한다. CMMGR32.COM 은부팅시자동으로실행되도록레지스트리를변경해등록된다. ASYCFIIT.COM 파일은텍스트파일로 mirc의환경설정파일이다. 나머지파일은백도어나웜에서사용하는데이터파일이다. - HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 에 Cmmgr32 생성 - 7 -

- 윈도우가시작될때마다 mirc 가실행되므로몇초간실행되는그림을볼수있다. 3) 증상 - 불필요한네트워크트래픽이발생한다. 다른시스템을감염시키거나네트워크를통한공격을위해네트워크트래픽이발생한다. - CPU 사용률이 100% 까지올라가면서컴퓨터가느려진다 3. 악성봇현황 전세계악성봇감염추정 PC중국내감염 PC 비율이 16.9% 에달하고있다. 전세계봇감염추정 PC는 9월에일평균 6만여대에서 10월에는 5만여대로 16% 감소했지만, 국내사정은오히려 9% 증가해봇감염율이 4% 가량늘어난것이다. - 8 -

한국정보보호진흥원 (KISA) 은월보에서 국내의경우 TCP/139, 80, 135 포트에대한감염시도트래픽이많았다. 허니넷에유입된웜들을분석한결과주로 Mybot, Sdbot 등이국내에서활발한활동을하고있었고, 봇의전파에사용된주요포트는 NetBIOS 관련포트인 445, 139, 135와웹관련 80포트, MS-SQL 관련포트인 1433 등으로지난달 Top5를차지한포트들이그대로주요포트로사용되고있다. 무엇보다악성봇의가장큰문제는악성봇프로그램의소스가해커들사이에서공유되거나제작자간에거래됨에따라수많은변종이양산돼사용자가적절한대응책을마련하기가어렵다는것이다. 악성봇의공격이심각한문제로대두될수밖에없는또하나의문제는공격의파괴력이엄청나다는것외에도감염여부를쉽게알아내기가힘들다는데있다. - 9 -

최근의악성봇은일반적인웜이나바이러스에감염후나타나는증상처럼 PC 사용과정에서의속도저하나접속장애등의문제를일으키지않기때문에일반사용자들이봇의감염여부를알아내기가쉽지않다는것이전문가들의공통된의견이다. 또최근에는악성봇이백신프로그램이나다른보안프로그램을공격해강제종료시키거나백신프로그램의업데이트를차단함으로써자신의존재를은폐하기도해사용자에게더욱위협적인존재가되고있다. 4. 예방방법 - 정보보호 5 대실천수칙실천하기 수칙1 자동보안패치설정하기수칙2 백신프로그램또는개인방화벽등보안프로그램을설치수칙3 컴퓨터의로그인패스워드는 8자리이상의영문과숫자로구성 3개월마다변경수칙4 신뢰할수있는웹사이트에서제공하는 ActiveX 프로그램설치하기수칙5 공인인증서 USB 저장등금융정보안전하게관리하기 보호나라웹사이트 (http://www.boho.or.kr) 를방문하여쉽고간단하게내 PC가악성봇에감염됐는지여부를확인해볼수있다. 보호나라웹사이트에접속하여 [PC 점검 ] ->[ 악성봇감염확인 ] 을클릭하면악성봇감염확인결과를바로알수있다. - 10 -

5. 참고문헌 - 보호나라 http://www.boho.or.kr/index.jsp - 안철수연구소악성코드분석가차민석님글 - 안철수연구소바이러스 / 스파이웨어 - 보안뉴스 www.boannew.com [ 월간시큐리티월드통권제147호 ] - IT전문블로그 www.blog.naver.com/itexpert 2007-11 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원