최신 주간 동향 (2009년 9월 4주차)

보안 소식/주간 이슈 2009. 9. 21. 13:01 Posted by 알 수 없는 사용자

1. Old path introduced SMBv2 flaw, says finder
    현재 미패치된 SMBv2 에 대한 취약점이 공개되었습니다. 영향으로는 원격에서 Crash가 가능한  내용이며, 예전 내용인데 아직 패치가 안되었다 라는 내용을 가지고 있습니다. 상세한 내용은 관련링크를 통해 확인하시길 바랍니다.

    가. 관련링크
(1) http://www.securityfocus.com/brief/1011
            (2) http://g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html


2. Sysinternals Tools Updates

    Process Monitor(v2.7), procdump(v1.5), VMMap(v2.3), Autoruns(v9.54) 와 같은 SysInternals tools이 업데이트 되었습니다. 자세한 내용은 아래 링크를 참조하시길 바랍니다.

    가. 관련링크
(1) http://isc.sans.org/diary.html?storyid=7153


3. Results from Webhoneypot project
     SANS ISC 에서 진행한 Webhoneypot project 결과를 확인할 수 있습니다. 이 프로젝트의 목표는 대규모 자동화 공격의 융행에 대한 양적 데이터를 수집하는 것입니다. 자세한 내용은 아래 링크를 참조하시길 바랍니다.

    가. 관련링크
            (1) http://isc.sans.org/diary.html?storyid=7150
            (2) http://isc.sans.org/weblogs/
            (3) http://isc.sans.org/weblogs/reports.html
            (4) http://isc.sans.org/weblogs/filter.html


4. Status Report on the First Round of the SHA-3 Cryptographic Hash Algorithm Competition
     SHA3 해쉬 알고리즘에 대한 1 ROUND 보고서가 발표되었습니다. 자세한 내용은 아래 링크를 참조하시길 바랍니다.

    가. 관련링크
            (1) http://neworder.box.sk/newsread.php?newsid=22963
            (2) http://neworder.box.sk/redirect.php?http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/documents/sha3_NISTIR7620.pdf


5. Notepad++ 5.4.5 Local .C/CPP Stack Buffer Overflow POC(0day)
     노트패드의 기능을 향상시킨 Notepad++ 에 대한 로컬 Stack BOF 취약점이 발표되었습니다. 자세한 내용은
아래 링크를 참조하시길 바랍니다.

    가. 관련링크
            (1) http://milw0rm.com/exploits/9701


6. IBM AIX 5.6/6.1 _LIB_INIT_DBG Arbitrary File Overwrite via Libc Debug
     AIX 최신버전에 대한 취약점이 발표되었습니다. 자세한 내용은 안래 링크를 참조하시길 바랍니다.

    가. 관련링크
            (1) http://milw0rm.com/exploits/9645


개인정보의 기술적·관리적 보호조치 기준(090807 개정) 해설서 배포 및 책자 신청 받고 있습니다.

1000명만 책자 신청이 가능하니 필요하신분은 언넝 신청 바랍니다.^^)

해당 URL : http://www.nida.or.kr/kisa/notice/view.jsp?gubun=2&gubun2=2&brdId=090721164627001001&aSeq=090917204946001001

해설서 표지

제9회 UUU(전국대학CERT연합) 워크샵 발표자료

보안 소식/주간 이슈 2009. 9. 17. 10:32 Posted by 알 수 없는 사용자
U.U.U는 전국 대학 학내망 CERT이거나 CERT가 되고자하는 보안동아리 연합으로, 매년 2회 워크샵을 개최하고 있습니다.

지난 9월 5일 DDoS 대응을 주제로 하여 숙명여대에서 제9회 UUU(전국대학CERT연합) 워크샵을 개최하였고, 그 발표자료가 공개되었습니다.

9회 워크샵 정보는 아래 URL에서 확인하실 수 있습니다.
http://u3certs.org/?mid=workshop&document_srl=3803

발표자료는 링크를 걸어두었으니 학교명/발표자명을 클릭하시면 다운 가능합니다.

1. What is the 'DDoS'? 그 위험성은? [숙명여대]
2. DDoS 실체 분석을 위한 DDoS 시뮬레이션 [서울여대,
인제대, 전남대]
3. DDoS Agent 탐지, 제거 및 패치 프로그램 제작 [고려대, 조선대]
4. 학내망 DDoS에 대한 대책 방안 [
창원대]
5. Company countermeasure of DDoS Attack [
정광선]


http://www.sans.org/top-cyber-security-risks/

"The Top Cyber Security Risks"

최근 공격 성향 분석 자료로 티핑 포인트, 퀄리스의 통계자료이며, 그래프(역삼각형)를 보면 최근 취약점 성향이 OS 보다는 어플리케이션쪽이 많은 것을 확인 할 수있습니다. 이유는 현재 추세가 인기있는 어플리케이션을 타겟으로 공격하는 성향이 많고, 웹 사이트 안에서 악의적인 서버, 브라우저와 클라이언트 간의 어플리케이션 호출 등이 가능하여 계속적으로 브라우저 등의 어플리케이션이 타겟이 될 것이라는 내용 등이 있습니다.
 

전자통신동향분석

보안 소식/주간 이슈 2009. 9. 15. 06:38 Posted by TEAMCR@K
클라우드 컴퓨팅이 이슈인만큼 관련 논문들이 많이 올라오고 있네요.

최신 동향을 파악하는데는 도움이 많이 될거 같습니다.


관련 URL : http://ettrends.etri.re.kr/


1 클라우드 컴퓨팅 기술 동향 민옥기, 김학영, 남궁한 / SW서비스연구팀
14 SaaS 기술 개발 동향 김형환, 원희선, 오병택 외 8인 / SW서비스연구팀
28 이동형 퍼스널 소프트웨어 플랫폼 기술 개발 구경이, 정문영, 김기헌, 강성주, 최원혁, 김원영, 최완 / SW서비스연구팀
41 클라우드 기반 대규모 데이터 처리 및 관리 기술 이미영 / 데이터베이스연구팀
55 클라우드 컴퓨팅을 위한 분산 파일 시스템 기술 동향 민영수, 진기성, 김홍연, 김영균 / 저장시스템연구팀
69 클라우드 컴퓨팅에서 스토리지 가상화 기술 동향 김영철, 차명훈, 이상민, 김영균 / 저장시스템연구팀
79 클라우드 컴퓨팅 보안 기술 은성경, 조남수, 김영호, 최대수 / 암호기술연구팀
89 클라우드 서비스를 위한 대규모 클러스터 관리 기술 개발 김창수, 김학영, 남궁한 / SW서비스연구팀
99 그린 운영체제 동향 김재열, 차규일, 김영호, 강동재, 임은지, 정성인 / 시스템SW연구팀
112 그린 데이터센터를 위한 전력 관리 기술 김대원, 김선욱, 김성운 / 서버플랫폼연구팀
126 그린 데이터센터를 위한 랙전원 솔루션 권원옥, 김성운 / 서버플랫폼연구팀
135 박막 태양전지 시장전망 및 기술개발 동향 전황수, 허필선, 김제하 / 기술경제1팀
147 국내 기업의 VoIP 수용특성 분석 및 서비스 활성화 방향 박종현, 백종현, 박희진 / 미래전략연구팀


최신 주간 동향 (2009년 8월 5주차)

보안 소식/주간 이슈 2009. 8. 31. 18:40 Posted by 알 수 없는 사용자

 1. 스카이프 트로이목마
    신종 악성코드가 발견되었는데, 스카이프가 사용하는 오디오 입출력 관련된 여러 API를 후킹하는 방식으로 통화 내용을 감청할 수 있습니다. 이번에 발견된 트로이 목마는 비주얼 C++로 제작되었으며 1개의 EXE 파일과 1개의 DLL 파일로 구성이 되어 있으며 EXE 파일은 DLL 파일을 스카이프 프로그램의 프로세스인 skype.exe의 스레드(Thread)로 인젝션(Injection)을 시켜주는 기능을 수행합니다.
   해당 악성코드에 대해서 생각해보니 유저레벨의 API후킹 이외에도 커널 레벨에서 이와 같은 일이 일어나게 된다면, 조금 더 stealth하게 공격이 이루어 질 수 도 있습니다.

    가. 관련링크
(1) http://www.symantec.com/connect/blogs/trojanpeskyspy-listening-your-conversations
            (2) http://twitter.com/symantec/status/3605538220
            (3) http://www.internetnews.com/security/article.php/3836751


2. 비밀번호 복잡도
    방송통신위원회와 한국인터넷진흥원은 자신의 비밀번호를 타인이 얼마나 쉽게 유추해 낼 수 있는지 사용자 스스로 진단해 볼 수 있는 비밀번호 자가진단 도구를 배포한다고 28일 밝혔습니다.
    최근 개인정보 유출사고가 많이 일어나는데 계정 비밀번호를 강력하게 하는 것으로도 어느 정도 피해를 줄일 수 있습니다. 개인정보 유출사고나 메신저 피싱등이 일어나는 가장 큰 이유중 하나가 개인이 설정한 비밀번호가  ID와 같거나, 단순하게 설정되어 있기 때문입니다.
따라서 개인사용자는 계정 비밀번호를 점검을 해서 강력한 비밀번호를 사용하여 개인정보가 유출되지 않도록 노력해야겠습니다.



    가. 관련링크
(1) http://www.boannews.com/media/view.asp?idx=17591&kind=1


3. 블랙햇 USA 2009
     7월 25일 ~ 7월 30일 6일 동안 블랙햇 USA 2009가 열렸고, 그 ISSUSE 중 몇 개를 선정해 보았습니다.

    가. More Tricks For Defeating SSL
         요즘 SSL을 이용한 암호화 통신을 많이 사용하고 있고, 이를 너무 맹신하는 점이 있습니다. 이 발표는 SSL로 암호화되어
         통신하는 것을 무력화 할 수 있는 새로운 트릭에 관한 내용입니다. 

         (1) 관련링크
               (가) http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-SLIDES.pdf

    나. Reverse Engineering By Crayon: Game Changing Hypervisor Based Malware Analysis and       
         Visualization
         가상화 기술은 새로운 기술은 아니지만 다른 기술과 같이 혼합할 경우 그 파급효과가 커서 요즘 각광받는 기술입니다.
         이에 맞춰 가상화에서 리버싱을 할 수 있는 VERA라는 툴을 개발하였다는 내용입니다.
         VERA는 견고한 코드도 쉽게 unpacking가능하고 가상화 환경에서 사용할 수 있게 개발되었기 때문에 가상화 환경에서
         리버싱을 도와 줄 수 있는 툴입니다.

         (1) 관련링크
               (가) http://www.blackhat.com/presentations/bh-usa-09/QUIST/BHUSA09-Quist-RevEngCrayon-SLIDES.pdf

    다. Fast & Furious Reverse Engineering with TitanEngine
         리버싱은 바이너리코드를 분석하는 작업이지만 최근 10년 동안 이를 방해하는 packed, encrypt등 protection기법들이
         발전을 하였기 때문에 분석속도가 느려지고 있습니다. 이로부터 리버싱의 속도를 빠르게 하기위해 TitanEngine을 개발 
         하였다는 내용입니다.

         (1) 관련링크
               (가) http://www.blackhat.com/presentations/bh-usa-09/VUKSAN/BHUSA09-Vuksan-FastFurious-PAPER.pdf

Windows 2008 및 IIS7, 클라우딩 컴퓨팅 등 앞으로 다가올 환경에 대해서 관심이 집중되고 있습니다.

영문 자료들이 점점 한글화 되면서 기본 개념을 학습하는데 도움을 많이 주고 있습니다.

아래 사이트들을 참고하시기 바랍니다.

Windows 2008 관련 자료 다운로드 (영문, 한글 문서 포함)http://www.microsoft.com/korea/windowsserver2008/resources/default.mspx

윈도우 서버, IIS 서버, SQL 서버 등의 다양한 자료 사이트
http://www.wssplex.net/TipnTech.aspx

최신 주간 동향 (2009년 8월 4주차)

보안 소식/주간 이슈 2009. 8. 24. 12:01 Posted by 알 수 없는 사용자

1. 리눅스 관리자 계정 탈취... 심각한 보안취약점 주의!
    시큐리티플러스에서 Linux Kernel  'sock_sendpage()' NULL Pointer Dereference 취약점에 대해 공개하며 사용자의 주의를 당부했습니다. 해당 취약점은 "메모리맵 프로그래밍(MMAP)를 사용하여 Zero-Page 매핑을 통해 권한을 획득하고 Zero-Page상의 악의적인 코드를 위치시킴으로써 이용할 수 없는 동작을 호출할 수 있는 취약점"으로써, 원격취약점이 아니지만, 내부 사용자나, 서버 사용자들에 의해 공격이 가해질 경우, 또는  특정 계정정보를 획득했을 경우, 해당 서버에서 위 취약점을 이용한 공격으로 이어질 수 있습니다.

    현재 관련 취약점에 대한 연구분석 진행중 입니다. 아래 관련링크를 참조하시기 바랍니다.

    가. 관련링크
(1) http://www.boannews.com/media/view.asp?idx=17546&kind=0
            (2) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2692
            (3) http://www.securityfocus.com/bid/36038/info
            (4) http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html
            (5) http://archives.neohapsis.com/archives/fulldisclosure/2009-08/0174.html
            (6) http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=e694958388c50148389b0e9b9e9e8945cf0f1b98


2. U_Street 핵심은 '보안'
    
국내 유비쿼터스 기술이 발전하면서 U-City도 늘어나고 있습니다. 그리고 U-Street 조성 또한 늘어나고 있는 추세 입니다. 그에대한 문제점들을 지적한 뉴스가 있어 포스팅 합니다. 예를 들어 "활용기술의 결정 문제", "U-Street에 적용되는 다양한 서비스의 개발과 활용을 위한 기술 표준화 작업", "U-Street 관리 및 운영을 연계, 일원활 할 수 있는 통합운영센터 운영" 등에 대한 고려 입니다. 그리고 비오는날 감전사고 등으로 U-Street의 기기 전원을 내리는데, 이러한 문제도 개선되어야 할 점입니다.

    가. 관련링크
(1) http://www.boannews.com/media/view.asp?page=1&idx=17522&search=&find=&kind=1


3. 휴대폰해킹? 터보심
     중국에서 한국 이통망에만 접속하도록 제조된 휴대폰을 해외에서 이용할 수 있도록 해킹하는 '터보심(TURBOSIM)'이 전 세계에 판매되고 있어 국산 휴대폰 수출에 악영향이 예상됩니다. 가격은 약 2만원으로 휴대폰 가입자 정보를 담은 심(SIM)카드 국제이동국식별번호를 해킹하여 해외 이통망에서도 직접 접속 가능하도록 합니다. 해외 이통사 심카드와 겹쳐 삽입하여 국제이동국식별번호 중 국가 및 사업자 식별번호 다섯자리를 테스트 단말기나 해외 공용 단말기로 인식하게 하는 것, 이렇게 되면 한국용으로 제조된 휴대폰을 해외 이통망에 직접 접속가능합니다.

    가. 관련링크
(1) http://www.etnews.co.kr/news/detail.html?portal=001_00001&id=200908170175
            (2) http://tagadget.com/545

최신 주간 동향 (2009년 8월 3주차)

보안 소식/주간 이슈 2009. 8. 17. 13:15 Posted by 알 수 없는 사용자

1. 각종 프로토콜과 레퍼런스 치트시트
    각종 프로토콜과 레퍼런스를 한눈에 볼 수 있는 치트시트(영문)를 외국블로그에서 공개하였습니다. 참조하시기 바랍니다.

    가. 관련링크
(1) http://packetlife.net/cheatsheets/
            (2) http://boanchanggo.tistory.com/461
            (3) http://xeraph.egloos.com/


2. 봇넷의 경제적 가치
     botnet의 경제적 가치에 대한 해외 관련 뉴스가 있어서 포스팅합니다. botnet owner들이 어떻게 botnet를 통해서
돈(money) 벌이하는 과정을 소개하고 있고 돈을 획득하기 위한 다양한 해킹 기법에 대해서 이야기하고 있습니다.
기술 발전을 위한 해킹은 더이상 존재하지 않는 것 같은 느낌이며 그저 돈을 벌기 위한 무차별 돈벌레(bad guy)들만이
세상에 난무하는 시대가 도래하고 있습니다. 해킹은 단지 돈을 벌기 위한 수단일 뿐 그들에게 더이상 순수한 목적은 없습니다.

    가. 관련링크
(1) http://www.viruslist.com/en/analysis?pubid=204792068
            (2) http://coderant.egloos.com/5043024


3. 행안부 장관상 ISEC 2009 CTF...본선 8개 팀 확정!
     카이스트 'GoN' 팀 1위...한국 7개 팀·베트남 1개 팀 본선에 진출하였습니다. 본선은 9월 8일 ~ 9일 코엑스 그랜드볼룸
로비에서 개최 됩니다.

    가. 관련링크
(1) http://www.boannews.com/media/view.asp?idx=17494&kind=1&sub_kind=



4. 트위터 마비시키는데 200달러면 충분
     트위터 마비시키는데 200달러면 충분하다는 보도가 올라왔습니다. 즉 컴퓨터 해킹 비용이 날이 갈수록 낮아지며
돈을 위한 해킹을 하는 크래커들이 점점 늘어나고 있다고 <비지니스 위크>가 13일 보도했습니다. 지난 8일 인터넷 단문메시지
서비스 트위터를 2시간 가량 마비시킨 분산서비스공격(디도스·DDoS)이 대표적 예다. 분산서비스공격은 악성코드에 감염된 개인
컴퓨터(보트넷·Botnet)들을 공격대상 사이트에 집중적으로 접속하게 해 해당 사이트를 다운시키는 사이버 공격인데, 보트넷
대여료가 점점 저렴해지고 있다.

    가. 관련링크
(1) http://www.hani.co.kr/arti/international/international_general/371288.html

웹쉘 탐지 프로그램(Whistl) 보급 안내

보안 소식/주간 이슈 2009. 8. 13. 19:43 Posted by 알 수 없는 사용자

운영하는 서버에 웹쉘이 업로드 된다면 어떻게 될까요? 그 서버는 공격자에게 완전히 장악당하고 말것입니다. 이처럼 악의적인 웹쉘을 탐지할 수 있는 유용한 프로그램이 있어 소개해 드립니다.

다음은 "인터넷 침해사고 대응 지원센터"에 게시되어 있는 소개내용입니다.

    가. 세부 내용
           최근 공격자들이 국내 웹 서버를 해킹하여 웹쉘을 업로드한 후 악성코드 유포 및 개인정보 탈취 사례가 지속적으로 발생
           하고 있습니다. 이에, 한국인터넷진흥원에서는 공격자에 의해 생성된 웹쉘을 손쉽게 탐지하고 대응하기 위하여 "웹쉘 탐
           지 프로그램(Whistl)"를 개발하여 보급합니다.

          사용을 희망하는 회사(기관)에서는 사용 신청서를 작성하셔서 전자우편으로 첨부하여 신청하시기 바랍니다. 프로그램은
          신청서에 작성한 전자우편으로 첨부하여 보내드리며, 신청하신 날짜로 부터 2~3일 정도 소요될 수 있습니다.

          ○ Whistl 사용신청서 다운로드
          ○ Whistl 소개 및 FAQ
          ○ 문의 및 기술 지원(Tel : 02-405-5617, EMAIL : whistl@krcert.or.kr )

          ※ Whistl 프로그램은 공격자가 웹 서버를 해킹 한 후 생성한 웹쉘 파일을 서버 관리자들이 쉽게 탐지 할 수 있도록 패턴
              과 
인터페이스를 제공하는 프로그램입니다.
          ※ 또한 Whistl은 홈페이지의 보안 강화용으로 사용할 수 없습니다. 웹서버 해킹을 예방하기 위해서는 웹 전용 보안장비
              를 
운영하시고 취약점 여부를 점검하셔야 합니다.

    나. 참고 자료
         (1) http://www.krcert.or.kr/noticeView.do?num=298


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 연구 문서는 추후 업데이트될 것입니다.