Windows 2008 및 IIS7, 클라우딩 컴퓨팅 등 앞으로 다가올 환경에 대해서 관심이 집중되고 있습니다.
영문 자료들이 점점 한글화 되면서 기본 개념을 학습하는데 도움을 많이 주고 있습니다.
아래 사이트들을 참고하시기 바랍니다.
Windows 2008 관련 자료 다운로드 (영문, 한글 문서 포함)http://www.microsoft.com/korea/windowsserver2008/resources/default.mspx
윈도우 서버, IIS 서버, SQL 서버 등의 다양한 자료 사이트
http://www.wssplex.net/TipnTech.aspx
1. 리눅스 관리자 계정 탈취... 심각한 보안취약점 주의!
시큐리티플러스에서 Linux Kernel 'sock_sendpage()' NULL Pointer Dereference 취약점에 대해 공개하며 사용자의 주의를 당부했습니다. 해당 취약점은 "메모리맵 프로그래밍(MMAP)를 사용하여 Zero-Page 매핑을 통해 권한을 획득하고 Zero-Page상의 악의적인 코드를 위치시킴으로써 이용할 수 없는 동작을 호출할 수 있는 취약점"으로써, 원격취약점이 아니지만, 내부 사용자나, 서버 사용자들에 의해 공격이 가해질 경우, 또는 특정 계정정보를 획득했을 경우, 해당 서버에서 위 취약점을 이용한 공격으로 이어질 수 있습니다.
현재 관련 취약점에 대한 연구분석 진행중 입니다. 아래 관련링크를 참조하시기 바랍니다.
가. 관련링크
(1) http://www.boannews.com/media/view.asp?idx=17546&kind=0
(2) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2692
(3) http://www.securityfocus.com/bid/36038/info
(4) http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html
(5) http://archives.neohapsis.com/archives/fulldisclosure/2009-08/0174.html
(6) http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=e694958388c50148389b0e9b9e9e8945cf0f1b98
가. 관련링크
1. 각종 프로토콜과 레퍼런스 치트시트
각종 프로토콜과 레퍼런스를 한눈에 볼 수 있는 치트시트(영문)를 외국블로그에서 공개하였습니다. 참조하시기 바랍니다.
가. 관련링크
(1) http://packetlife.net/cheatsheets/
(2) http://boanchanggo.tistory.com/461
(3) http://xeraph.egloos.com/
가. 관련링크
가. 관련링크
(1) http://www.boannews.com/media/view.asp?idx=17494&kind=1&sub_kind=
가. 관련링크
(1) http://www.hani.co.kr/arti/international/international_general/371288.html
운영하는 서버에 웹쉘이 업로드 된다면 어떻게 될까요? 그 서버는 공격자에게 완전히 장악당하고 말것입니다. 이처럼 악의적인 웹쉘을 탐지할 수 있는 유용한 프로그램이 있어 소개해 드립니다.
다음은 "인터넷 침해사고 대응 지원센터"에 게시되어 있는 소개내용입니다.
가. 세부 내용
최근 공격자들이 국내 웹 서버를 해킹하여 웹쉘을 업로드한 후 악성코드 유포 및 개인정보 탈취 사례가 지속적으로 발생
하고 있습니다. 이에, 한국인터넷진흥원에서는 공격자에 의해 생성된 웹쉘을 손쉽게 탐지하고 대응하기 위하여 "웹쉘 탐
지 프로그램(Whistl)"를 개발하여 보급합니다.
사용을 희망하는 회사(기관)에서는 사용 신청서를 작성하셔서 전자우편으로 첨부하여 신청하시기 바랍니다. 프로그램은
신청서에 작성한 전자우편으로 첨부하여 보내드리며, 신청하신 날짜로 부터 2~3일 정도 소요될 수 있습니다.
○ Whistl 사용신청서 다운로드
○ Whistl 소개 및 FAQ
○ 문의 및 기술 지원(Tel : 02-405-5617, EMAIL : whistl@krcert.or.kr )
※ Whistl 프로그램은 공격자가 웹 서버를 해킹 한 후 생성한 웹쉘 파일을 서버 관리자들이 쉽게 탐지 할 수 있도록 패턴
과 인터페이스를 제공하는 프로그램입니다.
※ 또한 Whistl은 홈페이지의 보안 강화용으로 사용할 수 없습니다. 웹서버 해킹을 예방하기 위해서는 웹 전용 보안장비
를 운영하시고 취약점 여부를 점검하셔야 합니다.
나. 참고 자료
(1) http://www.krcert.or.kr/noticeView.do?num=298
※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 연구 문서는 추후 업데이트될 것입니다.
1. 이란 네티즌, 조직적으로 사이버 공격 참여
이란 네티즌이 대선 결과와 이란 정부의 언론 통제에 대항하는 사이버 공격이 확대되고 있습니다. 이란 대통령 홈페이지를 비롯, 친-이란 정부 웹사이트들이 접속 불능 상태에 빠졌습니다. 이번 공격은 DoS 툴을 이용한 공격, iFrame 로딩 스크립트, 웹 페이지 새로고침용 툴 등을 사용했습니다. 다수의 사람들이 해당 웹 페이지를 대상으로 새로고침을 함으로써, DDoS 공격의 효과를 발휘할 수 있습니다. 얼마전 온나라를 시끄럽게 만들었던 DDoS 공격의 여파가 아직 남아있는 만큼, 보안 관련 종사자들의 지속적인 관심과 세심한 주의가 요구됩니다.
가. 세부 내용
다음은 실제 공격에 사용되었던 "Page Rebooter"를 이용한 DoS 공격 예시입니다.
다음은 www.pagereboot.com로 접속하여, 대상사이트와 공격주기를 입력하는 화면입니다.
다음은 공격 시도 시 열리는 페이지 화면입니다.
다음은 생성된 페이지의 자동 새로고침 javascript 코드를 확인하는 화면입니다.
나. 관련링크
(1) http://www.pagereboot.com/ie/
(2) http://blogs.zdnet.com/security/?p=3613
가. 관련링크
가. 관련링크
(1) http://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html
(2) http://www.theregister.co.uk/2009/06/03/atm_trojans/
(3) http://regmedia.co.uk/2009/06/03/trust_wave_atm_report.pdf
가. 관련링크
(1) http://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html
(2) http://www.theregister.co.uk/2009/06/12/smart_grid_security_risks/
가. 관련링크
(1) http://car.wj8.net/2009/07/microsoft-mpeg-2-video-leaked-0day.html
(2) http://it.rising.com.cn/new2008/Anti_Virus/NewsInfo/2009-07-08/1247020333d53636.shtml
1. 신종플루 바이러스 확산
최근들어 실세계에서의 이슈사항을 이용한 컴퓨터 바이러스가 기승을 부리고 있습니다. 현재 전세계인들의 관심이 집중된 신종플루(인플루엔자A, H1N1) 또한 예외가 아닙니다. 이 신종 바이러스는 이메일에 첨부된 워드파일을 여는 순간 악성 바이러스에 감염됩니다. 이 악성파일은 키로거 기능을 수행하기 때문에 개인정보 유출 및 원격조작의 위험에 노출될 수 있습니다. 이처럼 사람들의 관심사항을 이용하여 악성바이러스가 유포되고 있는 만큼 개인 사용자들은 신뢰되는 메일이나 홈페이지가 아닐 경우 클릭에 좀 더 신중을 기해야 합니다. 바이러스에 대한 세부사항은 아래내용을 참조해 주시기 바랍니다.
가. 세부 내용
- 감연된 DOC 파일: Novel H1N1 Flu Situation Update.doc
- 감염된 DOC 파일을 열면, 다음과 같은 악성 파일들이 설치 및 실행 된다고 합니다.
%windir%\Temp\Novel H1N1 Flu Situation Update.doc
%windir%\Temp\doc.exe
%windir%\Temp\make.exe
%windir%\system32\UsrClassEx.exe
%windir%\system32\UsrClassEx.exe.reg
나. 관련링크
(1) http://www.f-secure.com/weblog/archives/00001734.html
(2) http://www.securitywatch.co.uk/2009/07/22/h1n1-flu-situation-update-spreads-malware/
다음의 파일들을 삭제하거나 이름을 바꾼다. (windows)
"%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll"
"%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll"
다음의 파일들을 삭제하거나 이름을 바꾼다. (os x)
"/Applications/Adobe Reader 9/Adobe Reader.app/Contents/Frameworks/AuthPlayLib.bundle"
"/Applications/Adobe Reader 9/Adobe Reader.app/Contents/Frameworks/Adobe3D.framework"
다음의 파일들을 삭제하거나 이름을 바꾼다. (GNU/Linux)
"/opt/Adobe/Reader9/Reader/intellinux/lib/libauthplay.so"
"/opt/Adobe/Reader9/Reader/intellinux/lib/librt3d.so"
나. 관련링크
1. MS09-029 - addresses a vulnerability in Microsoft Windows
최근 MS 관련 취약점들이 많이 발표되고 있습니다. 그 중에서 CVE-2009-0231 과 CVE-2009-0232 관련 취약점 내용은 다음과 같습니다.
CVE-2009-0231 과 CVE-2009-0232는 임베디드 오픈타입 폰트엔진에서 원격 코드 실행이 가능한 취약점이 있습니다.
▶ 영향
- 대상: Windows Server 2008 server core installation을 제외한 거의 모든 버젼에서 영향을 받습니다.
- 내용: 성공적으로 이 취약점을 익스플로잇한 공격자는 원격으로 해당 시스템을 완벽하게 컨트롤할 수 있게 됩니다. 그런 후
프로그램을 설치하고, 데이터를 보고, 변경하고, 지우고, 사용자 권한을 가지고 있는 새로운 계정을 만들 수도 있습니
다. 시스템에서 더 적은 권한을 가지게 설정되어 있는 사용자는 관리자 사용자 권한으로 운영되는 사용자보다 효과 적
을 수가 있을 수 있습니다.
(1) http://www.microsoft.com/technet/security/Bulletin/MS09-029.mspx
2. Critical JavaScript vulnerability in Firefox 3.5
최근 모질라의 웹 브라우저인 파이어폭스에서 심각한 취약점들이 발견되고 있습니다. 그 중에서 지난 주에 발표된 JIT 자바스크립트 컴파일러 관련 취약점은 현재(7월 14일 기준)까지 패치가 발표되지 않았으니 사용자분들의 주의가 필요합니다. 자세한 내용은 다음과 같습니다.
▶ 영향
- 대상: Mozilla Firefox 3.5
- 내용: 이 취약점은 익스플로잇 코드를 포함한 웹페이지를 일반 사용자가 보았을 때, 공격자 공격이 성공 할 수 있습니다.
이 취약점을 막기위해선 임시방편으로 다음과 같은 조치를 취해야 합니다.
1. 브라우저의 주소창에 about:config 로 들어간다.
2. 설정 메뉴에 있는 Filter box에서 jit 항목을 찾는다.
3. javascript.options.jit.content를 더블클릭 해서 False로 설정한다.
이러한 조치를 취하게 되면, 자바스크립트의 실행 속도가 느려질 수 있기 때문에 패치를 하기 전까지만 임시로 이 방법을 사용하기를 권합니다. 패치 이후에는 다시 위의 설정값을 true로 돌려놓습니다.
가. 관련 링크
(1) http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
(2) http://secunia.com/advisories/35798
3. 오프라인으로 확장되는 악성 코드
악성코드가 유포되는 경로가 변하고 있습니다. 그동안은 악성코드가 유포 및 실행이 이메일, 인터넷 게시판등의 온라인상에서 이루어졌지만 이제는 오프라인에서마저 악성코드의 위협으로부터 안전하지가 않다고 합니다. 우리가 일상생활에서 받기 쉬운 우편, 고지서 등의 오프라인 문서에 공격자의 악성코드 유포 사이트 주소를 기재하여, 일반 사용자의 접속을 유도한다고 합니다. 이제 부터는 온라인, 오프라인을 가리지 않고 접속 URL에 대한 주의가 필요할 것입니다.
다음은 오프라인 문서로 유도된 악성코드가 포함된 사이트에 접속한 화면입니다.
가. 관련 링크
(1) http://groups.google.com/group/bugtruck/browse_thread/thread/39c1e9e762d4f617?hl=ko
4. Linux 2.6.30+/SELinux/RHEL5 Test Kernel Local Root Exploit 0day
리눅스 관련 최신 취약점에 대한 익스플로잇이 발표되었습니다. 자세한 내용은 아래 링크를 참조하시기 바랍니다.
가. 관련 링크
(1) http://www.milw0rm.com/exploits/9191
5. Mozilla Firefox 3.5 (Font tags) Remote Heap Spray Exploit
모질라 파이어폭스 관련 최신 취약점에 대한 익스플로잇이 발표되었습니다. 자세한 내용은 아래 링크를 참조하시기 바랍니다.
가. 관련 링크
(1) http://www.milw0rm.com/exploits/9181
1. 트위터 URL 길이제한, XSS 취약점으로 위협 야기
Bit.ly는 대표적인 URL 단축 서비스 중 하나로, 사용자는 이를 통해 사용자는 줄여진 링크를 사용할 수 있습니다. 특히 트위터에서는 글자수가 140자로 제한되어 있기 때문에 긴 웹 주소를 그대로 복사해 붙이면 잘리게 되는 경우가 발생합니다. 따라서 트위터에서는 긴 웹 주소를 짧게 줄여주는 서비스를 이용해 링크를 걸게 되어있는데, http://bit.ly는 긴 웹 주소를 그대로 넣으면 자동으로 주소 길이를 줄여주는 서비스를 제공하여 트위터 이용자들에게 애용되고 있습니다. 예를 들어 http://teamcrak.tistory.com 을 http://bit.ly 에서 트위터를 하면 http://bit.ly/SpGPr 와 같이 짧게 사용할 수 있습니다.
그러나 이 같은 링크 단축 서비스에 대한 우려가 최근 증가 추세에 있습니다. 실제로 URL 단축 서비스 중 하나인 Cligs로 인해 지난 달 220만 개의 URL들이 하나의 웹 페이지로 Redirect 되는 일이 발생하기도 하였습니다. 다행스럽게도 이 웹 페이지는 악성 페이지가 아닌 것으로 확인되었으나 이 사태를 계기로 링크 단축 서비스의 취약점이 새로운 위협을 내재하고 있다는 인식이 확대되었습니다.
특히 bit.ly과 관련된 URL 쿼리 파라미터와 키워드 파라미터의 XSS, 로그인 페이지의 사용자 이름 필드의 PORT XSS, 인포 페이지의 컨텐츠 타입 필드에 지속적으로 나타나는 XSS 등을 실례들어 위험성을 강조했습니다. 예를 들어 "http://127.0.0.1/replay.php?cookie=" 와 같은 주소를 단축하여 사용하면 "http://bit.ly/eMVfV" 와 같이 짧게 사용할 수 있으며 일반 사이트로 인식할 수 있는 위험도 있습니다.
아래 링크를 클릭하시면 자세한 내용을 확인 하실 수 있습니다.
가. 관련 링크
(1) http://www.boannews.com/media/view.asp?idx=16882&kind=1
2. XSS 신규 취약점 발견... 파일 업로드시 주의!
XSS Filename Injection은 파일을 업로드 시, 파일 이름을 검사하지 않는 것을 이용한 우회 방법으로 파일 이름을 XSS 구문으로 생성하여 공격하는 기법입니다. 해당 취약점을 이요한 공격을 차단하기 위해서는 업로드 파일 이름 전체를 검사하는 방식으로 대응해야 합니다. 사실 예전부터 공격자는 Filename을 이용해서 취약점을 유도 했었습니다. 그러나 크게 알려지지 않았던 문제가 제기되며 이슈화 된 것으로 보입니다.
가. 관련 링크
(1) http://www.boannews.com/media/view.asp?idx=16888&kind=0
아래 링크를 클릭하시면 자세한 내용을 확인 하실 수 있습니다.
가. 관련 링크
(1) http://www.avast.co.kr/529
2. 공인인증서, PC에 심어두지 마세요.(금감원 인터넷뱅킹 보안캠페인)
금융위원회와 금융감독원은 다음 달 1일부터 6개월 동안 인터넷뱅킹 이용 공객에게 개인정보 보호 방법을 알리는 '범금융권 고객정보 보호 캠페인'을 진행한다. 이 캠페인은 보안을 위해 만들어진 보안카드를 편의를 위해 스캔을 통해 자신의 컴퓨터에 그림파일로 저장하여 사용하는 등의 인터넷뱅킹 사고가 일어날 수 있는 점에 대해서 예방하자는 취지에서 마련되었습니다.
자세한 내용으로는 아래와 같습니다.
- 공인인증서, 보안카드, 비밀번호 등은 e메일함이나 웹 하드에 보관하지 말아야
- 공인인증서는 USB 메모리, 보안토큰 등 이동식 저장매체에 보관하는 것이 바람직함
- 보안카드는 복사 또는 스캔하지 말고, 오래된 보안카드는 재발급받아야
- 금융거래 ID, 비밀번호는 인터넷 포털사이트와 다르게 설정하고 절대로 타인에게 알려주지 말아야
- 가장 안전하게 인터넷 금융거래를 하려면 OTP 발생기, 보안토큰, 전화승인서비스 이용
- 계좌이체, 공인인증서 재발급 등의 이용 내용을 알려주는 휴대번호 문자서비스 가입이 바람직함
- PC방, 도서관 등 공공장소에서는 가급적 인터넷 금융거래를 하지 말아야
- 예금인출 사고 당한 경우 즉시 금융회사에 신고하고 출금 정지 요청
아래 링크를 클릭하시면 자세한 내용을 확인 하실 수 있습니다.
가. 관련 링크
(1) http://www.donga.com/fbin/output?f=k_s&n=200906290052&main=1
3. MS 무료백신, 보안 테스터서 합격점
MicroSoft의 무료 보안 소프트웨어가 사전 안티바이러스 테스터에서 합격점을 받았습니다. AV테스트 GmbH는 23일 공개된 마이크로소프트 시큐리티 에센셜 베타를 3,200여개의 일반 바이러스와 봇, 트로이목마, 웜 등이 들어가는 윈도우 XP, 비스타, 윈도우 7에서 테스트를 진행하였습니다. 맬웨어는 실제로 컴퓨터를 공격하는 맬웨어 목록인 와일드리스트(WildList) 최신판에서 가져온 것 입니다.
AV 테스트 관리인 안드레아스 막스는 "시큐리티 에센셜이 모든 파일을 적절히 감지하고 치료했다"라며, "다른 여러 안티바이러스 스캐너들이 여전히 맬웨어 감지 및 치료를 못하는 것에 비하면 매우 좋은 결과"라고 밝혔습니다.
아래 링크를 클릭하시면 자세한 내용을 확인 하실 수 있습니다.
가. 관련 링크
(1) http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=57044
4. 트위터 초청장 사칭한 악성 웜 등장... 주의!
시만텍은 최근 새로운 소통의 장으로 주목받고 있는 ‘트위터(Twitter)’를 가장한 악성 웜이 발견돼 사용자들의 주의가 요구된다고 밝혔습니다. 트위터는 무료 소셜 네트워킹 겸 마이크로 블로깅 서비스로 사용자들은 단문 메시지 서비스, 인스턴트 메신저, 이메일 등을 통해 140바이트 한도 내의 문자를 트위터 웹사이트로 보낼 수 있습니다. 시만텍은 지난 달 대규모 스팸 발송을 통한 트위터 관련 피싱 공격에 이어 특정 주소로 한 번에 대량의 이메일을 전송하는 매스 메일링(Mass-mailing)등의 악성 웜을 포함한 허위 트위터 초청장을 탐지했습니다.
아래 링크를 클릭하시면 자세한 내용을 확인 하실 수 있습니다.
가. 관련 링크
(1) http://www.boannews.com/media/view.asp?idx=16712&kind=0
(2) http://www.boannews.com/media/view.asp?idx=16786&kind=0
