안녕하세요?

 

무료 백신으로 전세계에서 널리 애용하고 있는 어베스트 안티바이러스 제품에서 랜섬웨어를 예방하는 방법을 소개합니다.

 

 

어베스트 유료 제품인 인터넷 시큐리티, 프리미어에서는 "랜섬웨어"를 차단하는 모듈을 제공합니다. 관련 자료는 아래 링크를 참고하세요.

 

Avast 랜섬웨어 예방 가이드(개정판) http://blog.avastkorea.com/1238

 

고맙습니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    악성코드에 대한 전통적인 대응 수단이자, 효과적이면서도, 개인(엔드포인트)에게는 거의 절대적인 가치를 인정받는 백신(안티바이러스)에 대해서 한번쯤 고민해 볼 만한 자료를 소개합니다.

     

    http://www.net-security.org/article.php?id=2239

     

    (좀 깁니다)

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


       

      Windows XP의 기술 지원이 20144월초에 만료됨에 따라, 기존 사용자들은 Windows 7 등 상위 OS로 업그레이드하는 것을 추천하고 있는 상황이다. 그 가운데 최근에는 Windows XP Embedded 의 보안 업데이트 기간이 약 1여년 남아 있어, Windows XP(이하 XP)Windows XP Embedded(이하 Embedded)로 속이는 방식을 이용하여 보안 업데이트가 가능하게 하는 꼼수가 소개되기도 했다.


      http://moonslab.com/1370


      하지만, Microsoft 에서는 이러한 팁을 이용하는 경우 보안상 문제 등이 발생할 우려가 있다는 의미의 글을 기고하였으며, 실제 이러한 상황에서 어떻게 적용하느냐는 사용자의 선택에 달려 있다고 보여지며, Microsoft가 공개한 EmbeddedXP와의 차이점에 관련된 기술 자료 링크를 소개한다.


      https://www.google.co.kr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&sqi=2&ved=0CDAQFjAA&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F7%2F1%2F2%2F71252520-2bb9-43c3-891b-bc09bfdde152%2FDifferencesBetweenWindowsXPEmbeddedandWindowsXPProfessional.pdf&ei=R0SFU8zrEpD48QWNwYA4&usg=AFQjCNHCixnwp1J16vX36ffGOg6tJLEInw&sig2=WN0J1znJhVK3KdrmRPCIrQ&bvm=bv.67720277,d.dGc

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        지난 2013년도에는 3.20 사이버테러, 6.25 사이버워 등 굵직굵직한 사건들이 참 많았습니다. 덕분에 관련된 많은 사람들이 고생도 많이 하셨을 것이고, 또한 이를 통해 APT 등 새로운 분야에 대한 관심사가 떠오르기도 했습니다.

         

        보안 쪽 특히 해킹이나 악성코드 분석에 관심이 있는 친구들이라면, 꼭봐둬야할 기사를 하나 소개합니다.

         

        PC에 뭔가 있는거 같다! 뭘 유심히 봐야 하느냐! 에 대한 해외 자료입니다.

         

        http://journeyintoir.blogspot.kr/2014/01/it-is-all-about-program-execution.html

         

        요약하면...

        What Malware Indicators to Look For


        As the name implies program execution artifacts show what programs executed on a system and at times what programs were present on the system. The significance of knowing what programs ran can be seen in my corollary to the Rootkit Paradox:

              1. They need to run
              2. They want to remain hidden

        Malware wants to remain hidden on a system so it can accomplish what it was designed to do. However, in order for malware to hide on a system a program has to run. This program executes to either hide itself or another piece of malware; in the process it will leave artifacts on the system. These artifacts - program execution artifacts - can be used to find where the malware is hidden. Below are the malware indicators to look for as the program execution artifacts are reviewed (my post Triaging Malware Incidents shows how to use these indicators for triaging).

              - Programs executing from temporary or cache folders
              - Programs executing from user profiles (AppData, Roaming, Local, etc)
              - Programs executing from C:\ProgramData or All Users profile
              - Programs executing from C:\RECYCLER
              - Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
              - Programs with random and unusual file names
              - Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
              - Other activity on the system around suspicious files

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          미국의 NIST(National Institute of Standards and Technology, 국립표준기술연구원)에서는 다양한 IT 기술에 대한 정의 및 지침서를 제공합니다. 이에 대한 자세한 사항은 아래 링크를 참고하십시오.

          오늘 소개할 부분은 NIST SP 800-41 이라고 부르는 Guidelines on Fiewall and Firewall Policy(방화벽 및 정책에 대한 지침)에 대한 것입니다. 이 문서는 2002년도에 처음 특별 공고(SP, Speical Publication)로 발표되었습니다.

          하지만, 그 이후에 다양한 기술적인 변화가 이루어져 왔으며, 이러한 한계로 인해 기존 지침서가 제대로 효용성을 가지지 못하는 아쉬운 점이 있었습니다.

          2009년 10월 31일, 드디어 이 지침서의 개정판이 Revision 1이 공식적으로 공개되었습니다. PDF 문서 다운로드는 아래 링크를 참고하십시오.

          아직 시간이 많이 많지 않아 전체적으로 읽어 보지는 못했지만, 간략히 목차 상으로 살펴 보면, 새로운 몇가지 범주가 포함되었습니다. 이 내용은 처음 발간할 당시에는 현업에서 널리 이용되지 않았던 최신 기술들입니다.
          • Application Firewall
          • UTM(Unified Threat Management)
          • WAF(Web Application Firewall)
          • Firewalls for Vitual Infrastructures(가상화 기반을 위한 방화벽)

          감사합니다.

          PS: 


           







          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            일반적으로 안티 바이러스는 프로그램 추가/제거를 통해 설치 내역을 삭제하지만, 실제로 보면 설치된 파일이나 등록한 레지스트리 등이 100% 완벽하게 제거되지 않는 경우가 많습니다. 대충 삭제한 상태에서 다른 안티바이러스 제품을 설치하면 제대로 설치되지 않거나, 오히려 컴퓨터에 문제가 생기는 경우도 발생할 수 있습니다.

            아비라 안티버(Avira AntiVir)는 안티 바이러스 제품 중에서 가장 휴리스틱(heuristic) 기술이 나은 제품으로 호평을 받고 있으며, 아비라 홈페이지에서는 추가적으로 설치를 제거할 수 있는 프로그램을 제공합니다.

            설치 제거 프로그램: http://dl.antivir.de/down/windows/tool_en.exe

            프로그램을 다운로드하여 실행하면 다음과 같은 화면이 나타납니다. Exit 버튼 위에 이미지가 길게 나옵니다만 잘 보고 클릭합니다. ^ ^; Start Scan 버튼 클릭.
            사용자 삽입 이미지


            그리고, 혹시 프로그램 추가/제거를 통해 안티버를 삭제한 경우에는 아래 프로그램을 이용하여 레지스트를 깨끗하게 정리할 수 있습니다.

            레지스트리 클리너: http://dl.antivir.de/down/windows/registrycleaner_en.zip

            프로그램을 다운로드하여 압축을 특정한 폴더에 풀어 놓고 실행한 화면, Scan for Keys 버튼을 클릭하면 안티버 이외에 다른 안티바이러스 제품이 설치한 레지스트리까지 착하게(!) 검색하여 보여 줍니다. 안티버 또는 다른 제품의 레지스트리가 남아 있다면 선택한 후에 Delete 버튼을 클릭하여 지웁니다.
            사용자 삽입 이미지

            컴퓨터에 설치된 레지스트리를 찾은 화면 - 현재 어베스트!가 설치되어 있는데 이 부분까지 보여 줍니다.
            사용자 삽입 이미지

            아래 링크에서는 앞에 소개한 프로그램 이외에 시스템 복구에 필요한 프로그램과 안티 루트킷 프로그램 등을 추가로 제공하고 있으니 참고하기 바랍니다.

            http://www.avira.com/en/support/support_downloads.html
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              맥아피 사는 자사에서 판매하고 있는 보안 제품을 손쉽게 제거할 수 있는 도구를 제공합니다.

              이 번에는 토탈 프로텍션과 같은 새로운 제품까지 총 망라하는 설치 제거 전문 프로그램 MCPR(McAfee Consumer Products Removal tool)을 출시합니다.

              다음과 같은 제품을 삭제할 수 있습니다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                프로그램이나 요즘 많이 사용하는 웹 사이트에서 회원으로 가입하는 경우에는 아이디(또는 메일 주소)와 비밀번호를 이용하게 됩니다.

                회원정보 데이터베이스에서 아이디는 경우 보이는 그대로 저장하지만, 비밀번호는 특정한 알고리즘으로 무장하여 저장하는데 이를 해시(hash)라고 합니다.

                즉, 'abcd'와 같은 비밀번호는 특정한 함수를 이용하여 계산하면 '3QC$40D'와 같이 변한되며, 반대로 해시 값을 이용해서 원래의 비밀번호를 찾기가 매우 어렵습니다. 즉, 단방향 함수이며, 역방향으로 값을 찾으려면 거의 모든 값을 무차별로 입력하여 원래의 값과 비교하는 단순 무식(Brute-Force)한 공격(Attack) 방식이 거의 유일합니다.

                레인보우 크랙 프로젝트는 해시 값에서 부터 원래의 값을 무차별 대입 방법을 사용하지 않고 나름대로의 고유한 기술(faster time-memory trade-off technolody)을 이용하여 빠른 시간 내에 찾아내는 프로젝트입니다. 이 기술에 대한 자세한 내용은 아래 링크를 참고하십시오.

                http://lasecwww.epfl.ch/php_code/publications/search.php?ref=Oech03

                하여튼 이 기술을 간단히 요약하면 메모리상에서 미리 계산된 특정한 데이터(테이블)를 사용하여 암호화(해시)하는데 걸리는 시간을 줄이는 기술입니다. 1980년에 Martin Hellman이 최초로 기술하였으며 1982년에 Rivest가 조회하는 메모리의 개수를 줄이는 보다 나은 기술을 선보이게 됩니다. 즉

                이를 우리의 컴퓨터 생활에 적용해 보면,

                랜매니저와 MD5 테이블은 아래의 레이보우 테이블에서 예로 들어 설명합니다. 가장 흥미로운 부분은 6번째 테이블로 윈도우의 암호(NTLM)를 14글자까지 입력한 경우에는 몇 분 내에 깰 수 있다는 놀라운 사실입니다.

                 configuration #6
                입력할 수 있는 문자의 종류 [ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()-_+=~`[]{}|\:;"'<>,.?/ ]
                키 크기 7555858447479 (2^42.8)
                테이블 크기 64 GB
                성공 가능성 99.9%

                이 테이블은 윈도우의 비밀번호(최대 14글자)를 크랙할 수 있는데 입력할 수 있는 문자의 종류는 영문자, 숫자 그리고 일부 특수문자를 포함합니다. 하지만, 약 몇 분 이내에 99.9% 이내의 확률로 비밀번호를 알아낼 수 있습니다.
                이는 한대의 컴퓨터를 이용한 것으로 여러 대의 컴퓨터를 이용하면 보다 빨리 알아 낼 수 있습니다.

                예 #1: 다음과 같은 암호를 알아 내는 화면/동영상(WMP 9)
                    }m-6BRz*Cj=J}G
                    D2@,:H?+e5#: $
                    Ot\KZ?/a/qr4d^
                    yc~<{1!Oe}l_j|
                    5~|3&-K^4S#c3q

                예 #2. 윈도우 비밀번호를 100자리로 입력할 때 비밀번호를 알아 낸 화면

                출처: 레인보우 크랙 프로젝트

                다운로드: 윈도우용



                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  요즘에는 바이러스(웜, 등등  통칭해서 악성 프로그램)들의 전파 속도는 인터넷의 발달로 인해 거의 빛의 속도를 따라가고 있다. 어제 유럽에서 새로 발견된 악성 프로그램은 오늘 내 컴퓨터에서 조용히 잠복하는 세상이다.

                  하지만, 악성 프로그램을 진단 치료하는 안티 바이러스 벤더의 입장에서 보면, 정보의 홍수 아니 악성 프로그램의 홍수 속에 업무가 기하급수적으로 증가하고 있다. 특히, 이메일을 통해 감염되는 악성 프로그램(거의 트로이 목마)은 한번 퍼지기 시작하면 스패머의 활약에 힘입어 엄청난 속도로 전파되는 특징을 가지고 있다.

                  이러한 악성 프로그램이 우리가 사용하는 안티바이러스 제품에 샘플을 수집하여 이를 데이터베이스화하는데 걸리는 시간은 얼마나 되는지 궁금하지 않은가?

                  미국의 유명한 안티 스팸 업체인 컴터치(CommTouch)는 악성프로그램 발생 센터(Malware Outbreak Center)라는 프로그램을 통해 이메일로 전염되는 악성 프로그램을 보안 벤더들이 얼마나 빨리 대응하는지 자세히 보여 준다.

                  http://www.commtouch.com/site/ResearchLab/virusLab/recent_activity.asp

                  사용자 삽입 이미지
                  <그림 #1. 악성 프로그램의 발생 순서에 따른 진단명, MD5 값을 보여 준다.>

                  여기서는 최신으로 발생하는 악성 프로그램을 시간 순서로 보거나, 월별로도 볼 수 있다. 아래는 11월 10일날 발견된 Troyan-Downloader.Win32.Agent.ezm 악성 프로그램의 진단 시점에 대해 안티 바이러스 제품별로 자세히 보여 준다.
                  사용자 삽입 이미지
                  <그림 #2. Troyan-Downloader.Agent.UZM 의 진단 시점>

                  초록색은 발생하자 마자 진단이 된 것으로 발생 초기부터 진단했다는 의미이고, 주황색은 일정한 시간 후에, 그리고 빨강색은 진단 기간동안 감지하지 못한 것을 의미한다.

                  자세한 사항은 오른쪽 위 그리고 아래에 있는 Download Data 링크에서 엑셀 파일로 제공한다.

                  특히, 월별로 데이터를 산출해 보면, 악성 프로그램 별로 걸리는 시간을 더욱 쉽게 알아 볼 수 있다.
                  사용자 삽입 이미지
                  <그림 #3. 안티바이러스 제품별로 월별 진단 시간, 가능 여부를 볼 수 있다>

                  이러한 자료를 통해 안티 바이러스 제품의 기동력(!)을 한번 더 평가하는데 도움이 되었으면 한다.

                  알림: 여기서 측정하는 악성 프로그램은 대부분 이메일을 통해 감염되는 트로이목마임을 다시 한번 알려 드립니다. 일반 파일 바이러스 등에서는 다른 결과값이 나타날 수 있습니다.

                  Daum 블로거뉴스
                  블로거뉴스에서 이 포스트를 추천해주세요.
                  추천하기
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    일련의 보안 자료를 보면, 해가 가면 갈수록 바이러스, 웜 등의 악성 프로그램의 발생 건수가 기하급수적으로 증가하고 있습니다.

                    일반적으로 안티 바이러스 제품은 서명(시그내처) 기반의 진단 기술을 사용하기 때문에 바이러스가 발견된 이후에 그에 대한 데이터베이스가 업데이트되는 형편입니다. 물론, 일부 안티 바이러스 제품은 사전 방역, 휴리스틱 진단 기법을 통해 아직 발견되지 않은 악성 프로그램을 미리 예방할 수도 있습니다. 하지만, 장점이 있으면 단점이 있는 법! 오진의 가능성이 서명 기반의 안티 바이러스 제품보다 높다는 단점이 존재합니다.

                    우스갯소리로 안티바이러스 분석팀은 일년내내 일을 해도 다 못한다는 말이 있습니다. 그만큼 갈수록 업무가 증대되고 있으며 사람이 수작업으로 진행한다면 처리할 수 있는 일에는 보나마나 한계가 있을 수 밖에 없습니다. 최근 보안 벤더들은 자동으로 처리할 수 있는 가상화 기술/소프트웨어를 도입하여 사용합니다.

                    악성 프로그램 제작자들은 새로운 악성 프로그램을 탄생(!)시키기 보다는 기존의 악성 프로그램을 변형하는 방법을 주로 취합니다. 물론 작성자는 자신의 코드를 충분히 이해할 수 있다는 가정을 한다면, 변종(Variant)을 떡 주므르듯이 마구 만들어서 널리 감염시킬 수 있을 것입니다.

                    최근 외국의 유명한 보안 전문가는 최근 안티 바이러스 제품의 허를 찌르는 글을 하나 게재했습니다.

                    서명 기반의 바이러스 백신 제품의 기술로는 바이러스로 검출되는 코드(이하 스크립트와 동일함)는 동일한 패턴이 나타나면 거의 100% 진단할 수 있는 기술을 보유하고 있습니다.

                    여기서 언급하는 스크립트는 인터넷 익스플로러에서 동작하는 악성 프로그램을 말합니다.

                    하지만, 코드의 일부분에 공백이나 숫자등을 채우는 이른바 패딩(padding) 기법으로 변조할 경우에는 제대로 바이러스 여부를 진단할 수 없다고 합니다.

                    이렇게 채우는 값을 최대 255 바이트까지 늘릴 경우에는 거의 대부분의 바이러스 백신에서 제대로 진단하지 못한다는 테스트 결과도 나온 적이 있습니다.

                    상식적으로 생각해 봐도, 악성 프로그램의 변종을 만들어 내는 것은 스페이스 바~ 누르는 것처럼 아주 쉽겠죠?

                    아래 그림은 악성 스크립트를 vi 편집기로 본 화면입니다.
                    사용자 삽입 이미지

                    그리고, 헥사 덤프(16진수로 보여주는)로 본 화면입니다. 중간에 0x00 값을 많이 채워넣었습니다.
                    사용자 삽입 이미지

                    이러한 방식으로 코드를 변조한 상태에서 바이러스토탈(http://www.virustotal.com)에서 진단한 결과를 보면 32개 제품 중에 15개 제품만이 악성 프로그램으로 진단하였다는 결과가 나온 적이 있습니다.
                    사용자 삽입 이미지

                    한 편, 스크립트에서 의미없는 0으로 채워진 값을 제거한 상태에서는 32 제품 중에 25개 제품이 진단에 성공하였습니다.


                    마이크로소프트의 관계자에 따르면 이러한 공백 처리 부분은 인터넷 익스플로러의 구조적인 설계에 기인한다고 수년 전에 발표한 적이 있습니다. 하지만, 구조적인 설계가 잘못된 경우라고 한다면 IE7이 나오면서 이러한 문제를 보완하는 새로운 설계가 나와야 하는 것은 아닐까요?

                    참고로 이러한 문제점에 대항하기 위해 맥아피의 바이러스 스캔(VirusScan) 제품에서는 스크립트스캔(ScriptScan)이라는 전용 모듈을 추가하여 이러한 문제점에도 불구하고 충분히 진단이 가능한 기술을 추가한 상태입니다. 아래 동영상 참조하세요.


                    결론을 간단히 추려보면 다음과 같습니다. 컴퓨터에 바이러스 백신을 믿고 백업과 같은 진짜 중요한 과정을 생략하면 언젠가 키보드를 치고 후회할 날이 생깁니다. 따라서, 몇 가지 조언을 드리면서 말씀을 줄일까 합니다.
                    • 윈도우 업데이트에 항상 신경 씁니다. - 매달 2번째 주 화요일입니다.
                    • 믿을만한 안티스파이웨어 제품을 설치하여 이 또한 주기적으로 검사합니다.
                    • 쓸데 없는 사이트(예를 들면, 성인 사이트, 와레즈 사이트)는 가급적 방문하지 않습니다.
                    • P2P 프로그램은 꼭 필요한 경우가 아니면 사용하지 않는 것이 좋습니다.
                    • 가장 중요한 것은 바로 백업입니다. 중요한 데이터는 CD/DVD 등에 별도로 저장하는 것이 좋습니다. 하지만 가장 귀찮은 작업이기도 하지요.
                    • 일주일에 한번 정도는 PC에 설치한 백신 이외의 다른 온라인 백신으로 검사해 봅니다.

                              무료 온라인검사 총정리: http://moonslab.com/484

                    감사합니다.
                    Daum 블로거뉴스
                    블로거뉴스에서 이 포스트를 추천해주세요.

                    자료 출처: http://blog.didierstevens.com/2007/10/23/a000n0000-0000o000l00d00-0i000e000-00t0r0000i0000c000k/
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory