[MOONSLAB.com]

며칠 전에 카스퍼스키가 영국의 유명한 언론인 BBC 뉴스 사이트를 차단한 적이 있습니다. 물론, 카스퍼스키 사용자들이 난리를 쳐서 급하게 오진을 처리하긴 했습니다. 이에 대한 자세한 사항은 아래 자료를 참고하십시오.



BBC 사이트를 추가적으로 살펴 보던 중에 동일한 유형의 SQL 인젝션 취약점을 발견하게 되어 간략하게 정리합니다.


앞서 언급했던과 동일한 것으로 파악되고 있으며, 화이트 해커의 윤리 상 더 이상의 공격을 진행하지 않았습니다.

만약 진행한다면 데이터베이스 정보를 빼낼 가능성도 매우 높다고 볼 수 있습니다.

혹시, 해당사 관계자 연락처 아시는 분 있으면 연락해서 문제점 해결했으면 좋겠습니다.

감사합니다.

최근 제가 블로그를 통해 다양한 보안 사고에 대해 포스팅을 하고 있습니다. 그 중에서 가장 많이 오르내리는 인물이 바로 Unu입니다. Unu는 루마니아 출신의 해커로 알려져 있습니다만, 그 이외에 별로 알려져 있지 않습니다. 다만, 국내외 보안 기업의 웹사이트의 보안 수준을 검사하여 취약점이 있는 경우 이를 밝혀서 유명세를 얻고 있습니다.

보안뉴스에서는 Unu와 같은 해커를 '그레이 해커'로 분류한 기사를 송고하기도 했습니다. 어떻게 부르느냐에 따라 그 해커의 성품(!)이 결정된다는 점에서 한번쯤 읽어 볼만한 기사입니다.



하여튼, Unu는 보안 기업 중에서 특히 카스퍼스키가 맘에 안드나 봅니다(농담!). 지난 2월달에 카스퍼스키 미국판 웹사이트를 해킹하여 데이터베이스 등 전체적인 데이터를 해킹한 바가 있습니다.

그리고, 지난 12월 10일 경에는 포르투칼 웹사이트를 해킹하여 이를 공개했습니다. 관련 기사는 아래 링크를 참고하십시오.



그런데, 그런데, 그런데~

카스퍼스키 말레이시아와 싱가포르 홈페이지도 SQLi(SQL Injection) 취약점으로 또다시 확실하게 털렸습니다. 이번에는 매우 자세한 스크린샷을 공개했습니다. 다만, 공개한 취약점은 현재 보완이 된 것으로 알려져 있습니다.


이에 대한 자세한 사항은 아래 링크를 참고하십시오.


감사합니다.

최근 유명한 회사 또는 보안에 관련된 기업에 대한 해킹이 만연해 있으며, 이를 둘러 싸고 다양한 해커들이 인터넷 상에 해킹한 내용을 경쟁적으로 공개하고 있습니다.

Unu라는 루마니아 해커는 UN, 카스퍼스키, 잉카 인터넷 등 이름만 대면 알 수 있는 사이트들을 해킹한 바가 있습니다.


이와 함께 c0de.breaker라는 해커는 지난 번에 NASA(미항공우주국)의 일부 웹사이트를 해킹하여 관리자의 권한을 획득한 내용을 공개한 바가 있습니다.


지난 12월 초에 c0de.breaker는 실수로 카스퍼스키 포르투칼 홈페이지에 방문하여 카스퍼스키를 Unu라는 해커가 해킹한 사실을 떠올리며서 혹시 다른 취약점이 있는가 분석하여 5분만에 SQLi(SQL Injection) 취약점을 찾아 냈다고 합니다.

웹사이트는 PHP언어로 개발되어 있으며, pg_exec() 함수가 포함되어 있으므로 이는 PostgreSQL 데이터베이스로 구성되었음을 확인할 수 있었다고 합니다.

SQLi 취약점을 알고 있다면 이를 통해 손쉽게 데이터베이스의 이름, 테이블, 필드 등의 정보를 손쉽게 빼낼 수 있습니다. 아래 화면은 URL의 매개변수 부분에 '1=1' 코드를 삽입하여 취약점을 제대로 찾아 냈는지 확인하는 과정입니다.

아래 화면은 매개변수의 값을 검사(Sanitization)하지 않아 데이터베이스 이름과 같은 중요한 정보를 노출하는 화면입니다.

카스퍼스키 포르투칼 홈페이즈는 SQLi 취약점을 통해 데이터베이스 이름과 사용자 이름, 라이선스 테이블 등의 정보를 노출된 것으로 보이며 자세한 사항은 아래 링크를 참고하십시오.

한편, c0de.breaker는 라이선스 정보와 같이 세부적인 정보까지 확인하지 않았다고 주장했습니다. 앞에서 언급한 바와 같이 시스템 정보, 데이터베이스, 테이블, 컬럼 이름만 공개했습니다.

하지만, 중요한 사실은 이러한 취약점을 해결하기 위한 업계의 노력이 매우 부족하다는 점입니다. 너무나도 쉽게 뚫리고, 또한 쉽게 해결할 수 있는 문제점을 그대로 둔다는 것은 보안으로 먹고 사는 회사의 올바른 모습이 아니라고 보입니다.

감사합니다.

 

요즘 국내에서 공격적인 마케팅을 퍼붓고 있는 카스퍼스키에서 Mac OS에서 사용할 수 있는 안티바이러스 제품을 지난 10월 8일 출시했습니다. 이 제품을 통해 맥 사용자는 보다 보안을 강화할 수 있습니다.

순위 이름
1 Net-Worm.Win32.Kido.ih
2 Virus.Win32.Sality.aa
3 Trojan-Dropper.Win32.Flystud.ko
4 Trojan.Win32.Chifrax.a
5 Trojan.Win32.Autoit.ci

6 Trojan-Downloader.Win32.VB.eql
7 Packed.Win32.Krap.b
8 Worm.Win32.AutoRun.dui
9 New Exploit.HTML.CodeBaseExec
10 Packed.Win32.Black.a
11 Virus.Win32.Sality.z
12 Virus.Win32.Virut.ce
13 Trojan.JS.Agent.xy
14 Worm.Win32.Mabezat.b
15 Virus.Win32.Alman.b
16 Packed.Win32.Krap.g
17 Packed.Win32.Klone.bj
18 Worm.Win32.AutoIt.ar
19 Exploit.JS.Agent.agc
20 Email-Worm.Win32.Brontok.q

독립적인 보안 연구가가 인텔 CPU를 사용하는 시스템을 원격에서 접속하여 침투할 수 있다는 주장을 합니다.

크리스 카스퍼스키(Kris Kaspersky) - 우리가 잘 알고 있는 카스퍼스키 안티바이러스를 개발한 유진 카스퍼스키가 아님 - 는 인텔 코어2와 이태니엄(IA64) CPU를 사용하는 컴퓨터를 공격할 수 있는 코드를 개발 중이라고 주장하였습니다.

2008년 10월, 말레이지아에서 개최될 해킹 관련 컨퍼런스에서 인텔 코어 2 제품군에서는 128 가지나 되는 버그가 알려져 있으며 이태니엄 CPU에서는 230 여가지 이상 존재한다고 주장했다. 카스퍼스키에 따르면, 인텔에서는 BIOS 제조사에게 이러한 버그를 막을 수 있는 대안을 제시하기도 하지만 일부 버그는 그대로 남아 있다고 합니다.

그는 공격 코드를 개발하기 위해 이러한 버그를 이용한다고 말하지는 않았습니다. "일부 버그는 그냥 시스템을 다운시킬 수도 있지만, 공격자가 시스템을 완벽하게 장악할 수 있는 버그도 있다"고 보고서에서 전합니다.

CPU에 버그가 있다는 소식은 그리 새로운 뉴스는 아니지만 아직까지 CPU에 관련된 버그를 이용하여 공격하는 악성 프로그램이 알려져 있지 않지만 앞으로 인터넷 상에 그러한 공격이 출현할 것으로 믿고 있다고 한다. 카스퍼스키는 자바스크립트나 TCP/IP 패킷을 사용하여 이러한 공격을 가능케하는 익스플로잇 코드를 밝힐 계획입니다.

한편 보안 관계자들은 카스퍼스키의 주장에 대해 유보적인 입장을 표명하고 있습니다.

"카스퍼스키가 말한 대로 공격이 이루어지더라도 안티바이러스(소프트웨어)가 이를 감지할 수 없을 것이다. 만약 자바스크립트로 공격을 한다면 안티 바이러스의 웹 방어에 관련된 모듈에 따라 감지할 수도 못할 수 있습니다" 하지만, TCP/IP 패킷으로 공격을 한다면 여러분은 운이 없는 셈입니다. CPU 버그를 이용하는 코드를 어떻게 실행시키느냐에 따라 달라질 수 있을 것이라고 Pure Hacking 보안 컨설턴트인 크리스 갯포드(Chris Gatford)가 언급했습니다.

익스플로잇의 영향력에 대해서는 아직 알려져 있지 않지만 인텔 CPU를 사용하는 맥 시스템에도 유사한 영향을 미칠 수 있지만, 윈도우에 비해서는 상대적으로 안전할 수도 있을 것입니다.

관련 자료: http://conference.hackinthebox.org/hitbsecconf2008kl/?page_id=214

최근 컴퓨터의 파일을 암호화하여 금품을 요구하는 바이러스인 블랙 메일러에 대해 소개해 드린 적이 있습니다.

참고자료: http://moonslab.com/644

안티바이러스 벤더인 카스퍼스키 랩은 이 바이러스를 Gpcode.ak라고 명명하고 있으며, 감염시 파일을 암호화하여 피해를 입는 경우 이를 해결하기 위한 방안의 일환으로 암호 방식을 깨기 위해 노력하고 있습니다.

이러한 노력 이외에 감염되는 행동 방식을 분석한 결과 다음과 같이 암호화하기 이전의 파일을 복구할 수 있는 방안을 소개하고 있습니다.

Gpcode.ak 바이러스는 원본 파일을 강력한 1024비트로 암호화하고 나서 원래의 파일을 삭제합니다. 하지만, 새로운 암호화 파일을 생성할 때에 원래의 파일의 사본을 이용하여 만들기 때문에 원본을 복구할 수 있는 가능성이 높습니다.

컴퓨터를 잘 아는 분들은 파일을 삭제하더라도 실제 파일의 내용을 삭제하는 것이 아니라 FAT과 같은 파일의 저장 위치를 기록하는 데이터베이스에서만 삭제된다는 사실을 잘 아실 것입니다.

삭제한 파일을 복구하는 프로그램은 다양하지만, 카스퍼스키 랩에서 추천하는 프로그램은 PhotoRec 입니다. 이 프로그램은 무료로 제공되는 프로그램으로, 사용자가 원하는 경우 개발자에게 일정한 금액을 보상할 수 있는 방식입니다.

또한, ERD Commander나 Final Data Enterprise와 같은 전문적인 파일 복구 프로그램을 이용하는 것도 고려할 만 합니다.

하지만, 컴퓨터를 재부팅하거나 너무나 많은 파일이 암호화하여 변조되거나, 변조된 시점이 너무 오래된 경우는 복구하더라도 정상적으로 복구되지 않을 가능성이 있다는 점을 주목해야 합니다.

카스퍼스키 자료: http://kasperskylab.co.kr/board/bbs/board.php?bo_table=News&wr_id=192&page=&nca=

안티바이러스 제작사로 유명한 카스퍼스키(Kaspersky)는 감염된 컴퓨터의 데이터를 암호화하여 잠그는 블랙메일러(blackmailer)바이러스의 암호화 기법을 해독하기 위해 범 세계적인 노력을 기울인다. 카스퍼스키는 지난 월요일에 Gpcode 바이러스 차단(Stop the Gpcode Virus)라는 이름의 계획을 발표하고 암호 전문가 및 기타 전문가들을 참여할 수 있도록 공개적으로 확장한다. GPCode 바이러스는 RSA 암호화 기술을 이용하고 이러한 정보를 전문가에게 충분히 제공한다.

카스퍼스키는 이러한 노력의 일환으로 특별한 포럼을 개설했다.

카스퍼스티는 지난 주에 Gpcode 바이러스의 램섬웨어 형태의 새로운 바이러스를 탐지했다고 밝혔다. 이 바이러스는 사용자 컴퓨터에 감염될 때에 돈을 지불하기 전까지 사용할 수 없게 만든다. 이 새로운 바이러스는 RSA 암호화 기술과 더불어 1024비트라는 강력한 암호화 강도를 가지고 있으며 사용자가 파일을 사용하려고 하는 순간 연락할 수 있는 메일 주소를 보여 준다.

카스퍼스키는 이 새로운 바이러스를 진단하지만 암호화 키를 풀 수 없으며 지금 분석 작업을 진행 중이라고 한다. 바이러스의 위험도는 보통으로 알려져 있다.

Gpcode 바이러스는 2006년에 처음 탐지되었으며 데이터를 세부적으로 분석하여 개인 키(암호 키)를 알아 낼 수 있었다고 카스퍼스키 블로그에서는 밝히고 있다. 하지만, RSA 암호화키는 최근까지 660비트까지 깰 수 있는 것으로 알려져 있으며 비트수가 증가할 수록 복잡성은 지수 급으로 증가한다.

이 바이러스에 감염된 사용자는 컴퓨터를 다시 시작하거나 끄지 않고 stopgpcode@kaspersky.com으로 자세한 감염 상태를 알리는 메일을 보내기 바란다.

 

요즘 안티바이러스 업계의 굴욕(!)이 계속되고 있습니다. 어제 그제에는 무료백신으로 유명한 어베스트!에서 엑셀 파일에 관련된 오진(오탐)이 나오기도 했습니다. 아래 자료를 참고하세요.

http://avast.co.kr/409

다만 엑셀 파일에 대한 것이어서 일반적인 피해는 적은 편입니다만, 이번에는 카스퍼스키 제품에서 윈도우의 핵심 파일을 오진하는 사태가 발생한 적이 있습니다. 이에 대한 소식을 전해 드립니다.

지난 12월 19일, 카스퍼스키 안티 바이러스 제품의 제작사인 카스퍼스키 랩에서는 잘못된 시그내처 업데이트로 인해 윈도우 탐색기(explorer.exe) 파일을 Huhk-C 바이러스에 감염되었다는 오진을 하게 했습니다. 이로 인해 탐색기 파일을 격리 보관하거나 삭제하는 경우에는 윈도우가 정상적으로 실행되지 않는 사태가 발생하였습니다.

이러한 사실은 카스퍼스키 포럼에서 Carl이라는 사용자가 올린 글을 통해 알려졌으며 수많은 사람들이 이에 대한 댓글을 통해 오진인지 여부에 대한 이야깃거리가 난무했습니다. 오진으로 인해 'explorer 파일을 삭제하는 경우'에 가장 최악의 사태가 발생하는데 이 사용자는 회사에서 네트워크 검사를 통해 삭제하는 바람에 근무 외시간까지 일을 해서 새벽 5시경에 정리할 수 있었다고 합니다.

한편 카스퍼스키 영국(UK) 관계자에 따르면 영국 고객 중에서 이러한 오탐으로 인해 문제가 발생한 경우는 한 회사와 3명의 사용자뿐이었다고 합니다. 또한, 이러한 사태가 앞으로 발생하지 않도록 하기 위해 내부적으로 테스트 시스템을 더욱 향상시킬 것이라고 합니다.