원문출처: http://news.nate.com/view/20090715n02443
Technet MS 보안공지 사이트
http://www.microsoft.com/korea/technet/security/current.mspx
매달 발표되는 보안패치들을 가장 심플하면서 알기쉽게 정리해둔 MS의 보안공지 사이트입니다. 보안패치에 대해 확인하기 위해 여러사이트들을 돌아다녀보았는데 이 사이트가 가장 보기 쉬우면서 정리도 잘 되어 있습니다.
2009-07 MS 보안패치 요약입니다.
7월 Microsoft 보안패치가 발표되었습니다. 이번에도 긴급이 많습니다. 6개 모두 리부팅이 필요하구요.. 하나같이 원격코드를 실행할수있다고 하는 군요.. ㅠㅠ 상위 3개 패치는 서두르셔야 할 것 같습니다. 얼마전 발생했던 Ddos바이러스가 이용했던 제로데이 취약점에 관한 패치도 포함되어 있습니다. MS09-032 서버군에 대한 패치는 이번달엔 상대적으로 작다고 볼수있겠네요…
긴급 ▲ , 중요 △ ,보통 ▽ , 재시작 ◐ 배열순서는 심각도 순입니다.
MS Office Zero-Day 공격주의보
원문출처: http://www.boannews.com/media/view.asp?idx=17088&kind=1
[Trend Officescan] TMCM를 이용하여 업데이트하기
인터넷에 접속되지않거나 기존에 트렌드에서 제공하는 active update서버에 접속이 되지않는 경우 TMCM을 이용하여 최신 버전으로 업데이트가 가능합니다. 네트웍 구조에 따라서 피치못하게 Trend active update서버에서 업데이트를 할 수 없는 경우 아래 방법을 사용하시면 되겠습니다.
Officescan 업데이트 서버 주소: http://osce8-p.activeupdate.trendmicro.com/activeupdate
TMCM 업데이트 주소http://TMCM_server_IP_address:8080/controlmanager/download/activeupdate/
트렌드에서 제공하는 Active Update 링크에서 TMCM서버의 업데이트 링크로 바꾸기
1. 웹콘솔에서 Update / Server / Update source 메뉴로 이동
2. Other update source 선택하고 TMCM업데이트 링크를 입력한다.
3. 저장하고 나온다. ^^
가상화로 DDos를 막는다
최근 일어난 7.7 Ddos사태가 이제서야 마무리되어 가고 있습니다. 하지만 여전히 위협은 끝나지 않았고 또 다른 Ddos공격이 언제든 일어날 수있는 상황입니다. 이전과는 달리 C&C서버를 이용하지 않는 새로운 수법에 대응이 더 힘들었다고는 하지만 사실 제가 참석했던 각종 보안관련세미나에선 이부분을 이미 언급했었더랬습니다. C&C서버를 이용하지 않는 공격이 발생하면 대응이 어렵다는 경고들이 있었다고 한다면.. 충분한 준비가 부족했다는 생각이 듭니다.
이번에는 최초 배포된 악성코드의 패턴을 분석하여 그에 대응하는 것이 가능했는데 이것은 해커가 추가적으로 기 배포된 좀비들에 새로운 명령을 내릴 수 없었기 때문이었습니다. 하지만 C&C서버나 사전 입력된 프로그램을 이용하지 않고 P2P방식을 이용한다면 얼마든지 새로운 명령을 내릴 수있기 때문에 대응이 더욱더 어려워질 것입니다. 그런 면에서 한세텔레콤에서 제시한 가상화를 이용한 Ddos방어는 효과가 있을 것으로 보입니다. 요는 서버의 실제 위치를 감추고 dns를 암호화하여 Ddos공격을 무위로 돌리려는 것입니다. Ddos라는 것은 특정 목표에 공격을 집중시키는 것이니까.. 특정목표라는 공격지 자체를 은폐시키거나 변경시킬 수있으면 효과적인 방어가 가능하겠죠..
출처: http://www.datanet.co.kr/news/news_view.asp?id=46117&acate1=0&acate2=3
한세텔레콤(대표 오태환 http://www.hansetel.com/) 정보보안사업부문이 DDoS 공격의 새로운 방안으로 가상화를 제시했다. 실제 서비스 서버가 아닌 가상 서버로의 접속유도함으로써 DDoS 공격을 회피한다는 것.
한세텔레콤은 2008년 6월 무인전자경비업체인 KSC, 올해 3월 DDoS/IPS 기업 지모컴 등을 인수하면서 보안 시장에 적극적으로 뛰어들고 있다.
한세텔레콤은 “기존 보안의 방법으로 DDoS 100% 막아 내기에는 원천적으로 불가능하다”며 “가상화에 기반해 서비스 서버의 위치를 알 수 없게 하는 스텔스 기능과 DNS암호화 등을 통해 회피하는 방법으로 DDoS를 방어해야 한다”고 밝혔다.
한세텔레콤은 이러한 방법을 구현한 ‘분산중계기술을 이용한 DDos 방어기술’로 특허를 획득한 상황이다. 이 기술은 실제 서비스 존을 대신하는 가상의 서비스 존을 다수 형성하고 공격자로 하여금 가상의 서비스 존으로 공격을 유도하는 것으로, 가상의 목표물를 내세워 실제 목표물을 은폐시키고, 공격자가 어디를 공격해야 할지 모르게 혼란에 빠트리는 위장기술이라 할 수 있다.
한세텔레콤에 따르면, 실제 서비스 존을 공격자가 알 수 없기에 실 서비스 서버를 보호하여 공격 시에도 정상적인 서비스 제공을 가능하게 한다. 또한 서버에 접근하는 접속자를 대상에 따라 접근루트를 변경하게 할 수 있으며, 공격을 받더라도 가상 서버에 대한 공격이기에 모든 복구가 빠르다는 장점이 있다.
한세텔레콤 정보보안사업부문는 현재 게임사이트를 대상으로 서비스망을 구축하였으며, 실제 DDoS공격으로 부터 효과적인 방어를 구현하고 있다고 밝혔다.
AD그룹정책을 이용하여 사내pc에서 웜파일 실행을 차단하기
이 글은 ActiveDirectory가 구축된 회사에서 웜 확산을 초기에 막는데 도움이 됩니다. ^^ ActiveDirectory는 비용이 별로 들지않으면서 회사내의 수많은 시스템을 효과적으로 관리할수있는 좋은 인프라라고 할 수있습니다. 저희 회사에선 AD를 사용하고 있는 중이구요.. AD인프라를 사용하는 회사가 늘어나고 있으므로 이런 회사들에 있어서 초기에 웜 확산을 저지하는데 사용할 수있는 소프트웨어 차단 정책을 소개합니다. 이 정책을 이용하면 한번의 작업으로 회사내의 모든 PC에서 지정한 웜파일의 실행을 차단할 수 있습니다.
1. AD 관리툴인 “Active Directory 사용자및 컴퓨터”를 실행합니다. (명령: dsa.msc)
– 차단하고자 하는 PC OU에 마우스를 올리고 우클릭 합니다.
– 등록정보창에서 Group Policy 탭으로 이동한후 Open을 클릭합니다.
– 그룹정책 관리를 위해 GPMC를 설치할 것을 강력히 권합니다.
GPMC 다운로드 받기 <<jaewook.net의 포스팅 >> << MS에서 다운로드받기 >>
2. GPMC를 이용에서 파일 실행 제한을 위한 그룹정책을 만들어보겠습니다.
– 원하는 PC OU에 마우스 커서를 위치한후 마우스 우클릭하여 메뉴를 나타나게합니다.
– Create and Link a GPO Here..를 클릭합니다.
3. Policy_restriced_SW라는 이름의 정책을 만듭니다.
– 만들어진 정책에 마우스를 올린후 Edit 클릭
4. 그룹정책 개체 편집기를 이용하여 새 소프트웨어 제한 정책을 만듭니다.
– 컴퓨터구성/ Windows 설정/ 보안설정 / 소프트웨어 제한정책 트리로 이동합니다.
– 팝업메뉴에서 새 소프트웨어 제한 정책을 클릭합니다.
5. 새 경로규칙 만들기를 선택하여 차단하고자 하는 파일 정보를 입력합니다.
– 웜이 사용하는 주 실행 프로세스들을 입력해줍니다.
– 20090707 발생한 Mydoom 계열의 Ddos바이러스가 이용하는 실행파일들은 아래와 같습니다.
msiexec2.exe , msiexec1.exe 

자 이제 모든 창을 닫고 나오면 되겠습니다.
▶ 주의사항
1. 테스트 필요
이런 실행차단 정책은 사전에 테스트가 필수입니다. 잘못입력하여 정상파일을 차단하기라도 하면 큰일입니다.
처음엔 테스트OU에서만 적용하여 정상 작동을 확인한 후 전체 AD에 적용해야합니다.
2. 배포시간 고려
AD의 인프라를 이용하기 때문에 배포하는데 약간의 시간이 걸립니다. 시간상으로 10-30분 정도가 소요되고 이 정책을 적용받으려면 실제적으론 PC가 리부팅되어야 합니다. 소프트웨어 제한 정책은 컴퓨터 계정에 적용되는 정책이기 때문에 pc가 리부팅될때 적용받을수있습니다. 회사에서 pc사용시간을 고려하면 적용되기 원하는 전날 저녁에 정책을 적용한 것이 적당하다 하겠습니다.
[보안공지메일] 7.7 Ddos대란 ! 데이터 파괴 우려까지
7.7 Ddos대란이라고 불리면서 국내외적으로 엄청난 관심과 우려를 불러일으킨 현 시점에서 직원들의 보안인식 제고를 위해서 보안공지메일을 보내시는 것이 좋을 듯합니다.
안철수 박사님이 이야기하신 것처럼 이젠 특정한 기관이나 기술자가 막을 수 있는 것이 아니라 국가적으로 모든 사람이 보안의식을 가지고 사전에 자신의 PC가 좀비가 되지 않도록 예방하는 것이가장 비용이 적게 들면서도 효과적인 방법이 아닐까 합니다. 물론 국가적으로도 대응체계 전반에 걸쳐서 많은 투자가 있어야 할 것 같구요.. 200억 예산을 세웠다고 하는 데 지속적으로 인재양성, 기술계발, 전국민을 대상으로한 보안인식 제고활동등이 시행되어야 할 것 같습니다.
제목: 7.7 Ddos대란 ! 데이터 파괴 우려까지
내용:
지난 7일 오후 6시 한국과 미국의 주요 인터넷 사이트를 대상으로 시작된 Ddos공격은 8일 변종출현, 10일 0시 데이터 파괴로 이어지고 있습니다. 7.7 Ddos대란이라고 까지 불리고 있는 상황입니다.
초기엔 공격대상 인터넷 사이트의 접속을 지연시키는 단순한 Ddos로 보여졌지만 지난 1999년의 체르노빌(CHI)바이러스처럼 감염pc의 데이터 파괴 피해가 발생할 수 있음이 밝혀졌습니다. MS의 보안취약점을 이용하여 퍼지고 있으나 정작 MS에서는 아직 공식 패치를 발표하지 않고 있습니다. 다행히 주요 백신사들은 이에 대해 대응을 하고 있어서 최신 백신 패턴을 업데이트만 잘 하면 큰 피해는 막을 수 있는 상황입니다. 다행히 현 시점에선 5개의 숙주사이트를 국내에서 접속이 되지 않도록 차단하는 등 … Ddos공격이 진정국면으로 접어들었으나 아직 안심할 수 없는 상황입니다.
★ Ddos바이러스 공격개요
7.7 오후6시 1차 Ddos – 백안관,청와대,네이버,조선일보,옥션…
7.8 오후5시 2차 Ddos -국정원,네이버메일,안철수,알툴,은행권
7.9 오후6시 3차 Ddos – 다음메일,네이버메일,옥션,조선일보…
7.10 오전 0시 이후 : 암호화 후 데이터파괴
16개국 86개 IP통해 사이버 테러… 5만대 이상 감염된 것으로 추정…
★ Ddos 바이러스의 피해를 받지 않기 위해선 …
1. 수상한 메일은 열지 말세요
– 현 Ddos바이러스는 Mydoom 계열로서 초기엔 메일로 전파
– 수상한 메일은 읽지 말고 바로 삭제, 아웃 룩 미리보기 끄기
2. PC의 보안패치를 최신으로 유지해주세요
– 백신 업데이트는 항상 최신으로 ( 현 시점에선 7월 8일 이후버전 )
– 백신이 없으면 설치해 주시고 반드시 최신으로 업데이트 해주세요
3. ‘보안은 나부터’라는 보안의식을 가져주세요
– 컴퓨터를 사용하는 모든 사람이 자발적으로 안전하게 pc를 관리해야 합니다.
– 해킹기술의 발전으로 국가전체의 사이버 안전까지도 위협받고 있습니다.

[DDos공격] MPEG2TuneRequest activeX 제로데이 취약점 이용 유력
관련글 출처: http://www.boannews.com/media/view.asp?idx=16962&kind=0
청와대및 다수의 국가기관 사이트, 네이버, 옥션 등의 홈페이지가 DDoS 공격을 받아 서비스 마비현상을 보이고 있습니다. 또한 미국쪽의 다수 사이트들도 공격을 받았구요.. 미국쪽의 일부 사이트쪽에선 한국이 중계지점으로 지목되어 한국으로부터 접속을 차단한 바 있다고 합니다. 공격지가 어디인지 제대로 파악이 되지않은 상태인데.. 치밀한 준비끝에 이루어졌으며 사실상 예고된 공격의 성격을 가지고 있다고 합니다. 국정원에선 북한을 배후로 지목하기도 했습니다. 어쨋든 이번의 DDoS 공격의 원인은 최근 보고된 MS의 제로데이 취약점을 노린 악성코드가 실제적인 공격수단으로 보인다고 합니다. 이번 공격은 MS의 공식 패치도 아직 발표되지 않은 상태이기때문에 더욱 더 우려되는 상태이구요.. 현재 내 컴퓨터가 좀비가 되어 있지는 않은지 점검이 필요할 듯합니다.
2009년 7월 7일 중국에서 Microsoft DirectShow (msvidctl.dll) 취약점을 이용한 Zero-Day Exploit이 출현했습니다.
▶ 전파방법 : 윈도우 취약점을 악용하여 전파되거나 홈페이지 은닉 악성코드로 전파됨
공격자는 악의적인 웹 사이트에 사용자가 접속하도록 유도하여 공격자가 심어놓은 코드 실행
– 취약점 내역: TV 튜너 지원을 제공하는데 사용되는 MPEG2TuneReuqest ActiveX 컨트롤 취약점,
– 관련 CVE : CVE-2008-0015 [5]
▶ 악성코드 공격특성
공격을 수행한 악성코드는 파일명 msiexec2.exe(파일길이 : 33,841 바이트)’으로 이 파일은 실행될 때 uregvs.nls 파일을 생성하고, 이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있음.
실제 공격을 수행하는 파일은 DLL 파일로 현재까지 perfvwr.dll(파일 길이 : 65,536 바이트)과 wmiconf.dll(파일 길이 : 67,072 바이트) 등 2개의 파일이 발견됐으며, DLL 파일은 공격할 리스트를 읽어 들여 해당 사이트로 공격함
▶ 감염후 증상
감염된 PC를 좀비컴퓨터로 만들어 분산서비스공격(DDoS)를 수행. 악성코드가 만들어내는 트래픽은 한 PC에서 초당 1,050 패킷으로 100 킬로 바이트 정도 발생
▶ 대응방법
1) 응급패치 실시: MS공식 패치는 아닙니다.
(주) NSHC보안연구소에선 관련된 임시보안패치를 배포중입니다. 하지만 기존의 동영상서비스 이용에 문제가 발생할 수 도 있으니 안전이 더 우선시되는 곳에서만 배포하라고 권하고 있던군요…
배포 URL: http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626
2) Outbreak Prevention 실시
실행파일에 대한 쓰기 금지 또는 실행차단을 할 것
msiexec1.exe msiexec2.exe msiexec3.exe wmcfg.exe wversion.exe
perfvwr.dll wmiconf.dll uregvs.nls
▶ 악성코드에 포함된 공격사이트 리스트
국내 사이트
http://www.president.go.kr/ (청와대), http://www.mnd.go.kr/ (국방부), http://www.mofat.go.kr/ (외교통상부), http://www.assembly.go.kr/ (대한민국 국회), http://www.usfk.mil/ (주한 미군), blog.naver.com (네이버 블로그), mail.naver.com (네이버 메일), banking.nonghyup.com (농협 인터넷 뱅킹), ezbank.shinhan.com (신한은행 인터넷 뱅킹), ebank.keb.co.kr (외환은행 인터넷 뱅킹), http://www.hannara.or.kr/ (한나라당), http://www.chosun.com/ (조선일보), http://www.auction.co.kr/ (옥션)
미국 사이트
http://www.whitehouse.gov/, http://www.faa.gov/, http://www.dhs.gov/, http://www.state.gov/, http://www.voanews.com/, http://www.defenselink.mil/, http://www.nyse.com/, http://www.nasdaq.com/, finance.yahoo.com, http://www.usauctionslive.com/, http://www.usbank.com/, http://www.washingtonpost.com/, http://www.ustreas.gov/
피싱메일에 넘어가지 말자
피싱에 주의해야할 것 같습니다. 점점 피싱이 정교해지고 그럴듯해지고 있습니다. 얼마전에 Microsoft에서 Office update를 권고한 것으로 보이는 메일이 왔었는데 정말 그럴듯하더군요…
1. 진짜 같은 인터페이스에 넘어가지 말자
아래 그림에서 보이듯 MS에서 사용하는 것과 매우 유사한 인터페이스를 가지고 있습니다. 내용도 별 이상한 것이 없고 요즘처럼 불안한 상황에서 보안업데이트를 하라는 좋은 (?) 권고상항으로 보입니다. 특히 관리자를 사칭하는 메일은 주의가 필요하다.
2. 가짜 링크에 주의하자 (마우스를 링크위에 올려놓아 보자)
링크이름은 http://update.microsoft.com/* 이지만 마우스를 살짝 올려보면 http://*.com.mx/* 라는 진짜 링크주소가 나옵니다. 도메인명을 읽을때 앞에서부터 읽으면 깜박 넘어갈수 있는 대목입니다. 도메인은 뒤에서 부터 읽어야한다는 것이죠..

3. 유명업체의 무료 이벤트 사칭에 속지말자.
최근의 사례입니다. 유명 인터넷 쇼핑몰에서 온라인 무료체험 이벤트를 사칭한 메일이 뿌려졌었습니다. 국내 대기업이나 주요포털사이트등의 이메일 양식을 이용해서 메일이 오는데.. 정수기, 영어회화, 공무원수험서등의 상품을 무료로 체험할 수 있다고 속여 개인정보(주민번호,나이,전화번호,주소등..)를 수집한 바 있습니다.
메일 주소를 자세히 보면 정상사이트의 관리자 메일주소와 매우 유사하긴 하지만 실제로는 다른 특징을 가지고 있습니다. 도메인주소가 미묘하게 다르죠.. ^^ 예를 들면 webmaster@abc.com이 원래의 주소라면 webmaster@reply.abc.com 라는 다른 주소를 사용하는거죠.. 얼핏보면 속기 쉽죠.. ^^