최근 아도브에서 새로운 제로데이 취약점이 발견되어 관심이 집중되고 있습니다.

이 취약점은 Full Discloser 메일링 리스트에서 먼저 알려지게 되었으며, 실제 공격을 위한 코드(PoC, Proof of Concept)에서 원격에서 실행가능함을 데모로 보여줬습니다.


이 취약점은 아도브 리더 9.2 이상, 그리고 8.1.7 이후의 윈도우 버전에서 발생합니다.

아더브사는 이에 대해 별다른 언급이 없었으며, 11월 15일 경에 리더와 아크로뱃의 취약점에 대한 업데이트가 예정되어 있습니다.

감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    해킹(Hacking)이라는 용어는 주로 컴퓨터나 인터넷에서 특출난 재능을 가져 여러 시스템에 침투하는 등의 재간둥이를 의미하며, 또한 이러한 기술을 이용하여 범죄를 저지르는 행위를 말합니다. 좋은 의미와 구별하기 위해 나쁜 뜻으로는 크래킹(Cracking)이라는 용어를 사용하기도 합니다.

    해킹은 초기에는 개인적인 목적으로 시도된 것이 일반적입니다. 하지만, 최근 이러한 해킹으로 금전적인 이득을 얻을 수 있다는 것을 악용하여 보다 전문적이면서 산업적으로 해킹 산업이 발전하고 있으며 이러한 해킹 행위를 산업화된 해킹(Industrialized Hacking)이라고 합니다. 하지만, 이 글에서는 완역한 표현인 '전문화된 해킹'이라고 부르도록 하겠습니다.

    19세기 초반 서구 유럽으로 시작된 '산업 혁명'으로 대단위의 생산이 가능해지면서 산업이 발전하게 되었습니다. 이와 유사하게 최근의 사이버 범죄 산업 또한 효율성, 확장성 등을 향상시키기 위해 '산업 혁명'과 같은 형태인 '자동화' 단계로 들어서고 있습니다.


    전문화된 해킹에서 가장 중요한 특징을 살펴보면 다음과 같습니다.

    • ROI 중시. 가능한한 최소한의 투자로 최대한의 효과(이득)을 얻을 수 있는 방향으로 진행
    • 목표는 개인이 아닌 집단.  자동화된 공격은 개인이 아니라 기업이나 대규모의 일반 사용자가 이용하는 범주를 목표로 삼음.
    • 다각적인 공격. 해킹을 진행하는 부분마다 고유한 역할이 있으며, 다양한 모델을 이용.
    • 자동화. 해커는 봇넷과 같은 컴퓨터 네트워크를 관리하며 취약점을 이용하여 컴퓨터를 감염시키거나, 기밀 정보를 훔치거나, 비밀번호를 무차별대입 공격으로 알아내거나, 스팸을 발송하거나, 악성코드를 배포하는데 자동화된 기법을 이용.


    이러한 전문화된 해킹에 사용되는 일반적인 공격의 유형은 다음과 같습니다.

    • SQL 인젝션으로 인한 데이터 누출. SQL 인젝션 공격을 통해서 가장 많이 발생하는 피해는 바로 데이터 누출임.
    • 웹애플리케이션의 로직 공격. 최근 해커들은 웹 애플리케이션의 로직 부분에서 발생가능한 취약점을 이용하는 공격을 개발하기 시작함. 이 공격은 정상적인 애플리케이션 트래픽과 동일하기 때문에 이를 탐지하기가 어려움.
    • 서비스 거부 공격. 서비스 거부 공격은 쓸데없는 트래픽을 보냄으로써 서버의 서비스가 사용할 자원을 소모하게 하여 정상적인 서비스를 제공할 수 없게 함.

    국내에서는 아직까지 '전문화된 해킹' 집단이 주도한 범죄사건이 나타나지 않고 있지만, 전 세계적으로 이러한 추세가 가속화될 가능성이 높기 때문에 이에 대한 경고가 필요하다고 생각되어 글을 정리하여 올립니다.

    출처: http://www.freshbusinessthinking.com/business_advice.php?CID=&AID=5975&PGID=1

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      지난 7월 7일경, DDOS 공격이 국내 관공서 뿐만 아니라 민간 웹사이트까지 초토화시킨 적이 있습니다. 그 덕분에 일반인들도 DDOS 공격, 그리고 컴퓨터의 보안에 대해 한번 더 생각할 수 있는 좋은 기회였다고 생각됩니다.

      그런데, 이렇게 DDOS 공격을 하는 해커(크래커)는 엄청난 기술력과 정보력, 실력을 가졌다고 볼 수 있을까요?  엄청난 실력을 가질 수도 있습니다만, 실제로 알고 보면 약간의 돈만 있으면 DDOS 공격을 직접 주도할 수 있다는 사실은 모르셨을 겁니다.

      좀더 자세히 설명하면 다음과 같습니다.

      DDOS 공격이 이루어지려면 먼저 봇이 있어야 합니다. 봇은 일반 사용자의 PC에 봇에 관련된 프로그램(악성 코드)가 깔려 있어 원격으로 조종되는 것을 말합니다. 이러한 봇들이 수백, 수천 그 이상이 모여지게 되면 그것을 봇넷이라고 부릅니다. 그리고, 이러한 봇넷을 구축하는 사람을 봇 마스터라고 합니다. 따라서, 보통, 봇마스터와 악성코드 제작자가 한팀을 이루게 됩니다.

      초기에는 봇마스터들이 직접 DDOS 공격을 진행했습니다. 하지만, 봇에 관련된 기술이 발전하면서 봇넷 자체가 파는 형태인 서비스 방식(봇넷 키트라고 부릅니다)으로 변화하고 있습니다. 즉, 나쁜 마음을 먹고 있는 사람이라면 봇마스터와 연락하여 일정한 금액을 지불하고, 계약(봇 개수, 기간)을 하여 DDOS 공격을 하게 됩니다.

      최근 봇넷의 경향을 살펴 보면,  최고 3,500 달러짜리 제품부터, 100$짜리까지 다양한 제품들이 판매되고 있습니다. 100$ 짜리면 성능(!)이 별로라고 생각할 수 있겠지요? 하지만, 아닙니다. 이거만 있어도 왠만한 사이트가 휘청거릴 수 있습니다. 큰 사이트 이외에 DDOS 공격으로부터 대비하는 곳이 있을까요?

      외국의 봇넷에 대한 연구 자료를 참조해 보면, 다양한 봇넷 마스터가 활동 중에 있으며 이러한 봇넷 킷에는 가격 정책에 따라 기능이 있고 없는 즉, 다양한 옵션으로 무장하고 있다고 합니다.

       
      특히 아드레날린 봇넷킷(Adrenalin botnet kit)은 현재 가격이 3,500 달러에 판매되고 있으며, 구매자의 요구사항에 부합할 수 있도록 커스터마이징까지 제공할 수 있습니다. 아드레날린에는 24시간 내내 기술 지원, 익스플로잇 내장, 디지털 서명 빼돌리기 등의 기능을 포함하고 있으며, 훔친 데이터 암호화 등의 기능도 옵션으로 제공합니다. 또한, 다른 봇넷에 감염된 컴퓨터에서 봇넷을 제거하는 추가적인 기능도 제공합니다.
      그리고, 이러한 봇넷 키트는 컴퓨터에 대한 전문적인 지식이 없는 사람도 사용할 수 있도록, 간편한 설정 및 제어 구조를 가지고 있습니다.
      < 자료 1. 아드레날린 제어판>

      이렇게 DDOS 공격이 대중화되는데에 가장 기여한 것은 바로 보안을 등한시한 사용자와 웹사이트 관리자(개발자)라고 말할 수 있습니다. 하지만, 이러한 사람들도 아직까지 보안에 대해 여전히 불감증을 가지고 있기 때문에 봇넷이 사라지기는 커녕 더욱더 번성해 갈 것으로 보여 집니다.

      하지만, 호기심에 사로 잡혀 봇넷 킷을 사서 국내외 사이트에 DDOS 공격을 하게 되면 법적인 문제가 된다는 것 알고 계시죠!

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        목차

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          전세계적으로 호평받고 있는 카스퍼스키 안티바이러스 제품에 보안 취약점이 발견되어 주의가 요망된다.

          이 취약점은 카스퍼스키 안티바이러스 6.x와 7.x 그리고 인터넷 시큐리티 6.x와 7.x 등 가장 핵심적인 제품에서 발생한다. 7.0.125 버전에서 맨 처음 발견되었으며 다른 버전에서도 동일하게 나타날 것이다.

          이 취약점을 통해 공격자는 로컬 컴퓨터에서 서비스 거부(Denial of Service) 공격을 수행할 수 있다.

          원인은 특정한 후킹 함수의 매개변수를 처리할 때 KLIF.SYS g함수내에서 오류가 발생하기 때문으로 "NtCreateSection(), NtUserSendInput(), LoadLibraryA() 함수를 호출할 때와 특별하게 조작된 매개변수를 가진 SSDT 엔트리에서 발생한다고 한다.

          해결방법은 아직 없으며, 11월달의 업데이트를 통해 처리될 것으로 알려 졌다.

          관련 정보
          카스퍼스키: http://www.kaspersky.com/technews?id=203038706
          루트킷닷컴: http://www.rootkit.com/newsread.php?newsid=778
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory