본문 바로가기

전체 글

(292)
빛스캔브리핑 2월3주차-파밍은 대량 악성코드 감염으로 시작 [빛스캔+KAIST] 2월 3주차 브리핑 한국 인터넷 위협분석 보고서( 파밍의 근본 원인을 수술하라 ) 빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 2월 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (사전 범죄 탐지체계, Pre-Crime Detect Satellite)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다. 본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된..
악성코드 유포 일본을 겨냥하다 – 한류, 악성코드 전파 통로 악성코드 유포 일본을 정조준 -한류, 악성코드를 전파하다. *빛스캔은 2013년 2월. 일본내의 악성코드 유포 상황에 대해 한국인터넷의 범위를 관찰하는 PCDS (Pre Crime Detect Satellite) 관찰 범위를 일부 이동 시켜 관찰 할 예정입니다. 2004년에 일본에서 방영된 '겨울연가'는 중년 여성들의 폭발적인 인기에 힘입어 주인공인 배용준(욘사마)를 일약 한류 스타로 만들었다. 이후 드라마뿐만 아니라 가요와 같은 문화 컨텐츠가 대만, 베트남 등 아시아에 널리 전파되었고 전세계로 확산 되고 있다. 현재는 보아, 비, 원더걸스와 같은 아이돌 가수를 중심으로 지속적인 해외 진출을 시도하여 일본뿐만 아니라 중국, 동남아시아에서 상당한 인기를 얻고 있다. 최근 씨엔블루(CNBlue)는 일본 오리..
피싱 및 파밍 사고 예방. 과연 이게 최선 입니까? 피싱 및 파밍 사고 예방. 과연 이게 최선 입니까? 며칠전 받은 문자 한통; "파밍 사기 예방을 위해 설연휴기간 절대로 보안카드 35개의 숫자를 입력하지 마세요." 뭐 대충 이런 문구 였죠. 정말 이게 최선 인가요? 생태계가 무너지면 이건 끝이에요. 온라인 거래로 수익 많이 나셨지만 이젠 아닐 수도 있다고 생각해야죠. 조 단위 수익이 나는 금융회사와 비교도 안될 정도로 미미 했던 모 포털의 게임 부분 관리 할때도 이 문제는 환경 개선을 시도 한 적이 있습니다. 관련 내용은 검색 하셔도 나옵니다. 모두 처음 시도한 내용들이긴 합니다. 2005년 무렵이네요. 벌써 8년전. 기억 하시는 분들 좀 있으실듯 그때도 온라인 상의 계정 탈취를 위한 BHO 기능을 가진 악성코드들이 처음 출현한 시기 입니다. 피해가 계..
[지디넷 컬럼] 제로데이들의 공습, 한국을 강타하다. 세계적으로 유례가 없는 제로데이들의 공습, 한국을 강타하다. * 좀 더 상세한 제로데이 공격 현장 (?)과 실제에 대해 내용을 기술 했습니다. 실제 컬럼에는 회사 로고와 명칭은 빠져 있습니다. 참고하세요 - 바다란http://www.zdnet.co.kr/column/column_view.asp?artice_id=20130122143430 2013년 1월 11일 주말을 기해 국내 인터넷 환경에서는 지금까지 유례 없던 현상이 출현 하였다. 일반적으로 패치가 발표 되기 이전의 공격코드를 제로데이 공격이라고 칭한다. 공격코드를 대응할 방법이 없다는 점에서 모든 방패를 무력하게 만드는 절대적인 공격 기법이라고도 할 수 있다. 취약성을 보완하는 것을 패치라고 하며 일반적으로 운영체제 및 Application의 업데..
세계적으로 유례가 없는 제로데이들의 공습. 한국에 진행 중 세계적으로 유례가 없는 제로데이들의 공습. 한국에 진행 중 " 파일 공유, 커뮤니티, 패션, 십여 곳 이상의 언론사 관련 서비스, 동영상 공유 사이트와 같은 방문자가 대규모인 서비스를 대상으로 악성링크가 추가 되어 모든 방문자를 대상으로 집중적인 자바 제로데이 및 IE 제로데이가 포함된 공격이 1월 11일 이후 계속 발생 되고 있으며, 심각한 상황에 처해 있다. 최종 감염된 악성코드는 사용자 개인정보 탈취 및 금융기관 피싱에 집중 운용 되고 있는 상황으로 다방면으로 긴급한 대응이 요구된다." 2013년 1월 11일 주말을 기해 국내 인터넷 환경에서는 지금까지 유례 없던 현상이 출현 하였다. 일반적으로 패치가 발표 되기 이전의 공격코드를 제로데이 공격이라고 칭한다. 공격코드를 대응할 방법이 없다는 점에서 ..
IE 0 day와 Java 0 day가 대량 공격을 하는 지금의 위기. 답답함에 글 남깁니다. 지금 상황은 초유의 상황입니다. 지금껏 서로 다른 취약성을 이용하는 제로데이 두 가지가 활발하게 활동한적은 없었습니다. 관찰 결과 및 지난 시간을 통털어 가장 위태로움에 가까이 간 상황입니다. 각 개별 공격에 이용된 사례들은 있었어도, 불특정 다수를 향해 ( 일부 대상이 한정된 공격도 있음) 이런 유형의 공격이 발생된 적은 없습니다. 이전 까지라면 웜이나 바이러스등으로 확인이 되었겠죠. 지금의 상황은 웜이나 바이러스가 아니여서 네트웍 구간등에서는 확인이 불가능하죠. 웹 서비스를 방문만 해도 감염이 되고 패치가 있을때에도 성공 율이 60% 가량 이였는데..... 패치가 없는 제로데이 두 종류가 동시에 이용 된다면??.. 이번주 빛스캔의 페북을 통해서 일부 예고 드린바 있고, 위험수위..
대선 DDoS 대응과 그 후폭풍 ( 최근 대량의 국내 사건/ 사고에 대한 원인) 대선 DDoS 대응과 그 후폭풍 최근 국내 인터넷 서비스를 이용한 악성코드 중계지 증가에 대한 원인과 향후 전망 대응 요약: 12.12일부터 12.19일까지 7일간에 걸쳐서 빛스캔㈜에서는 DDoS 공격 기능을 가진 Agent들의 다수 유포와 관련하여 국내 20여 개의 백신 및 ISP, 유관기관에 정보를 제공한 바 있습니다. 총 정보 제공 범위는 총 4회에 걸쳐 60여종의 최종 악성파일과 40여개의 C&C로 추정되는 IP와 도메인을 전달한 바가 있습니다. 60여종의 악성파일 중 국내에서 사용중인 주요 백신이 모두 탐지하는 악성파일은 10여 종이였으며 나머지 50여 종이 추가 대응이 필요한 상황의 악성파일인 상황 이였습니다. 정보제공 이후의 결과는 다음과 같습니다. < 악성코드 샘플 공유 이후의 공격 양상>..
IE 0day 2012-4792 공격 – Dcinside 통해 검증. 앞날을 걱정 해야.. IE 0 day (CVE 2012-4792) 디씨인사이드를 통해 사용자 공격- 위험에서 경고로 12.26일 국내에서 처음으로 IE 브라우저 6,7,8 모든 버전에 영향을 미치는 제로데이 공격이 국내에도 직접 발생한 정황이 빛스캔㈜의 PCDS를 통해 탐지된바 있음을 1월 초에 알려드린 바가 있다. (관련내용: http://p4ssion.com/332 ) IE 제로데이 취약성은 현재 Metasploit에 POC 코드가 공개 되어 있으며 국내를 대상으로 한 공격에는 아직 대규모 공격으로 전이된 정황은 포착 되지 않았다. 그러나 12.26일 최초 공격 발견 이후 1월 2주차인 1월 5일에 추가 공격이 발생된 것이 빛스캔의 PCDS를 통해 탐지가 됨으로 인해 위험 단계를 벗어날 가능성이 매우 높아진 상황이다. 모..