청호PENTEST - Professional Penetration Testing Company

Select Language
224 no image 미 법무부발표, 모바일 보안권고 사항
[레벨:30]관리자
1945 2013-03-23
223 no image 주요 방송사 및 은행 전산망 장애 유발 악성코드 분석
[레벨:30]관리자
867 2013-03-21
3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하는 사고가 한국에서 발생하였으며, ASEC에서는 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인하였다. 현재 해당 악성코드는 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있으며, 상세한 디스크 손상 내용은 아래 분석 정보에 기술하였다. 해당 악성코드는 V3 엔진(엔진버전: 2013.03.20.06 이상)으로 업데이트 할 경우 검사 및 치료가 가능하며, 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사 및 치료 할 수 있다. 현재까지 ASEC에서 분석한 이번 주요 방송사 및 은행 전산망 장애를 유발한 악성코드는 다음 이미지와 같이 A 케이스와 B 케이스로 나누어서 발생하였다. 우선 A 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다. 우선 드로퍼인 File A는 %Temp% 폴더에 다음 파일들을 생성하게 된다. 1) File B : MBR 파괴 기능 수행 2) File C : UPX 압축 된 SSL 연결을 위한 PUTTY 툴 3) File D : UPX 압축된 SFTP 연결을 위한 PUTTY 툴 4) File E : UNIX 계열 시스템 DISK를 파괴하는 스크립트 * File E 스크립트가 대상으로 하는 시스템은 AIX Unix, HP Unix, Solaris 및 Linux 이다. AIX, HP, Solaris 3개 시스템에서는 DD 명령어로 디스크를 10MB 및 81MB 크기 만큼 0으로 덮어 쓰기 하며, Linux 시스템에서는 다음의 디렉토리를 삭제한다. /kernel/ /usr/ /etc/ /home/ File A에 의해 생성된 File B가 실행이 되면, %Temp% 폴더에 ~v3.log 파일이 존재하는지 확인 하게 된다. 만약 해당 파일이 존재 하지 않다면 감염 된 시스템의 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하게 된다. 그리고 File A는 외부에서 원격 접속을 시도하기 위해, 다음 경로의 환경 설정 파일인 confCons.xml가 존재하는지 확인 하게 된다. - Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 ) C:\Documents and settings\Administrator\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml - Major Version 6인 경우 ( Windows 7, Windows VISTA 등 ) C:\Users\AppData\Local\Felix_Deimel\mRemote\confCons.xml 만약 confCons.xml가 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출한다. Username="root" Protocol="SSH" Password= Hostname Descr Panel Port Password 그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다. %Temp%\conime.exe -batch -P [port] -l root -pw %Temp%\~pr1.tmp [host]:/tmp/cups %Temp%\alg.exe -batch -P [port] -l root -pw [host] "chmod 755 /tmp/cups;/tmp/cups" 이와 함께 외부에서 원격 접속을 시도하기 위한 다른 방법으로 다음 경로의 환경 설정 파일이 존재하는 확인하게 된다. - Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 ) C:\Documents and settings\Administrator\Application Data\VanDyke\Config\ Sessions\*.ini - Major Version 6인 경우 ( Windows 7, Windows VISTA 등 ) C:\Users\AppData\Roaming\VanDyke\Config\Sessions\*.ini 만약 경 설정 파일이 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출하게 된다. S:"Protocol Name"=SSH S:"Username"=root D:"Session Password Saved"=00000001 S:"Hostname"= S:"Password"= D:"[SSH2] Port"= 그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다. %Temp%\conime.exe -batch -P [port] -l root -pw %Temp%\~pr1.tmp [host]:/tmp/cups %Temp%\alg.exe -batch -P [port] -l root -pw [host] "chmod 755 /tmp/cups;/tmp/cups" MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하는 File B는 아래와 같은 파일 매핑 오브젝트(FileMapping Object)를 이용하여 동기화 한 후 하나의 프로세스 만이 실행되도록 한다. JO840112-CRAS8468-11150923-PCI8273V 그리고 %SystemDirectory%\TEMP\~v3.log 이름의 파일이 존재하는지 확인 한 후, 만약 존재하지 않는다면 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하게 된다. 이와 함께 Taskkill 명령을 WinExeC API로 호출 하여 국내 보안 소프트웨어 프로세스를 종료 하게 된다. Taskkill /F /IM pasvc.exe askkill /F /IM clisvc.exe File B는 감염 된 시스템의 윈도우(Windows) 버전에 따라 서로 다른 하드 디스크 파괴 스레드(Thread) 를 생성하게 된다. 1) Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 ) * 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기 최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다. * 논리 드라이브를 "PRINCPES" 문자열로 덮어 쓰기 B:\ 부터 Z:\ 까지 모든 논리 드라이브 중에서 드라이브 타입(Drive Type)이 DRIVE_REMOVABLE이나 DRIVE_FIXED인 드라이브의 데이터를 "PRINCIPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 덮어 쓰게 되는 데이터는 약 5.3MB 간격으로 100KB 씩 덮어 쓰게 된다. 2) Major Version 6인 경우 ( Windows 7, Windows VISTA 등 ) * 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기 최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다. * 모든 논리 드라이브의 데이터를 "PRINCPES" 문자열로 덮어 쓴 후 삭제 모 든 논리 드라이브의 데이터를 "PRINCPES" 문자열을 반복하여 덮어 씀으로써 원본 파일 내용을 제거 한 뒤, 모든 파일을 DeleteFile API로 삭제하고 모든 디렉토리를 RemoveDirectoryA API로 삭제 한다. 그리고 D:\부터 차례대로 드라이브의 파일 시스템을 제거 한 뒤, 마지막으로 C:\에서 제거한다. 그러나, C:\의 %SystemDirectory%, %ProgramData%, %ProgramFiles% 세 경로의 파일은 제거 하지 않는다. 추가로 확인된 File F는 File B와 동일한 기능을 수하게 되나, 아래와 같은 세가지 다른 차이점을 가지고 있다. 1) File F는 File B가 가지고 있는 ~V3.log 파일의 존재 여부를 가지고 하드 디스크 파괴 여부를 결정하는 기능이 포함되어 있지 않다. 2) File B는 "PRINCPES" 문자열을 이용하여 덮어쓰기를 수행하게 되나, File F는 "HASTATI" 문자열을 이용하여 덮어쓰기를 수행하게 된다. 3) File B는 실행 즉시 특정 문자열을 이용해 덮어 쓰기를 수행하게 되는 반면에, File F는 2013년 03월 20일 14시 이후에 특정 문자열을 이용해 덮어 쓰기를 수행하게 된다. 현재까지 이번 전산망 장애 관련 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다. Win-Trojan/Agent.24576.JPF (2013.03.20.06) Win-Trojan/Agent.24576.JPG (2013.03.20.07) Trojan/Win32.XwDoor (2013.03.20.07) Dropper/Eraser.427520 (2013.03.20.07) SH/Eraer (2013.03.20.07) 현재 ASEC에서는 추가적인 정보들을 지속적으로 수집하며 관련 된 악성코드들의 상세한 분석 정보를 작성 중에 있다. 그러므로 해당 정보는 수시로 업데이트 될 예정이다. 원문 http://asec.ahnlab.com/926
222 no image [KISA]모바일 오피스 보안수칙
[레벨:30]관리자
700 2013-03-06
221 no image [KISA]무선랜 보안이란
[레벨:30]관리자
704 2013-03-06
무선랜이란? 무선랜이란 선 연결 없이 인터넷을 이용할 수 있게 하는 무선 인터넷 이용환경을 말합니다. 무선랜 환경을 구축하기 위해서는 무선 공유기등 무선 접속장치가 필요합니다. 보안을 설정하지 않은 무선랜은 외부인이 무선공유기를 무단으로 사용 할 수 있고, 해커가 접속하여 해킹, 개인정보유출 등 다양한 보안사고를 유발할 수 있습니다. 무선랜 이용을 위해 설치되는 무선공유기에는 대부분 자체 보안기술이 적용되어 있어서, 여러분이 직접 보안설정을 할 수 있습니다. 일반적으로 무선공유기에서 제공하는 보안기술은 아래와 같습니다. 구분 WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) WPA2 (Wi-Fi Protected Access2) 인증 사전 공유된 비밀키 사용 (64비트, 128비트) 사전에 공유된 비밀키를 사용하거나 별도의 인증서버 이용 사전에 공유된 비밀키를 사용하거나 별도의 인증서버 이용 암호방법 고정 암호키 사용 RC4 알고리즘 사용 암호키 동적 변경(TKIP) RC4 알고리즘 사용 암호키 동적 변경 AES 등 강력한 암호 알고리즘 사용 보안성 가장 취약하여 널리 사용되지 않음 WEP 방식보다 안전하나 불완전한 RC4 알고리즘 사용 가장 강력한 보안기능 제공 무선단말기에서 무선 네트워크를 확인해 보면 현재 이용 가능한 무선공유기와 보안설정 여부를 확인할 수 있습니다.
220 no image KISA 안전한 무선랜(와이파이) 이용수칙
[레벨:30]관리자
643 2013-03-06
219 no image 美 FCC. 스마트폰 보안 강화를 위한 'Smartphone Security Checker' 발표
[레벨:30]관리자
830 2013-02-13
미국 FCC(연방통신위원회)는 DHS, FTC, CTIA, Lookout 등과 협력하여 스마트폰 보안 강화를 위한 무료 온라인 도구인 'Smartphone Security Checker'를 개발하여 발표 FCC에 따르면 미국인의 절반 이상이 스마트폰을 소유하고 있으며, 약 20%의 사용자가 개인정보 및 금융정보 피싱 등 모바일 범죄로 인한 피해를 입고 있는 것으로 추정되고 있음 이에 FCC는 공공-민간 협력을 통하여 스마트폰 운영체제에 따른 보안 절차를 제공하는 온라인 도구인 'Smartphone Security Checker'를 개발함 'Smartphone Security Checker'는 애플 iOS, 구글 안드로이드, 블랙베리, 윈도우 운영체체에 따른 스마트폰 보호를 위한 10가지 절차 및 팁에 대한 정보를 제공함 PIN 및 패스워드 설정 스마트폰 보안 설정 변경 금지 데이터 백업 신뢰할 수 있는 앱 장터에서만 앱 다운 및 설치 앱 권한에 대한 이해 원격에서 데이터를 완전 삭제(wiping)할 수 있는 보안 앱 설치 스마트폰 소프트웨어 업데이트 및 패치 수락 공공 Wi-Fi 네트워크 접속 주의 스마트폰을 기부하거나, 되팔거나, 재활용할 때 데이터 완전 삭제 스마트폰 분실 신고 FCC에서 발표한 스마트폰 보안을 위한 10가지 절차 및 팁을 참고하여 방통위․KISA에서 발표한 스마트폰 이용자 10대 보안 수칙의 만족여부를 검토하고, 지속적인 홍보 활동 필요 FCC의 'Smartphone Security Checker'의 사례를 벤치마킹하여 KISA에서도 홈페이지를 통하여 운영체제에 따른 스마트폰 보안 절차에 대한 정보를 제공하는 사용자 친화적인 서비스가 필요 [출처] 1. http://www.fcc.gov/blog/fcc-and-public-private-partners-launch-smartphone-security-checker-help-consumers-protect-mobile 2. http://www.fcc.gov/smartphone-security
218 no image 안전한 쇼핑 및 물품 배송을 위한 개인정보보호 수칙
[레벨:30]관리자
736 2013-01-18
217 no image 코드 가상화 기법이 적용된 악성코드 분석 방법 연구
[레벨:30]관리자
1100 2013-01-18
216 no image 홈페이지 SW(웹) 개발보안 가이드
[레벨:30]관리자
690 2012-12-12
215 no image 스마트워크 활성화를 위한 정보보호 권고 해설서
[레벨:30]관리자
914 2012-12-11
214 no image DDoS 공격대응 가이드 파일
[레벨:30]관리자
634 2012-10-23
213 no image [TR2012001] 침해사고 조치 가이드 파일
[레벨:30]관리자
599 2012-10-23
212 no image 2011 국내 정보보안산업 실태조사
[레벨:30]관리자
702 2012-10-11
211 no image VMware 가상 머신에 감염되는 최초의 악성코드(Crisis Malware) 발견
[레벨:30]관리자
711 2012-09-19
윈도우와 맥 OSX뿐만 아니라 윈도우 모바일 기기, VMware 내의 OS까지 감염되는 Crisis악성코드가 발견 Crsis는 맥 OSX 뿐 아니라 윈도우까지 공격 Crisis는 Kaspersky Lab의 연구원들에 의해 2012년 7월 최초 발견 맥 OS용 Trojan 악성코드로 알려져 있었으나 Symantec社의 추가적인 자세한 조사 결과 윈도우, 모바일기기와 가상머신도 감염 Crisis는 Skype전화 통화를 녹음할 수 있고, MS 메신저와 같은 인스턴트 메시징 프로그램의 대화 내용을 캡쳐, 파이어 폭스나 사파리 브라우저를 이용하는 사용자의 웹사이트 방문기록 추적 가능 소셜엔지니어링 공격으로 사용자들이 자바, 어도비 플래시 인스톨러의 파일 등을 설치할 때 악성코드를 같이 전파 Crisis는 컴퓨터의 OS를 확인한 뒤 이에 맞는 추가 파일을 설치 Symantec社의 연구원 타카시 카츠키는 Crisis가 가상머신을 통한 악성코드 유포를 시도한 최초의 악성코드라고 자신의 블로그에 개재 Crisis는 VMware 가상머신 이미지를 검색하고 컴퓨터에서 여러 개의 OS를 사용할 수 있도록 하는 프로그램인 VMware 플레이어 툴을 이용, 이미지파일에 접근하여 악성코드를 배포 향후 Crisis와 같은 악성코드들이 많이 등장할 것으로 예상, 가상머신 모니터링 애플리케이션을 찾을 때 이러한 검색 활동을 중단하게 하는 방법으로 많은 위협 저지 Crisis는 단순 VMware가 가진 취약점을 이용하는 것은 아니며 모든 가상환경을 구현하는 소프트웨어들이 이용될 수 있음 ※ 가상머신은 호스트 디스크의 파일들을 말하며 이러한 파일들은 보통 가상머신이 실제로 작동하지 않을 때도 직접 접근하여 조작이 가능 Crisis의 윈도우 버전은 윈도우 모바일 기기를 통해 전파 윈도우기반의 단말기의 경우 컴퓨터와 연결할 때, 모듈을 설치하는 과정에서 악성코드가 전파되는 경우 확인 원격 애플리케이션 프로그래밍 인터페이스(RAPI)를 사용하기 때문에 안드로이드와 iOS기기에는 영향을 미치지 않음 약 50여개의 기기에 Crsis 감염 발생, Symantec社의 추가분석을 통해 자세한 결과를 발표 예정 특정 OS를 공격하는 악성코드의 경우 꾸준히 감염사례가 보고되었으나 하나의 악성코드가 여러 OS에 맞추어 전파되며 VMware 가상머신에 감염되어 악성코드를 유포한 첫 사례 가상머신 환경을 노린 공격에 대비하여 사용자들에게 가상머신 환경에도 보안 프로그램을 설치하도록 권장, 인식제고가 필요 [출처] 1. http://news.cnet.com/8301-1009_3-57497852-83/crisis-malware-targets-vmware-virtual-machines/ 2. http://www.zdnet.com/crisis-malware-targets-virtual-machines-7000002986/ 작성 : 침해예방단 침해예방기획팀 이전글 VISA, 2013년에 전송 구간 암호화 기능 제공 2012.08.27 다음글 빅데이터(Big Data) 시대의 빅데이터 보안(Big Security) 이슈 대두 2012.08.27 본 홈페이지에 게시된 이메일 주소가 자동 수집되는것을 거부하며, 이를 위반시 정보통신망법에 의해 처벌됨을 유념하시기 바랍니다.
210 no image 2012년 8월 악성코드 은닉사이트 탐지 동향 보고서
[레벨:30]관리자
531 2012-09-19
209 no image DNS 대상 DDoS 공격방어를 위한 대피소 모델 연구 최종연구보고서 파일
[레벨:30]관리자
588 2012-09-06
208 no image [번역문서배포]OWASP Top 10 for .NET developer
[레벨:30]관리자
687 2012-08-16
안녕하세요? (주)한국정보보호교육센터 입니다. 본 센터와 공동연구 및 기타 협력관계를 유지하고있는 보안프로젝트(www.boanproject.com)에서 번역한 문서를 배포합니다. 향 후 본 센터와 함께 추진하는 다양한 연구성과에 대해서 지속적으로 공유해 나가도록 하겠습니다. 아래는 본 문서를 번역하고 배포한 보안프로젝트 번역팀에서 작성한 원문의 일부입니다. 보안 프로젝트(www.boanproject.com) 운영자 니키입니다. 장기 프로젝트의 결과물을 배포하게 되는 점 너무 감사합니다. .NET Security에 대한 번역을 선택한 이유는 개인적인 관심과 국내에 관련 자료가 많이 부족하다는 것을 느꼈기 때문입니다. 자료들을 수집하는 과정에서 마이크로소프트 MVP인 Troy Hunt 님이 "FreeBook : OWASP Top 10 for .NET developers" 문서를 공개하였고, 이보다 더 좋은자료가 없다고 판단하여 보안프로젝트 멤버들과 번역 프로젝트를 진행하게 되었습니다. 개인업무가 있음에도 불구하고 시간을 쪼개서 참여를 해주셨고 5개월이라는 긴 시간 동안 수고 많이 하셨습니다. 번역에 참여해주시고 이끌어주신 tlgksl PM님, 함께해주신 감사합니다람쥐님, 에디님, knuhepbg님께 감사의 말씀 드립니다. 멤버 여러명이 참여하여 진행한 만큼, 단어가 일치되지 않을 수 있다는 점 등 여러 부족한 부분에 대해서 널리 양해 부탁드립니다. 다운로드
207 no image 2012 개인정보보호 상반기 상담 사례집 파일
[레벨:30]관리자
647 2012-08-15
206 no image 2012년 7월 악성코드 은닉사이트 탐지 동향 보고서
[레벨:30]관리자
635 2012-08-13
205 no image 사업자를 위한 불법스팸 방지 안내서
[레벨:30]관리자
659 2012-07-30
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X