Ddos방어를 위한 Virtual Victim 기술사용한 Fire eye

   근 Ddos사태에 대한   효과적인  대응책으로 이야기되고 있는  Virtual Victim 기술이 궁금해서 자료를 찾아보니  올해 2월쯤에 관련 제품이 소개된 것이 있더군요..   원래 내역중에 일부를 아래에 적었구요.. 좀더 자세한 것은  원문을 참고해주세요

원문출처: http://www.boannews.com/know_how/view.asp?idx=2463&kind=05

—————————————————————————
  이어아이는 2004년 컴퓨터 가상화 기술을 보안에 응용, Virtual Victim 기술을 통해 네트워크상에 알려지거나 알려지지 않은 악성코드에 의한 Bot 감염을 탐지 및 분석하는 하드웨어 일체형 어플라이언스인 Botwall 4200 제품을 선보였다. 이 제품은 네트워크에 미러링이나 TAP을 이용해 Offline 모드로 설치되어 네트워크상에 전송되는 트래픽을 실시간 캡처한다.

  이어아이의 Botwall 제품은 네트워크에 미러링이나 TAP을 이용하여 Offline 모드로 설치되어 네트워크상에 전송되는 트래픽을 실시간 캡처해서 Appliance에 내장된 가상 머신이 캡처된 트래픽 안에 악성코드가 포함되어 있는지를 조사하고 악성코드에 감염된 Bot PC를 발견한 후 이러한 Bot PC를 조종하는 원격지의 제어 서버(C&C : Command and Control 서버)를 찾아낸 후 더 이상 해커가 C&C에 의해 Bot PC를 원격제어 하지 못하도록 막아주는 기능을 제공한다


사용자 삽입 이미지

1단계. 트래픽 캡처 후 헤더 및 웹페이지 분석을 통한 이상트래픽 감지 단계

   트래픽 미러링 또는 TAP을 이용하여 트래픽을 캡처한 후 Client별로 트래픽을 재정돈한다. 이때 이상트래픽 감지(Anomaly Detection)엔진에 의해 의심스러운 트래픽들을 분류하는 작업을 한다. 운영체제의 취약점이나 웹 또는 브라우져의 취약점을 이용한 악성코드가 포함된 것으로 추정되는 의심스러운 트래픽을 분류하게 되며 여기에 사용되는 일련의 패턴들은 파이어아이사의 독자 기술인 Botwall Networks를 통해 전 세계에서 수집된 이상트래픽 정보가 활용된다

2단계. 가상머신을 이용한 악성코드 분석 단계

  이상트래픽 감지단계에서 탐지된 의심스러운 트래픽들은 FireEye Botwall Appliance내에 내장된 다수의 가상 머신에 전달되고 이때 가상머신들이 해당 트래픽을 실제 봇에 감염된 PC와 동일한 환경에서 그대로 재현하게 된다.  이 단계를 통해서 의심스러운 트래픽 안에 악성코드가 존재하는지, 해당 악성코드는 운영 체계내에서 어떻게 동작하는지를 분석하고 이를 통해 Bot에 감염된 PC와 악성코드를 배포하는 사이트 및 감염된 Bot PC를 원격에서 제어하는 C&C 서버를 탐지하게 된다.

  탐지된 정보를 바탕으로 C&C 서버와 감염된 Bot PC간의 통신을 차단함으로써 더 이상 해커에 의해 원격지에서 조정되지 않도록 예방할 수 있게 된다

우리나라의 좀비PC 가격은 얼마?

참조한 기사: http://www.dt.co.kr/contents.html?article_no=2009072102019922601017&ref=naver 

  근 Ddos공격으로 인해  보안이 관심을 많이 받게 되었던 것 같습니다.   방송이나 신문에서  떠들어댄 것이 큰 역할을 했던 것 같습니다.    제 블로그 접속자수도 예전보다 늘어났답니다.  ^^  하지만 관심이 얼마나 갈까 싶기도 합니다.   매번 이런 사건사고가 생기면 관심을 받다가  슬며시 수면아래로 사라지는 …   위험성은 정말 커져가는데도  근본적인   대책이나  국가적인 투자등은  항상 부족하기만 합니다.   우리나라의 발달된 IT인프라는  어떤 경우 잘못 악용되면  훌륭한 공격인프라(?)로 탈바꿈 할수 있다는 것이 이번에 입증된 듯합니다.

  염pc들이  실제로 온라인에서  거래가 되고 있다고 합니다.  7월 21일 정보통신 연구진흥원에서 밝힌 자료에 따르면   Golden Cash Network같은 곳에서 거래가 되고 있다고 합니다.  

▶ 좀비PC 1천대당 가격 비교
한국,일본,중국등 동아시아 국가:  5달러
네덜란드, 스웨덴, 캐나다, 불가리아, 프랑스, 터키 : 20달러
독일, 스페인:  30달러
미국: 50달러
영국: 60 달러
호주: 100달러

왜 좀비PC들이 거래되고 있는가?
 성코드에 의해 감염된  좀비PC들은  봇넷 마스터(해커)의 명령에 의해 특정 작업을 진행할 수있는데   감염된 pc들을 이용하여  정보를 빼내거나  보안이 취약한 특정사이트를 집중공격함으로서   수익을 창출하고 있습니다.  이제 대부분은    명예욕구가 아닌  경제적 이익을 위해  이런 공격이 성행하고 있는 것이 현실입니다.  해킹기술이 날로 발전하고 있어서  좀비pc는 필요에 따라 새로운 목적과 기능의  악성코드들을 내려받을 수 있게 되었습니다.  윈도우즈 보안패치를 받는 것처럼  좀비 pc들은 네트웍을 통해서  스스로를 업데이트하고 있다는 것이죠..
 
   염 PC는 더이상 개별 사이버 범죄에 이용되는 일회성 자산이 아니라 사이버 범죄자들이 몇번이고 반복해서 온라인을 통해 거래할 수 있는 디지털 자산으로 전환되고 있으며    이 PC는 새 소유자에 의해 구매될 때마다 악성소프트웨어에 감염된 뒤 다른 소유자에게 팔릴 가능성이 있다고 합니다.

PDos 공격위험성 제기

   이 갈수록 공격수법들이 진화되고 있습니다.  7.7 Ddos사태를 통해    우리는  Ddos가  서비스 거부 뿐아니고  데이타 유출및 자신의 흔적을 지우기위한 디스크파괴까지 이어질 수있다는 것을 보았습니다.  공격방법이 계속 진화되고 있는데 일각에선 새로운 공격수법이 예상된다고 경고하고 있어서 소개해봅니다.  
  름도 생소한 PDos인데요… Permanet Denial of Service의 약자입니다.    현재까지의 공격목표는 PC가 되고 있지만  앞으로는  네트웍을 기반으로 하는 다른 device들(스마트폰등…)이 앞으로 공격목표가 될 수있다는 것입니다.  성능이 높아지고 있으면서  보안에는 훨씬 취약한 device들은  공격자가 보았을 때  매력적인 타겟이 될수있을 것이기에…    pdos는 특히 네트웍을 기반으로 하는 펌웨어 업그레이드하는 시점에서  그 안에 악성코드를 삽입하여  시스템 거부 공격을 할 수 있다고 합니다.  
========================================================

원문출처: http://news.nate.com/view/20090715n02443 

지난 7일부터 시작돼 전국을 혼란에 빠뜨렸던 분산서비스거부(DDoS) 공격이 사실상 일단락 된 것으로 보이는 가운데 일부 보안 전문가들이 DDoS보다 진화된 형태의 2차 사이버 테러 가능성을 제기해 관심이 집중되고 있다.

보안 전문가들이 우려하는 공격 형태는 PDoS(Permanent Denial of Service), 이는 단일 시스템을 공격하는 형태인 DoS와 분산시스템거부 공격인 DDoS를 거쳐 등장한 것으로 영구적인 서비스 거부 공격을 시도하는 해킹 수법이다.

보안업계에 따르면 PDoS는 네트워크를 기반으로 하는 펌웨어(Firmware)를 업데이트할 때 그 안에 악성코드를 삽입해 시스템을 다운시키는 새로운 형태의 서비스거부 공격방법을 말한다. 스마트폰 등 네트워크와 연결된 각종 기기를 업데이트 할 때 악성코드를 유포해 개인정보를 빼내거나 해당기기를 사용할 수 없게 만드는 것이다.

보안업계 관계자들은 PDoS는 시스템 전체에 위협을 가하는 형태는 아니지만 개인정보 유출의 가능성이 적었던 DDoS와 달리 정보를 빼낼 수 있고, PC보다 더 보안에 취약한 기기를 노리고 있다는 점에서 대응책을 강구해야 한다고 강조했다.

국내 주요 웹사이트의 보안 시스템이 ‘초보적’인 DDoS 공격에도 속수무책이었던 것을 감안하면 이보다 발전된 형태의 PDoS 공격이 본격적으로 시작되면 피해가 심각할 수 있다는 우려도 제기되고 있다.

안철수연구소 김홍선 대표는 “DDoS 공격은 앞으로도 다양한 형태로 전개될 것이고 특히 PC등 보안에 취약한 개인 기기를 계속 노릴 것”이라고 설명하며 “이 형태의 공격은 PC 뿐만 아니라 인터넷에 연결된 TV, 전화 등으로 확산될 수 있다”고 경고했다.

가상화로 DDos를 막는다

  최근 일어난  7.7 Ddos사태가 이제서야 마무리되어 가고 있습니다.  하지만 여전히 위협은 끝나지 않았고  또 다른 Ddos공격이 언제든 일어날 수있는 상황입니다.  이전과는 달리 C&C서버를 이용하지 않는 새로운 수법에  대응이 더 힘들었다고는 하지만  사실  제가 참석했던 각종 보안관련세미나에선  이부분을 이미 언급했었더랬습니다.   C&C서버를 이용하지 않는 공격이 발생하면  대응이 어렵다는 경고들이 있었다고 한다면..    충분한  준비가 부족했다는 생각이 듭니다.  

   번에는  최초 배포된 악성코드의 패턴을 분석하여  그에 대응하는 것이 가능했는데   이것은 해커가 추가적으로  기 배포된 좀비들에 새로운 명령을 내릴 수 없었기 때문이었습니다.  하지만 C&C서버나  사전 입력된 프로그램을 이용하지 않고  P2P방식을 이용한다면 얼마든지 새로운 명령을 내릴 수있기 때문에   대응이 더욱더 어려워질 것입니다.  그런 면에서   한세텔레콤에서 제시한 가상화를 이용한 Ddos방어는   효과가 있을 것으로 보입니다.  요는 서버의 실제 위치를 감추고  dns를 암호화하여   Ddos공격을 무위로 돌리려는 것입니다.  Ddos라는 것은  특정 목표에 공격을 집중시키는 것이니까..  특정목표라는 공격지 자체를 은폐시키거나 변경시킬 수있으면  효과적인 방어가 가능하겠죠..    

출처: http://www.datanet.co.kr/news/news_view.asp?id=46117&acate1=0&acate2=3

한세텔레콤(대표 오태환 http://www.hansetel.com/) 정보보안사업부문이 DDoS 공격의 새로운 방안으로 가상화를 제시했다. 실제 서비스 서버가 아닌 가상 서버로의 접속유도함으로써 DDoS 공격을 회피한다는 것.

한세텔레콤은 2008년 6월 무인전자경비업체인 KSC, 올해 3월 DDoS/IPS 기업 지모컴 등을 인수하면서 보안 시장에 적극적으로 뛰어들고 있다.

한세텔레콤은 “기존 보안의 방법으로 DDoS 100% 막아 내기에는 원천적으로 불가능하다”며 “가상화에 기반해 서비스 서버의 위치를 알 수 없게 하는 스텔스 기능과 DNS암호화 등을 통해 회피하는 방법으로 DDoS를 방어해야 한다”고 밝혔다.

한세텔레콤은 이러한 방법을 구현한 ‘분산중계기술을 이용한 DDos 방어기술’로 특허를 획득한 상황이다. 이 기술은 실제 서비스 존을 대신하는 가상의 서비스 존을 다수 형성하고 공격자로 하여금 가상의 서비스 존으로 공격을 유도하는 것으로, 가상의 목표물를 내세워 실제 목표물을 은폐시키고, 공격자가 어디를 공격해야 할지 모르게 혼란에 빠트리는 위장기술이라 할 수 있다.

한세텔레콤에 따르면, 실제 서비스 존을 공격자가 알 수 없기에 실 서비스 서버를 보호하여 공격 시에도 정상적인 서비스 제공을 가능하게 한다. 또한 서버에 접근하는 접속자를 대상에 따라 접근루트를 변경하게 할 수 있으며, 공격을 받더라도 가상 서버에 대한 공격이기에 모든 복구가 빠르다는 장점이 있다.

한세텔레콤 정보보안사업부문는 현재 게임사이트를 대상으로 서비스망을 구축하였으며, 실제 DDoS공격으로 부터 효과적인 방어를 구현하고 있다고 밝혔다.

아이템베이 DDoS 공격 범인 중국공안에 검거

원문참조:   http://www.boannews.com/media/view.asp?idx=16400&kind=1
원문참조:   http://www.boannews.com/media/view.asp?idx=16427&kind=1

악의적인 분산서비스(DDos)공격을 해온 범인이  5월27일 중국공안에 검거되었습니다.

형량: 중국공안의 조사와 재판을 거쳐서  최고 10년이하의 징역에 처해질 것으로 예상됩니다 . 현재 중국에서도 DDos  공격은 매우 심각한 범죄로 인식되고 있는 상황이라고 합니다.

범인:  범인은 조선족일 것이라는 세간의 예상과 달리 전북 전주 출신의 30대 한국인 남성으로 밝혀졌습니다.

피해사이트: 아이템 베이  http://www.itembay.com/
    아이템 베이는 2001년 세계최초로 게임아이템 거래중개 서비스를 시작한 회사이며   연평균 성장률 21.4 %을 유지해 온 회사입니다.
     
DDos공격으로 인한 아이템베이의 피해 상황      
    2007년 9월 첫 DDos 공격이후 4개월동안 홈페이지를 열지못하고 IDC센타에서 퇴출되는 등   정상영업을 하지 못하였습니다.   서비스 정상화 이후 매출회복과 시장점유율 55% 확보를 이루어냈으나  다시 DDos공격으로 인해  2008년 12월15일부터 4일간 영업이 중단된바 있습니다.

12월19일자 기사: http://stock.mt.co.kr/view/mtview.php?no=2007121915472266885&type=1

    아이템베이는 홈페이지를 이용한  아이템거래 중계가 수익원이기때문에 홈페이지의 다운이 그대로 매출손실로 이어지게 되어  심각한 매출상의 손실을 보게 되었습니다. (약 1,279억 추정)
       
    아이템베이의 한 관계자는 아래와 같이 회사의 손실에 대해 설명한바 있습니다.
   “영업불가로 인해 심각한 매출손실을 입었을 뿐만 아니라 기업 이미지 훼손과 회원이탈, 해당 문제 해결 및 원상복구에 소요된 각종 비용과 시간을 생각하면  당사가 입은 손실은 치명적이다.   DDoS 공격을 방어하기 위해 서버를 이전하고 회선을 증가시키는 등의 과정에서 큰 비용이 발생했고,  회사 이미지 회복을 위한 마케팅 비용이 지속적으로 발생하고 있다. 매출손실과 복구를 위해 소요된  비용전체를 계산하면 실질적인 당사의 DDoS 피해금액은 약 1,400억 원에 달할 것으로 추산된다”

DDos공격자인 김모씨를 체포하기 까지
    김모씨는 3년에 걸쳐서 DDos공격을 가했으며  검거직전까지 6억원상당의 금품을 요구하는 총 54통의협박메일을 발송한 바 있습니다.   범인은 한국인임에도 불구하고 리철이라는 이름의 조선족 행세를 하였습니다.   총 54회에 걸쳐 보낸 협박메일에는  ‘아이템베이 사이트에  DDoS 공격이 예정되어 있으며, 요구금액을 지급하면 공격을 철회하겠다’는 내용이 포함되어 있었습니다.  범인은 공격철회 조건으로 300만 위엔(약 6억)을 요구해왔으며, 타 집단의 DDoS 공격을 막아주는 대가로  반기별 50만 위엔(약 1억원)을 요구하기도 했다고 합니다.
 
  피의자 김모씨의  아이템 베이 DDos 공격협박 메일  << 메일내용 이미지 보기 >>
 2008.12.02  “아이템베이 사이트에 진공(DDos공격)이 예정되어 있다.
 2008.12.13  “협상을 원하면 중국원화 300만원을 지급하라”
 2008.12.15  “DDos 공격을 멈췄다.  중국원화 80만원 지급하라”
 2008.12.28  “새해에 DDos 공격당하면 머리아프지않냐? 중개사이트는 신용이 목숨인데 돈 아끼지말라”  

   아이템 베이는 2008년 12월 범인으로부터 협박메일을 받은 즉시 관할 경찰서인 양천경찰서에 수사를 의뢰했으며   DDos 공격의 출처가 대부분 중국인 점을 포착, 중국 공안과  현지 전문가들의 협조를 받아서   5월27일에 범인이 중국공안으로 송치되기에 이르렀습니다.  중국공안에서도 이번 사건의 수사에 적극 협조하였으며  범인을 엄중처벌할 방침이라고 합니다.

 아이템베이는 이러한 막대한 규모의 손실에 대해 범인에게 손해배상을 청구할 방침이며, 양천경찰서와의 공조 하에  공범의 존재여부 및 신상 확보를 위해 더욱 치밀한 추가 수사진행을 요청한 상태라고 합니다.
     
       1.  100G 이상의 대규모 좀비 PC를 동원하기  위해 만만치 않은 비용이 소요되었다는 점
       2.  타 업체에는 DDoS 공격을 가하거나 협박메일을 보낸 적이 없고 아이템베이만을 대상으로 삼았다는 점
   
  위 두가지 근거를 볼때  공격의 사주범 또는 공범의 존재가능성도 있는것으로 보여지고 있다고 합니다.

 아이템베이에 대한  DDos 공격의 범인이 구속된 의의
     아이템베이의 사례는 공격자들에 대한 국적을 떠난 광범위한 수사가 집요하게 진행되기 때문에 언젠가는 잡힌다는 사례를 만들어 공격자들에 대한 공격을 위축시킬 수 있을 것으로 보고 있습니다. 다만 문제는 아직까지 공격을 받고도 이를 쉬쉬하며 요구에 응하는 인터넷업체들이 적지 않다는 것입니다.  이에 따라 전문가들은 공격을 받으면 수사기관에 신고하는 것을 주저하지 말아야한다고 이야기합니다.

DDos 공격에 대한 대응은 ?
   DDoS 공격을 빌미로 돈을 요구하는 협박자들은 요구에 응하면 당장 공격은 멈추지만 또다시 협박해 돈을 주기적으로 요구하는 것으로 알려지고 있습니다.   전문가들은 협박에 응하지 말고 ISP나 IDC를 비롯해 KISA 등 관련기관에 협조요청하고 대응방법을 신속하게 찾길 조언하고 있습니다.  &nb
sp;보통 공격자들은 테스트 성 공격을 진행한 후 DDoS 공격에 취약하다고 판단되면 협박과 동시에 본격적인 공격을 진행하는 특징을 가지고 있다고 합니다. 이에 따라 초기 DDoS 대응 준비를 갖춰놓는 다면  본격적인 DDoS 공격을 피할 수 있습니다.

   신대규 KISA 상황관제팀장은 “작년까지만 해도 DDoS에 대한 해결책은 없었다고 해도 과언이 아니었지만 최근 들어 DDoS에 대응할 수 있는 준비가 작년보다 많이 이뤄졌다”며 “신속한 대응이 필요하다”고  말한바 있습니다.

   이는 작년까지 DDoS 대응에 우왕좌왕했던 IT업계가 여러 공격 경험을 통해 공격 방어에 대한 여러 해결방안을 모색했다는 것으로     특히 ISP(인터넷 서비스 제공사)부터 IDC(인터넷 데이터센터), 호스팅업계 그리고 최종 사용자까지 단계별로 DDoS 대응 방안이 제시되고 있는 상태라고 합니다.  ISP의 경우, KISA 시범사업으로 아웃바운드 DDoS 대응 체계를 구축하고 있다고 합니다.   현재 3개의 ISP에 DDoS 장비가 설치돼 운영되고 있으며 4개 ISP에 대한 DDoS 장비 설치가 진행 중입니다.  

회사 노트북 한대를 분실하면 5만달라의 손실이 발생

결론: 직원이 노트북 1대를 분실하거나 도난당하면
      회사는 보안 유지를 위한 비용 등으로 인해 약 5만 달러의 손실을 본다

인텔이 미시간주 연구소에 의뢰, 조사한 결과라고 합니다.   연구 결과  노트북 1대를 분실하거나 도난했을 경우  회사측의 손실 비용이 4만9천246달러에 달하는 것으로 되어있습니다.   노트북을 분실하거나 도난당할 경우 회사측이 지불하는 비용 대부분은 지적 재산인 노트북 자체를 잃게 된 데 따른 손실과 회사 내부의 민감한 데이터가 외부에서 악용될 수 있다는 것과 관련돼 있다고 합니다.

조사대상: 미국내 기업과 정부 기관 등 29곳이 지난 1년간 랩톱을 분실하거나 도난당한 사례 138건
              –> 노트북의 주된 분실 장소: 공항과 콘퍼런스 행사, 택시, 렌터카, 호텔 등.

▶ 손실내역
 1. 랩톱 분실 등에 따른 정보 유출을 막기 위한 비용
 2. 랩톱을 대체하는 데 드는 비용
 3. 생산성 손실
 4. 분실 또는 도난 경위를 조사하기 위한 비용

분실사실을 인지하는 시점이 손실에 미치는 영향
 당일 바로 알게 될 경우 평균 손실 비용:  8천950달러
 1주일 뒤에 알게 될 경우 평균 손실 비용: 11만5천849달러

회사측 비용이 늘어나게 되는 이유
 1. 많은 회사의 직원들이 노트북에 저장하는 정보량이 과거와 비교하기 어려울 만큼 크게 늘었다.
 2. 노트북 분실 등에 따른 정보 유출 가능성이 크다.
 3. 노트북에는 고객과 내부 직원에 대한 민감한 정보, 사업 운영 계획 등이 담겨 있는 경우가 많다.
 4. 민감한 정보가 악용될 가능성을 사전 차단하기 위해서는 비용이 많이 들어가게 된다

▶ 노트북 분실에 따라 직원 개인이 변상한 비용:
개별 사례에 따라 적게는 1천213달러에서 많게는 97만5천527달러까지 큰 차이를 보였다고 합니다.

서울시, 보안 메일로 아이모션의 SensMail기관용 도입 완료

보안메일 도입사례가 있어서 여기에 소개합니다.
도입처는 서울시이며  솔루션은  아이모션의 SensMail 기관용입니다.

===============================================================
서울시 통합메일시스템 구축사업 진행
1단계: 국정원의 기관메일 보안강화 지침에 따른 보안메일시스템 구축
2단계:  서울특별시의 25개 자치구에 기관 보안메일을 적용하여 단일시스템으로 통합

▶ 서울시가 도입한 보안메일시스템의 특징
1. 행정전자서명(GPKI) 인증서 로그인 기능
2. 국가 표준 알고리즘(ARIA)을 적용한 메일내용 암호화 기능
3. 서울시 디렉토리 서비스와 연동한 조직도
4. 알리미시스템, SMS시스템 연계
5. 사용자 교육동영상을 쉽게 볼수있게함

서울시 통합메일시스템 구축 프로젝트를 총괄했던 정연찬 개발팀장은 “보안기능의 강화와 사용자 편의성 향상이라는 쉽게 어울릴 수 없는 두 가지 목표를 모두 이룬 아주 드문 케이스”라며 “행정전자서명(GPKI)인증서의 사용은 시스템의 신뢰성을 높였고, 어렵고 불편할 것으로 예상했던 메일암호화 인터페이스를 최대한 쉽게 구현한 것이 만족도 향상의 열쇠”였다고 평가했다.

아이모션의 보안메일 도입처 (레퍼런스)
대구광역시, 법제처, 국가인권위원회 ,서울특별시교육청

스마트폰을 공격하는 새로운 웜 발견

원문링크: http://www.boannews.com/media/view.asp?idx=12658&kind=1

 공격대상: ARM 프로세서에 윈도우 CE 플랫폼을 구동하는 스마트폰
 웜의 이름 : ‘WinCE.Pmcryptic.A’ (시만텍에서 명명)

  스마트폰용 웜이 새로운 것은 아닙니다만.. 이번에 시만텍에서 경고한  ‘WinCE.Pmcryptic.A’라는  스마트폰용 웜은 더욱 교묘한 방법을 사용하여 전파되며   탐지를 피하기위해  Polymorphic 형태를 갖는다고 합니다.

   Polymorphic은 다형성이라고 번역할수있는데 고정된 형태를 가지는것이 아니라 계속 변형한다는 뜻을 가지고 있습니다.  이 웜은 트래픽 유형을 기반으로 변형되어 전염되는데   이 웜이 스마트폰을 손상시키게 되면 스스로 복제본을 만들어 퍼져나가며 원치 않는 전화를 거는 등 장애를 유발할 수 있는 것으로 알려졌습니다
 
  전파되는 방법도 교모한데  블루투스가 아니라 스토리지 카드를 통해 전염되며..   웜 활동으로 인해   스마트폰의 배터리를  빠른 시간내에 방전시킨다고 합니다. 또한 결과적으로 스마트폰 용량에 과부하가 걸리게 한다는 것이 시만텍의 설명이다.

내부정보 유출방지가 산업경쟁력 될 것

원문링크: http://www.boannews.com/media/view.asp?page=1&gpage=1&idx=12669&search=&find=&kind=0

최근의 일련의  정보유출사고로 인해  올해는 보안세미나가 유독 많은 듯합니다.  ^^ 행안부 주최로 열린 공공기관의 개인정보 보호 컨퍼런스에서 있었던 발표내역입니다. 저는 가보지는 못했는데 보안뉴스를 통해 정보를 접하고 있습니다.  내부 정보 유출방지의 신뢰성과  그 성공여부가 결국은 산업경쟁력이 될거라는 내용의 세미나가 있어서 간략히 소개해봅니다. 

내부정보 유출방지가 산업경쟁력 될 것
 
강연자: 신세계아이앤씨 김기환 파트장
강연제목: 내부정보 유출방지 방안
일시,장소: 11월 18일 서울교육문화회관
행사명:  제6회 공공기관 개인정보보호 컨퍼런스 (행안부 주최)

  정보유출로 인한 경제적 피해 규모가 기하급수적으로 증가함에 따라 내부정보유출방지가 산업 경쟁력이 될 것이다.   인터넷의 급속한 발전으로 인해 각종 인터넷 사고가 급증하면서 개인정보 및 중요자원에 대한 보안대책에 대해 시급한 입장이다.  전자상거래 뿐만 아니라 포털 형태의 홈페이지 이용 시 정보활용을 하고자 해도 개인 PC에 대한 보안서비스가 제공되지 않아 해킹 및 바이러스로부터 개인들은 무방비로 노출되고 있는 상태다.

  국내에서는 대부분의 기업에서 단발적인 솔루션이나 물리적인 시스템의 도입을 통해 외부에서의 공격을 차단하는 보안 방안이 주를 이루고 있다. 기업의 정보가 유출되는 경로는 주로 내부의 주요 데이터를 다루는 직원이나 협력 업체 등을 통해 빈번하게 일어나고 있다.  기업의 중요 데이터를 근본적으로 보호할 수 있는 방안 마련이 시급하다.

  내부정보유출방지를 위해 정보보호컨설팅을 통한 분석 및 정책ㆍ지침 수립 후 적합한 보안솔루션 도입을 통한 안전한 보안체계 확립이 무엇보다도 필요하다

US-CERT, 어도비 리더 취약성 경고

  공격이 점차 어플리케이션 취약점으로 옮겨가면서  윈도우즈 보안패치를 다 했다하더라도 안심할수가 없는 상황이 되었습니다.   이제 윈도우 보안패치 뿐 아니라 PC에 설치된 각종 응용 프로그램들의 보안패치를 골고루 해야 합니다. 올해 8월엔가도  경고된 바 있던 어도비 보안업데이트에 대해서 다시 이야기가 나오고 있습니다.  이젠 통합 보안패치 프로그램이 필요할 듯합니다. (윈도우뿐 아니라 어도비등의 각종 응용프로그램을 업데이트하는 툴 말입니다)   누군가 만들어 주었으면 하는 생각이 드는 까닭은 무엇 때문일까요?

▶ 어도비 리더의 취약성 경고
  미(美) 국토안보부 산하 컴퓨터긴급대응팀(이하 US-CERT)가 어도비 리더의 최근 취약성에 대한 익스플로이트가 나타나고 있다고 경고했습니다.   해당 취약성에 대한 익스플로이트는 악의적으로 제작된 PDF 파일을 이용하는 형태로, 지난 11월 초에 배포된 어도비 보안 업데이트 APSB08-19에서 처리된 자바스크르립트 오버플로우 취약성을 익스플로이트하는 것으로 알려졌습니다.  해당 익스플로이트가 성공할 경우 공격자들은 아비터리 코드를 실행하거나 서비스 거부 공격을 유발할 수 있습니다. 또한 알려진 바에 따르면 해당 익스플로이트는 현재 일반적인 안티바이러스 애플리케이션으로는 탐지되지 않아 더욱 주의가 요구됩니다.

    취약한 어도비 버전: (업데이트 필요)
      * Adobe Reader 8.1.2
      * Acrobat 8.1.2
     
    안전한 어도비 버전
      * Adobe Reader 9
      * Acrobat 9
      * Adobe Reader 8.1.3
      * Acrobat 8.1.3

▶ 관련 자료
Adobe Reader Javascript Printf Buffer Overflow  
http://www.coresecurity.com/content/adobe-reader-buffer-overflow

조작된 pdf 파일 파싱과정중에 스택버퍼오버플로우가 가능하며, 해당 문제점은 util.printf()함수내에 포함된 부동소수 포인트내에 포함된 포맷스트링 파싱과정중에 경계값 오류에 의한 것입니다.  결과적으로  조작된 PDF파일 오픈 시 원격지에서 시스템 권한을 획득할 수 있습니다.

▶ 방어방법은 

1. 어도비 보안 업데이트 APS08-19 확인 후 어도비 보안업데이트 또는 버전 업데이트
 adobe reader 8.1.1 update 
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4084
 adobe reader update :
 http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
 adobe reader 최신버전 다운로드:
 http://www.adobe.com/products/acrobat/readstep2.html

2. 정체 불명  파일을 열 경우, 주의 필요
3. 백신 최신으로 업데이트