일반적으로 악성 코드(바이러스, 웜, 스파이웨어)는 윈도우 운영체제에서 동작할 수 있도록 설계되어 있으며, 보안 업계에서도 이러한 공격을 막기 위해 주로 윈도우 운영체제를 중심으로 보안 제품을 설계 및 개발하고 있다.

물론, 맥이나 리눅스에서 동작하는 안티바이러스와 같은 보안 제품이 실제로 사용되고는 있지만, 이들 운영체제에서 동작하는 악성코드를 예방하는 것보다는 사실상 공유 폴더와 같이 윈도우 운영체제의 PC에서 공유하는 파일에서 악성코드가 전파되는 문제를 예방하는데 주 목적이 있다.

최근 시만텍의 STAR(Security Technology and Response)에서 언급한 자료에 따르면, Tojan.Jnanabot은 윈도우, 맥뿐만 아니라 리눅스에서도 감염시킬 수 있는 크로스플랫폼 봇으로 원시 코드는 자바로 작성되었다. 아래표는 Jnanabot이 감염된 운영체제에 대한 통계정보로 윈도우 이외의 운영체제가 약 16%정도를 차지하고 있다.


실제 컴퓨터에서 사용되는 운영체제의 비율을 감안한다면 OS X의 감염률이 꽤 높다는 것을 알 수 있다.

특히 작년부터 꾸준히 발생하고 있는 페이스북과 같은 SNS에서 발생하는 보안 문제가 바로 clickjacking 공격으로 업로드된 트윗이나 포스트에 교묘하게 조작된 URL을 추가하여 사용자가 이 링크를 클릭하는 순간 공격이 이뤄지도록 하고 있다.


따라서, Jnanabot이 SNS 쪽으로 타겟으로 하는 공격으로 변화하게 되면 이에 따른 피해가 엄청날 것으로 예상된다.

감사합니다.




"Everyone knows" that the huge majority of viruses, Trojans, and other malicious software are written for the Windows platform. There are just so many more Windows boxes out there that it hardly pays to target MacOS or Linux. Sure, there are a handful of Mac viruses and even some Linux-platform threats. SophosSymantec, and ESET, among others, offer antivirus products for the Mac. But Windows is the main target for most.

Gardner introduced me to what Symantec calls Trojan.Jnanabot, an equal-opportunity, cross-platform bot that will infect Windows, MacOS, or Linux. Not surprisingly, it's written mostly in Java, the "write once run anywhere" language. Jnanabot spreads by posting links in a victim's social-networking accounts and sending attacks based on friend lists. The initial platform-independent Java script downloads platform-specific components to complete the infection. As the following chart shows, most of the real-world infections that Symantec has detected are Windows systems, but there's a sizeable chunk running Mac OS. 
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    지난 2002년 이후로 인터넷에 대한 강력한 위협 요소 가운데 하나가 바로 DDoS(Distributed Denial of Service, 서비스 거부 공격) 공격입니다.

    주로 바이러스와 같은 악성 프로그램을 유포하면서 봇을 양산하며, 최근에는 그동안 잠잠했었던 봇넷이 다시금 기지개를 편다는 소식도 있습니다.


    최근 보안 전문가에 따르면, 돈만 주면 어떤 대상이라도 가리지 않는 상업용 DDoS 서비스를 제공하는 새로운 봇넷이 출현했으며, 빠른 속도로 몸집을 불리고 있다고 합니다.

    "IMDDOS" 봇넷이라고 하며, DDoS 공격 서비스를 제공하던 웹사이트의 이름을 본 따 지은 것입니다.(발음은 I'M DDOS) 이 도메인은 지난 3월 20일 경에 등록되었으며 현재 중국에서 서비스를 제공하고 있습니다.

    매일 1만대 이상의 새로운 봇(봇넷 프로그램이 설치 및 감염되어 원격에서 조정이 가능한 컴퓨터)들이 추가되고 있으며 현재 전세계적으로 활동하는 거대한 봇넷 중의 하나입니다.


    홈페이지에서는 DDoS 서비스에 대한 소개, 공격 방식, 연락처 등을 포함하고 있으며, 현재 상업적으로 서비스가 진행 중입니다.

    만약 서비스를 이용하고자 하는 경우에는 중국에서 많이 사용하는 QQ 메신저를 통해 가격적인 부분 뿐만 아니라 기술 지원까지 받을 수 있으며, 상업 소프트웨어와 마찬가지로 3단계의 기술지원 방식 및 24x7 까지도 가능하다고 합니다.

    IMDDOS 봇넷의 통제 서버인 C&C 도메인은 대부분 중국에 위치하고 있으며, 일부의 경우 미국에도 위치하고 있습니다.

    특히 봇에 감염시키기 위해 "Windows 7 Crack"이라는 프로그램에 은밀하게 악성 프로그램을 포함시켜 이를 통해 봇넷을 더욱더 키우고 있습니다.

    따라서, 누군가가 인터넷에서 서비스하는 회사에 대해 DDoS 공격을 진행하는 경우에 단지 중국 IP만을 차단한다고 해서 해결될 수 없게 됩니다. 개인 사용자 뿐만 아니라 보안 관련 회사, 당국의 적극적인 대처가 더욱더 요구됩니다.

    감사합니다.

    IMDDOS 관련 자료: http://www.damballa.com/downloads/r_pubs/Damballa_Report_IMDDOS.pdf
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 중국의 CERT에서 조사한 보고서의 일부분이 뉴스에 나와서 정리해 봅니다.

      중국내의 인터넷 사용자 중에 안티바이러스 제품을 설치하지 않고 사용하는 경우가 크게 늘고 있습니다. 지난 주 중국 인터넷 네트워크 정보 센터(CNNIC)는 보안 소프트웨어를 사용하지 않는 비율이 4.4%로 지난 해의 3.9%보다 크게 증가했다고 발표했습니다.

      중국 내 인터넷 사용자는 작년 하반기에 약 3억 8400만명으로 추산되고 있으며, 이 중 보안 제품을 설치하지 않은 컴퓨터가 약 1700만 대입니다.

      이 정도 숫자이면 봇과 같은 악성 코드를 유포하고, DDOS 공격을 유발하기에 아주 충분한 댓수입니다.

      전세계적으로 악명을 떨치고 있는 봇의 경우 약 10만대 정도를 하나의 봇으로 보는데, 1700만대라고 하면 대략 170개나 구축할 수 있는 크기입니다.

      중국은 1차/2차 산업뿐만 아니라 3차 산업, 그리고 정보 혁명 시대에서도 오명을 떨칠 수 있는 가능성이 높아지고 있습니다.

      감사합니다.

      출처: http://www.pcworld.com/businesscenter/article/192994/millions_in_china_have_no_antivirus_software_survey_shows.html
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        지난 7월 7일경, DDOS 공격이 국내 관공서 뿐만 아니라 민간 웹사이트까지 초토화시킨 적이 있습니다. 그 덕분에 일반인들도 DDOS 공격, 그리고 컴퓨터의 보안에 대해 한번 더 생각할 수 있는 좋은 기회였다고 생각됩니다.

        그런데, 이렇게 DDOS 공격을 하는 해커(크래커)는 엄청난 기술력과 정보력, 실력을 가졌다고 볼 수 있을까요?  엄청난 실력을 가질 수도 있습니다만, 실제로 알고 보면 약간의 돈만 있으면 DDOS 공격을 직접 주도할 수 있다는 사실은 모르셨을 겁니다.

        좀더 자세히 설명하면 다음과 같습니다.

        DDOS 공격이 이루어지려면 먼저 봇이 있어야 합니다. 봇은 일반 사용자의 PC에 봇에 관련된 프로그램(악성 코드)가 깔려 있어 원격으로 조종되는 것을 말합니다. 이러한 봇들이 수백, 수천 그 이상이 모여지게 되면 그것을 봇넷이라고 부릅니다. 그리고, 이러한 봇넷을 구축하는 사람을 봇 마스터라고 합니다. 따라서, 보통, 봇마스터와 악성코드 제작자가 한팀을 이루게 됩니다.

        초기에는 봇마스터들이 직접 DDOS 공격을 진행했습니다. 하지만, 봇에 관련된 기술이 발전하면서 봇넷 자체가 파는 형태인 서비스 방식(봇넷 키트라고 부릅니다)으로 변화하고 있습니다. 즉, 나쁜 마음을 먹고 있는 사람이라면 봇마스터와 연락하여 일정한 금액을 지불하고, 계약(봇 개수, 기간)을 하여 DDOS 공격을 하게 됩니다.

        최근 봇넷의 경향을 살펴 보면,  최고 3,500 달러짜리 제품부터, 100$짜리까지 다양한 제품들이 판매되고 있습니다. 100$ 짜리면 성능(!)이 별로라고 생각할 수 있겠지요? 하지만, 아닙니다. 이거만 있어도 왠만한 사이트가 휘청거릴 수 있습니다. 큰 사이트 이외에 DDOS 공격으로부터 대비하는 곳이 있을까요?

        외국의 봇넷에 대한 연구 자료를 참조해 보면, 다양한 봇넷 마스터가 활동 중에 있으며 이러한 봇넷 킷에는 가격 정책에 따라 기능이 있고 없는 즉, 다양한 옵션으로 무장하고 있다고 합니다.

         
        특히 아드레날린 봇넷킷(Adrenalin botnet kit)은 현재 가격이 3,500 달러에 판매되고 있으며, 구매자의 요구사항에 부합할 수 있도록 커스터마이징까지 제공할 수 있습니다. 아드레날린에는 24시간 내내 기술 지원, 익스플로잇 내장, 디지털 서명 빼돌리기 등의 기능을 포함하고 있으며, 훔친 데이터 암호화 등의 기능도 옵션으로 제공합니다. 또한, 다른 봇넷에 감염된 컴퓨터에서 봇넷을 제거하는 추가적인 기능도 제공합니다.
        그리고, 이러한 봇넷 키트는 컴퓨터에 대한 전문적인 지식이 없는 사람도 사용할 수 있도록, 간편한 설정 및 제어 구조를 가지고 있습니다.
        < 자료 1. 아드레날린 제어판>

        이렇게 DDOS 공격이 대중화되는데에 가장 기여한 것은 바로 보안을 등한시한 사용자와 웹사이트 관리자(개발자)라고 말할 수 있습니다. 하지만, 이러한 사람들도 아직까지 보안에 대해 여전히 불감증을 가지고 있기 때문에 봇넷이 사라지기는 커녕 더욱더 번성해 갈 것으로 보여 집니다.

        하지만, 호기심에 사로 잡혀 봇넷 킷을 사서 국내외 사이트에 DDOS 공격을 하게 되면 법적인 문제가 된다는 것 알고 계시죠!

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          안티 바이러스 벤더인 시만텍에서 봇(Bots), 스파이웨어, 애드웨어 기타 악성 프로그램을 자동으로 감지하고 제거하는 프로그램인 노턴 안티봇(AntiBot) 제품을 정식으로 출시하였다.

          이 제품은 무료 제품은 아니며, 설치시에 15일간 무료로 사용할 수 있으며 1년에 약 30$ 정도의 가격으로 구매하여 사용할 수 있다.

          사용 환경은 Windows XP/Vista만 가능하며 기존 Windows 9X에서는 사용할 수 없다.

          노턴 안티봇 홈페이지:
          http://www.symantec.com/home_homeoffice/products/overview.jsp?pcid=is&pvid=nab1

          노턴 안티봇 다운로드:(링크는 바뀔 수 있읍니다)
          http://spftrl.digitalriver.com/pub/symantec/tbyb/NAM/NAB_ESD_SYMC_1310_setup32.exe


          제품 설치는 아주 간단하며 특별히 설정할 부분은 없다.

          아래 그림은 설치 후 실행한 모습이며 모두 3가지 탭으로 아주 간단한 인터페이스를 가지고 있다.

          (상태 화면)
          사용자 삽입 이미지

          (고급 화면)
          사용자 삽입 이미지

          (설정 화면)
          사용자 삽입 이미지

          좀 더 사용해보고 특별한 점이나 문제점이 나타나면 포스트를 갱신합니다.

          끝.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            최근 인터넷 상에서는 트로이 목마를 자동으로 제작하여 주는 프로그램이 공개된 적이 있다. 그런데, 상용으로 판매되고 있는 트로이목마 제작 툴이 나타나 이를 사용하고자 하는 사람(!)들에게 눈길을 끌고 있다고 한다.

            핀치(Pinch)라는 이름을 가진 이 도구는 감염된 컴퓨터에서 훔쳐낼 것이 암호인지 등 간단한 입력만으로도 기술적으로 훌륭한 트로이목마 프로그램을 제작해 준다고 한다. GUI로 제공되는 인터페이스에서는 모든 키보드 입력을 캡춰할 것인지, 화면을 캡춰할 것인지, 아니면 특정한 파일 형식을 가진 파일을 훔쳐 낼지 손쉽게 선택할 수 있다고 한다.

            그리고 감염된 컴퓨터를 프록시로 만들거나 봇(BOT)으로 만들어 버리는 놀라운(?) 기능도 포함하고 있어 원격에서 컴퓨터에게 프로그램을 다운로드하거나 악성 프로그램을 추각로 실행하게 하는 등의 명령을 내려 다양한 공격을 수행할 수 있다. 또한, 컴퓨터에 감염된 상태를 숨기기 위해 1024번 위의 포트 번호를 통해 통신을 하며 루트 킷 기술을 사용하여 자신을 은폐한다.

            '핀치'의 가장 큰 위력은 바로 트로이 목마를 손쉽게 만들 수 있다는 점이다. 악의있는 사람은 전문적인 컴퓨터 지식이 없더라도 마우스 클릭만으로도 짧은 시간내에 강력한 성능을 가진 트로이 목마를 작성할 수 있다고 판다랩의 Luis Corrons가 언급했다.

            그 외에도, 안티 바이러스 엔진 이름의 목록을 보유하고 있어 직접적으로 안티 바이러스를 공격할 수 있다. 또한 윈도우 방화벽 설정 무력화, 스팸과 같은 다양한 경로를 사용하여 널리 배포할 수도 있다. 아래 그림을 보시면, NOD32, 오~ 안철수 패밀리(!)도 있군요. ㅎㅎ.
            사용자 삽입 이미지

            출처는 아직 밝혀지지 않았지만, 프로그램의 인터페이스를 통해 러시아에서 만들어진 것으로 추측하고 있다.
            사용자 삽입 이미지사용자 삽입 이미지사용자 삽입 이미지

            핀치에 대한 자세한 정보는 여기를 클릭하기 바란다.

            국내 관련 자료: http://pcaccent.oranc.co.kr/tt/977


            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              시만텍은 '노턴 안티봇(Norton AntiBot)'이라는 무료 베타 프로그램을 최근 출시했습니다. 노턴 안티봇은 기존의 안티바이러스 보안 솔루션의 방어의 보조 수단으로, 동작을 기반으로 악성 프로그램으로부터 보호하도록 동작한다.

              안티 바이러스 제품의 가장 중요한 기능이라면 상주 감시(메모리 감시)와 검사(필요시 검사, 예약 검사)를 통해 파일이나 레지스트리 등을 검사합니다. 하지만 노턴 안티봇은 프로그램이 잠재적인 공격을 유발할 수 있는 비정상적인 동작을 하는지 검사합니다.
              사용자 삽입 이미지

              이 프로그램은 작년 초에 소개했었던 SONAR(Symantec Online Network for Advanced Response) 기술을 사용합니다.

              노턴 안티봇의 중요한 목적은 컴퓨터를 원격에서 하이재킹, 제어, 또는 모니터링하는 공격을 차단하는데에 있습니다. 이러한 공격은 봇, 키로깅 프로그램, 스파이웨어 등이 합니다. 노턴 안티봇은 실행 프로그램 및 프로그램의 인터넷 연결을 추적함으로써 기존의 안티바이러스 프로그램보다 나은 예방 기능을 제공한다고 합니다.

              하지만, 노턴 안티봇은 기존의 안티바이러스를 대체하는 것이 아니고 보조적인 수단으로 사용한다는 점을 명심해야 합니다.

              노턴 안티봇 베타 다운로드

              직접 다운로드 링크

              주요 특징
              • 실시간 감시
              • 감염된 봋 및 관련 요소를 완벽하게 제거
              • 봇 및 관련된 위협에 대한 추가적인 보호 수단을 제공하여 보안을 강화

              하드웨어 요구사항
              • 운영체제: Windows XP Home/Professional, Windows Vista 32/64bits Edition
              • CPU: 600Mhz 이상(XP), 1GHz 이상(Vista)
              • RAM: 256MB(XP), 1GB(Vista)
              • HDD: 50메가 이상 여유공간

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus


                Web Analytics Blogs Directory