본문 바로가기

빛스캔

(20)
연목구어(緣木求魚) “문제의 해결은 원인을 제거함으로써 완성된다.” 연목구어(緣木求魚) "문제의 해결은 원인을 제거함으로써 완성된다." -바다란 * 언론에 기고한 내용입니다.정확한 문제의 해결을 위해서는 원인을 알고 제거를 할 수 있어야 해결이 된다. 문제는 산적해 있으나 해결 방안은 근본 원인에 접근을 하지 못할 때 문제의 해결은 어려울 수밖에 없다. 더구나 그 피해가 전체에 영향을 미치는 상황이라면 심각성은 말할 필요가 없을 것이다. 악성코드로 인한 피해가 심각한 상황임은 2013년 올해 들어서 일어난 두 가지 대형 사건으로도 충분히 입증된 바가 있다. 방송과 금융을 직접적으로 노리고 피해를 입힌 3.20 대란과 6.25사건은 방송과 금융은 물론 한국의 중요 기관 조차도 위험의 중심부에 있음을 여실히 보여준 바가 있다. 직접적인 공격 이외에도 일반 사용자를 대상으로 ..
6.25 사건 이전의 징후에 대한 팩트 정보 ( Red October 류의 백도어 포함) http://p4ssion.com/375 관련하여 zip.exe 파일의 내용이 트로이 목마와 정보탈취용으로 언급한 바가 있습니다. 불필요한 언급들이 있어서 추가 다운로드 파일까지 확인된 모든 내역을 공개 합니다. 5.31일과 6.1일 이미 사전 좀비 PC 확보를 위한 노력들이 있었다는 것을 PCDS를 통해서 확인하고 알려 드린바가 있습니다. 해당 시점에 송사리와 심디스크 사이트가 경유지로 동시에 이용 당한 정황이 있었고 , 6.25일 공격에 두 사이트의 업데이트 파일이 이용된 정황이 발견 됨에 따라 연관 관계를 분석하여 전달 드린 바가 있습니다. 악성파일은 zip.exe 이고 두 종류의 zip.exe 파일이 존재합니다. 감염 이후 추가 다운로드 파일들도 있는 상태로 유포시점에 확인이 되었고, 추가 다운로..
6.25 사이버 공격에 대한 다른 시각과 분석 6.25 사이버 공격에 대한 다른 시각과 분석 – 빛스캔 ( 공격 주체에 의한 대규모 좀비 PC 확보 시도는 이미 있었으며, 실패하였다. ) 빛스캔㈜에서는 5월 4주차부터 위협레벨을 "경고"로 상향 시킨 이후 정보에 대한 공개와 수집된 악성파일 및 C&C 주소에 대해 정보제공 서비스 구독 기업에게 공유한 바 있다. 6.25 사건 이후 확인된 사실에 대해 PCDS상의 기록을 확인해 본 결과 6.25일 국가기관 DNS 공격에 이용된 좀비PC 확보에 이용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 확인 되었다. 결론적으로 두 곳의 웹하드 업체가 동시에 악성코드 유포에 이용된 정황을 확인한 결과 6.25일 사건 이전에 5.31일과 6.1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든..
3.20 대란 초기 경고 및 추적, 대응 히스토리 (요약) - 빛스캔 3.20 대란 초기 경고 및 추적, 대응 히스토리 (요약) - 2013.03.29 빛스캔㈜ info@bitscan.co.kr 초기 관찰과 추적, 경고에 이은 대응까지의 역할을 하나의 이미지로 축약한 부분. 본 3.20일 대란 발생 이전의 핵심적인 탐지 내역들이 있어서 사전 경고를 한 것이며 그 경고의 내용은 다음과 같다. 비정상적인 주중 악성코드 유포 행위의 지속 (관찰 2년 이내에 최초) 군 관련 모임과 매체에 대한 악성코드 감염 시도 발견 ( 3월 1~2주차) 주중 유포된 악성코드들의 대부분이 백도어 및 트로이 목마 유형 관찰 위의 세 가지 핵심적인 변화 관찰 결과에 따라 사이버공격 위협이 심각해 질 수 있는 상태이므로 경고를 한 상황입니다. 경고를 했음에도 불구하고 사고는 발생 된 상황이며 3.20..
악성코드 유포 일본을 겨냥하다 – 한류, 악성코드 전파 통로 악성코드 유포 일본을 정조준 -한류, 악성코드를 전파하다. *빛스캔은 2013년 2월. 일본내의 악성코드 유포 상황에 대해 한국인터넷의 범위를 관찰하는 PCDS (Pre Crime Detect Satellite) 관찰 범위를 일부 이동 시켜 관찰 할 예정입니다. 2004년에 일본에서 방영된 '겨울연가'는 중년 여성들의 폭발적인 인기에 힘입어 주인공인 배용준(욘사마)를 일약 한류 스타로 만들었다. 이후 드라마뿐만 아니라 가요와 같은 문화 컨텐츠가 대만, 베트남 등 아시아에 널리 전파되었고 전세계로 확산 되고 있다. 현재는 보아, 비, 원더걸스와 같은 아이돌 가수를 중심으로 지속적인 해외 진출을 시도하여 일본뿐만 아니라 중국, 동남아시아에서 상당한 인기를 얻고 있다. 최근 씨엔블루(CNBlue)는 일본 오리..
[지디넷 컬럼] 제로데이들의 공습, 한국을 강타하다. 세계적으로 유례가 없는 제로데이들의 공습, 한국을 강타하다. * 좀 더 상세한 제로데이 공격 현장 (?)과 실제에 대해 내용을 기술 했습니다. 실제 컬럼에는 회사 로고와 명칭은 빠져 있습니다. 참고하세요 - 바다란http://www.zdnet.co.kr/column/column_view.asp?artice_id=20130122143430 2013년 1월 11일 주말을 기해 국내 인터넷 환경에서는 지금까지 유례 없던 현상이 출현 하였다. 일반적으로 패치가 발표 되기 이전의 공격코드를 제로데이 공격이라고 칭한다. 공격코드를 대응할 방법이 없다는 점에서 모든 방패를 무력하게 만드는 절대적인 공격 기법이라고도 할 수 있다. 취약성을 보완하는 것을 패치라고 하며 일반적으로 운영체제 및 Application의 업데..
디지털 페스트 II 디지털 페스트 II 본 컬럼은 지디넷 게재 컬럼입니다. 중세 유럽 인구 감소의 결정적인 원인. 통계에 의하면 전체 유럽 인구의 최대 절반에서 1/4 가량이 페스트의 영향으로 죽은 것으로 발표 되고 있다. 단 5년 만에.. 인간 세상의 페스트와 같은 인터넷상의 악성코드들은 대규모 감염 매개체를 통해 확산을 거듭하고 있는 현재의 상황은 페스트가 종횡무진 활약 하였던 중세유럽과 다를 바가 없다. 피부가 검은색으로 변하는 흑사병이라 불리던 페스트와 지금의 악성코드 이슈는 인터넷상에서 공통점을 가지고 있고 인터넷 생활 비중이 높은 지금의 사회는 직접적인 영향을 받는 상황에 놓여 있다. 페스트의 사망률보다 높은 최소..
악성코드와 금융 그리고 한국. ( 간단한 반박) 지금 한 회사가 문제가 아니라, 이 IT 서비스 분야 전체에 걸친 심각한 문제라는 점이다. 전자상거래가 차지하는 부분.. 그리고 테스트서버라는 부분도 문제이고 연동되어 있는 실제 스크린샷이 있는데도 손바닥으로 장대비를 가리는 형국 지금의 문제는 공인인증서 관리 업체 하나의 문제가 아니라 기반 체제의 문제점이라는 점이고 또 하나는 DMZ zone 에 위치한 서버가 권한 탈취를 당했다는 것은 심각한 상황이라는 것이다. 10월 하순부터 신규로 만들어진 악성링크가 소스코드 복사를 통해 들어가 있었다는 해명은 황당하기 그지 없다. 또한 구글은 내부에 포함된 악성링크를 가지고 판단 하는 체계가 아니며, Drive by download 즉 해당 웹 서비스에서 악성파일이 내려 올때에만 Alert을 하는 체제이다. 현재..