스팸메일을 발송하는 악성코드 감염 주의보

  Netsky, Waledac 등과 같이  스팸메일을 발송하거나 이메일을 통해 전파되는 악성코드로 인한  피해사례가 발생하고 있어서 이메일 사용자 및 시스템 운영자의 주의가 요구되고 있습니다.
▶ 감염경로
  신한 이메일의 본문 또는 첨부된 파일의 열람만으로 악성코드가 PC에 설치되어, 컴퓨터에 저장된 자료파일 또는 키보드 입력 내용이 절취될 수 있습니다.
▶ 예상 피해
  치된 악성코드는 감염 PC에서 수집한 이메일 계정 정보를 이용하여, 스팸메일을 발송하거나 악성코드가 첨부된 메일을 발송함으로써 추가 피해를 일으킬 수 있습니다.  이메일의 본문 열람시, 피싱(Phising) 공격 목적으로 위장 개설된 온라인금융 또는 전자상거래 사이트에 자동으로 접속될 수도 있어, 금융거래정보 등 개인정보의 절취 피해가 발생 가능합니다.  악성코드의 메일 발송으로 인하여 네트워크 상의 이메일 발송량이 증가하며, 이에 따라 DNS MX 쿼리도 증가합니다.
   지난 19일부터 인터넷 소통량 중 도메인 네임 서버(DNS)에 접속하는 트래픽이 급증하고 있다고 합니다. 지난 2003년 1.25 인터넷 대란의 원인이 접속 과다로 인한 DNS 서버 다운이었던 점을 감안할 때, 향후 제2 인터넷 대란으로 이어질 가능성도 배제할 수 없는 상황입니다.   KISA 상황관제팀 신대규 팀장은 “각 ISP별로 차이가 있지만, DNS 접속 트래픽의 양이 평소 대비 20% 증가했다“며”지난 19일부터 이상 현상이 감지돼 상황 분석에 나섰으며, 웜 변종 등 악성코드로 인한 PC 감염이 원인인 것으로 추정된다”고 말했다고 합니다.
▶ 대응방안
1. 일반 사용자
  1) MS 윈도우, 백신프로그램 등의 최신 보안업데이트 적용
  2) 출처 불분명 등 의심스런 이메일의 경우 열람 자제
  3) 안전한 이메일 사용을 위해 스크립트 필터링 또는 백신점검 기능 등이 포함된 메일 서비스 사용
2. DNS 시스템의 운영담당자
  1) 악성코드로 인하여 스팸메일이 늘어날 경우, 메일을 보내기 위한 DNS MX 쿼리도 함께 증가하므로 전체 DNS 쿼리와 함께 MX 쿼리에 대한 모니터링 필요
3. 이메일 시스템의 운영담당자
   1) 이메일을 통한 악성코드 전파 차단을 위하여 백신필터링 적용 및 HTML 등으로 작성된
       웹 문서를 처리하지 않도록 `<` 및 `>` 필터링을 통해 HTML 등의 태그 실행을 차단
   2) 상기 조치 적용이 어려운 경우, 아래와 같은 코드들의 필터링을 통해 위험 가능성이 있는
       스크립트의 실행을 각각 차단
      ‘<script’  , ‘<style’ ,    ‘<img’,     ‘<iframe’,     ‘<input’,      ‘<bgsound’,
      ‘<div’,       ‘style=’,     ‘<base’,    ‘<object’,    ‘<embed’
   3) 이용자의 편의성 여부와 안전한 이메일 서비스 제공 등을 고려하여 운영담당자가 정책결정 필요
       ※ HTML 태그 및 스크립트 차단을 적용할 경우 이미지표시나 일부기능이 동작하지 않으므로
           이에 대한 고려 필요

관리 공유 제거 하는 방법


 모든 윈도우 PC와 서버엔 관리공유가 기본적으로 설정되어 있죠…  이 관리공유가   웜 바이러스의 공격수단으로 사용되는 경우가 많아지고 있습니다. 
해커 입장에선  모든 윈도우에 다 올려져있는 공유다 보니  좋은 공격 타겟이 될수밖에 없죠… 꼭 필요하지 않다면  제거하는 것이  좋은 방법이라고 할수 있습니다.

  리공유는  풀어 말하면 ‘관리목적 공유폴더’라고 할 수있는데요..   다른 공유폴더 처럼  사람이 만들어 주는 것이 아니라  윈도우를 설치하면 기본으로 만들어지는 공유폴더라고 할수있습니다.  커맨드창에 Net share라고 치면  C$, D$, admin$등이 나오는 것을 볼수있는데 바로 이것들이 관리공유이지요..  윈도우98까지는 없고  윈도우2000이상부터 보실 수있습니다.  관리자 권한이 있다면  (혹은 취득하게 된다면..)  각 드라이브의 모든 자료, 또는 윈도우즈 폴더의 모든 자료들을 삭제하거나  변경이 가능하므로  위험성을 많이 내포하고 있다고 할 수있습니다.  정말 관리목적으로 사용할 계획이 없다면  삭제하는 것이 좋습니다.

  의 중요한 전파 경로중에 하나가 바로 이 관리공유라고 할 수 있습니다. 요즘 최고의 위협중의 하나인  Confiker 웜바이러스도 그 예라고 할수있습니다.   로컬에 유저가 존재하고  쉬운 패스워드 혹은  연상가능한 패스워드를 사용할 경우    웜은  해당시스템의 관리자 자격을 취득하여  감염을 시킬 수 있게 되고  또 다른 시스템들을 다시 공격하게 되는 것이죠..  혹 해당시스템이  관리자 시스템일 경우엔  또 다른 수많은 컴퓨터를 손쉽게 감염시키게 될 수도 있습니다.  하지만  관리공유를 제거해둔다면   이런 급속한 웜 전파를 상당수 막을 수도 있습니다.  
  
  리공유를 삭제하는 것은 약간의 작업이 필요합니다.  내 컴퓨터 관리에서도 삭제는 가능하지만…    삭제해도  시스템이 리부팅되면서  다시 활성화되어 올라오기때문에..  다음의 레지스트리 작업이 필요하게 됩니다.

레지스트리 항목: 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
  – 서버일 경우:  Key 추가(DWORD) : AutoShareServer   =   0
  – 클라이언트의 경우 : Key 추가(DWORD) : AutoShareWks   =   0

아래 내역을 메모장에 복사하여    admin_share_remove.reg 로 저장하여  더블클릭하면  적용이 되면 리부팅을 실시하면   관리공유가 없어진 것을 확인하실 수 있습니다.  혹시나 하여  서비스에 문제가 없는지  확인중인데요…
원격관리도 가능하고   MBSA를 이용한 원격취약점 체크도 가능하더군요..

<< admin_share_remove_for_server.reg>>
===========================================================================================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
“AutoShareServer”=dword:00000000
===========================================================================================

<< admin_share_remove_for_PC.reg>>
===========================================================================================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
“AutoShareWks”=dword:00000000
===========================================================================================

사례 중심의 최신 해킹동향 및 대응 기술 세미나

세미나 참가 신청 페이지: << 교육 신청 페이지 가기  >>

▶ 행사 개요

  • 세미나명 : 사례 중심의 최신 해킹동향 및 대응 기술 세미나
  • 일 시 : 2009년 6월 24일(수), 12:30~17:30
  • 장 소 : 건국대학교 국제회의장
  • 참석대상 : 일반 기업ㆍ대학 등의 시스템 관리자 및 보안 담당자
  • 참가비 : 무료

▶ 참가 문의

한국정보보호진흥원 인터넷침해사고대응지원센터 해킹대응팀
전은국 연구원 (☎: 405-5635, E-mail: ekchun@kisa.or.kr)

▶ 프로그램

시 간

내  용

발표자

13:00~13:30

등록 및 세미나 자료 배포

 

13:30~13:40

행사안내

 

13:40~14:20

KISC DDoS 대응 현황

KISA 서진원 수석

14:20~15:00

유무선통합 접근제어를 이용한 침입대응 방안

UNET 류동주 팀장

15:00~15:40

Windows 7 개발자 보안과 호환성

MS 강성재 차장

15:40~15:50

Coffee Break

15:50~16:30

2009 개인정보의 기술적 관리적 보호조치 기준

KISA 차윤호 선임

16:30~17:20

DDoS 위협의 실체와 효과적 대응방안

다음커뮤니케이션 조양현 과장

17:20~17:30

Coffee Break

17:30~18:30

패널토의 : DDoS 공격, 그 대응책은?
– 진행 : KISA 해킹대응팀 최중섭 팀장
– 전문가 : SK텔레콤 홍관희 매니져 외 3명

아래와 같이 등록되었답니다.
사용자 삽입 이미지