2090 바이러스에 대한 예방과 조치

2090바이러스에 대해 매스컴에서 크게 보도되면서 불안감이 확산되었더랬습니다.
윈도우 취약점 MS08-067 을 이용하여 전파되는 강력한 웜이라고 할 수있는데…
실제보다 더 부풀려져서  전파되는 바람에  공포감 마저….

2090바이러스의 영향력은 적어지는 듯 하지만  그 대응방법은 여전히 유효합니다.
변종이 아직 나오고 있고  다른 웜에 대한 좋은 대응도 되므로 다시 정리해보았습니다.

1. 2090 웜 바이러스의 증상
1) 시스템 시간을 2090년 1월 1일 오전 10시로 바꾼다.
2) 시스템 폴더 아래 system.exe란 파일을 만들어 악성코드가 실행됨
3) 숫자로 이루어진 파일을 랜덤하게 무한 생성한다. (예. 81714.sys, 107.exe등…)
4) 시스템이 멈추거나 강제 재부팅된다.
5) 재 부팅후 로그인이 정상적으로 진행되지 않고 무한반복 시도현상이 나타난다
6) 블루스크린 현상이 나타난다.
7) 네트웍에 과부하를 초래한다. (TCP 445포트 스캔과 동일 네트웍에 대한 ping)

2. 2090 웜 바이러스의 전파방법
1) 윈도우 보안취약점 (MS08-067)을 통해 네트웍으로 전파
2) USB를 통해서 감염 ( autorun.inf 이용 )

3. 2090 웜 바이러스의 예방 및 조치 (기타 웜에도 효과적입니다.)
 1) 윈도우 보안패치 확인 및 설치 (MS08-067)
 – 아래 링크 클릭하여 보안패치를 빠짐없이 설치해주세요 (정보보호진흥원의 PC Smile 설치)
  << 보안업데이트 확인 프로그램 다운받기 >>

2) 2090 바이러스를 위한 전용백신 설치 및 치료  (감염이 의심되면 전용백신을 즉시 설치해서 치료해주세요)
– 전용 백신 다운로드 << http://security.eland.co.kr/pds/v3aimbot.exe >>
– 안철수 바이러스 연구소의 설명보기 << 설명 보기 >>

3) 자동실행기능 끄기 (USB 나 CD롬의 자동실행 기능을 꺼두세요)
– 국정원에서 배포하는 USBguard 설치 
<<  다운로드: usb guard.exe >>    <<  다운로드: usb guard.zip >>
– USBguard 설명보기
[Usb guard] 국정원에서 배포한 USB바이러스 방지툴

 

윈도우즈 도메인통신을 위해 오픈해야할 서비스포트들

ISA VPN설정시  윈도우즈 VPN 클라이언트가 도메인통신을 하기위해 오픈해야 하는 기본 포트들입니다.
타 방화벽을 설정하는데도  유용하게 쓰일 리스트라서.. 정리해봅니다.
아래 포트가 열리면 클라이언트를 도메인에 가입시킬 수 있으며  공유폴더에 접근하게 할수있습니다.
(아래 리스트는 ISA 서버에서 시스템 통신포트로 정리되어 있던 것입니다)

*Allow access to Directory Services for Authentication
LDAP (UDP)                              389  UDP Send Receive 
LDAP GC (Global Catalog)         3268 TCP  Out
LDAP                                        389  TCP  Out
LDAPS GC (Global Catalog)       3269 TCP  Out
LDAPS                                      636  TCP  Out

*Allow Microsoft CIFS
Microsoft CIFS (TCP)                445 TCP Out
Microsoft CIFS (UDP)                445 UDP Receive

* Allow Netbios & Wins
Netbios Datagram                      138  UDP Send
Netbios Name Service                137  UDP Send Receive
Netbios Name Service                137  TCP out
Netbios Session                       139  TCP Out
Wins                                      1512 TCP out
Wins                                      1512 UDP Send Receive  

* Allow RPC
RPC (all interfaces)                 135  TCP Out
RPC endpoint mapper              135 UDP Send Receive

* Allow Kerberos Authentication
Kerberos-sec (TCP)                 88  TCP Out
Kerberos-sec (UDP)                 88  UDP  Send Receive

개발자가 피해야 할 최악의 프로그래밍 에러 TOP 25

원문링크: http://www.sans.org/top25errors/#cat1
              http://www.boannews.com/media/view.asp?idx=13727&kind=0
              http://cwe.mitre.org/top25/

  SANS와 미트리(MITRE Corp.)가 주관한 프로젝트 ‘에러 탑 25(The Top 25 Errors)’는 보안 버그로 이어지며 사이버 스파이 행위 및 사이버 범죄를 가능케 하는 프로그래밍 에러를 선정해 벤더들이 소프트웨어가 판매되거나 설치되기 전에 에러를 제거하고자 하는 목적으로 진행되었습니다.

PDF 문서 << 링크 >>
이 보고서는 프로그래밍 에러를 크게 세 부분으로 나누고 있습니다.
C1. Insecure Interaction Between Components:  (9 error)
CWE-20: Improper Input Validation
CWE-116: Improper Encoding or Escaping of Output
CWE-89: Failure to Preserve SQL Query Structure (aka ‘SQL Injection’)
CWE-79: Failure to Preserve Web Page Structure (aka ‘Cross-site Scripting’)
CWE-78: Failure to Preserve OS Command Structure (aka ‘OS Command Injection’)
CWE-319: Cleartext Transmission of Sensitive Information
CWE-352: Cross-Site Request Forgery (CSRF)
CWE-362: Race Condition
CWE-209: Error Message Information Leak

C2. Risky Resource Management:  (9 error)
CWE-119: Failure to Constrain Operations within the Bounds of a Memory Buffer
CWE-642: External Control of Critical State Data
CWE-73: External Control of File Name or Path
CWE-426: Untrusted Search Path
CWE-94: Failure to Control Generation of Code (aka ‘Code Injection’)
CWE-494: Download of Code Without Integrity Check
CWE-404: Improper Resource Shutdown or Release
CWE-665: Improper Initialization
CWE-682: Incorrect Calculation

C3. Porous Defenses (7 error)   (사용자 보안 확인과 인증 절차에서의 취약점)
CWE-285: Improper Access Control (Authorization)
CWE-327: Use of a Broken or Risky Cryptographic Algorithm
CWE-259: Hard-Coded Password
CWE-732: Insecure Permission Assignment for Critical Resource
CWE-330: Use of Insufficiently Random Values
CWE-250: Execution with Unnecessary Privileges
CWE-602: Client-Side Enforcement of Server-Side Security

이 번 조사의 공동 주관 단체인 SANS는 이 보고서가 취약점을 생성하는 개발자들에 의한 실제 프로그래밍 에러에 초점을 맞췄다고 언급했습니다.  SANS 소장 메이슨 브라운(Mason Brown)은 “이제 (프로그래밍 에러들을) 수정할 때가 왔다”며 “우선, 모든 프로그래머들이 에러 탑 25에서 벗어난 코드를 작성하는 법을 알아야만 하며, 모든 프로그래밍 팀은 문제를 발견하고 수정, 또는 피할 수 있는 프로세스를 갖추고 이러한 에러들로부터 벗어난 그들의 코드를 인증하기 위한 툴을 갖춰야만 한다”고  말했다고 합니다.

MS08-067 취약점 이용한 콘피커.173318 웜 확산

뉴스출처: 안철수연구소
안철수연구소(대표 김홍선 www.ahnlab.com)는 이동식 디스크인 USB 등 다양한 경로로 전파돼 인터넷 장애를 유발하는 악성코드인 콘피커 웜 변형(Win32/Conficker.worm.173318)이 7일 오전부터 급속 확산되고 있다고 8일 경고했습니다.  조시행 안철수연구소 시큐리티대응센터 상무는 “현재 MS08-067 취약점을 이용한 악성코드는 현재 20개가 넘게 발견되었다. 주로 인터넷 장애를 유발하므로 피해 범위가 광범위하다. PC 사용자 모두 보안 패치 설치와 보안 제품 사용 등을 생활화해야 피해를 막을 수 있다”고 강조했습니다.
안철수연구소의 전용 백신 다운로드: (http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1)

콘피커.173318 웜이란?
MS사의 운영체제인 윈도의 MS08-067 취약점을 악용한 악성코드로 원형은 지난해 10월에 발견되었습니다.
‘콘피커.173318 웜’에 감염되면 네트워크 트래픽에 과부하가 발생해 인터넷 속도가 느려지게 됩니다.
보안 업체나 MS사 등의 웹사이트 접속이 안 되기도 한다. 또한 백신의 진단·치료를 회피하기 위해 컴퓨터의 실행 프로세스를 변경하며, 웜 파일이 삭제되지 않도록 보안 설정을 변경해 일부 백신의 진단·치료 기능을 무력화시킵니다.

콘피커.173318 웜의 전파 경로
1. MS08-067 취약점이 있는 컴퓨터를 원격으로 찾아 감염시킵니다.
2. USB 사용을 통해 감염됩니다.
3. 특정 폴더(관리 목적의 공유 폴더)를 통해서도 전파됩니다.
    11111, abc123, admin 등 다양한 패스워드를 대입하는 방식으로 관리자 권한을 얻어 해당 폴더에 자신을 복사한다.

콘피커.173318 웜의 대응책
1. MS08-067에 대한 보안 패치를 설치해야 합니다.  보안패치 KB958644가 설치되어 있는지 점검해주세요
   제어판의 프로그램 추가/제거에 들어가시면 아래처럼 설치된 것을 확인할 수있습니다.
   혹 설치가 안되어 있다면 다음 링크에서 다운받아서 설치해주세요  << KB958644 다운로드 >>
사용자 삽입 이미지
2. PC 로그인 패스워드를 예상하기 어려운 복잡한 조합으로 설정해둡니다.
3. 네트워크 방화벽이나 PC 방화벽에서 445번 포트를 차단하는 것이 필요합니다.
4. USB 자동실행을 될수있으면 막아두는 것도 좋은 방법입니다.
   국정원에서 배포했던 USB바이러스 방지툴을 권해드립니다.
   전에 포스팅했던 소개글을 읽어보세요  <<  국정원에서 배포한 USB 바이러스 방지툴 >>

FCS (Forefront Client Security) 최신 패턴 다운로드받기

   최근 FCS를 테스트하고 있는 중인데요..  FCS는 AD인프라를 통해 업데이트가 되기때문에  설치후  최신패턴으로 업데이트되는데 사실상 하루가 필요합니다.   왜냐하면 SUS를 통해 엔진및 패턴이 업데이트되기 때문입니다. SUS의 특성상 하루에 한번씩 업데이트하게 되어 있는데  이 업데이트 타임에  FCS업데이트도 이루어지게 됩니다.

   결국 설치 직후 하루정도는 안전하지 않다는 것이죠.. 그래서 FCS 설치 후 즉시 패턴 업데이트를 수동으로 해주어야 합니다. 최초 배포될때  최신의 엔진으로  설치될수있도록  자동화해주는 작업이 필수적인데  … 말이죠   아쉬운 부분입니다.    바이러스 진단을  우수한 편이라는 생각이 듭니다. 제가 사용하던 T사의 O제품에서 치료못하던 USB바이러스를 즉각 치료하더군요…

최신 FCS 패턴을 다운로드 할수있는 URL을 소개합니다.
  http://www.microsoft.com/security/portal/encyclopedia.aspx

사용자 삽입 이미지

FCS (Forefront Client Security ) 테스트 시작하다

  그동안 T모사의 백신을 사용했더랬습니다. 나름 관리하기에 수월하고 웜에 강한 면모를 보여 잘 사용했더랬습니다.  그런데  이게말이죠..  USB바이러스에 유독 약한 면모를 보이더니   몇달전엔  엑셀매크로 바이러스가 사내에 널리 퍼지는데도   조치가 잘 안되는  어려움을 당해야 했습니다.

  새로운 백신을 테스트하고자 했고  최근 Microsoft의 FCS (Forefront Client Security) 를 사용해보기로 했습니다.  Microsoft와  파트너사의 도움을 받아서  FCS를 몇달간 테스트하게 되었습니다.  외산 백신의 경우 국내에 연구인력이 없거나 매우 부족한 경우가 많고  국내 백신의 경우엔  다양한 해외의 변종바이러스들의 유입에 다소 약한 면이 있었기 때문에 많은 고민이 있었습니다.

   Microsoft의 백신을 사용해보고자 한 것은  Microsoft의 풍부한 리소스 탓도 있었고  오탐의 최소화가 가능할 것이며   Abnormal한 바이러스 공격을 가장 잘 구분할수있을거라는 기대 때문이었습니다.  물론 실재로 그런지는 몇달후에 판단해야 할 것입니다.

 FCS를 사용하는 동안 아래의 사항들을 점검해 보려고 합니다.

   1. 중앙관리의 편리성과 정책 배포의 정확성
   2. 백신패턴 업데이트의 신속성과  배포율
   3. 백신클라이언트의  치료율
   4. 신규 바이러스에 대한 대응의 신속성
   5. 클라이언트의 수행  퍼포먼스

지금까지 느낀 FCS의 특징은 ?
1. 가볍다.
   음 사용한지 얼마되지는 않았지만  매우 가벼운 편이라는 생각이 듭니다. 백신치고는 말이죠…
하지만 인터페이스는 매우 단순합니다.  어디서 많이 보던 인터페이스입니다.   비스타에도 들어있는 윈도우 디펜더가 바로  이 FCS입니다.
사용자 삽입 이미지
2. 서버 관리콘솔이 일목요연해 보이지 않는다.
   FCS 서버의 관리 콘솔입니다. 백신서버의 콘솔치고는 초기 대시화면이 좀 약해 보입니다.  뭔가 전체 상황을 직관적으로 모니터링하기엔 좀 약하다는 느낌이 듭니다. 개선이 필요한 부분입니다. 어떤 공격이 많이 들어오고 있는지  어떤 취약점이 있는지 한눈에 들어오지 않습니다.
사용자 삽입 이미지
3. 세부 항목에 들어가 보면 상당히 상세한 정보를 제공한다.
  이 화면은 security summary화면입니다.  MS SQL2005의 리포팅서비스를 이용하기 때문에 비쥬얼한 보고서를 보실수있습니다.  드릴다운 하시다보면  정말 많은 보고서를 접할 수 있습니다. 
사용자 삽입 이미지
4. 클라이언트 시스템들의 취약점 관리가 가능하다
   FCS에는 MBSA구성요소도 포함되어 있기 때문에  기존의 다른 백신과 달리 윈도우 시스템 취약점을 중앙에서 모니터링하여  취약점을 줄이는 노력을 할수 있게 됩니다.   이건 점수를 잘 줄수 있는 부분이네요..

5. 배포가 간편하다.
   이것은 Microsoft Active Directory를 사용했을 때의 이야기입니다.  OU를 이용하여 간편하게 배포하는 것이 가능합니다. 사실 백신의 배포는 쉬운 일이 아니거든요..  AD를 사용하시는 기업이라면 충분히 메리트를 느낄만한 부분입니다.  FCS 클라이언트는   WSUS서버로 부터 엔진및 패턴 업데이트를 받게 되는데  업데이트의 정확성및 신속성을  보장하기 위해  MOM에이전트까지 탑재되어 있습니다. 

  첫 인상이 나쁘지는 않습니다.  ^^  몇달간 충분히 테스트해보면서   향후 거취를 결정하려고 합니다.  

[보안패치] 마이크로소프트 MS08-067 최고긴급 보안패치 발표

마이크로소프트의 영업담당으로부터 긴급메일이 날아왔습니다.
내용은 아래와 같았습니다.  최고긴급이란 remark까지 달아왔더군요.. 
급하긴 급한듯합니다.  최대한 빨리 보안패치를 설치하시는 것이 좋을 것 같습니다.
웜공격이 가능하다고 하니  더욱 긴장되는 군여…

————————————————————–









10 24일에 1개의 최고보안등급의 보안패치가 발표되었습니다.

 

[MS08-067 서버 서비스의 원격코드실행 취약성 고객 가이드]

   원격코드실행 보안취약성에 대한 악의적 목적의 Warm Code 있을 경우 치명적인 서버 서비스 마비가 있을 있습니다따라서, 해당 보안패치를 긴급히 설치하시기 바랍니다.

 

공지 번호

심각도

영향을 받는 제품

영향

MS08-067

긴급

Windows
2000, Windows XP, Windows Server 2003:
최고 긴급

Windows Vista, Windows Server 2008: 중요

원격코드실행

 

이번 달에 발표된 공지에 대한 요약은 아래 페이지에 있습니다.

 – http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
(
영문)

제목: 서버서비스의 취약점으로 인한 원격코드 실행 문제점
요약:









영향을 받는 시스템에 특별하게 조작된 RPC 요청을 보냄으로써 취약점을 악용하면 원격 코드 실행이 가능합니다. Windows 2000, Windows XP, Windows Server 2003 systems에서는 이 취약점을 악용하면 인증 절차 없이 공격자가 임의의 코드를 실행할 수 있습니다. 따라서 웜 공격이 가능한 취약점입니다.
배포: – 리부팅 필요 (최고 긴급인데… 사실 서비스중인 서버를 리부팅한다는것은 매우 어렵죠.. ㅠㅠ)
         – 업데이트제거: 가능

영향받지 않은 대상은 아래와 같습니다.
    XP SP3,   XP x64 SP2,   Server2003 sp2,    Server2003 x64 sp2,   Vista,   Server2008
평소에 패치를 열심히 하셨던 분들은 안심하실수도 있는 부분이군요.. 









보안관리규정의 작성원칙및 샘플

  감사받을때 제일먼저 질문받는 것 중에 하나가  “귀사에는 보안관리규정이 있습니까?”라는 것입니다.  문서가 있다는 것이 일단 출발점입니다. 문서조차도 없다면 이 회사는 아예 관리노력을 하고있지않고 또 관리되지도 않는다고 인식되어 지고 맙니다.  보안관리규정 문서들을 제출할수 없다면   그 결과는 ‘신뢰할수없음’ 판정을 받게 되겠죠..  일단 문서는 모두 갖추어 놓고 보아야 합니다.

  먼저 문서화된 규정들이 있는지 확인하고  그 다음에 그 문서대로 규정이 실제로 지켜지고 있는지 점검하는 작업을 하게 됩니다. 실제로 보안규정을 직원이 알고있는지,,   규정이 현장에서 제대로 지켜지는 설치된 시스템및  운영 기록물을 찾게 됩니다.   보안 관리 규정을 잘 만들어 놓는 다는 것은  회사가 신뢰할수있다고 평가받을 수 있는 첫걸음임을 인식해야 할 것 같습니다.

  보안관리 규정은 기업의 정보자산을 보호하기위해 가장 기본이 되는 것입니다.

  ▶ 보안관리규정 작성 원칙
   1. 내용이 모호해서는 안되며, 표현이 정확해야 함
   2. 이해하기 쉬워야 함
   3. 선언적이기보다는 구체적인 실행이 가능해야 함
   4. 내용이 자세하게 언급되어 있어야 함

  ▶ 보안관리규정에 포함되어야 할 사항
 
1. 보안업무의 분류
   2. 보안업무의 조직및  기능
   3. 자산의 분류와 관리
   4. 인적 자원관리
   5. 시설관리및 침입방지
   6. IT 보안관리
   7. 보안규정 위반자 조치사항
      위 사항들이 포함되어 있어야 합니다.

  ▶ 보안관리규정의 개정과 공지
 
1. 보안관리규정은 주기적으로 개정해야 함.
  2. 보안관리규정이 개정되었을때 모든 임직원에게  그 내용을 공지해야함.
   3. 보안규정을 적용함에 있어서 만들어지는 지침, 절차들도 임직원들이 그 내용을 인지할수있게 조치해야함

실재로 보안관리규정을 만들려고 하면 쉽지않다는 것을 많이 느낍니다. 뭔가 많이 정리해야할 것 같기는 한데 막상 정리하려면  정리가 잘 안됩니다.  어디엔가 좋은 템플릿이 있다면 하고 인터넷을 뒤지게 되죠..    최근 중소기업청 주관으로 교육받은 내용중에 좋은 보안관리규정 샘플이 있어서 여기 소개합니다.

1506970389.doc
 

중소기업 기술유출 대응매뉴얼에 수록된 보안관리규정 샘플을 Microsoft Word버전으로 작성했습니다.