세상, 그 유쾌한 전장

최근에 모 연예인 동영상이 유출되면서 또 시끄러웠던 것들을 기억하실 겁니다. 이런 사회적인 이슈들은 악성코드를 유포하는 자들에게는 좋은 기회입니다. 경찰, 'A양 동영상' 악성코드 수사 착수 위 악성코드 유포는 아주 전형적인 유포 패턴인데, 악성코드 설치를 더 유용하게 하기 위해 낚시용 이미지 파일을 사용하며 연예인 유출 동영상을 SFX(Self-extracting archive - 자동 압축 해제)를 이용해서 악성코드와 함께 압축, 압축 해제시에 자동으로 악성코드가 생성, 실행되게 하고 있다고 합니다. [주의]유명 연예인 사생활 동영상 내용으로 악성 파일 전파 중 사실 이 SFX 압축은 혹시라도 압축 프로그램이 없는 환경을 사용 중인 사용자를 위한 배려나 간단한 포터블 제작 등에 많이 사용하는 아주 유..

최근에 보안 업체의 신기술로 각광 받는 클라우드 진단 기능과 기존의 휴리스틱 진단 기능을 설명하고 서로의 장단점을 비교해 보도록 하겠습니다. ※ 저는 보안 전문가가 아니며 보안과 관련된 전문적이고 기술적인 지식을 지니고 이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다. ▶ 안티 바이러스 기능 설명글 모음 - Signature Heuristic Detecion이란? (서명 기반 의심 진단) - HIPS와 Behavioral Blocker의 차이점 (행동 기반 의심 진단) - Cloud technology?? 클라우드 진단이란? ★ 2012.01.01 추가 ★ 이 글을 바탕으로 각각 휴리스틱, 행동 기반 진단, 클라우드 진단에 대해서 세부적인 글들을 새롭게 작성하였습니다. 관련글의 ..

▶ 관련글 - Duqu 실행에 사용된 최신 윈도우 취약점 공격(Zero day Attack) 임시 패치 방법 어제 Duqu 악성코드 실행과 관련된 윈도우 최신 취약점 공격(임베디드 오픈타입 글꼴 엔진의 취약성으로 인한 원격 코드 실행)대한 임시 패치 방법을 소개해드렸습니다. 그런데 오늘 바로 해당 취약점에 대한 정식 보안 패치 다운로드가 시작되었습니다. 생각보다 엄청 빠르게 나왔는데, 제가 Stuxnet의 변종이라는 Duqu의 위험성을 너무 간과했나 봅니다. 현재 윈도우 자동 업데이트를 통해 제공되고 있으며, 각종 윈도우 버전 별로로 다운로드 가능합니다. 각 윈도우 버전별 다운로드 링크 및 XP, 7 32비트 다운로드 링크 - MS10-076, KB982132 : XP 32비트용 다운로드, 윈도우7 32..

Stuxnet으로 명명된 악성코드의 변종을 보이는 Duqu 악성코드가 현재 보안 패치가 제공되지 않은 새로운 취약점 공격(Zero day Attack)을 통해 유포되고 있는 것이 확인되었다고 합니다. 자체 전파 능력은 없지만 사회 공각 기법을 이용한 전파(이메일 첨부 파일)되며, 첨부 파일을 실행 시킬 때 마이크로 소프트 워드와 관련된 윈도우 커널 취약점으로 인해 윈도우 권한 획득 및 악성코드 설치 등의 행동을 취합니다. 현재 Duqu 악성코드는 원격 명령 서버(C&C)를 통해 각종 명령 수행 및 사용자 정보과 기타 중요 데이터를 외부로 빼돌리는 역할을 한다고 알려져 있습니다. Duqu 악성코드 실행을 방지하기 위해서는 마이크로 소프트에서 제로 데이 취약점에 대한 정식 패치가 제공되기 전까지 제공하는 아..

▶ 관련글 - http://hummingbird.tistory.com/3047 - http://kjcc2.tistory.com/1115 또 다시 주말이 왔습니다. 주말이 되면 일상적으로 시도되는 자동화된 공격을 pgr도 당분간은 피해갈 수 없는 일이 되버린 것 같습니다. 간혹 질문글에 보안 제품의 악성코드 차단 메시지를 보고 질문하시는 분들이 있어 간단하게 이번 주에 유포되는 악성코드에 대해서 살펴보도록 하겠습니다. ※ 아마추어가 하는 것이라 빠진 부분이 여럿 있고, 틀린 부분이 있을 수 있습니다. 적당히 참고하시고 관련글의 링크를 주의깊게 읽어보시기 바랍니다. 각설하고 이번주에 pgr에 삽입된 코드는 아래와 같습니다. 관리자분들이 계속 처리를 하시고, 공격자들이 코드를 바꾸는 경우가 있으니 확실하지는 ..

- CCE에 포함된 Kill Switch에 대해 살펴보도록 하겠습니다. ▶ 관련글 - [포터블] Comodo Cleaning Essentials - 무설치 시스템 검사 도구 코모도에서 CCE(Comodo Cleaning Essentials)를 통해 제공하고 있는 Kill Switch는 시스템 관리 도구입니다. Kill Switch에서 제공하고 있는 기능은 아래와 같습니다. - 프로세스 및 서비스 관리 : 프로세스/서비스 정보 보기 및 차단 기능 - 기타 시스템 관리 도구(은폐된 프로세스 찾기 등) 1. 프로세스/서비스 관리 프로세스/서비스 관리 기능에서는 아래와 같은 5가지 항목을 관리합니다. - Process, Services, Network, BHO, LSP 1-1. Process - 프로세스 관리 ..

최근 VirtualBox에 추가된 이미지 복사 기능을 살펴봅니다. 버쳘박스는 상용 프로그램인 VMware만큼은 아니지만, 한글을 지원하며 다양한 OS 지원과 좋은 프로그램 호환성을 제공해주고 무료 가상 PC 프로그램입니다. 기능이 간소하기 때문에 VMware에 비해 상대적으로 가벼우며 매우 안정적인 호환성이 요구되는 상황이 아니라면 충분히 VMware를 대체할만한 성능과 호환성을 갖추고 있습니다. 여하튼 별 생각없이 업데이트 잘하며 사용 중이었는데, 이미지 복사 기능이 추가된 것을 확인하였습니다. 살펴보니 최근에 4.1* 버전대로 판올림될 때 추가된 것으로 보입니다. 먼저 버쳘박스의 다운로드 링크는 아래와 같습니다. · 홈페이지 : http://www.virtualbox.org/ · 다운로드 : http..

코모도의 안티 바이러스를 비롯한 다양한 보안 제품에 포함된 클라우드 진단 기능을 살펴보도록 하겠습니다. ▶ 관련글 - 코모도의 가상 환경 분석 서비스 - Comodo Instant Malware Analysis - [포터블] Comodo Cleaning Essentials - 무설치 시스템 검사 도구 이전에 코모도의 가상 환경 분석 서비스인 CAMAS를 살펴봤습니다. 그런데 CAMAS는 웹 서비스로 제공되기도 하지만 코모도 인터넷 시큐리티 제품군의 Defense+기능에서 클라우드 방식으로 위험 프로세스를 판단하는데에도 사용되고 있습니다. 흥미롭게도 코모도 인터넷 시큐리티 내에는 FLS라는 또 다른 클라우드 진단 기능이 존재하며, CCE(Comodo Instant Malware Analysis)에 잠시 추..

가상 환경에서 파일을 분석하여 악성 여부를 판단하게 해주는 CIMA (comodo instant malware analysis)를 소개합니다. ▶ 관련글 - 악성코드 확인 방법 2 : 무료 온라인 가상 환경 분석 검사 서비스 모음 영국에 기반을 둔 보안 업체인 코모도에서 제공하는 가상 환경 분석 시스템을 살펴보겠습니다. 과거에 이미 온라인 가상 환경 분석 검사 서비스들을 살펴봤으므로, 가상 환경 분석에 대한 내용은 위 링크의 글을 참고 바랍니다. 코모도의 가상 환경 분석 시스템은 COMODO Instant Malware Analysis(CIMA)이 정식 명칭이고 보통 CAMAS(프로젝트 이름인 듯?)라고 불립니다. CAMAS는 아래 링크로 접속할 수 있습니다. ▶ 코모도 홈페이지 : www.comodo...

악성코드 진단과 시스템 관리 기능을 갖고 있는 Comodo Cleaning Essentials을 소개합니다. ▶ 관련글 - 무료 악성코드 검사 도구 모음 (Ver. 11.06.18) - 코모도의 새로운 시스템 관리 도구 - Kill Switch - 무료 악성코드 진단/분석 도구 : Emsisoft Free Emergency Kit 1.0 - [Online Scanner] Comodo AV Scanner Comodo Cleaning Essentials은 영국에 기반을 둔 보안 업체인 Comodo에서 제공하는 기업용 무료 검사 도구입니다. 특이하게도 개인용이 아닌 기업용으로 소개된 제품인데, 기능 구성은 과거에 소개한 Emsisoft Free Emergency kit와 유사합니다. Comodo Cleanin..