1. 스카이프 트로이목마
신종 악성코드가 발견되었는데, 스카이프가 사용하는 오디오 입출력 관련된 여러 API를 후킹하는 방식으로 통화 내용을 감청할 수 있습니다. 이번에 발견된 트로이 목마는 비주얼 C++로 제작되었으며 1개의 EXE 파일과 1개의 DLL 파일로 구성이 되어 있으며 EXE 파일은 DLL 파일을 스카이프 프로그램의 프로세스인 skype.exe의 스레드(Thread)로 인젝션(Injection)을 시켜주는 기능을 수행합니다.
해당 악성코드에 대해서 생각해보니 유저레벨의 API후킹 이외에도 커널 레벨에서 이와 같은 일이 일어나게 된다면, 조금 더 stealth하게 공격이 이루어 질 수 도 있습니다.
가. 관련링크
(1) http://www.symantec.com/connect/blogs/trojanpeskyspy-listening-your-conversations
(2) http://twitter.com/symantec/status/3605538220
(3) http://www.internetnews.com/security/article.php/3836751
2. 비밀번호 복잡도
방송통신위원회와 한국인터넷진흥원은 자신의 비밀번호를 타인이 얼마나 쉽게 유추해 낼 수 있는지 사용자 스스로 진단해 볼 수 있는 비밀번호 자가진단 도구를 배포한다고 28일 밝혔습니다.
최근 개인정보 유출사고가 많이 일어나는데 계정 비밀번호를 강력하게 하는 것으로도 어느 정도 피해를 줄일 수 있습니다. 개인정보 유출사고나 메신저 피싱등이 일어나는 가장 큰 이유중 하나가 개인이 설정한 비밀번호가 ID와 같거나, 단순하게 설정되어 있기 때문입니다.
따라서 개인사용자는 계정 비밀번호를 점검을 해서 강력한 비밀번호를 사용하여 개인정보가 유출되지 않도록 노력해야겠습니다.
가. 관련링크
(1) http://www.boannews.com/media/view.asp?idx=17591&kind=1
3. 블랙햇 USA 2009
7월 25일 ~ 7월 30일 6일 동안 블랙햇 USA 2009가 열렸고, 그 ISSUSE 중 몇 개를 선정해 보았습니다.
가. More Tricks For Defeating SSL
요즘 SSL을 이용한 암호화 통신을 많이 사용하고 있고, 이를 너무 맹신하는 점이 있습니다. 이 발표는 SSL로 암호화되어
통신하는 것을 무력화 할 수 있는 새로운 트릭에 관한 내용입니다.
(1) 관련링크
(가) http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-SLIDES.pdf
나. Reverse Engineering By Crayon: Game Changing Hypervisor Based Malware Analysis and
Visualization
가상화 기술은 새로운 기술은 아니지만 다른 기술과 같이 혼합할 경우 그 파급효과가 커서 요즘 각광받는 기술입니다.
이에 맞춰 가상화에서 리버싱을 할 수 있는 VERA라는 툴을 개발하였다는 내용입니다.
VERA는 견고한 코드도 쉽게 unpacking가능하고 가상화 환경에서 사용할 수 있게 개발되었기 때문에 가상화 환경에서
리버싱을 도와 줄 수 있는 툴입니다.
(1) 관련링크
(가) http://www.blackhat.com/presentations/bh-usa-09/QUIST/BHUSA09-Quist-RevEngCrayon-SLIDES.pdf
다. Fast & Furious Reverse Engineering with TitanEngine
리버싱은 바이너리코드를 분석하는 작업이지만 최근 10년 동안 이를 방해하는 packed, encrypt등 protection기법들이
발전을 하였기 때문에 분석속도가 느려지고 있습니다. 이로부터 리버싱의 속도를 빠르게 하기위해 TitanEngine을 개발
하였다는 내용입니다.
(1) 관련링크
(가) http://www.blackhat.com/presentations/bh-usa-09/VUKSAN/BHUSA09-Vuksan-FastFurious-PAPER.pdf
