[Trend Officescan] 바이러스스캔 정책 백업하기

Trendmicro의 Officescan 서버의 바이러스 스캔 정책을 백업하는 방법을 정리해봅니다.

1. 백업하기
  1) 왼쪽 메뉴바의  Network Computers / Client Management를 선택해줍니다.
  2) 오른쪽 Management 창에서  최상위에 (또는 특정 도메인)  마우스를 클릭하여 커서를 위치시킵니다.
  3) Settings 메뉴의 Export Settings 를 클릭합니다.
  4) 새로 뜬 Export 창에서  [Export]버튼을 클릭하여  정책파일을 저장합니다.

2. 정책파일로 부터 적용하기
  1) 왼쪽 메뉴바의  Network Computers / Client Management를 선택해줍니다.
  2) 오른쪽 Management 창에서  최상위에 (또는 특정 도메인)  마우스를 클릭하여 커서를 위치시킵니다.
  3) Settings 메뉴의 Import Settings 를 클릭합니다.
  4) 백업받아두었던 정책파일을 적용합니다.
사용자 삽입 이미지

사용자 삽입 이미지

Adobe 긴급 보안업데이트 발표 (2009.6.9)

▶ 업데이트 내역
Adobe Acrobat과 Adove Reader의 ‘긴급’ 취약점 13개 처리를 위한 보안 업데이트
  이번 업데이트로 처리되는 13개 버그는 다수의 힙 오버플로우 취약점들과 JBIG2 필터의 메모리 손상 버그들이다. 특히 스택 오버플로우 취약점(관련 업데이트 : CVE-2009-1855)과 다수의 힙 오버플로우 취약점(관련 업데이트 : CVE-2009-1861)은 코드 실행을 유발할 수 있다고 합니다.
업데이트 페이지: 
adobe reader 업데이트 페이지
▶  업데이트를 해야하는 클라이언트 조건
– 어도비 리더 9.1을 포함한 이전 버전
– 어도비 아크로뱃 스탠다드/프로/ 프로 익스텐elem 9.1.1 및 이전 버전 등
▶  Adobe의 늦장 대응
  취약점이 알려지고 나서 바로 대응하지 못해서  비난을 받은 바 있습니다.  어도비는 이미 지난 2월부터 레거시 코드(legacy code)뿐만 아니라 자사 보안 코드 개발 과정의 일부인 새로운 코드들을 재검토하기 시작했다고 합니다. 그러나 보안 이슈는 계속 이어졌고  “어도비 제품을 이용하지 말자”는 비난까지 이어져 업체 평판에 심각한 타격을 입기도 했습니다.
▶  Adobe의 향후 업데이트 정책
  Adobe는 앞으로 분기별 업데이트를 제공하기도 했으며   애플리케이션 개발 과정에서의 코딩 프로세스를 강화하기로 했습니다.  이에 지난 5월 이 업체는 사건 대응 강화, 분기별 패치, 개발 프로세스에서의 변화 등 보안 강화를 위한 세 갈래 정책을 발표했으며, 그 결과  그 첫 분기별 보안 업데이트가 지난 9일 배포된 것이라 할 수 있습니다.

Confiker 웜바이러스 어떻게 대응하나

Confiker  웜바이러스는 현재까지는 역대최강의 바이러스라 할만 합니다.

2008년 11월에 등장한 이래로  변형을 거듭하며  그 어느웜보다 많은 컴퓨터를 감염시켰고
요즘들어 잠잠한듯 보이지만  아직도 왕성히 활동하는 매우 어려운 바이러스입니다.
Confiker 네트웍이 구축되어 있으며 스스로를 업데이트하는 지능형 웜바이러스 네트웍이죠..
까다로운 신기술이 다수 적용되어 있으며  심지어 암호화통신으로 새로운 명령들을 전달합니다.
  올해 2월쯤 Confiker때문에 많이 고생했더랬습니다. 보안패치를 했는데도.. 백신업데이트가 다 되어있는데도 Confiker는 쉽게 사그러들지 않더군요..  예약작업을 원격으로 생성해서 돌게 하는 것은 처음 보는 형태였었고 유명 백신사에서도 대응하는데 며칠 거리는것을 보면서 대단한 웜이라는 생각을 갖게 되었었습니다.  
SIS2009에서의 첫 세션이 Confiker 대응에 관한 것이라는 것도  의미해주는바가 큽니다.
SIS200에서 들었던 내용을 정리하고  도식화해본 것입니다. (일부는 제가 추가했죠.. )
아래처럼 하면  다소나마 대응이 된다고 할 수있겠습니다.
사용자 삽입 이미지

2009-06 MS 보안패치 내역

    6월 Microsoft 보안패치가 발표되었습니다.  이번엔 긴급이 정말 많습니다.  그동안 미루었던 서버들에 대한 보안패치도 이번달에는 하셔야할 듯합니다.  하나같이  원격코드를 실행할수있다고 하는 군요..  ㅠㅠ
               긴급  ▲ , 중요 △ ,보통 ▽ , 재시작 ◐
MS09-018    Active Directory 취약점으로 인한 원격 코드 실행 문제점 (971055) ▲ ◐

     보안 업데이트는 비공개적으로 보고된 취약점 2건을 해결합니다. 취약점은 Active Directory  ADAM(Active Directory Application Mode)에서 발견되었습니다. 가장 심각한 취약점은 서비스 거부 조건을 허용할 있습니다. 취약점을 악용한 공격자는 영향을 받는 시스템을 원격으로 완전히 제어할 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 있을 아니라 데이터를 보거나 변경하거나 삭제할 있고 모든 사용자 권한이 있는 계정을 만들 수도 있습니다.
     
MS09-022   Windows 인쇄 스풀러 취약점으로 인한 원격 코드 실행 문제점 (961501)  ▲ ◐

   이 보안 업데이트는 Windows 인쇄 스풀러에서 이전에 비공개적으로 보고되었던 취약점 3건을 해결합니다. 가장 심각한 취약점은 영향을 받는 서버가 특수하게 조작된 RPC 요청을 받는 경우 원격 코드 실행을 허용할 있습니다. 

MS09-019    Internet Explorer 누적 보안 업데이트 (969897)  ▲ ◐

    보안 업데이트는 Internet Explorer 대해 비공개적으로 보고된 취약점 7건과 공개된 취약점 1건을 해결합니다. 가장 심각한 취약점은 사용자가 Internet Explorer 사용하여 특수하게 조작된 페이지를 경우 원격 코드 실행을 허용할 있습니다.

MS09-027    Microsoft Office Word 취약점으로 인한 원격 코드 실행 문제점 (969514) ▲ ◐

    보안 업데이트는 비공개적으로 보고된 취약점 2건을 해결합니다. 사용자가 특수하게 조작된 Word 파일을 열면 이러한 취약점을 통해 원격 코드 실행이 허용될 있습니다. 취약점 악용에 성공한 공격자는 영향을 받는 시스템을 완벽히 제어할 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 있을 아니라 데이터를 보거나 변경하거나 삭제할 있고 모든 사용자 권한이 있는 계정을 만들 수도 있습니다.

MS09-021    Microsoft Office Excel의 취약점으로 인한 원격 코드 실행 문제점 (969462)  ▲ ◐

    보안 업데이트는 비공개적으로 보고된 취약점 2건을 해결합니다. 사용자가 특수하게 조작된 Word 파일을 열면 이러한 취약점을 통해 원격 코드 실행이 허용될 있습니다. 취약점 악용에 성공한 공격자는 영향을 받는 시스템을 완벽히 제어할 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 있을 아니라 데이터를 보거나 변경하거나 삭제할 있고 모든 사용자 권한이 있는 계정을 만들 수도 있습니다.

MS09-024    Microsoft Works 변환기의 취약점으로 인한 원격 코드 실행 문제점 (957632)  ▲ ◐

    보안 업데이트는 비공개적으로 보고된 Microsoft Office 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 Works 파일을 경우 원격 코드 실행이 허용될 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 있습니다

MS09-026    RPC의 취약점으로 인한 권한 상승 문제점 (970238)  △ ◐

    보안 업데이트는 RPC 마샬링 엔진이 내부 상태를 적절히 업데이트하지 않는 Windows RPC(원격 프로시저 호출) 기능의 공개된 취약점을 해결합니다. 취약점으로 인해 공격자는 영향 받은 시스템에서 임의 코드를 실행하고 시스템을 완전하게 제어할 있게 됩니다. 지원되는 Microsoft Windows 에디션에는 취약점이 악용될 영향을 받는 RPC 서버 또는 클라이언트가 포함되어 있지 않습니다. 기본 구성에서는 취약점의 악용되어도 사용자는 공격을 받지 않지만 Microsoft Windows RPC 런타임에 취약점이 있어 타사 RPC 응용 프로그램에 영향을 미칠 있습니다.

MS09-025    Windows 커널의 취약점으로 인한 권한 상승 문제점 (968537) △ ◐

     보안 업데이트는 권한 상승을 허용할 있는 Windows 커널의 공개된 취약점 2건과 비공개적으로 보고된 취약점 2건을 해결합니다. 취약점 악용에 성공한 공격자는 임의 코드를 실행하여 영향을 받는 시스템을 완전히 제어할 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 있을 아니라 데이터를 보거나 변경하거나 삭제할 있고 모든 사용자 권한이 있는 계정을 만들 수도 있습니다. 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 취약점을 악용할 없습니다

MS09-020    IIS(인터넷 정보 서비스)의 취약점으로 인한 권한 상승 문제점 (970483) △ ◐
     보안 업데이트는 Microsoft IIS(인터넷 정보 서비스) 일반에 공개된 취약점 1건과 비공개적으로 보고된 취약점 1건을 해결합니다. 이러한 취약점이 있을 공격자가 인증을 요구하는 사이트에 특수하게 조작된 HTTP 요청을 보낸 경우 권한이 상승될 있습니다. 특수하게 조작된 HTTP 요청은 허용되는 인증을 지정하는 IIS 구성을 우회할 있지만 지정된 사용자가 파일에 액세스할 있는지 여부를 확인하는 파일 시스템 기반 ACL 검사는 우회할 없습니다. 취약점의 악용에 성공해도 공격자의 권한은 여전히 파일 시스템 ACL 수준의 익명 사용자 계정으로 제한됩니다.

MS09-023    Windows 검색의 취약점으로 인한 정보 유출 문제점 (963093)  ▽ ◐

   보안 업데이트는 비공개적으로 보고된 Windows 검색의 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 파일을 첫 번째 결과로 반환하는 검색을 수행하거나 검색 결과에서 특수하게 조작된 파일을 미리 볼 경우 정보 유출이 발생할 수 있습니다. 기본적으로 Windows 검색 구성 요소는 Microsoft Windows XP 및 Windows Server 2003에 사전 설치되지 않으며 다운로드할 수 있는 선택적 구성 요소입니다.   Windows Vista,  Windows Server 2008 는 영향받지 않습니다.


[AD계정감사정책] 권한관리 감사를 위한 AD정책세팅

  AD는 강력한 중앙관리를 제공하는 MS의 디렉토리 서비스입니다.
수많은 기업에서 사용하고 있지요…   중앙관리라는 면에 있어서.. 정말 좋습니다.
하지만 내부에서 이루어지는 많은 일들에 대해서 감사하는 것은  너무 단순한듯합니다.
인터페이스도 그렇고 감사수준도 그렇습니다.

  AD상에선 특정 보안그룹의 유저들에게  중요권한을 제공하여서  권한을 행사할수있도록 할수있습니다.
예를 들자면  특정 사업부의 유저그룹과  관리자그룹을  OU (AD상의 권한관리를 위한 카테고리) 내에 생성하여
관리자 그룹에게 해당 OU 내의  그룹에 해당하는 유저들을 추가하거나 제거하도록 권한을 위임할수있습니다.
이렇게 함으로써  좀더 현장에서 기민하게  필요한 권한을 부여하거나 제거하도록 도울수있습니다.
제 경우엔  권한위임을 할때 모든 활동은 감사되며 기록에 남는다고 경고하고 있지요..

  이런 권한부여작업이 제대로 되고 있는지 감사하지 않는다면  보다 더 큰 보안위협이 발생할수있죠..
따라서 이럴땐 AD상에 적절한 보안권한을 설정해 두고 있어야 합니다.
이 글에선 어떻게 감사정책을 설정하는지와  어떻게 확인하는지 정리해보도록 하겠습니다.

아래의 작업은 DC에서 이루어져야하며   감사로그도 DC에서 가능하다는 것을 알려드립니다.

1. 모든 DC에서 Domain Controller Security 를 이용하여  계정관리를 감사하겠다고 설정한다.
   –  모든 프로그램/  관리도구 / Domain Controller Security Setting 을 연다.
   –  Local Policies / Audit Policy 항목으로 이동
   –  Audit account management 를 Success로 세팅한다.
        (실패로는 권한이 없는 사람이 시도한 것을 나타내고  성공은 권한있는 사람이 작업한 이력을 보여줌)
사용자 삽입 이미지
2. dsa.msc를 이용하여 도메인 보안그룹에 유저를 추가하거나 제거한다.
      –  혹은 사전에 제작한 Taskpad를 활용하여 그룹관리를 시행한다.

3. 이벤트로그를 열어서  계정관리 로그를 확인한다.
      –  이벤트뷰어의 Security 항목을 연다.
      –  category중  Account management 라고 된 부분을 찾는다.
      –  이벤트코드: 633은 그룹의 멤버에서 유저를 제거한것  632는 유저를 추가한 것이다.
      –  user 란엔 실제로 이 작업을 한 주체가 누구인지 표시가 된다.       
사용자 삽입 이미지

Trendmicro Officescan 쿼런틴에 들어간 파일 복원하기

  원하지 않는 정상적인 파일이 바이러스로 인식되어서 쿼런틴으로 옮겨질 수있습니다. 이런 경우  복구하는 과정에 대해 적어봅니다.

▶ 쿼런틴으로 옮겨진 파일의 위치
   client 내: Trend Micro\OfficeScan Client\Suspect
   서버 내:   OfficeScan\PCCSRV\Admin\Utility\VSEncrypt

▶ 복원에 필요한 도구 준비
복원도구가 필요한 이유는  쿼런틴에 들어갈때  파일이 암호화되어 저장되기 때문에 
  VSEncode.exe
   Vsapi32.dll
Officescan 중앙관리 서버에 위치  ( OfficeScan\PCCSRV\Admin\Utility\VSEncrypt  폴더  )

▶ 복원 과정
1. 복원하고자 파일이 복원하고자 하는 컴퓨터의 OfficeScan Client\SUSPECT 폴더 있어야 합니다  
   (서버의 쿼런틴으로 옮겨진 경우  클라언트의 suspect폴더로  옮겨주세요)
2. c:\temp와 같은 임의의 폴더에 아래 파일을 복사해 오셔서 명령프롬프트 창에서 실행하시면 됩니다.
·         주 파일: VSEncode.exe
·         필수 DLL 파일: Vsapi32.dll

3. 명령 프롬프트를 열고 VSEncrypt 폴더를 복사한 위치로 이동  
    c:\>cd temp
4. 다음 매개 변수를 사용하여 암호화된 바이러스 복원을 실행
 
-d: Suspect 폴더의 파일을  복호화합니다.
 /f  {filename}: 특정 파일을 복호화합니다.
옵션이 없으면 Suspect 폴더의 파일들을 암호화합니다.

    c:\temp>vsencode.exe -d  (모든 파일이 복원됩니다.)
    –> 별도의 메시지는 뜨지 않으며  복원이 잘 될 경우  파일의 만들어진 날짜가  최신으로 변경됩니다.

트렌드의 참고 URL:
http://esupport.trendmicro.com/4/Restoring-quarantined-files-in-OfficeScan-80.aspx?print=true

[Mcafee 삭제] frminst.exe 이용하여 삭제하기

백신들은 설치되고 나면  삭제를 함부로 할수없도록 되어있는 경우가 많습니다.
Mcafee 백신을 최근 테스트를 하고있는데..  삭제가 상당히 어렵더군요…. 
프로세스 보호기능을 적용해두어서인지…  ^^

제어판에서 삭제를 하면 Virusprotect는 삭제되지만  Mcafee agent는 삭제되지않습니다.
강제로 삭제를 하게되면 (process유틸이나  unlocker동원)  삭제야 가능하지만
다시 설치하거나 할때 제대로 설치가 안되게 됩니다.

삭제할때는 반드시 아래의 명령을 통해서 삭제해주세요
frminst.exe  /forceuninstall

[커맨드] 도메인 정책을 컴퓨터에 즉시 적용하려면

▶ 도메인 정책을  컴퓨터에 즉시 적용하려면

AD를 운영해보면  도메인정책이 서버나 컴퓨터에 바로 적용이 안되기때문에 답답한 경우를 경험합니다.  지금 바로  도메인 정책을 적용하고자 할때  다음과 같이 하시면 됩니다.

관련 URL: http://support.microsoft.com/kb/601499/ko

 ● 윈도우XP/ 비스타/  윈도우2003/ 윈도우2008에서
커맨드에서 아래의 명령을 실행하면  즉시 도메인으로부터 정책을 받아옵니다.
  gpupdate /force  

 ● 윈도우2000
커맨드에서 아래의 명령을 실행하면  즉시 도메인으로부터 정책을 받아옵니다.
  secedit /refreshpolicy machine_policy  /enforce   (컴퓨터정책)
  secedit /refreshpolicy user_policy /enforce (사용자정책)

▶ 도메인 정책을  잘 받아왔는지 확인하고 싶다면..

잘 받아왔는지 확인할 방법이 필요하겠죠? ^^
gpresult.exe로  RSoP(정책결과집합)을 확인할 수 있다.
 gpresult 
관련 URL:  http://technet.microsoft.com/ko-kr/library/cc756960.aspx

구문
Gpresult [/s computer [/u domain\user /p password]] [/user TargetUserName] [/scope {user|computer}] [/v] [/z]
예제
gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /z >policy.txt

Confiker.B 웜 바이러스 대책

원문참조: http://support.microsoft.com/kb/962007

▶ 감염현상
1. 계정잠금정책이 실행될 수 있음
2. 자동업데이트, BITS, Windows Defender및 오류보고서비스가 disable 될 수 있음
3. DC가 클라이언트 요청에 느리게 응답할수 있음
4. 네트웍 정체
5. 다양한 보안관련 웹사이트에 액세스할 수 없음

▶ 감염경로
1. MS08-067 취약성 위용 (보안업데이트 KB958644 안되어 있으면 감염)
2. 네트웍 공유 사용 (관리공유)
3. Autorun 기능 사용

▶ 예방조치
1. 보안업데이트 KB958644 설치후 리부팅
2. 아래 레지스트리의 하위키에 대한 쓰기권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
3. %windir%\tasks 폴더에 대한 쓰기 권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
4. 자동 실행 기능이 사용되지 않도록 설정 (autorun.inf의 실행방지)

▶ 바이러스 제거
1. 로컬계정을 사용하여 시스템에 로그온 하라  (도메인계정을 사용하여 시스템 로그온하지 말것)
    웜은 로그온된 사용자 자격증명을 사용하여 로그온한 사용자를 가장하여 네트웍 리소스에 액세스한다.
2. 서버 서비스를 중지  (이 경우 업무용으로 제공되는 서비스가 있다면  실행하지 말것, 모든 공유가 중단됨)
3. 모든 AT생성 예약작업을 제거 (커맨드: AT / Delete / Yes )
4. 작업 스케쥴러 서비스를 중지
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule에서 Start DWORD를 4로 수정
   -> 이것도 역시 시스템관리용 또는 업무용으로 스케줄 작업을 사용중이라면 사용하지 말것
5. 보안업데이트 설치  KB958644  (MS08-067)
  http://www.microsoft.com/korea/technet/security/bulletin/Ms08-067.mspx
6. local admin 및 Domain admin암호를 강력한 새암호로 재 설정
  http://technet.microsoft.com/ko-kr/library/cc875814.aspx
7. Svchost의 레지스트리 항목에 들어와 있는 맬웨어 코드 제거및 권한설정
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
   위 레지스트리 항목의 netsvcs 항목을 수정합니다. confiker.b웜이 무작위한 서비스 이름을 넣어둔 것 제거
   위 레지스트리 항목에 대한 사용권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
8. 레지스트리의 Run 하위 키에서 맬웨어 서비스 항목을 제거
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
9. 시스템 드라이브에 autorun.inf 파일이 있는지 확인하여 제거
10. 시스템 리부팅
11. 숨김파일을 보이게 설정
  
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
12. 맬웨어에 대한 참조된 DLL 파일을 삭제

▶ 시스템 보안설정 보강
1. Autorun 기능 해제
     패치 953252 설치:  http://support.microsoft.com/kb/953252/
2. 탐색기 원격코드 실행 방지를 위한 패치
     패치 950582 설치:    http://support.microsoft.com/kb/950582/
3. 로컬관리자 계정을 사용하지 않도록 설정

 

악성PDF를 열면 해킹을 당할수있습니다.

확실히 어플리케이션 취약점을 이용한 공격이 많이 늘어나고 있는 것 같습니다.
시만텍에서 발견하여  어도비측과 함께 공동대응을 하고 있다고 합니다.
하지만 어도비의 패치가 나오려면  아직도 약 2주 가까운 시간이 더 소요될 예정이어서
사용자들의 각별한 주의가 요구되고 있습니다.

 ▶ 공격의 특징
이 취약점을 악용한 공격은 백도어를 설치하는데   이 백도어는 GH0ST.라고 알려진 중국발 오픈 소스 툴킷을 이용하여   공격자로 하여금  해킹된 시스템의 데스크톱을  확인하거나 키스트로크를 기록하며 원격에서 시스템에 액세스할 수 있도록 한다고 합니다.

▶ 어도비의 보안권고사항
 어도비의 보안권고사항 사이트:
http://www.adobe.com/support/security/advisories/apsa09-01.html

사용자 삽입 이미지
▶ 어도비 리더에서 자바스크립트 비활성화 시키기
1.어도비 리더  편집메뉴의   기본설정 클릭한다.
 사용자 삽입 이미지

2. JavaScript 범주의 Acrobat JavaScript 사용가능항목 체크해제
사용자 삽입 이미지