SK Infosec MSS Team Daily Log

가장 흔한 인터넷 비밀번호는 '123456'

nospam@example.com (weblog) — Fri, 22 Jan 2010 12:46:15 +0900

http://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=105&gid=321625&cid=298842&iid=189317&oid=023&aid=0002118234&ptype=011

의외로 사람들은 간단한 패스워드를 사용하는 경우가 많다.
심지어 기사의 내용과 같이 '123456' 라는 패스워드를 사용하는 사람들도 많이 존재한다.
이것은 인터넷이 발달한 현대사회에서 방대한 비밀번호의 목록은 기억하기 쉬운것으로 정하는 사람의 성향에서 나타난다. 터무니 없는 비밀번호는 기억하기 힘들기 때문에 모든 인터넷유저들은 '도메인명1234' , '아이디1234' , '아이디생년월일' 와 같은 비밀번호를 많이 선호하는 특성을 가지고 있는 것이다.
어떻게 보면 인간의 심리를 이용한 사회공학적 해킹 이라고 할 수도 있다. 이렇듯 완벽한 보안을 위해선 어느 한 부분에서 구멍이 발생해도 치명적인 영향력을 미칠수 있으므로 다각도의 시선으로 바라볼 필요성이 있다.

Iphone 웜바이러스

nospam@example.com (weblog) — Wed, 23 Dec 2009 10:55:39 +0900

손안의 컴퓨터라는 말이 무색할 만큼 요즘 Iphone의 인기와 그 성능은 대단합니다.
이제 점점 유비쿼터스의 시대가 느껴지는 것 같습니다.
미래에는 모든 사물에 IP가 부여될 것이고 지금부터 훨씬 더 편리한 생활이 찾아올 것입니다.
반면 보안의 대상범위도 훨씬 더 광범위해 질것 입니다. Iphone과 같은 기계의 출시가 그 첫걸음인것 같습니다.
이에 따라 앞으로 나타날 보안에 대한 구성도를 미리 그려 봐야할 것입니다.
해외에서는 이미 Iphone관련 웜바이러스까지 발견되었다고 합니다. root 패스워드가 alpine(기본값)일 경우 해당 바이러스에 걸리는가 봅니다.

관련 동영상 :
http://www.youtube.com/watch?v=RBINaCWgA58&feature=player_embedded

SWF파일의 태그와 AVM2의 취약점을 이용한 Flash Player 공격에 관한 분석

nospam@example.com (weblog) — Wed, 02 Jul 2008 09:43:57 +0900

5월 부터 이슈가 되어오던 Flash Player 관련 취약점 분석 보고서 입니다.

flash_player_with_AVM2_vulnerability_analysis.pdf

계속되는 SQL Injection 위협..

nospam@example.com (weblog) — Mon, 26 May 2008 11:12:38 +0900

올해 초부터 꾸준히 이어지고 있는 SQL Injection 공격은 그 빈도가 줄지 않고 더욱더 늘어만 가고 있는 것 같습니다. ASP / MSSQL을 통해 DB데이터에 iframe을 삽입하는 이번 공격은 대부분의 IP가 중국에서 발생하고 있는 것으로 파악되고 있습니다. 최근 몇일 사이에 국내에 유입되는 공격의 근원지를 조사해본 결과 주요 공격지 대역이 다음과 같이 집계되었습니다.

58.208.x.x ~ 58.223.x.x
221.130.176.x ~ 221.130.207.x

Anti-CNN hacker trophy

nospam@example.com (weblog) — Thu, 24 Apr 2008 11:44:20 +0900

sports.si.cnn.com 이 해킹을 당했다. 내용인 즉슨 티벳에 대한 사이버 시위라는 것을 알 수 있었다

하지만 왜 CNN 이 타겟이 되었을까? 물론 대표 뉴스 사이트라 페이지 뷰 수가 엄청난 것을 노렸을 수도 있지만 이유는 다른데 있었다.CNN 은 계속해서 중국에 대한 부정적인 뉴스를 내보냈고 이에 분개한 해커들이 CNN 을 타겟으로 공격을 했던 것이다. 핵티비즘에 의한 공격이라고 할 수 있다

또 중국 해커들은 anticnn.exe 라는 툴을 만들어 cnn 접속 시 접근이 불가능하게 브라우져를 조정하였다. 왼쪽의 작은 아이콘을 클릭하면 www.cnn.com 을 들어갈 수 가 없다.

CNN.com 은 웹 변조 뿐 만 아니라 DDOS 공격도 들어왔던 것으로 밝혀졌다. 또한 이번 사건을 돌이 켜 보건 데 그 당시 악명 높았던 POISONBOX 의 귀환이라는 조심스런 예측도 하고 있다. 이는 자칫 sino-us cyber war II (중미사이버 전쟁)으로 번져 나갈 조짐이 보이고 있는 것이다.

쉘코드의 대부분을 차지하는 Downloader Shellcode

nospam@example.com (weblog) — Wed, 05 Mar 2008 16:04:19 +0900

최근에 관제센타를 통해 수집한 악성코드 중 Qvod Player의 URL 프로퍼티 버퍼오버플로우 공격을 수행하는 코드를 수집하게 되었습니다. 실제 코드에서 주목해야 할 부분은 취약점 자체가 아닙니다. 바로 그 공격코드가 무엇을 하는가 라는 점이죠.

최근에 수집되는 대부분의 버퍼오버플로우 쉘코드는 Downloader 입니다. 과거에 리버스컨넥션을 수행한다거나 시스템 제어권을 획득한다거나 하는 것이 아니죠. Downloader가 주를 이룬다는 것은 아래와 같이 분석해 볼 수 있습니다.

1. 최신 취약점을 이용한 봇넷의 유지 및 봇 전파

2. 불특정 다수를 타겟으로 하는 Client 공격

즉, 최신 취약점을 이용해 수많은 좀비를 생성하거나 원하는 정보를 수집을 하는 것입니다.

실제로 수집한 악성코드에 포함된 쉘코드를 분석해보면 국내 모 유명 게임회사의 온라인 계정을 탈취하는 프로그램을 원격지에서 다운로드하여 실행하는 코드로 확인이 되었고 발생지는 중국이였습니다.

참고:
Qvod Player같은 경우는 국내에서는 거의 사용하지 않는 것으로 알고 있습니다. 이런 점을 미뤄봤을 때도 공격자는 일정한 타겟이 있다기 보다는 단순히 자신들의 전파 루틴에 최신 취약점을 추가한 것이라고 밖에 생각할 수 없습니다.

china_bot malware analysis report

nospam@example.com (weblog) — Tue, 04 Mar 2008 14:10:55 +0900

china bot (가칭) malware 분석 보고서 입니다.

변형된 malware 들의 침입 과정을 분석하고 있습니다.

china_bot malware analysis report

신년 맞이 Storm Worm에 대한 정적 분석

nospam@example.com (weblog) — Thu, 31 Jan 2008 09:35:38 +0900

무자년을 맞이해서 Storm Worm님께서 메일로 찾아와 주셨네요. 이번에 수집한 Storm Worm은 Happy_2008.exe라는 이름을 가지고 있습니다. 스톰 웜과 관련 된 많은 자료들이 이미 발표 된 시점이라 더 이상 새로울 것은 없지만 웜의 침입기술과 은폐 및 전파 기술을 눈으로 확인 할 수 있는 좋은 웜입니다.

happy_2008_storm-worm_analysis

Malware analysis

nospam@example.com (weblog) — Thu, 24 Jan 2008 15:23:30 +0900

hXXp://lovekr.XXX.com/dd.htm

lovekr? 심상치 않다. 우리나라만 노리고 있는 전문가의 냄새가....

열어보니..

변경하여 보니 ~

형변환 함수 CAST

nospam@example.com (weblog) — Wed, 12 Dec 2007 17:43:48 +0900

아래와 같은 침해 로그가 남았을때

위의 형태는 헥사값 형태로 변환이 되어있는것을 알수 있다.

00 값을 지우고 정리하면

6465636C61726520406D20766172636861722838303030293B73657420406D3D27273B73656C65637420406D3D406D2B277570646174655B272B612E6

.....................

이부분만 남았고 ascii 형태로 변경해보자~

변경된 형태다.

GOMClean.exe BHOClean.exe 스파이웨어

nospam@example.com (weblog) — Tue, 30 Oct 2007 12:53:42 +0900

오늘 스파이웨어 관련 침해위협이 많이 발생하고 있습니다.

침해위협발생보고서에서 샘플링 된 3개의 파일을 분석한 결과 sdaemon.exe의 경우 unpack 시 파일에서 crash가 발생하여 정상적으로 동작을 하지 않습니다. 따라서 실제 환경에서도 동작하지 않을 것으로 판단 됩니다.

나머지 두개인

adobeX.exe
bhoinst.exe

의 경우 이름은 다르지만 동일한 동작을 합니다.COMClean 또는 BHOClean이라고 불리며 스파이웨어의 일종입니다. 이것을 실행하였을 때

C:\WINDOWS\GRETECH\GomPlayer\
폴더에 스파이웨어를 설치하며 아래의 레지스트리를 수정합니다.

"HKCU\Software\Microsoft\Windows\CurrentVersion\Run" 에
"gomclean"=""GRETECH\GomPlayer\GOMClean.exe""
을 등록합니다. 즉 윈도우즈 시작 시 마다 실행되도록 등록이 됩니다.

스파이웨어가 실행되면 특정 서버로 접속을 하여 스스로를 업데이트합니다. 디스어셈블 코드를 통해

http://www.2080815.com/bhoclean.php?VER=20071019&MAC=&ID=

라는 주소를 추출할 수 있습니다. 즉, 스파이웨어는 해당 경로를 통해 업데이트를 합니다.

내부적으로 PCFreeMon이라는 안티 스파이웨어 프로그램을 모체로 하고 있는 것 같습니다.

오라클 shell

nospam@example.com (weblog) — Mon, 15 Oct 2007 14:19:34 +0900

자바 프로시져를 이용한 오라클에 쉘 띄우기

hackers@microsoft

nospam@example.com (weblog) — Thu, 30 Aug 2007 15:10:13 +0900

http://blogs.msdn.com/hackers/

공식적인 해커 블로그 라고 마이크로 소프트에서 발표를 했네요

마이크로 소프트가 고용한 해커들이라 어떤 내용들이 포스팅이 될까 사뭇 궁금하네요

"hackers@microsoft" 계속 읽기

port 5168 port 스캔

nospam@example.com (weblog) — Mon, 27 Aug 2007 14:54:44 +0900

최근에 iDefense에서 Trend Micro의 제품인 ServerProtect에 대한 취약점 발표를 한 후 해당 소프트웨어와 관련된 RPC 포트인 5168에 대한 스캔이 증가하고 있습니다. 이미 해외의 유수 기관이나 기업의 관제망이나 허니팟 시스템에서 이와 관련된 흔적이 발표되고 있습니다.

저희 회사에서 관제를 하고 있는 한 IDC에서 23일에 발생한 IDS기록을 보면 5168포트에 대한 스캔 기록이 발생하고 있음을 알 수 있습니다. 아직 실질적인 피해사례나 공격코드가 발표되지 않은 상태지만 유심히 관찰해 봐야 할 부분인 것 같습니다.

Phishing Scam

nospam@example.com (weblog) — Wed, 22 Aug 2007 10:20:43 +0900

요 몇일 사이에 다양한 주제에 관한 피싱메일을 받았습니다. 발신자와 내용은 다 다르나 공통적으로 가지고 있는 링크 주소가 있는데 다음과 같습니다.

http://xxx.xxx.xxx.xxx/

링크를 따라가 보면 Secure Login Applet을 다운로드 받으라는 메시지와 함께 다운로드 링크가 존재합니다. 이 링크를 따라가면 applet.exe라는 실행파일을 받을 수 있죠.

이 파일을 norman sandbox를 이용하여 확인해 본 결과는 다음과 같았습니다.

applet.exe : Not detected by Sandbox (Signature: NO_VIRUS)





 [ DetectionInfo ]

     Sandbox name: NO_MALWARE

     Signature name: NO_VIRUS



 [ General information ]

     File length:       114543 bytes.

     MD5 hash: f362efe5690f2ac36add3f8a4601a132.

특별한 것을 찾지 못하네요. 하지만 virustotal을 이용해서 확인해보면 이 실행파일이 Zhelatin 계열임을 알 수 있습니다.