최근 아도브에서 새로운 제로데이 취약점이 발견되어 관심이 집중되고 있습니다.

이 취약점은 Full Discloser 메일링 리스트에서 먼저 알려지게 되었으며, 실제 공격을 위한 코드(PoC, Proof of Concept)에서 원격에서 실행가능함을 데모로 보여줬습니다.


이 취약점은 아도브 리더 9.2 이상, 그리고 8.1.7 이후의 윈도우 버전에서 발생합니다.

아더브사는 이에 대해 별다른 언급이 없었으며, 11월 15일 경에 리더와 아크로뱃의 취약점에 대한 업데이트가 예정되어 있습니다.

감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    지난 2002년 이후로 인터넷에 대한 강력한 위협 요소 가운데 하나가 바로 DDoS(Distributed Denial of Service, 서비스 거부 공격) 공격입니다.

    주로 바이러스와 같은 악성 프로그램을 유포하면서 봇을 양산하며, 최근에는 그동안 잠잠했었던 봇넷이 다시금 기지개를 편다는 소식도 있습니다.


    최근 보안 전문가에 따르면, 돈만 주면 어떤 대상이라도 가리지 않는 상업용 DDoS 서비스를 제공하는 새로운 봇넷이 출현했으며, 빠른 속도로 몸집을 불리고 있다고 합니다.

    "IMDDOS" 봇넷이라고 하며, DDoS 공격 서비스를 제공하던 웹사이트의 이름을 본 따 지은 것입니다.(발음은 I'M DDOS) 이 도메인은 지난 3월 20일 경에 등록되었으며 현재 중국에서 서비스를 제공하고 있습니다.

    매일 1만대 이상의 새로운 봇(봇넷 프로그램이 설치 및 감염되어 원격에서 조정이 가능한 컴퓨터)들이 추가되고 있으며 현재 전세계적으로 활동하는 거대한 봇넷 중의 하나입니다.


    홈페이지에서는 DDoS 서비스에 대한 소개, 공격 방식, 연락처 등을 포함하고 있으며, 현재 상업적으로 서비스가 진행 중입니다.

    만약 서비스를 이용하고자 하는 경우에는 중국에서 많이 사용하는 QQ 메신저를 통해 가격적인 부분 뿐만 아니라 기술 지원까지 받을 수 있으며, 상업 소프트웨어와 마찬가지로 3단계의 기술지원 방식 및 24x7 까지도 가능하다고 합니다.

    IMDDOS 봇넷의 통제 서버인 C&C 도메인은 대부분 중국에 위치하고 있으며, 일부의 경우 미국에도 위치하고 있습니다.

    특히 봇에 감염시키기 위해 "Windows 7 Crack"이라는 프로그램에 은밀하게 악성 프로그램을 포함시켜 이를 통해 봇넷을 더욱더 키우고 있습니다.

    따라서, 누군가가 인터넷에서 서비스하는 회사에 대해 DDoS 공격을 진행하는 경우에 단지 중국 IP만을 차단한다고 해서 해결될 수 없게 됩니다. 개인 사용자 뿐만 아니라 보안 관련 회사, 당국의 적극적인 대처가 더욱더 요구됩니다.

    감사합니다.

    IMDDOS 관련 자료: http://www.damballa.com/downloads/r_pubs/Damballa_Report_IMDDOS.pdf
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      본 자료를 통해 국내외 사이트를 접속하는 경우에는 실정법의 위반이 될 수 있으므로, 사설 네트워크와 같이 별도로 분리된 네트워크에서만 실험적으로 이용하시기 바랍니다. 이 자료를 이용해 문제가 발생하는 경우에는 당사자가 책임져야 하며, 본 블로그에게는 아무런 책임 없다는 점을 알립니다.


      최근 국내 보안 뉴스 중에 가장 뜨거운 부분이 바로 DDoS(서비스 거부 공격)입니다. DDoS로 인해 많은 피해가 있었지만, 앞으로도 많은 피해가 더 있을 거라는 예상이 다수 의견입니다.

      하여튼, DDoS를 이용하여 돈벌이를 하고자 하는 범죄 집단이 외국에서 창궐하고 있으며, 이 중에서 가장 대담하게 활동하고 있는 DDoSeR [디도서 라고 읽습니다] 를 소개하고자 합니다.


      2010년 6월 말 현재 DDoSeR의 최신 버전은 V3.62로 알려지고 있으며, 위의 화면과 같이 사용하기 편리한 인터페이스를 제공하기 때문에 우리가 보통 얘기하는 '스크립트 키드'가 다루기에는 적당하다는 장점(!)을 가지고 있습니다.

      DDoSeR의 주요 기능은 다음과 같습니다.

      1. PC 정보 수집
           * WAN IP 주소, 국가(국기로 표시), OS 버전

      2. DDoS 공격 유형
           * UDP, SSYN

      DDoS 공격에 대한 참조 정보:


      3. 명령
           * 다운로드, 업데이트, 설치 제거, 파이어폭스 비밀번호 찾기


      DDoSeR 프로그램은 유료이며, 홈페이지는 아래와 같습니다. 홈페이지에서는 제품에 대한 스크린샷 뿐만 아니라 무선, 라우터 등의 다른 해킹 방법에 대한 자료도 제공하고 있습니다.



      이걸로 끝이 아닙니다. 동영상 사이트로 유명한 유튜브(YouTube)에는 제품에 대한 상세한 설명 동영상이 둥둥 떠다니고 있습니다.

       
      <주: DDoSeR는 유료 제품인데, 크랙을 하여 공짜로 DDoS 공격을 유포할 수 있도록 소개된 동영상입니다>



      <주: 최신 버전인 DDoSeR 4에 대한 소개 자료입니다>


      DDoSeR에 대해 자세한 설명을 공개하고 싶지만, 실정법 상 그리고 이를 악용하는 나쁜 사람들이 있어 간략하게만 정리했습니다.

      외국에는 DDoSer와 같은 DDOS 관련 툴이 꽤 많이 공개되어 있으며, 이를 통해 다양한 나쁜 짓들이 행해지고 있습니다.

      또한, 약간의 프로그래밍 실력만 있다면 이러한 정보를 기반으로 자신만의 고유한 봇넷을 구축하는 것도 가능한 만큼, 이러한 부분에 대한 국가적인 대비책이 필요하다고 생각됩니다.

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        지난 7월 7일경, DDOS 공격이 국내 관공서 뿐만 아니라 민간 웹사이트까지 초토화시킨 적이 있습니다. 그 덕분에 일반인들도 DDOS 공격, 그리고 컴퓨터의 보안에 대해 한번 더 생각할 수 있는 좋은 기회였다고 생각됩니다.

        그런데, 이렇게 DDOS 공격을 하는 해커(크래커)는 엄청난 기술력과 정보력, 실력을 가졌다고 볼 수 있을까요?  엄청난 실력을 가질 수도 있습니다만, 실제로 알고 보면 약간의 돈만 있으면 DDOS 공격을 직접 주도할 수 있다는 사실은 모르셨을 겁니다.

        좀더 자세히 설명하면 다음과 같습니다.

        DDOS 공격이 이루어지려면 먼저 봇이 있어야 합니다. 봇은 일반 사용자의 PC에 봇에 관련된 프로그램(악성 코드)가 깔려 있어 원격으로 조종되는 것을 말합니다. 이러한 봇들이 수백, 수천 그 이상이 모여지게 되면 그것을 봇넷이라고 부릅니다. 그리고, 이러한 봇넷을 구축하는 사람을 봇 마스터라고 합니다. 따라서, 보통, 봇마스터와 악성코드 제작자가 한팀을 이루게 됩니다.

        초기에는 봇마스터들이 직접 DDOS 공격을 진행했습니다. 하지만, 봇에 관련된 기술이 발전하면서 봇넷 자체가 파는 형태인 서비스 방식(봇넷 키트라고 부릅니다)으로 변화하고 있습니다. 즉, 나쁜 마음을 먹고 있는 사람이라면 봇마스터와 연락하여 일정한 금액을 지불하고, 계약(봇 개수, 기간)을 하여 DDOS 공격을 하게 됩니다.

        최근 봇넷의 경향을 살펴 보면,  최고 3,500 달러짜리 제품부터, 100$짜리까지 다양한 제품들이 판매되고 있습니다. 100$ 짜리면 성능(!)이 별로라고 생각할 수 있겠지요? 하지만, 아닙니다. 이거만 있어도 왠만한 사이트가 휘청거릴 수 있습니다. 큰 사이트 이외에 DDOS 공격으로부터 대비하는 곳이 있을까요?

        외국의 봇넷에 대한 연구 자료를 참조해 보면, 다양한 봇넷 마스터가 활동 중에 있으며 이러한 봇넷 킷에는 가격 정책에 따라 기능이 있고 없는 즉, 다양한 옵션으로 무장하고 있다고 합니다.

         
        특히 아드레날린 봇넷킷(Adrenalin botnet kit)은 현재 가격이 3,500 달러에 판매되고 있으며, 구매자의 요구사항에 부합할 수 있도록 커스터마이징까지 제공할 수 있습니다. 아드레날린에는 24시간 내내 기술 지원, 익스플로잇 내장, 디지털 서명 빼돌리기 등의 기능을 포함하고 있으며, 훔친 데이터 암호화 등의 기능도 옵션으로 제공합니다. 또한, 다른 봇넷에 감염된 컴퓨터에서 봇넷을 제거하는 추가적인 기능도 제공합니다.
        그리고, 이러한 봇넷 키트는 컴퓨터에 대한 전문적인 지식이 없는 사람도 사용할 수 있도록, 간편한 설정 및 제어 구조를 가지고 있습니다.
        < 자료 1. 아드레날린 제어판>

        이렇게 DDOS 공격이 대중화되는데에 가장 기여한 것은 바로 보안을 등한시한 사용자와 웹사이트 관리자(개발자)라고 말할 수 있습니다. 하지만, 이러한 사람들도 아직까지 보안에 대해 여전히 불감증을 가지고 있기 때문에 봇넷이 사라지기는 커녕 더욱더 번성해 갈 것으로 보여 집니다.

        하지만, 호기심에 사로 잡혀 봇넷 킷을 사서 국내외 사이트에 DDOS 공격을 하게 되면 법적인 문제가 된다는 것 알고 계시죠!

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          지난 8월 하순에는 전세계가 아닌 국지적인 대규모 SQL 인젝션(Mass SQL Injection) 공격이 발생했습니다. 하지만, 국내의 피해가 적은 관계로 국내의 미디어에서는 별로 알려지지 않았습니다. 그 이유는 영문으로 된 웹 사이트를 공격 대상으로 삼았기 때문입니다.

          하지만, 이번 Mass SQL 인젝션 공격을 좀더 자세하게 분석해 보면, 앞으로 발생할 수 있는 공격의 형태나 대상 등을 미리 짐작할 수 있습니다. 이에 대해 언급하고자 합니다.

          이번 공격을 통해 약 21만 개의 웹 페이지가 감염되었으며, 공격을 주도한 IP는 중국발로 확인되었습니다. 기존 공격 형태에서는 전세계에 걸쳐 다양한 IP 주소들로부터 공격이 진행되었으나 이번 경우는 중국으로 국한되었다는 점이 참신(!)합니다. 공격을 주도한 서버는 약 60대 정도로 파악되고 있으며 대표적인 사이트는 http://a0v.org/, http://js.tongji.linezing.com 등이 있습니다만, 현재에는 모두 조치(!)가 된 상태입니다.

          공격 방식은 두 단계로 진행됩니다.

          1. 공격 대상 서버의 웹 페이지를 감염시킵니다. - <iframe> 형태의 코드를 웹소스에 삽입합니다.
          2. 인터넷 사용자가 감염된 웹 페이지를 방문하는 동안에 자신의 컴퓨터에 악성 코드를 다운로드합니다.

          놀라울만한 사실은 지난 8월 27일까지 악성코드를 다운로드한 횟수가 125만 번에 이른다는 점입니다.

          지난 번에 국내에서도 DDOS 공격으로 인해 많은 어려움을 겪은 바 기억하실 것입니다. 이러한 DDOS 공격의 주요한 구성원은 바로 악성코드를 다운로드한 컴퓨터(봇)들입니다.

          보통 1,000 대의 봇을 하나의 봇넷으로 간주합니다(주: 숫자에는 이견이 있을 수 있음) 따라서 감염된 댓수로 나눠보면 약 1000 개 이상의 봇넷이 새롭게 구축되었다는 것을 짐작할 수 있습니다.

          이렇게 SQL 인젝션의 취약점을 이용하여 대규모로 봇넷을 구축할 수 있다는 사실이 실험적으로, 아니 성공적으로 밝혀졌습니다.

          앞으로 강력한 봇넷이 구축된다면,
          • 스팸 메일 대량 발송
          • DDOS 공격의 대중화
          • 악성 코드의 대량 유포
          • 개인 정보(비밀번호, 은행 정보 등등)의 누출
          • 기타 알려지지 않은 새로운 형태의 공격
          등등의 공격이 올해 후반기과 내년에 발생할 것으로 예상됩니다.

          이러한 문제점을 대한 대비책은 그리 어렵진 않습니다. 먼저 웹 서버단에서 살펴 보면 SQL Injection 공격의 원인인 웹 소스 상의 매개변수의 검사(Sanitization)를 확실히 하고, 웹 애플리케이션 방화벽(WAF) 등을 도입하는 것입니다.

          사용자 단에서 볼 때에는 윈도우의 최신 서비스 팩 및 보안 업데이트 적용과 충분한 성능을 제공하는 안티 바이러스 제품을 사용하는 것이라고 볼 수 있습니다.

          감사합니다.

          PS: 국내에서는 웹 사이트에서 Active-X 컨트롤을 자주 사용합니다. 만약 Active-X 형태로 동작하는 악성코드를 다운로드하여 설치하는(감염시키는) 공격 형태가 발생한다면 그 피해는 엄청날 것으로 예상됩니다.
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            정통부 발표… 좀비 PC 조종하는 숙주서버 확인

            국내 PC 경유지로 이용
            "윈도 보안패치 설치를"
             
            지난 6일과 7일 양일간 전 세계 13개 루트 도메인네임시스템(DNS) 서버가 집중 공격당한 사이버 공격은 독일에서 시작된 것이며 국내 PC들이 경유지로 이용된 것으로 밝혀졌다.
            사용자 삽입 이미지


            정보통신부는 13일 이같은 내용을 골자로 하는 인터넷 루트서버 공격 조사 결과를 발표하고 향후 이와 유사한 사건을 방지하기 위해 사용자들에게 마이크로소프트 윈도 보안 패치와 백신 프로그램의 정기적인 최신 업데이트를 권고했다.

            조사 결과에 따르면 이번 사이버 공격은 악성 봇에 감염된 PC들을 악용해 수많은 트래픽을 발생시키는 분산서비스거부(DDos) 공격이었으며 이들 좀비 PC들을 조종하는 채널로 이용된 숙주서버가 독일에 있는 것으로 확인됐다.

            이에 따라 발생된 공격 트래픽의 국가별 비율은 우리나라가 61%로 중국(18%)과 미국(13%)에 비해 크게 높았으나 소스(발생지)IP는 14%로 미국(40%)과 중국(16%)에 이어 세 번째였다고 정통부는 설명했다.

            정통부는 발생지IP와 공격 트래픽의 비율이 큰 차이를 보인 것에 대해 "공격 발생시간이 한국 시각으로 오후 7시여서 아시아국가에서 다수의 IP가 인터넷에 접속돼 있던 점과 우수한 초고속 인터넷망 및 PC의 성능에 따른 것"이라고 설명했다.

            정통부는 이번 공격으로 큰 피해나 영향은 없었으나 악성 봇에 감염된 PC들에서 가정집ㆍ학원ㆍPC방 등지에서 악성코드가 다수 발견됐다면서 이를 방지하기 위해 보안 패치와 백신프로그램의 정기적인 업데이트를 권고했다. 또 대기업 등 DNS 서버를 사용하는 기관 및 인터넷서비스사업자(ISP)들을 대상으로 한국정보보호진흥원(KISA)의 봇 차단 시스템을 확대하는 한편 공격 발생지 IP가 확인된 해당 ISP와 기관에 통보해 악성코드 삭제 및 보안 패치 설치를 적극 유도해 나가기로 했다.

            출처: 디지털 타임즈
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus


              Web Analytics Blogs Directory