악성코드 제작자가 고민하는 주제 중의 하나가 바로, 백신에 탐지되지 않고 어떻게 잘 실행될 수 있도록 숨기는 방법이다. 가장 널리 쓰이는 방법은 루트킷과 같이 커널 드라이버로 위장하는 방법이 있는데, 이를 위해서는 고난이도의 개발 능력이 수반되어야 한다

 

따라서, 손쉽게 이용하는 방법이 바로 정상적으로 프로세스 내에 숨기는 방법으로 보통 RAT(Remote Admin. Tool)에서 주로 사용한다.

 

이 방법은, 윈도우의 정상적으로 프로세스 하나를 쩜 찍어서, 새로운 인스턴스로 휴면 상태로 실행시킨 후에 코드의 실행 위치를 악성코드의 위치로 바꿔치기 하는 방법이다.

 

 

 

해외에 이러한 숨김 기법에 대한 강좌가 있어 소개한다.

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    PC에서 동작하는 최초의 바이러스라고 알려져 있는 브레인(Brain) 바이러스의 제작자와의 인터뷰 동영상이 인터넷에 공개되었습니다.

    브레인 바이러스의 제작자는 파키스탄의 Amjad Farooq Alvi, Basit Farooq Alvi 형제로 알려져 있습니다.

    한편, 1986년도에 출현한 브레인 바이러스는 플로피 디스켓을 통해 전파되었습니다.



    인터뷰는 F-Secure의 Mikko Hypponen이 파키스탄을 방문하여 촬영한 것으로 알려지고 있습니다.

    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      Alexa는 전세계적으로 공인받은 웹사이트 방문 및 트래픽 순위 사이트입니다. 

      최근 알렉사의 상위 사이트 중에서 일방문 100K(10만) 이상 사이트를 중심으로 구글의 검색 엔진과 비교한 보고서가 발표되어 간단히 정리합니다.

      정상적이지 못한 웹사이트는 다음과 같은 문제점을 가지고 있습니다.
      • 스팸을 발송하는 경우
      • 악성 코드를 배포 또는 감염되는 경우
      지난 6개월간의 모니터링 결과 상위 100만개 사이트 중에서 약 1%인 10,494 개 사이트가 구글에 의해 블랙리스트로 차단되었습니다. 

      일방문 100k 이상인 사이트에서는 다음과 같은 결과가 나왔습니다.

      • 구글이 블랙리스트로 간주하여 차단한 경우: 1,238 (1.2%)
      • 의약품, 영화와 같은 스팸을 보내는 경우: 2,744 (2.7%)
      • 악성코드(or 가짜 백신) 감염 및 배포: 2,323 (2.3%)
      중복된 경우를 제외하고 전체적으로 살펴 보면, 약 3.6%인 3,641 개의 사이트에서 문제가 있는 것으로 파악되었습니다.

      물론, 구글이 악성코드를 완벽하게 진단할 수 있는 기술을 보유했다고 보기는 어렵기 때문에 실제로 감염 사례는 더욱 많을 것으로 예상됩니다.

      이와 같은 결과를 볼 때 다음과 같은 추측이 가능해집니다.

      1. 안전한 웹사이트는 더이상 없다. 
      2. 공격자는 공격이 가능한 경우 어떠한 사이트라도 시도한다.
      3. 사이트 관리자는 보안에 신경써야 한다.

      마지막으로 웹사이트에 방문하는 사용자도 안티바이러스와 같은 보안 제품을 사용해야만 보다 안전하다고 볼 수 있습니다.

      감사합니다.

      출처: http://blog.sucuri.net/2011/03/alexa-top-100k-sites-the-malware-blues.html?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        ARP Spoofing 공격으로 감염되는 웜의 유포지 중의 하나인 h.nexprice.com(http://h.nexprice.com/xx/x.htm)의 문제점을 찾아 해결하는 방법을 소개합니다.


        감사합니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          최근 중국의 CERT에서 조사한 보고서의 일부분이 뉴스에 나와서 정리해 봅니다.

          중국내의 인터넷 사용자 중에 안티바이러스 제품을 설치하지 않고 사용하는 경우가 크게 늘고 있습니다. 지난 주 중국 인터넷 네트워크 정보 센터(CNNIC)는 보안 소프트웨어를 사용하지 않는 비율이 4.4%로 지난 해의 3.9%보다 크게 증가했다고 발표했습니다.

          중국 내 인터넷 사용자는 작년 하반기에 약 3억 8400만명으로 추산되고 있으며, 이 중 보안 제품을 설치하지 않은 컴퓨터가 약 1700만 대입니다.

          이 정도 숫자이면 봇과 같은 악성 코드를 유포하고, DDOS 공격을 유발하기에 아주 충분한 댓수입니다.

          전세계적으로 악명을 떨치고 있는 봇의 경우 약 10만대 정도를 하나의 봇으로 보는데, 1700만대라고 하면 대략 170개나 구축할 수 있는 크기입니다.

          중국은 1차/2차 산업뿐만 아니라 3차 산업, 그리고 정보 혁명 시대에서도 오명을 떨칠 수 있는 가능성이 높아지고 있습니다.

          감사합니다.

          출처: http://www.pcworld.com/businesscenter/article/192994/millions_in_china_have_no_antivirus_software_survey_shows.html
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            캐나다의 온타리오에 위치한 SSM(http://SiteSecureMonitor.com) 회사는 유명한 블로그 솔루션인 워드프레스(WP, WordPress)에서 악성 프로그램의 감염을 예방할 수 있는 플러그인을 공개했습니다.

            이 플러그인은 워드프레스 공식 플러그인 디렉터리에서 다운로드할 수 있으며, 주요 기능은 다음과 같습니다.

            • 일반적인 보안 검사
            • WP를 최신 버전으로 업그레이드
            • 기한이 만료된 플러그인 검사
            • WP 블로그의 취약점 위험 감소
            • 로그인 페이지의 오류 메시지 제거
            • WP 버전 정보 숨기기(홈페이지, 대시보드)
            • 디렉터리 탐색 예방
            • 윈도우 라이브 라이터 차단
            • 코어 업데이트 정보 제거
            • 플로그인 업데이트 정보 제거
            • 테마 업데이트 정보 제거
            • WP의 보안 향상
            • 플러그인 디렉터리를 위한 index.php 파일 추가
            • 플러그인 폴더 숨기기
            • 관리자의 ID(admin) 변경
            • wp-config.php, wp-includes 폴더, wp-content 폴더 접근 권한 제한
            • wp-admin 폴더에 접근할 수 있는 IP 제한
            • SSM으로부터 무료 악성 프로그램 검사 제공

            자세한 사항은 아래 링크를 참고하십시오.

            플러그인: http://wordpress.org/extend/plugins/wp-secure-by-sitesecuritymonitorcom/

             



            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              바이러스, 즉 악성 프로그램을 인터넷에서 다운로드하거나, 사용자의 PC에서 의심스러운 파일이 발견될 때에 이를 여러 가지 안티바이러스 제품으로 통합적으로 검사해 주는 사이트가 있습니다. 대표적인 사이트는 VirusTotal과 Jotti가 있으며, 이들 사이트는 모두 무료로 제공됩니다.

              우리가 익히 알고 있는 시만텍, 맥아피, 어베스트!, V3와 같이 약 30 여가지 안티바이러스 제품으로 동시에 검사하기 때문에 정말 새로운 바이러스가 아닌 경우에는 어디 한곳에 진단되기 마련입니다.

              또한, 검사하기 위해 업로드한 샘플은 안티바이러스 제작사로 샘플로 자동으로 전송되어, 신종인 경우 즉시 반영할 수 있도록 도움을 주고 있습니다.

              여기까지는 컴퓨터를 사용하는 즉, 착한 사용자의 입장입니다.

              만약, 악성 프로그램 제작자가 새로운 악성 프로그램을 만들었다고 가정해 봅니다. 이게 진단되는지 검사하려면 앞에서 언급한 바이러스 검사 사이트에서는 할 수가 없습니다. 해볼려면, 어쩔 수 없이 PC나 가상 머신에 각각의 안티바이러스 제품을 설치하여 테스트하는 힘든 과정이 남아 있습니다.

              하지만, 궁하면 통하는 법!

              어둠의 시장을 위해서 제공되는 바이러스 검사 사이트가 공개되었습니다. 사이트는 현재까지 2개가 알려져 있으며 아래 화면은 그중 하나입니다.


              오히려, 더 나은 점이 보이는데, 바로 검사하고자 하는 안티바이러스 제품을 선택할 수 있다는 점입니다.

              단점으로는 무료가 아닌 유료 사이트로, 한번 검사할 때마다 파일당 1달러 또는 1개월당 40달러로 할인 판매하고 있다고 합니다.

              돈버는 것도 역시 틈새시장이 최고로 보입니다.

              참고자료: http://www.wired.com/threatlevel/2009/12/virus-check/?




              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                외국의 검색 엔진 중의 하나인 구글(google.co.kr)은 국내에서 네이버라는 강력한 국산 검색 엔진 아니 정확히 말하자면 포탈의 위력으로 인해 일반인에게는 약간 거리감이 느껴지는 경향이 있습니다. 실제로 필자가 일반 사람의 컴퓨터를 만져 (바이러스나 기타 문제의 해결을 위해) 주다가, 어떤 특정한 프로그램을 검색하여 다운로드하려고 구글을 접속하여 검색을 하면 이게 뭐냐고 묻는 경우가 종종 있습니다.

                하지만, 컴퓨터에 익숙한 사용자들이나 대학생들, 그리고 물론 IT 업계 종사자들은 구글을 자주 애용하는 모습을 볼 수 있습니다.

                구글은 포탈의 성격을 가지고 있지만, 지금 언급하고자 하는 부분은 바로 사용자의 보안에 관련된 사항입니다.

                구글에서 어떤 특정한 검색어로 검색을 시도하게 되면, 그 결과값을 순서대로 나열해줍니다. 하지만, 만약 (검색하기) 이전에 검색된 사이트에서 악성코드가 감염된 내력이 있는 경우에는 사용자에게 해당 사이트의 위험성을 경고합니다.(알림: MS의 인터넷 익스플로러에서는 방문할 때에 이러한 경고 메시지를 보여주지 않습니다. 크롬, 파이어폭스, 사파리 브라우저에서 사용자가 어느 특정한 사이트를 방문할 경우에 구글의 기능을 참조합니다)

                이 기능을 위해 구글에서는 자동화된 스캐너를 개발하여 이를 통해 전세계에 널리 퍼져있고, 구글 검색 봇이 탐색할 수 있는 범위내에서 해킹당한 사이트를 진단하여 이를 기록 저장합니다.

                문제는 바로 오진(False Positive)에 있습니다. 예를 들어, 지난 세 달 전에 SQL 인젝션으로 웹사이트가 침해된 적이 있고, 이를 해당 웹사이트 관리자가 적절하게 조치를 취했다고 하더라도 일반 사용자가 구글을 통해 해당 웹사이트에 방문하고자 하는 경우에 경고(!) 메시지를 보여 주게 되므로, 웹사이트의 신뢰도의 하락과 더불어 방문자의 수가 줄어들 가능성이 있습니다.(알림: 구글의 자동화 스캐너에서 진단한 URL 중에서 오진으로 밝혀진 내역에 대한 분석자료는 구글 또는 인터넷에서 찾을 수 없었습니다. 장점만 찾아 볼 수 있었습니다.)  분석 도구 또한 웹사이트의 관리자 또한 "또 뚫렸나" 하는 의구심이 들면서 웹사이트를 보다 심도있게 분석하는 불필요한 시간 및 노력을 소모할 수 있습니다.

                이제 구글은 "URL의 분석 결과를 사용자에게 참조 용도로 알려주는 소극적"인 대응에서 "웹 사이트 관리자에게 침해된 내역을 알려 주는 보다 공격적인" 대응책을 제공하기로 하였다는 소식입니다.

                웹마스터 도구(Webmaster Tools)라고 부르는 기능으로, 구글의 자동화 스캐너가 해당 웹사이트에서 진단한 악성 코드의 샘플을 제공해 줍니다. 특히, 진단하는 악성코드들은 "Malware Details" 부분을 통해 HTML 태그, 자바 스크립트, 임베디드된 플래시 파일이 감염되었는지 명확히 알려 줍니다.

                웹사이트 관리자는 자신의 웹사이트의 대시보드 -> 실험실 노드 -> 악성코드 세부정보 부분에서 현재 사이트에 악성 코드가 감염되어 있는지 확인할 수 있습니다.

                제가 운영하는 사이트를 확인해 보니, 행복하게도 깨끗하다고 보여줍니다.

                참고로, 이 기능을 사용하기 위해서는 먼저 구글에서 자신의 웹사이트를 등록하여 관리하는 수고를 해야 합니다.

                등록 링크: https://www.google.com/webmasters/tools/home?hl=ko

                등록할 때에는 등록하는 사이트가 자신이 소유하고 있는지 확인하는 과정을 거치게 되므로 주의해서 등록해야 할 것으로 보입니다.

                감사합니다.

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  최근 SNS 서비스로 인기를 얻고 있는 트위터(http://www.twitter.com)는 보안상 결함이 발견되어 종종 얘깃거리가 되곤 합니다. 또한, 트위터를 통해 악성 코드를 유포하는 행위도 점차 눈에 띄고 있습니다.

                  최근 트위터에서는 DM(Direct Message, 개인간 직접 메시지)을 통해 사용자의 계정 정보를 탈취하는 웜이 출현하여 트위터 사용자를 위협하고 있습니다. 해커들은 DM의 내용에 가짜 트위터 로그온 창을 보이게 하는 링크를 포함하게 합니다. 그리고, 트위터 사용자들은 이 링크를 클릭하고 브라우저에서 로그온하게 되면, 자동으로 계정 정보가 해커들의 손아귀로 넘어가게 됩니다.

                  따라서, 사용자들은 의심스러운 DM을 받게 되면 주저하지 말고 삭제해야 합니다. 위의 화면과 같이 URL이 정확히 이상하게(!) 보이는 경우에는 쉽게 알아 낼 수 있습니다. 하지만, 어떤 링크가 위험한 것인지 파악하는데 오히려 트위터의 속성이 발목을 잡고 있습니다. 트위터는 하나의 트윗(글)이 140글자(영문기준)까지 적을 수 있습니다. 따라서, URL과 같이 긴 문자열을 모두 적기에는 어렵기 때문에 URL을 짧게 만들어 주는 서비스(ex. http://www.tinyurl.com)를 이용합니다. 따라서, 링크가 위험한 링크인지 아닌지 파악하는데 매우 어려움이 많습니다.

                  감사합니다.

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    국내에서는 그리 큰 영향력이 없지만, 외국에서 AVG는 나름대로의 시장 점유율을 가지고 있는 업체입니다.

                    최근 AVG 안티바이러스에서 iTunes의 특정 파일을 악성코드로 진단하는 오진 사례가 발생하였습니다. 이 문제는 매킨토시에서 윈도우를 설치하는 환경에서 발생하는 것으로 알려졌습니다.

                    iTunes 프로그램에 포함된 파일 중 iTunes.dll과 iTunesRegistry.dll 파일이 "Troyan horse Small.BOG" 트로이 목마에 감염되었다고 진단합니다. 일부 사용자는 실제 바이러스가 걸린 것으로 생각하고 iTunes을 재설치하였지만 동일한 진단을 하였다고 합니다.

                    재미있는 사실은 AVG 웹 사이트에서 Small.BOG라는 이름을 가진 악성 코드가 없다는 점입니다.

                    아직까지 이에 대한 패치가 나오지 않았으며, 다음과 같이 실시간 감시 기능에서 해당 폴더를 제외하게 하여 임시로 사용할 수 있습니다.
                    • Resident Shield -> Manage Exceptions -> Add Path에서 "C:\Program Files (x86)\ipod" 폴더를 추가합니다.
                    아래는 AVG의 오진 사태를 토론하는 매킨토시 포럼의 URL입니다.

                    http://discussions.apple.com/thread.jspa?threadID=2092831&start=0&tstart=0

                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory