개요
  • 트랜드마이크로, 권환 및 데이터 탈취, 모바일 랜섬웨어 등의 기능을 수행할 수 있는 안드로이드 악성코드(GhostCtrl) 발견
     

  

주요내용

 

  • GhostCtrl 악성코드는 유명 앱(whatsapp, Pokemon GO 등)을 가장하여 악성 APK 설치를 유도하며, 사용자가 설치를 취소해도 계속해서 팝업창 생성
  1. 설치 후 아이콘을 삭제하며, com.android.engine 이라는 명칭으로 백그라운드에서 실행 및 C&C 서버와 암호화 통신
  • GhostCtrl 악성코드는 관리자 권한 탈취, 모바일 랜섬웨어 기능, 난독화를 통한 악성 루틴 은닉 기능 등 세 가지 변종이 존재
  1. 그 외에 블루투스 연결 제어, 지정한 전화번호의 문자 메시지 탈취, 암호 삭제 및 재설정, 카메라/비디오 녹화 후 C&C 서버로 전송 등 다양한 기능 수행 가능

<그림1. 모바일 랜섬웨어와 유사한 기능을 수행하는 코드>
모바일 랜섬웨어와 유사한 기능을 수행하는 코드

 

시사점

 

  1. 모바일 OS 최신 업데이트 및 중요 데이터의 주기적인 백업 필요
  • 앱 다운로드 시 요구 권한을 확인하여야 하며, 리뷰를 참조한 후 설치하는 것을 권장
     


[출처]
1. TrendMICRO,, “Android Backdoor GhostCtrl can Silently Record Your Audio, Video, and More”, 2017.7.17.
2. BLEEPINGCOMPUTER “GhostCtrl Is an Android RAT That Also Doubles as Ransomware”, 2017.7.17.



작성 : 침해대응단 탐지1팀


--------------------------------------------------


출처 : 보호나라 http://boho.or.kr


출처 :  안랩 > 보안이슈 

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23506&dir_group_dist=0



최신 보안 위협 및 대응책 점검

 

IT에서 정보보안(Information Security)은 정보의 수집, 가공, 저장, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법을 의미한다. 반면, 보안 위협(Security Threat)이란 어떠한 목적 하에 정보의 안전성을 위협하는 행위를 일컫는다. 정보보안의 역사가 시작된 이래로 수많은 보안 위협과 다양한 공격 기법이 생겨났다. 그리고 이러한 보안 위협의 중심에 있는 것이 바로 악성코드(Malware). 모든 보안 위협이나 최신 지능형 공격에서 악성코드가 사용되는 것은 아니다. 하지만 가장 많이 사용되고 있는 것이 악성코드를 이용한 공격임에는 틀림없다. 


이 글에서는 최근 사회적 이슈가 되고 있는 악성코드를 이용한 보안 위협인 랜섬웨어, 파밍, 스피어 피싱이 무엇인지 알아본다. 또한 그 예방법과 안랩 제품을 이용한 대응책에 대해 소개한다.

 


사이버 인질, 랜섬웨어

 

랜섬웨어(Ransomware)는 ransom(몸값)과 software(소프트웨어)의 합성어로 컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구한다고 해서 붙여진 명칭이다. 
랜섬웨어는 이미 해외에서는 수년 전부터 등장한 공격수법이나 그 동안 국내에서는 큰 영향력은 없었다. 그러나 지난해 PC 감염 사례가 보고되기 시작한 이후 최근에는 국내 일부 기업과 기관의 피해 사례가 발생한 것으로 알려지고 있다. 특히, 모바일을 겨냥한 랜섬웨어, 게이머들의 돈을 노리는 랜섬웨어가 발견되는 등 점점 수법이 더욱 정교해지고 그 피해 사례도 늘어나고 있는 추세이다.

 

랜섬웨어는 스팸 메일을 보내 사용자들에게 첨부 파일을 클릭하도록 유도하는 방식이 가장 많이 쓰이고 있으며, SNS(Social Network Service)나 포털을 통한 악성코드 다운로드 형태로도 유포되고 있다.  

 

사용자가 이메일에 첨부된 파일을 클릭하면 PC 화면에 랜섬웨어에 감염되었다는 메시지와 함께 PC에 저장된 사진이나 문서 파일 등을 복잡한 알고리즘으로 암호화해 알아볼 수 없게 만든다. 또한 공격자는 이 파일의 암호를 풀기 원한다면 금전을 보낼 것을 요구한다. 파일에 대한 몸값은 페이팔과 같은 온라인 결제 서비스나 비트코인과 같은 온라인 가상화폐를 요구하기도 한다.

 

[그림 1] 비트코인을 요구하는 랜섬웨어

 

대표적인 랜섬웨어는 다음과 같다.  

 

■ 심플로커(SimpleLocker): 모바일 랜섬웨어의 일종으로 스마트폰의 사진이나 동영상, 문서를 암호화해서 금전을 요구한다. 2014년 5월부터 꾸준히 발견되고 있다.


■ 크립토락커(CryptoLocker): 피해자 PC의 파일을 암호화한 후 비트코인이나 현금을 요구하며, 돈을 보내지 않으면 이를 풀어주지 않겠다고 협박한다.


■ 스케어웨어(Scareware): 이 랜섬웨어는 가장 단순한 형태의 악성코드로 대체로 가짜 안티바이러스 프로그램이나 바이러스 제거 툴로 위장해 PC에 문제가 많으니 돈을 내고 이를 고쳐야 한다고 경고한다. 이런 류의 랜섬웨어 가운데 일부는 PC를 사용할 수 있게 하지만, 대신 경고창과 팝업으로 도배를 해서 불편을 주는가 하면 아예 프로그램 작동이 되지 않게 하는 경우도 있다.


■ 락-스크린(Lock-Screen): 이 랜섬웨어에 감염되면 PC를 전혀 사용할 수 없다. 일반적으로 풀 사이즈 윈도 창을 여러 개 띄우는데 FBI나 사법부 로고를 박아놓고 불법 다운로드 등으로 법을 어겼으니 벌금을 내야 한다며 협박하기도 한다.

 

[그림 2] 파일을 암호화하고 금전을 요구하는 크립토락커

 

랜섬웨어에 감염된 경우, 금전을 지불하더라도 대부분 파일을 정상화할 수 없으므로 사전 예방이 무엇보다 중요하다. 지금부터 랜섬웨어에 대한 예방법과 랜섬웨어에 감염됐을 경우 암호화된 데이터를 복구할 수 있는 방법을 알아보자.


최근 보고된 랜섬웨어는 대부분 스팸 메일을 통해 확산되고 있다. 따라서 출처가 불분명하거나 분명한 출처의 이메일이라도 스팸성으로 의심되면 메일이나 첨부 파일의 실행을 자제하고 삭제해야 한다. 또한 자신이 사용하는 OS별 방법에 따라 업무 및 기밀 문서 등의 주요 파일을 백업하고, 백업한 파일은 PC 저장 장치 외에 외부저장 장치에 별도로 저장하는 것이 안전하다. 

 

중요한 문서라면 ‘읽기전용’으로 설정하는 것도 피해 예방에 도움이 된다. 대부분의 랜섬웨어는 파일을 수정하면서 암호화를 시도하기 때문에 중요 파일을 수정하거나 편집한 후에는 읽기전용으로 속성을 변경하면 일부 랜섬웨어에 의한 파일 수정(암호화)을 막을 수 있다. 즉, 중요도가 매우 높은 문서의 속성을 읽기전용으로 설정하여 보관하다가 수정이 필요하면 해당 속성을 해제한 후 수정하고, 수정이 끝나면 다시 속성을 읽기전용으로 바꾸어 보관하는 것이다.

 

PC 못지 않게 ‘심플로커(SimpleLocker)’와 같이 안드로이드 기반의 스마트폰 내 정보를 ‘인질’로 잡고, 금전을 요구하는 스마트폰 랜섬웨어도 자주 발견되고 있다. 따라서 스마트폰 사용자는 공식 마켓 외에는 앱 다운로드를 자제하고 '알 수 없는 출처[소스]'의 허용 금지를 설정하는 것이 좋다. 공식 마켓에도 악성 앱이 업로드되는 경우가 있으므로 앱 다운로드 전 평판 정보를 확인해야 한다. 또한, 해당 앱은 스미싱을 통해서도 전파될 수 있으므로, 문자 메시지나 SNS 등에 포함된 URL 실행을 자제하고, 모바일 전용 보안 앱이나 스미싱 탐지 앱 등을 설치 및 실행하는 것이 좋다. 랜섬웨어에 감염되면 스마트폰을 안전모드(단말기 제조사 별로 상이)로 부팅한 후 [설정] → [기기관리자(휴대폰 관리자)] 메뉴에서 랜섬웨어를 포함하고 있는 악성 앱의 비활성화에 체크한다. 이후 애플리케이션 목록에서 해당 앱을 제거하면 된다.

 

 

진짜 같은 가짜, 파밍(Pharming)


파밍(Pharming)이란 합법적인 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤 개인정보를 탈취하는 공격 기법이다. 최근 파밍 공격은 사용자 PC에 악성코드를 감염시켜 은행 사이트에 접속할 경우 가짜 사이트로 연결되도록 조작해 금융 정보를 빼내는 공격 방법으로 가장 많이 사용되고 있다.

 

현재 공격자가 파밍 악성코드를 유포하기 위해 가장 많이 사용하는 방식은 아래와 같다.


■ 다른 프로그램에 포함시킨 채 유포 : 웹하드 프로그램 또는 기타 불필요한 프로그램(Potentially Unwanted Program, 이하 PUP) 범주에 포함될 수 있는 프로그램 내에 인터넷 뱅킹 정보 탈취 악성코드를 숨기는 방식을 이용한다. 즉 원래의 프로그램은 정상적으로 실행시킨 후 악성코드는 백그라운드에서 동작하여 사용자의 공인인증서를 탈취하고, 보안카드 번호 등의 정보를 입력하도록 유도하는 홈페이지로 자동으로 이동하도록 시스템을 조작한다. 사용자는 대부분 다운 받은 프로그램 내에 악성코드가 함께 포함되어 있어 사용자는 시스템이 조작되었다는 사실을 인지하지 못한다다. 따라서 자신이 접속하는 은행 또는 포털 사이트를 정상 사이트로 착각하고 주요 정보를 입력하게 될 우려가 있다.

 


[그림 3] 다른 프로그램에 PUP 파일을 포함시켜 유포한 사례

 

■ 취약한 웹사이트 변조를 통한 유포 : 다수의 사람들이 방문하면서도 보안이 취약한 웹사이트를 파악하여, 일부 웹 페이지를 변조하고 공격자가 제작한 악성코드가 유포될 수 있도록 하는 방법이다. 이때 자바(JAVA) 취약점 등을 함께 악용하는 경우가 많다. 본래는 정상적으로 사용되고 있는 웹사이트에 접속하고 있기 때문에, 대다수 사용자는 자신이 방문 중인 사이트에서 악성코드를 유포하고 있다는 사실을 자각하지 못한 채 시스템이 감염될 수 있다.

 

파밍 악성코드를 예방하기 위해서는 우선 보안 업데이트와 안티바이러스 제품 사용 등 기본 보안 수칙을을 생활화하고, 출처가 불분명한 파일의 다운로드나 이메일의 클릭을 금지한다. 또한 PC 내에 공인인증서를 저장하기 보다는 외부 저장매체에 저장하는 것이 비교적 안전하다. 가능하다면 온라인을 통한 금융거래 시에는 공인인증서와 보안카드 외에 추가 인증 방식을 사용하는 것이 좋다.


특히 주의할 점은 모든 금융 정보의 입력을 요구하는 금융기관은 없다는 것이다. 따라서 과도하게 금융 정보를 요구할 때는 비정상적인 서비스임을 인지하고 정보를 입력하지 말아야 한다. 이외에도 공인인증서를 유출하는 파밍 악성코드에 감염됐다면 신속하게 금융기관에 공인인증서 폐기 요청과 보안카드 재발급을 신청하는 대처도 필요하다.

 

 

사람의 마음마저 속이는 표적형 공격, 스피어 피싱

 

스피어 피싱(Spear Phishing)은 ‘창, 창으로 찌르다’라는 의미의 영어 단어 스피어(Spear)와 ‘사용자를 속이기 위한 사기 이메일 및 기타 행위’를 의미하는 보안 용어인 피싱(Phishing)의 합성어이다. ‘불특정 다수가 아닌 특정인(조직)을 표적으로, 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 이용해 악성 웹사이트로 유도 또는 악성 첨부 파일로 악성코드에 감염시키는 일종의 온라인 사기 행위’로 정의할 수 있다.


사용자가 속을 법한 내용의 메일에 악성코드를 첨부하는 것은 상당히 고전적인 공격 방식이다. 그러나 문제는 이런 방법이 아직도 효과가 있다는 점이다. 때문에 보안 전문가들은 ‘최대의 보안 취약점은 바로 사람’이라고 지적하고 있다. 특히 악의적인 목적으로 발송된다는 점은 동일하지만 스피어 피싱이 스팸 메일 등과 구별되는 점은 ▲불특정 다수가 아닌 특정 기관 또는 기업을 노린다는 점(표적성) ▲기밀 정보 유출, 시스템 파괴 등 구체적인 목표를 위한 악성코드를 이용한다는 점(심각성) ▲정상적인 파일로 보이거나 의심하기 어려울 정도로 실제 메일처럼 보이게 하는 점(정교함) 등을 들 수 있다.

 

지능형 공격이라 일컬어지는 APT(Advanced Persistent Threat) 공격 등 고도의 사이버 공격의 시발점으로 많이 이용되고 있는 스피어 피싱. 이로부터 개인과 그 개인이 속한 조직을 보호하려면 조직과 개인 모두의 노력이 필요하다.


기업 및 기관은 스피어 피싱의 심각성에 대해 충분히 인지하고 전반적인 관점에서 대응 방안을 마련해야 한다. 특히 스피어 피싱이 어떻게 APT 등 심각한 공격으로 이어질 수 있는지 맥락을 파악하는 것이 중요하다. 스피어 피싱을 통해 침투하는 악성코드는 특정한 대상을 노리고 특별하게 제작되는 맞춤형 악성코드인 경우가 대부분이다. 따라서 기존에 알려진 악성코드에 대응하기 위한 안티바이러스는 물론, 알려지지 않은 악성코드에 대응할 수 있는 다계층적인 보안 솔루션에 대한 고려도 필요하다. 또한 정기적인 보안 교육과 내부 보안 담당자 육성 등의 노력도 동시에 진행되어야 한다.

 

이와 함께 개인의 관심과 노력이 스피어 피싱의 피해를 예방하는 데 상당한 효과를 거둘 수 있다. 우선, 조금이라도 수상한 메일의 첨부 파일이나 URL을 실행하지 않는 것이 스피어 피싱을 막기 위한 가장 확실한 방법이다. 또한 주로 사용하는 소프트웨어 프로그램의 제조사에서 제공하는 보안 패치나 업데이트는 반드시 적용해야 한다. 특히 문서 파일과 같은 비실행형 파일을 이용하는 스피어 피싱 공격이 증가하는 추세인 만큼 소프트웨어 업데이트는 더욱 중요하다. 아울러 회사 PC에서 실수로라도 모르는 사람에게서 받은 파일이나 내용이 엉성하거나 조잡한 파일을 열었을 때는 즉시 사내 보안 담당자에게 연락해 적절한 조치를 취할 수 있도록 해야 한다.


실제 APT 사례를 통해 확인된 바와 같이 스피어 피싱은 정보 유출부터 시스템 파괴까지 막대한 피해를 유발하는 공격의 시작점이 될 수 있다. 조직과 그 조직에 속한 개인의 노력이 동반되어야만 스피어 피싱의 위협을 피할 수 있다.

 

 

AhnLab MDS, 주요 보안 위협 대응 사례


최근 가장 큰 이슈가 되고 있는 랜섬웨어, 파밍, 스피어 피싱의 특징과 예방 방법에 대해 알아보았다. 지금부터는 안랩의 차세대 지능형 위협 대응 보안 솔루션인 안랩 MDS가 이들 보안 위협에 어떻게 대응하는지 자세히 소개하고자 한다.


안랩 MDS는 신종 악성코드 및 익스플로잇에 대한 ‘탐지-분석-모니터링-대응’ 프로세스를 통해 APT로 일컬어지는 타깃 공격, 고도화된 공격에 효과적으로 대응하는 솔루션이다.

 

1. 랜섬웨어 공격과 대응 프로세스


해커는 공격 대상으로 삼고 있는 사용자가 자주 방문하는 포털 사이트 내 블로그 또는 소셜 네트워크서비스 사이트에 최신 유행하는 화면보호기(scr 확장자)를 가장한 악성코드를 등록해 놓는다. 공격 대상인 사용자가 아무런 의심 없이 해당 사이트를 이용하면서 화면보호기 파일을 다운로드 후 설치한다. 사용자 입장에서는 원하던 최신 유행 화면보호기가 정상적으로 설치된 것으로 보이나, 해당 화면보호기 실행과 동시에 새로운 악성 파일이 은밀하게 다운로드되어 설치된다.


이후 해당 파일은 랜섬웨어로써 사용자의 PC 내 하드디스크를 암호화시키고 강제로 재부팅시킨다. 재부팅 시에는 정상적인 운영체제 부팅이 동작하지 않는 대신 “특정 계좌로 돈을 입금해야 암호를 풀 수 있는 비밀번호를 제공한다”는 랜섬웨어 특유의 협박성 메시지가 보여진다. 이 상태에서 입금하지 않고 비밀번호를 제시하지 못하면, 영구적으로 PC 내 하드디스크를 복호화할 수 없는 상황이 된다. 
 


[그림 4] 포털•SNS의 다운로드에 의한 랜섬웨어 공격 프로세스

 

그럼, 동일한 랜섬웨어에 감염된 상황에서 MDS가 어떻게 효과적으로 대응할 수 있는지 살펴보자.


[그림 5]의 2번과 3번 단계에서 은밀하게 다운로드되는 랜섬웨어 악성코드가 실행되는 시점에 MDS 에이전트는 ‘의심스러운 신규 실행 파일’이라고 판단하여 ‘실행 보류(execution holding)’ 기능을 가동시킨다. 

 

MDS 에이전트에 의해 실행이 보류된 상태에서 MDS는 동적 분석을 통해서 해당 랜섬웨어에 대한 악성 여부를 판정한다. 동적 분석이 완료된 이후에 MDS 에이전트는 ‘실행이 보류된 의심 파일’이 악성이라는 결과를 전달받고 해당 파일을 삭제•격리 조치함으로써 사용자의 PC를 ‘최신 신종 랜섬웨어’로부터 안전하게 보호한다.




[그림 5] 안랩 MDS의 랜섬웨어 대응 프로세스

 

2. 파밍 공격과 대응 프로세스


앞서 랜섬웨어 공격 사례는 인터넷 사용자가 ‘자발적인 클릭’을 통해서 공격이 이뤄졌다면 이번에는 사용자가 아무런 인지 없는 상태에서 ‘악성코드가 자동으로 설치되는 다운로드 실행(drive-by-download)’ 사례다. 

 

해커는 우선 다운로드 실행 방식으로 사용자 인지 없이 악성코드를 감염시킬 수 있는 ‘자바(Java) 취약점 공격’을 수행하는 익스플로잇을 내포한 웹사이트를 준비한다. 일반적으로 해당 웹 서버는 기존에 해킹해 놓은 다른 웹 서버를 활용한다. 선택된 자바 취약점은 공격 대상 사용자의 PC에 설치된 취약한 JVM(Java Virtual Machine) 소프트웨어를 공격함으로써 임의의 명령을 실행하게 된다. 이와 같은 공격 대상 사용자가 특정 웹사이트의 방문을 기다렸다가 공격하는 ‘워터링홀(Watering-hole)’ 공격을 통해서 사용자는 아무런 인지 없이 파밍 공격이 가능한 악성코드에 감염된다. 

 

해당 악성코드는 부팅 시에 자동으로 실행될 수 있도록 시작프로그램 및 윈도 서비스로 자신을 등록하며, 호스트(hosts) 파일을 변조해서 특정 금융사이트에 대한 DNS 쿼리가 해커가 준비한 피싱 사이트로 유도될 수 있도록 조작한다. 

 

다운로드 실행 공격 특성 상 아무런 인지 없이 파밍 악성코드에 감염된 사용자는 평상 시처럼 온라인 뱅킹 서비스를 이용하기 위해서 특정 금융 사이트에 접속한다. 이 과정에서 사용자는 정상적인 금융 사이트에 접속했음을 웹 브라우저 상에 보여지는 도메인 이름을 통해서 확인할 수 있지만, 이것은 해커가 사전에 준비한 ‘정상 금융 사이트와 100% 동일하게 만들어진 파밍 사이트’이다. 사용자는 아무런 의심 없이 해당 사이트가 지시하는 대로 ‘주민등록번호, 계좌번호, 보안카드 비밀번호 등’의 개인정보를 입력하게 되고, 해커는 해당 정보를 바탕으로 실제 온라인 뱅킹을 통해서 계좌를 이체하는 등 부정 금융 거래를 수행한다.
  

[그림 6] 뱅커 및 파밍 공격 프로세스 

 

 

그러면 MDS가 구축된 고객 상황에서 동일한 파밍 악성코드 유입에 대해서 어떻게 대응하는지 살펴보자.


자바 취약점 공격을 통해서 악성 파일이 다운로드되어 실행되는 시점에 MDS 에이전트는 ‘의심스러운 신규 실행 파일’이라고 판단하여 ‘실행 보류(execution holding)’ 기능을 가동시킨다. 

 

MDS 에이전트에 의해서 실행이 보류된 상태에서 MDS는 동적 분석을 통해서 해당 의심 파일에 대한 악성 여부를 판정하게 된다. 동적 분석이 완료된 이후에 MDS 에이전트는 ‘실행이 보류된 의심 파일’이 최종적으로 악성이라는 결과를 전달받고 해당 파일을 삭제•격리 조치함으로써 사용자의 PC를 ‘최신 신종 파밍 악성코드’로부터 안전하게 보호한다.

 


[그림 7] 안랩 MDS의 뱅커 및 파밍 대응 프로세스

 

3. 스피어 피싱 공격과 대응 프로세스


이번 사례는 특정 타깃 공격에 흔히 이용되는 스피어 피싱 공격이다. 해커는 특정 사용자가 관여하고 있는 업무 분야 관련 내용과 제목을 갖는 악성 문서를 제작한다. 해커는 악성코드에 감염된 문서에 암호를 걸어서 기존 보안장비를 통한 분석을 방해했으며, 악성코드 문서를 통해서 2차적으로 ‘키로깅 악성코드’를 SSL 트래픽을 통해서 다운로드 받는 치밀함을 보이고 있다. 

 

아무런 의심 없이 관련 분야 문서로 생각하고 해당 문서를 읽어 본 사용자의 PC에는 키로깅 악성코드가 설치되고, 키로깅을 통해서 내부 중요 자산 서버에 접속하는 계정 정보 등은 C&C 서버로 전달된다. 이후 해커는 ‘원격제어 악성 프로그램’을 설치하여 해당 PC를 통해서 원하는 내부 시스템에 접속하고, 2차적으로 수집한 내부 기밀 정보를 유출하게 된다. 

 

 
[그림 8] 스피어 피싱 공격 프로세스 

 

위와 같은 이메일을 통한 스피어 피싱 공격 과정에서 MDS는 차별화된 기술을 통해서 대응 가능하다.  

 

암호가 설정된 ‘의심 파일’이 첨부된 메일에 대해서 만약 이메일 본문 내 ‘암호해제용 비밀번호’를 추출할 수 있는 경우라면 MDS는 문서형 악성코드 분석에 최적화된 동적 콘텐츠 분석 기술(DICA, Dynamic Intelligent Content Analysis)을 통해서 ‘의심 행위 여부’와 상관 없이 문서 애플리케이션의 제로데이 취약점까지도 정확하게 탐지할 수 있다.
 

 


[그림 9] 안랩 MDS의 스피어 피싱 대응 프로세스

 

만약, 중간에서 비밀번호도 추출하지 못하고 SSL 트래픽으로 다운로드되는 ‘키로깅 악성코드’를 네트워크 상에서 탐지하지 못했다 하더라도, 최종적으로 다운로드된 사용자 PC에서 MDS 에이전트는 실행 보류 기능을 통해서 안전하게 의심 파일의 실행을 차단하게 된다.

 

지금까지 안랩 MDS가 랜섬웨어, 파밍, 스피어 피싱에 악용되는 악성코드에 어떻게 대응하는지 자세히 살펴보았다. 이러한 과정을 거쳐서 수집된 신종 악성코드 정보는 안랩 클라우드 분석 시스템을 거쳐 안티바이러스 제품인 V3, 모바일 보안 제품인 V3 Mobile, 네트워크 보안 제품인 트러스가드(TrusGuard) 등 안랩의 모든 보안 제품에 시그니처와 룰로 반영된다.  

 

마지막으로 랜섬웨어, 파밍, 스피어 피싱과 같은 최신 보안 위협에 대응하고 예방하기 위해서는 보안의 3요소인 사람, 기술, 프로세스가 조화를 이루어야 한다. 즉, 자사의 IT 환경에 최적화된 보안 기술, 보안을 위한 업무 프로세스, 그리고 보안에 대한 조직 구성원들의 인식 개선이 무엇보다 중요하다.  @



출처 :  안랩 > 보안이슈 

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23506&dir_group_dist=0


웹서핑이나 메일 등으로 감염 되어 PC 내에 중요 문서를 암호화 하고 암호화 해제를 위해 금전을 요구하는 방식


주의가 필요 하겠다!




출처 : 보호나라 > 오늘의 사이버 위협


개요
  • 국내를 타겟으로 한 랜섬웨어 ‘크립토락커’가 국내 웹사이트에서 유포
  • 랜섬웨어는 사용자의 PC를 감염시켜 중요파일들을 암호화 하여 금전을 요구함

주요내용
  • 국내를 타겟으로 한 랜섬웨어 ‘크립토락커’가 국내 웹사이트에서 유포
  • 랜섬웨어는 사용자의 PC를 감염시켜 중요파일들을 암호화 후 금전을 요구
  • 랜섬웨어는 금전을 지불한다고 하더라도 복호화가 보장되지 않아 사용자의 주의를 요구
                <크립토락커 감염후 금전 요구 메시지 한글버전>


대응방안
  • 크립토락커는 감염되지 않도록 사전예방이 중요
    - 인터넷 익스플로러, 플래쉬 플레이어, 자바 등에 대한 최신 보안업데이트 필요
    사용중인 백신에 대한 최신 업데이트 필요
    - PC내 중요 문서에 대한 백업
    보안업체에서 제공하는 안티 익스플로잇 도구를 활용하는 것도 도움이 될 수 있음


기타 문의사항
  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


관련 기사 : http://www.boannews.com/media/view.asp?idx=46006


□ 개요

  • 국내 무료 동영상 재생 프로그램인 곰플레이어에서 원격코드 실행 취약점이 발견됨
  • 공격자가 특수하게 제작한 웹 페이지를 취약한 곰플레이어 버전 사용자가 열람할 경우, 악성코드 감염 가능
  • 낮은 버전의 곰플레이어 사용자는 단순 웹페이지 방문에도 악성코드에 감염될 수 있으므로 해결방안에 따라 
    최신버전으로 업데이트 권고


□ 해당 시스템

  • 영향 받는 소프트웨어
    - 곰플레이어 2.2.67.5221 및 이전버전


□ 해결방안

  • 곰플레이어 2.2.67.5221 및 이전버전 사용자
    - 곰플레이어 홈페이지[1]에 방문하여 곰플레이어 최신 버전(2.2.67.5223)을 설치하거나 자동 업데이트를 이용
       하여 업그레이드
     ※ 버전 확인 및 업데이트 : 마우스오른쪽 버튼 → 프로그램 정보


□ 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]
[1] http://gom2.gomtv.com/release/down.html

□ 개요

  • Oracle Critical Patch Update(CPU)는 Oracle사의 제품을 대상으로 다수의 보안 패치를 발표하는 주요 수단임
  • Oracle CPU 발표 이후, 관련 공격코드의 출현으로 인한 피해가 예상되는 바 Oracle 제품의 다중 취약점에 
    대한 패치를 권고함


□ 설명

  • 2015년 1월 Oracle CPU에서는 Oracle 자사 제품의 보안취약점 169개에 대한 패치를 발표함[1]
    - 원격 및 로컬 공격을 통하여 취약한 서버를 공격하는데 악용될 가능성이 있는 취약점을 포함하여 DB의 
       가용성 및 기밀성/무결성에 영향을 줄 수 있는 취약점 존재


□ 해당 소프트웨어

  • Oracle Java SE, version(s) 5.0u75, 6u85, 7u72, 8u25
  • Oracle Java SE Embedded, version(s) 7u71
  • Oracle Database Server, version(s) 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1, 12.1.0.2
  • Oracle Fusion Middleware, version(s) 10.1.3.5, 11.1.1.7, 11.1.2.1, 11.1.2.2, 12.1.2, 12.1.3
  • Oracle Fusion Applications, versions 11.1.2 through 11.1.9
  • Oracle Access Manager, version(s) 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle Adaptive Access Manager, version(s) 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle BI Publisher, version(s) 10.1.3.4.2, 11.1.1.7
  • Oracle Business Intelligence Enterprise Edition, version(s) 10.1.3.4.2, 11.1.1.7
  • Oracle Containers for J2EE, version(s) 10.1.3.5
  • Oracle Directory Server Enterprise Edition, version(s) 7.0, 11.1.1.7
  • Oracle Exalogic Infrastructure, version(s) 2.0.6.2.0 (for all X2-2, X3-2, X4-2)
  • Oracle Forms, version(s) 11.1.1.7, 11.1.2.2
  • Oracle GlassFish Server, version(s) 3.0.1, 3.1.2
  • Oracle HTTP Server, version(s) 10.1.3.5.0, 11.1.1.7.0, 12.1.2.0, 12.1.3.0
  • Oracle OpenSSO, version(s) 8.0 Update 2 Patch 5
  • Oracle Real-Time Decision Server, version(s) 11.1.1.7, RTD Platform 3.0.x
  • Oracle Reports Developer, version(s) 11.1.1.7, 11.1.2.2
  • Oracle SOA Suite, version(s) 11.1.1.7
  • Oracle Waveset, version(s) 8.1.1
  • Oracle WebCenter Content, version(s) 11.1.1.8.0
  • Oracle WebLogic Portal, version(s) 10.0.1.0, 10.2.1.0, 10.3.6.0
  • Oracle WebLogic Server, version(s) 10.0.2.0, 10.3.6.0, 12.1.1.0, 12.1.2.0, 12.1.3.0
  • Enterprise Manager Base Platform, version(s) 12.1.0.3, 12.1.0.4
  • Enterprise Manager Ops Center, version(s) 11.1, 11.1.3, 12.1, 12.1.4, 12.2
  • Oracle E-Business Suite, version(s) 11.5.10.2, 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3,
    12.2.4
  • Oracle Agile PLM, version(s) 9.3.3
  • Oracle Agile PLM for Process, version(s) 6.1.0.3
  • Oracle Transportation Management, version(s) 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5
  • PeopleSoft Enterprise HRMS, version(s) 9.1
  • PeopleSoft Enterprise PeopleTools, version(s) 8.52, 8.53, 8.54
  • JD Edwards EnterpriseOne Tools, version(s) 9.1.5
  • Oracle Enterprise Asset Management, version(s) 8.1.1, 8.2.2
  • Siebel Applications, version(s) 8.1.1, 8.2.2
  • Oracle iLearning, version(s) 6.0, 6.1
  • Oracle Communications Diameter Signaling Router, version(s) 3.x, 4.x, 5.0
  • Oracle Communications Messaging Server, version(s) 7.0.5.33.0 and prior
  • Oracle MICROS Retail, version(s) Xstore: 3.2.1, 3.4.2, 3.5.0, 4.0.1, 4.5.1, 4.8.0, 5.0.3, 5.5.3, 6.0.6, 6.5.2
  • Oracle Healthcare Master Person Index, version(s) 1.x, 2.x
  • Oracle JRockit, version(s) R27.8.4, R28.3.4
  • Fujitsu M10-1, M10-4, M10-4S Servers, version(s) prior to XCP 2240
  • Integrated Lights Out Manager(ILOM), version(s) prior to 3.2.4
  • Solaris, version(s) 10, 11
  • Solaris Cluster, version(s) 3.3, 4.1
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, version(s) before XCP 1119
  • Oracle Secure Global Desktop, version(s) 4.63, 4.71, 5.0, 5.1
  • Oracle VM VirtualBox, version(s) prior to 3.2.26, 4.0.28, 4.1.36, 4.2.28, 4.3.20
  • MySQL Server, version(s) 5.5.40 and prior, 5.6.21 and prior
    ※ 영향받는 시스템의 상세 정보는 참고사이트[1]를 참조


□ 해결방안

  • 해결방안으로서 "Oracle Critical Patch Update Advisory - January 2015" 문서를 검토하고 벤더사 및 
    유지보수업체와 협의/검토 후 패치적용 요망[1]
  • JAVA SE 사용자는 설치된 제품의 최신 업데이트를 다운로드[2] 받아 설치하거나, Java 자동업데이트 
    설정을 권고[3]


□ 기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]
[1] http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
[2] http://www.oracle.com/technetwork/java/javase/downloads/index.html
[3] http://www.java.com/ko/download/help/java_update.xml



출처 : KISA 인터넷 침해대응센터 보안공지 - http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=22423

늘 사용하는 비번때문에 골머리가 아프다..

어디가면 8자리 어디가면 9자리..

어디서는 대문자 + 영문 + 숫자 로 해라 어디서는 특수기호를 꼭넣어라~

각사이트별로 천차 만별이다.

그나마 이런식의 조건을 제시하는 곳이라면 그나마 도용될 가능성이 조금이나마 적지만.

이런 제약조건이 전혀 없는경우 간단한 패턴 반복하는 프로그램으로도 쉽게 비밀번호를 알아내버리기도 한다.

※ 주의
아래에 소개한 사이트들은 미검증된 사이트들이므로 안전하다고 확신 할 수 없다.
제작자에 의해 충분히 악용될수도 있으니 실제사용중인 비밀번호가 아닌 문구로 재미삼아 해보기를 추천한다.


1. 내 비밀번호의 보안점수는?

http://www.passwordmeter.com/

비밀번호로 사용하는 문구의 각 패턴별 특수기호, 대문자 사용, 중복되는문자의 반복, 숫자만, 문자만, 길이 등과같은 항목을 정해놓고 각각에대한 평가점수(안전도를 100%로 봤을때의 입력한 비밀번호의 안전도 %)로 환산하여 알려주는 사이트이다~




> 국민비빌번호 1111 을 넣어보면........ -_-;;    0% ..... Complexity:Very Weak (복잡도:매우 약함)


> 또다른 국민 비밀번호 1234 ....... 오 그래도 4% 나 된다 ㅋ;;;  Complexity:Very Weak  (복잡도:매우 약함)




2. 당신의 비빈번호가 크랙돼는데 걸리는 시간은 !!!

이 사이트는 입려된 패스워드가 해킹되는데 걸리는 시간을 환산해준다고 한다.
하지만 얼핏보아하는 많은 룰로 결과를 추출하는거 같지는 않다~ 거의 패턴이 일률적~

http://howsecureismypassword.net/


숫자 1111 을 입력했더니;;;

대부분의 사용자들이 사용하고 있는 비빌번호니 바꿔라 머 대충 그런소리를 뱉어준다.


별 신뢰는 안가지만 그럭저럭 재미삼아 해보는것도 ... 안전하지않다;; 안하는게 최고 -ㅅ-;;;;

※ 주의
위 소개한 사이트들은 미검증된 사이트들이므로 안전하다고 확신 할 수 없다.
제작자에 의해 충분히 악용될수도 있으니 실제사용중인 비밀번호가 아닌 문구로 재미삼아 해보기를 추천한다.

익스플로러 8에 추가되어있는 개발자도구 ... 이게 참 알고보면 편한기능이 많다..
(다른브라우져는 잘 안쓰니 일단 패스 하고)

이놈에 개발자도구 참 기능도 많다... 그래서 탈이 생긴다...

여기 test1.htm ( test2.htm 로의 a 링크가 걸린 페이지)이란  웹페이지가 있다..

사용자 삽입 이미지



test1.htm 에는 aa라는 변수로 1000 이란 값을 test2.htm 로 넘기고 있다~

일단 기존에 브라우져라면 해당 내용은 수정할수가 없다
하지만 익스8 개발자 도구를 키자(단축키 F12)

그리고나서 상단메뉴에 찾기(N) - 클릭요소로 선택 하여 해당 브라우져 화면에서 원하는부분을 클릭 하면 개발자 도구 우측에 수정가능한 html 소스 트리가 보인다.

본 테스트의 경우 aa란 인자에 1000이란 값을 넘기는 것을 50 으로 바꿔보자

사용자 삽입 이미지



수정한뒤 엔터

그리고 나서 해당 링크를 클릭 하면


사용자 삽입 이미지



수정된 값으로 페이지이동이 돼며 referer 값은 기존 그대로인 test1.htm 이 유지된다..

즉, 별다른 작업없이도 전송되는 값을 수정 할수있다는 것!!!

또한 get 값만이 아닌 post 전송되는 form의 input 값도 수정이 가능하다...


이것은 쇼핑몰등 구체적인 금액이 처리되는 페이지에서도 마찬가지로 가능한 일일수도 있다!!

카드결제시 pg사 모듈로 넘기는 input 값이 따로 존재하는경우 (즉, 쇼핑몰 상에서 결제 처리 완료 될때는 a라는 변수값으로 완료 처리하고 , b라는 변수(히든값)으로는 pg사 모듈로 넘기는 경우 기타 추가적인 보안 작업이 없다면, 100만원짜리 상품을 1000원에 카드결제 하여 결제 완료가 가능하다는 말이다.. -_-;;;;;

실제 테스트를 해보니 (실제 결제는 하지 않았다;;) 몇몇 쇼핑몰도 해당 내용에 취약(취약점이라고 하기도 참 ;;;) 하였다...


이상한건... 이러한 내용이 별로 알려져 있지 않다는점;;;;
찾아보니 몇몇 관련글이 보이긴 한다... (왜 이런 걸 못본거지 --;;)
게다가 MS 사의 입장이 가관이다.. - 이는 IE8문제가 아닌 악용의 문제다. -



이런 전송값 변경외에도

1. 멀쩡한  
http://www.naver.com/  을

사용자 삽입 이미지



2. 이렇게 바꿔버릴수도 있다.
 - 멀바꿨을까요 -_-;;  (절대 포토샵은 아니다. 물론 포토샵을 할줄 알긴하지만 ㅋ 정품도 없고 사무실이라 깔수도없고 스샷떠서 그림판으로 올리는 상황이다. ㅋ 그림판으로 발로 스샷뜨다보니 비율도 막틀리네)

사용자 삽입 이미지




여하튼 관련 작업자들은 이런 기능또한 신경써야 하겠다;;;






1. Microsoft Baseline Security Analyzer란?

Microsoft Baseline Security Analyzer는 Windows 2000/XP/2003 기반 시스템의 보안상 안정성을 최신의 상태로 유지하고 있는지 점검하는 것을 도와주는 응용 프로그램으로 로컬 시스템 또는 둘 이상의 시스템을 검색하여 누락된 보안 패치, weak password, Internet Explorer 및 Outlook Express보안 설정, Office의 매크로 보호 설정 등에 대한 보고서를 XML형식의 파일로 저장하고 리포팅한다. 또한 점검된 시스템의 현재 보안 문제, 그리고 문제의 수정 방법에 대한 정보와 관련 사이트 링크를 제공한다.

MBSA는 Windows 2000/XP/2003로 구성된 네트워크의 오버헤드 감소, 관리자로 하여금 네트워크의 보안 상태를 한눈에 파악할 수 있게 하고 일반 사용자에게는 자신이 사용하는 시스템에 대한 문제점 점검 및 보완 손쉽게 할 수 있도록 인터페이스를 제공한다.


[그림1] Microsoft Baseline Security Analyzer

2. MBSA 설치 및 고려 사항

MBSA 설치 시 고려해야 될 사항은 크게 3가지로 요약할 수 있다.

(1) 권한 문제

Windows 2000/XP/2003에서는 계정마다 적절한 권한 설정을 통해서 시스템에서 행할 수 있는 작업의 범위를 제한할 수 있는데 MBSA를 시스템에 설치하기 위해서는 administrators 그룹의 구성원 이거나 Administrator와 비슷한 권한을 가진 사용자만이 설치/사용을 할 수 있다. 만약 권한이 부족할 경우 아래와 같은 에러 창을 출력하며 설치할 수 없게 된다.


[그림2] 권한 관련 에러

(2) 사용자의 범위

MBSA는 설치 시 아래와 같이 두 가지 모드 중 하나를 선택하도록 되어 있다.


[그림3] 설치 옵션

설치 후 MBSA를 사용해 보면 알겠지만 MBSA는 시스템의 보안에 관련된 중요한 데이터를 추출해 내고 XML파일로 저장한다고 언급했다. 만약 “Anyone who uses this computer”를 선택하게 되면 누구든지 MBSA를 사용할 수 있고 MBSA를 통해 출력된 시스템의 보안 데이터를 악용할 수 있는 소지가 있기 때문에 “Only for me”를 선택하는 것이 보안상 안전하다.

위의 두 가지 사항을 고려해 본다면 오직 시스템의 administrator만이 설치/사용할 수 있도록 해야 한다.

(3) 백신의 오진문제


[그림4] 백신의 오진 화면


MBSA는 스크립트로 구성되어 있기 때문에 백신에서 악성 스크립트로 오진할 수 있는 가능성이 있다. 이는 백신의 악성 스크립트 차단 기능(또는 유사한 기능)때문이므로 백신의 옵션 설정을 통해서 문제를 해결할 수 있다.


3. 점검 및 분석

(1) 점검

MBSA를 실행하면 아래와 같은 옵션을 볼 수 있다.

  • Scan a computer(= Pick a computer to scan)
  • Scan more than one computer(= Pick multiple computers to scan)
  • View existing security reports(= Pick a security report to view)

    로컬 시스템을 점검할 것이기 때문에 “Scan a computer”을 선택, Computer name와 IP address의 두 가지 방법 중 하나를 선택한 후 Start Scan을 클릭한다.


    [그림5] Microsoft Baseline Security Analyzer 설정

    (2) 분석


    [그림6] MBSA의 분석 결과

    MBSA의 분석 보고서는 C:\Documents and Settings\Administrator\SecurityScans에 저장된다. 보고서는 Security Update Scan Results, Windows Scan Results, Additional System Information, Desktop Application Scan Results 등 총 4개의 메뉴로 구성되어 있으며, 그 중에서 가장 주의 깊게 살펴봐야 할 부분은 Security Update Scan Results, Windows ScanResults 이다.

    Security Update Scan Results는 OS, IIS Server, MS SQL Server, Exchange Server의 보안 패치와 관련된 정보를 리포팅하는 곳으로 만약 아래 그림처럼 보안패치가 안된 부분이 발견되었을 경우 그에 대한 자세한 내용과 함께 패치를 다운로드할 수 있는 링크가 포함된 정보를 제공한다.


    [그림7] Security Update Scan Results

    Windows Scan Results는 시스템의 자체 보안 설정(Password, 사용자 계정, SMB 관련)에 대한 문제점을 리포팅하고 해결방안을
    제시한다.


    [그림8] Windows Scan Results

    RestrictAnonymous 부분에 대해서 살펴 보자.

    RestrictAnonymous란 Null Session을 통해 민감한 정보의 목록화(Enumeration)를 막는 기술로 MS가 제공하며레지스트리를 통해서 수정할 수 있다. 기본적으로 0으로 설정되어 있을 것이다.


    [그림 9] 레지스트리 편집


    보안 레벨
    0 없음, Default Permission에 의존
    1 SAM 계정과 이름에 대한 목록화 허용 불가
    2 명확한 익명 퍼미션이 없으면 어떤 접속도 불가
    [표1] RestrictAnonymous 값

    공격자는 목표 시스템에 공격을 수행하기 전에 사전 정보 수집을 통해서 공격 방법 및 강도를 결정한다. 만약 목표 시스템이 Windows 2000/XP/2003계열로 확인되었다면 SMB를 통해서 null session을 맺은 후 목록화(Enumeration)를 통해서 목표 시스템의 중요한 정보를 추출할 것이다.


    [그림10] *n*m을 이용한 목표 시스템의 목록화(Enumeration)

    RestrictAnonymous=1로 설정한 후 테스트한 결과 아래 그림에서처럼 액세스 불가란 메시지가 출력된다.


    [그림 11] RestrictAnonymous=1로 설정된 시스템에 목록화 시도

    RestrictAnonymous=1로 설정된 시스템에 대한 목록화가 실패했다고 해서 공격자는 목록화를 포기할 것인가? 필자의 대답은 No이다. 비록 RestrictAnonymous=1로 설정되어 있다하더라도 이것을 우회하여 목록화를 성공할 수 있는 도구들이 많다.

    관리자(administrator)의 계정을 다른 이름으로 변경하는 것은 보안 기본 수칙이고 사용자들도 변경하면서 내 시스템의 관리자 계정은 안전할 것이라 믿는다. 그렇다면 과연 안전할까?

    물론 변경하는 것이 안했을 때 보다 공격자로부터 좀 더 안전하겠지만 공격자는 다른 방법을 강구할 것이고 결국은 관리자 계정의 정보를 알아낼 것이다. [그림 12]를 보면 그것이 공격자에게는 얼마나 쉬운 일인지 보여 준다.


    [그림 12] 변경된 관리자의 계정 정보


    [그림 13] 관리자의 SID 정보

    마지막 하이픈 뒤에 나오는 숫자열을 관계 식별자(RID)라 하는데, 내장 NT/2000/2003사용자와 administrator나 guest와 같은 그룹에 미리 정의되어 있다. 예를 들어, administrator의 RID는 항상 500이고 guest는 501이다. 로컬 시스템이나 도메인에 생성되는 첫 번째 계정은 1000으로 할당되고, 뒤에 생성되는 계정은 각각 연속적인 다음 숫자를 갖는다는 것이다.(1001, 1002, 1003등등...) 따라서 한번 SID가 노출되면 공격자는 기본적으로 시스템의 모든 사용자와 그룹을 목록화(Enumeration)할 수 있다.

    그렇다면 대응방법은 무엇인가?

    1) 레지스트리를 통해 자신의 시스템 환경에 맞게 RestrictAnonymous값을 적절히 설정하라.

    만약 RestrictAnonymous=2로 설정하는 것은 목록화를 효과적을 차단하지만 다른 응용 프로그램이나 2000계열 이전 버전의 윈도우와 연결 상의 문제가 발생할 수 있다.


    [그림 14] RestrictAnonymous=2로 설정한 후 목록화 시도

    2) SMB 서비스를 차단하라.

    SMB서비스가 필요 없는 시스템인데도 불구하고 많은 시스템이 SMB가 활성화된 채 사용되고 있다. 꼭 필요한 것이 아니라면 SMB서비스를 사용하지 않아야 한다. 강조하지만 필요 없는 서비스를 방치하는 것은 공격자에게 그 만큼 시스템에 침투할 수 있는 기회를 제공하는 것이다.


    [그림 15] SMB 서비스 Disable 1

    [그림 15]에서 보는 것과 같이 TCP/IP에서 NetBios 사용 안함으로 설정함으로써 시스템의 SMB 접근을 성공적으로 차단했다고 생각하지만 이것은 잘못된 것이다. 왜냐면 위의 설정은 단지 TCP 139번만 차단한 것이므로 TCP 445번 포트를 통한 목록화에 대해서는 여전히 취약하다. 따라서 [그림 16]에 보이는 것처럼 Microsoft 네트워크용 파일및 프린터 공유란을 체크해제 한다.


    [그림 16] SMB 서비스 Disable 2

    3) TCP 또는 UDP 135 ~ 139 그리고 445번 포트로 유입되는 트래픽을 제한하라.

    가장 확실한 방법은 네트워크나 개별 호스트들에서 방화벽을 사용해서 TCP 또는 UDP 135 ~ 139 그리고 445번 포트로 유입되는 신뢰할 수 없는 트래픽의 유입을 차단하는 것이다.

    4. 맺음말

    우리가 사용하는 응용프로그램은 사람에 의해 제작되기 때문에 자잘한 버그에서부터 보안상 위험한 버그에 이르기까지 많은 버그를 내포하고 있을 수 있다. 이에 벤더들은 패치나 별도의 서비스 팩을 통해서 발견된 버그를 보완하고 사용자들에게 패치를 하도록 권고하고 있다.

    그렇다면 사용자들은 각 벤더의 권고에 따라 자신이 사용하는 응용프로그램의 버그에 대해 숙지하고 패치를 잘 하고 있는가? 필자의 생각은 아니다. 아직도 다수의 사용자들이 보안 툴 사용 및 패치에 대해 소극적이며 외형만을 중요시하고 있는 것 같다.

    블래스터 웜의 경우 2003년 8월 13일 최초로 발견/보고(그 전부터 RPC 결함을 이용한 웜이 등장할 것으로 예상하고 여러 보안 사이트에서 이를 경고함.)되었고 피해는 감소했지만 여전히 사용자들을 괴롭히고 있고 동일한 RPC결함을 이용한 agobot웜 또한 사용자들을 괴롭히는데 한 몫하고 있다.

    Blaster나 Agobot 웜처럼 OS나 다른 응용프로그램의 결함을 이용하는 악성코드들이 증가할 것이다. 따라서 이러한 위협을 줄이기 위해서는 각 벤더들은 좀 더 안전한 응용프로그램을 만들도록 노력해야 하고 사용자들은 패치 및 보안 툴 사용하여 사전에 예방하는 습관을 길러야 한다.
  • '정보공유' 카테고리의 다른 글

    AI Robot Technology  (0) 2008.06.04
    Microsoft Baseline Security Analyzer  (0) 2008.06.02
    게임사용자 정보 노린 악성코드 확산  (0) 2008.05.29
    메모리해킹  (0) 2008.05.07

    + Recent posts

    티스토리 툴바