PDos 공격위험성 제기

   이 갈수록 공격수법들이 진화되고 있습니다.  7.7 Ddos사태를 통해    우리는  Ddos가  서비스 거부 뿐아니고  데이타 유출및 자신의 흔적을 지우기위한 디스크파괴까지 이어질 수있다는 것을 보았습니다.  공격방법이 계속 진화되고 있는데 일각에선 새로운 공격수법이 예상된다고 경고하고 있어서 소개해봅니다.  
  름도 생소한 PDos인데요… Permanet Denial of Service의 약자입니다.    현재까지의 공격목표는 PC가 되고 있지만  앞으로는  네트웍을 기반으로 하는 다른 device들(스마트폰등…)이 앞으로 공격목표가 될 수있다는 것입니다.  성능이 높아지고 있으면서  보안에는 훨씬 취약한 device들은  공격자가 보았을 때  매력적인 타겟이 될수있을 것이기에…    pdos는 특히 네트웍을 기반으로 하는 펌웨어 업그레이드하는 시점에서  그 안에 악성코드를 삽입하여  시스템 거부 공격을 할 수 있다고 합니다.  
========================================================

원문출처: http://news.nate.com/view/20090715n02443 

지난 7일부터 시작돼 전국을 혼란에 빠뜨렸던 분산서비스거부(DDoS) 공격이 사실상 일단락 된 것으로 보이는 가운데 일부 보안 전문가들이 DDoS보다 진화된 형태의 2차 사이버 테러 가능성을 제기해 관심이 집중되고 있다.

보안 전문가들이 우려하는 공격 형태는 PDoS(Permanent Denial of Service), 이는 단일 시스템을 공격하는 형태인 DoS와 분산시스템거부 공격인 DDoS를 거쳐 등장한 것으로 영구적인 서비스 거부 공격을 시도하는 해킹 수법이다.

보안업계에 따르면 PDoS는 네트워크를 기반으로 하는 펌웨어(Firmware)를 업데이트할 때 그 안에 악성코드를 삽입해 시스템을 다운시키는 새로운 형태의 서비스거부 공격방법을 말한다. 스마트폰 등 네트워크와 연결된 각종 기기를 업데이트 할 때 악성코드를 유포해 개인정보를 빼내거나 해당기기를 사용할 수 없게 만드는 것이다.

보안업계 관계자들은 PDoS는 시스템 전체에 위협을 가하는 형태는 아니지만 개인정보 유출의 가능성이 적었던 DDoS와 달리 정보를 빼낼 수 있고, PC보다 더 보안에 취약한 기기를 노리고 있다는 점에서 대응책을 강구해야 한다고 강조했다.

국내 주요 웹사이트의 보안 시스템이 ‘초보적’인 DDoS 공격에도 속수무책이었던 것을 감안하면 이보다 발전된 형태의 PDoS 공격이 본격적으로 시작되면 피해가 심각할 수 있다는 우려도 제기되고 있다.

안철수연구소 김홍선 대표는 “DDoS 공격은 앞으로도 다양한 형태로 전개될 것이고 특히 PC등 보안에 취약한 개인 기기를 계속 노릴 것”이라고 설명하며 “이 형태의 공격은 PC 뿐만 아니라 인터넷에 연결된 TV, 전화 등으로 확산될 수 있다”고 경고했다.

Technet MS 보안공지 사이트

http://www.microsoft.com/korea/technet/security/current.mspx

   매달 발표되는 보안패치들을 가장 심플하면서 알기쉽게 정리해둔 MS의 보안공지 사이트입니다.  보안패치에 대해 확인하기 위해 여러사이트들을 돌아다녀보았는데 이 사이트가 가장  보기 쉬우면서  정리도 잘 되어 있습니다.

사용자 삽입 이미지

2009-07 MS 보안패치 요약입니다.

  7월 Microsoft 보안패치가 발표되었습니다.  이번에도  긴급이 많습니다.  6개 모두 리부팅이 필요하구요..     하나같이  원격코드를 실행할수있다고 하는 군요..   ㅠㅠ      상위 3개 패치는 서두르셔야 할 것 같습니다.   얼마전 발생했던 Ddos바이러스가 이용했던  제로데이 취약점에 관한 패치도 포함되어 있습니다.  MS09-032    서버군에 대한 패치는 이번달엔 상대적으로 작다고 볼수있겠네요…

2009년 7월 패치:   총 6개:   긴급 / 재시작: 3개   중요 / 재시작: 3개

긴급  ▲ , 중요 △ ,보통 ▽ , 재시작 ◐    배열순서는 심각도 순입니다.
MS09-029    Embedded OpenType 글꼴 엔진의 취약점으로 인한 원격 코드 실행 (961371) 

     이 보안 업데이트는 Microsoft Windows 구성 요소인 EOT(Embedded OpenType) 글꼴 엔진에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. Embedded OpenType 글꼴이란  웹페이지등에서 기본 글꼴외에도 추가적인 글꼴을 지원할 수있도록 하는 기술입니다이 취약점으로 인해 원격 코드 실행이 발생할 수 있습니다. 이러한 취약점 두 가지 중 하나를 성공적으로 악용한 공격자는 영향을 받는 시스템을 원격으로 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.  

MS09-028    Microsoft DirectShow의 취약점으로 인한 원격 코드 실행 문제점 (971633) 

     이 보안 업데이트는 Microsoft DirectShow의 공개된 취약점 1건과 비공개로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 QuickTime 미디어 파일을 열 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다.


MS09-032   ActiveX 킬(Kill) 비트 누적 보안 업데이트 (973346) 

     이 보안 업데이트는 Microsoft Video ActiveX 컨트롤(msvidctl.dll)의 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 사용자가 Internet Explorer를 사용하여 ActiveX 컨트롤을 사용하는 특수하게 조작된 웹 페이지를 볼 경우 격 코드 실행이 발생할 수 있습니다.  

MS09-033    Virtual PC 및 Virtual Server의 취약점으로 인한 권한 상승 (969856)  

    이 보안 업데이트는 Microsoft Virtual PC 및 Microsoft Virtual Server의 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점 악용에 성공한 공격자는 임의 코드를 실행하여 영향을 받는 게스트 운영 체제를 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다   요즘은 virtualpc를 쓰시는 분들이 많으니 중요하다고 할 수 있겠습니다.

MS09-031    Microsoft ISA Server 2006의 취약점으로 인한 권한 상승 (970953)  

     이 보안 업데이트는 비공개적으로 보고된 Microsoft ISA(Internet Security and Acceleration) Server 2006의 취약점 1건을 해결합니다. 이 취약점으로 인해 공격자가 Kerberos 제한 위임과 함께 Radius OTP(일회용 암호) 인증 및 인증 위임을 사용하도록 구성된 ISA 서버의 관리 사용자 계정을 성공적으로 가장할 경우 권한 상승이 발생할 수 있습니다. 이 부분은 대부분의 회사엔 필요가 없겠네요.. ^^  ISA를 사용하는 곳이 적을 뿐더라 OTP인증을 함께 쓰는곳은 극히 적을테니까요…

MS09-030    Microsoft Publisher의 취약점으로 인한 원격 코드 실행 (969516)   

     이 보안 업데이트는 비공개적으로 보고된 취약점 1건을 해결합니다. 사용자가 특수하게 조작된 Publisher 파일을 열면 이 Microsoft Office Publisher 취약점을 통해 원격 코드 실행이 허용될 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다  

MS Office Zero-Day 공격주의보

원문출처: http://www.boannews.com/media/view.asp?idx=17088&kind=1 

 
  2009년 7월 13일 마이크로소프트에서 신규 제로데이(Zero-Day) 보안 취약점을 발표했습니다.  잉카 인터넷 시큐리티 대응센터(ISARC)의 보안 관제 상황에 따르면 중국내 특정 사이트들을 중심으로 금번 신규 취약점 공격 보고가 다수 발견되고 있으며, 국내로 공격 방식이 유입될 가능성이 높다고 예측되고 있어 인터넷 사용자들의 각별한 주의가 요망되고 있는 실정입니다.
  MS의 7월 정기 보안 업데이트 발표가 얼마 남지 않은 임박한 시점에 발견되기 시작한 Zero-Day 취약점 공격이기 때문에 해당 문제를 해결할 수 있는 패치 프로그램은 다음 정기 보안 업데이트 일정에 따라 배포될 가능성이 높다고 합니다.  이런 경우  MS에서는 대개 응급조치법을 제공하는데요..   공식적으로는 권장하지 않습니다.  문제가 생긴 곳에서는 적용해보라고 식이죠.. ^^
  여기 있는 Fix it은  향후 정식 패치가 나오게 되면  Rollback을 해야 한다고 하니  널리 배포하지 않는 것이 좋습니다.
Roll back파일은 위 링크에서 함께 제공됩니다.

[Trend Officescan] TMCM를 이용하여 업데이트하기

  인터넷에 접속되지않거나  기존에 트렌드에서 제공하는 active update서버에 접속이 되지않는 경우 TMCM을 이용하여  최신 버전으로 업데이트가 가능합니다.  네트웍 구조에 따라서 피치못하게  Trend active update서버에서 업데이트를 할 수 없는 경우  아래 방법을 사용하시면 되겠습니다.

Officescan 업데이트 서버 주소: http://osce8-p.activeupdate.trendmicro.com/activeupdate

TMCM 업데이트 주소http://TMCM_server_IP_address:8080/controlmanager/download/activeupdate/

트렌드에서 제공하는 Active Update 링크에서  TMCM서버의 업데이트 링크로 바꾸기
1. 웹콘솔에서 Update / Server / Update source 메뉴로 이동
2. Other update source 선택하고   TMCM업데이트 링크를 입력한다.
3. 저장하고 나온다.  ^^사용자 삽입 이미지

가상화로 DDos를 막는다

  최근 일어난  7.7 Ddos사태가 이제서야 마무리되어 가고 있습니다.  하지만 여전히 위협은 끝나지 않았고  또 다른 Ddos공격이 언제든 일어날 수있는 상황입니다.  이전과는 달리 C&C서버를 이용하지 않는 새로운 수법에  대응이 더 힘들었다고는 하지만  사실  제가 참석했던 각종 보안관련세미나에선  이부분을 이미 언급했었더랬습니다.   C&C서버를 이용하지 않는 공격이 발생하면  대응이 어렵다는 경고들이 있었다고 한다면..    충분한  준비가 부족했다는 생각이 듭니다.  

   번에는  최초 배포된 악성코드의 패턴을 분석하여  그에 대응하는 것이 가능했는데   이것은 해커가 추가적으로  기 배포된 좀비들에 새로운 명령을 내릴 수 없었기 때문이었습니다.  하지만 C&C서버나  사전 입력된 프로그램을 이용하지 않고  P2P방식을 이용한다면 얼마든지 새로운 명령을 내릴 수있기 때문에   대응이 더욱더 어려워질 것입니다.  그런 면에서   한세텔레콤에서 제시한 가상화를 이용한 Ddos방어는   효과가 있을 것으로 보입니다.  요는 서버의 실제 위치를 감추고  dns를 암호화하여   Ddos공격을 무위로 돌리려는 것입니다.  Ddos라는 것은  특정 목표에 공격을 집중시키는 것이니까..  특정목표라는 공격지 자체를 은폐시키거나 변경시킬 수있으면  효과적인 방어가 가능하겠죠..    

출처: http://www.datanet.co.kr/news/news_view.asp?id=46117&acate1=0&acate2=3

한세텔레콤(대표 오태환 http://www.hansetel.com/) 정보보안사업부문이 DDoS 공격의 새로운 방안으로 가상화를 제시했다. 실제 서비스 서버가 아닌 가상 서버로의 접속유도함으로써 DDoS 공격을 회피한다는 것.

한세텔레콤은 2008년 6월 무인전자경비업체인 KSC, 올해 3월 DDoS/IPS 기업 지모컴 등을 인수하면서 보안 시장에 적극적으로 뛰어들고 있다.

한세텔레콤은 “기존 보안의 방법으로 DDoS 100% 막아 내기에는 원천적으로 불가능하다”며 “가상화에 기반해 서비스 서버의 위치를 알 수 없게 하는 스텔스 기능과 DNS암호화 등을 통해 회피하는 방법으로 DDoS를 방어해야 한다”고 밝혔다.

한세텔레콤은 이러한 방법을 구현한 ‘분산중계기술을 이용한 DDos 방어기술’로 특허를 획득한 상황이다. 이 기술은 실제 서비스 존을 대신하는 가상의 서비스 존을 다수 형성하고 공격자로 하여금 가상의 서비스 존으로 공격을 유도하는 것으로, 가상의 목표물를 내세워 실제 목표물을 은폐시키고, 공격자가 어디를 공격해야 할지 모르게 혼란에 빠트리는 위장기술이라 할 수 있다.

한세텔레콤에 따르면, 실제 서비스 존을 공격자가 알 수 없기에 실 서비스 서버를 보호하여 공격 시에도 정상적인 서비스 제공을 가능하게 한다. 또한 서버에 접근하는 접속자를 대상에 따라 접근루트를 변경하게 할 수 있으며, 공격을 받더라도 가상 서버에 대한 공격이기에 모든 복구가 빠르다는 장점이 있다.

한세텔레콤 정보보안사업부문는 현재 게임사이트를 대상으로 서비스망을 구축하였으며, 실제 DDoS공격으로 부터 효과적인 방어를 구현하고 있다고 밝혔다.

AD그룹정책을 이용하여 사내pc에서 웜파일 실행을 차단하기

  이 글은 ActiveDirectory가 구축된 회사에서  웜 확산을 초기에 막는데  도움이 됩니다. ^^  ActiveDirectory는 비용이 별로 들지않으면서  회사내의 수많은 시스템을 효과적으로 관리할수있는 좋은 인프라라고 할 수있습니다.  저희 회사에선 AD를 사용하고 있는 중이구요..    AD인프라를 사용하는 회사가 늘어나고 있으므로   이런 회사들에 있어서 초기에 웜 확산을 저지하는데  사용할 수있는 소프트웨어 차단 정책을 소개합니다.  이 정책을 이용하면  한번의 작업으로  회사내의 모든 PC에서  지정한 웜파일의 실행을  차단할 수 있습니다.

1. AD 관리툴인 “Active Directory 사용자및 컴퓨터”를 실행합니다. (명령: dsa.msc)
    – 차단하고자 하는 PC OU에 마우스를 올리고 우클릭 합니다.
    – 등록정보창에서  Group Policy 탭으로 이동한후  Open을 클릭합니다.
    – 그룹정책 관리를 위해 GPMC를 설치할 것을 강력히 권합니다.
       GPMC 다운로드 받기 <<jaewook.net의 포스팅 >>  << MS에서 다운로드받기 >>사용자 삽입 이미지
2. GPMC를 이용에서  파일 실행 제한을 위한 그룹정책을 만들어보겠습니다.
    – 원하는 PC OU에 마우스 커서를 위치한후 마우스 우클릭하여 메뉴를 나타나게합니다.
    – Create and Link a GPO Here..를 클릭합니다.
사용자 삽입 이미지
3. Policy_restriced_SW라는 이름의 정책을 만듭니다.
    – 만들어진 정책에 마우스를 올린후  Edit 클릭
사용자 삽입 이미지
4. 그룹정책 개체 편집기를 이용하여  새 소프트웨어 제한 정책을 만듭니다.
   – 컴퓨터구성/ Windows 설정/ 보안설정 / 소프트웨어 제한정책 트리로 이동합니다.
   – 팝업메뉴에서 새 소프트웨어 제한 정책을 클릭합니다.사용자 삽입 이미지
5. 새 경로규칙 만들기를 선택하여  차단하고자 하는 파일 정보를 입력합니다.
    – 웜이 사용하는 주 실행 프로세스들을 입력해줍니다.
    – 20090707 발생한 Mydoom 계열의 Ddos바이러스가 이용하는 실행파일들은 아래와 같습니다.
       msiexec2.exe ,  msiexec1.exe 사용자 삽입 이미지
사용자 삽입 이미지
자 이제 모든 창을 닫고 나오면 되겠습니다.

▶ 주의사항
1. 테스트 필요
  이런 실행차단 정책은 사전에  테스트가 필수입니다.  잘못입력하여 정상파일을 차단하기라도 하면 큰일입니다.
처음엔 테스트OU에서만 적용하여 정상 작동을 확인한 후  전체 AD에 적용해야합니다.
2. 배포시간 고려
  AD의 인프라를 이용하기 때문에 배포하는데 약간의 시간이 걸립니다. 시간상으로 10-30분 정도가 소요되고  이 정책을 적용받으려면  실제적으론 PC가 리부팅되어야 합니다. 소프트웨어 제한 정책은 컴퓨터 계정에 적용되는 정책이기 때문에  pc가 리부팅될때 적용받을수있습니다.  회사에서 pc사용시간을 고려하면 적용되기 원하는 전날 저녁에 정책을 적용한 것이 적당하다 하겠습니다.

[보안공지메일] 7.7 Ddos대란 ! 데이터 파괴 우려까지

  7.7 Ddos대란이라고 불리면서  국내외적으로 엄청난 관심과 우려를 불러일으킨 현 시점에서  직원들의 보안인식 제고를 위해서  보안공지메일을 보내시는 것이 좋을 듯합니다.  

  안철수 박사님이 이야기하신 것처럼  이젠  특정한 기관이나  기술자가  막을 수 있는 것이 아니라 국가적으로 모든 사람이  보안의식을 가지고  사전에 자신의 PC가 좀비가 되지 않도록 예방하는 것이가장 비용이 적게 들면서도   효과적인 방법이 아닐까 합니다.   물론 국가적으로도 대응체계 전반에 걸쳐서 많은 투자가 있어야 할 것 같구요..   200억 예산을 세웠다고 하는 데 지속적으로  인재양성, 기술계발, 전국민을 대상으로한 보안인식 제고활동등이 시행되어야 할 것 같습니다.

제목:  7.7 Ddos대란 ! 데이터 파괴 우려까지
내용:

  지난 7일 오후 6시  한국과 미국의 주요 인터넷 사이트를 대상으로 시작된 Ddos공격은  8일 변종출현, 10일 0시 데이터 파괴로 이어지고 있습니다.   7.7 Ddos대란이라고 까지 불리고 있는 상황입니다. 

  초기엔 공격대상 인터넷 사이트의 접속을 지연시키는 단순한 Ddos로 보여졌지만 지난 1999년의 체르노빌(CHI)바이러스처럼  감염pc의 데이터 파괴 피해가 발생할 수 있음이 밝혀졌습니다.  MS의 보안취약점을 이용하여  퍼지고 있으나  정작 MS에서는 아직 공식 패치를 발표하지 않고 있습니다.  다행히 주요 백신사들은 이에 대해 대응을 하고 있어서  최신 백신 패턴을 업데이트만 잘 하면 큰 피해는 막을 수 있는 상황입니다.   다행히 현 시점에선  5개의 숙주사이트를 국내에서 접속이 되지 않도록 차단하는 등 … Ddos공격이 진정국면으로 접어들었으나 아직 안심할 수 없는 상황입니다.
사용자 삽입 이미지
★ Ddos바이러스 공격개요
7.7 오후6시 1차 Ddos  – 백안관,청와대,네이버,조선일보,옥션…
7.8 오후5시 2차 Ddos  -국정원,네이버메일,안철수,알툴,은행권
7.9 오후6시 3차 Ddos  – 다음메일,네이버메일,옥션,조선일보…
7.10 오전 0시 이후 : 암호화 후 데이터파괴
  16개국 86개 IP통해 사이버 테러…  5만대 이상 감염된 것으로 추정…

★ Ddos 바이러스의 피해를 받지 않기 위해선 …
1. 수상한 메일은 열지 말세요 
  – 현 Ddos바이러스는 Mydoom 계열로서 초기엔 메일로 전파
  – 수상한 메일은 읽지 말고 바로 삭제,  아웃 룩 미리보기 끄기
2. PC의 보안패치를 최신으로 유지해주세요
  –  백신 업데이트는 항상 최신으로 ( 현 시점에선 7월 8일 이후버전 )
  – 백신이 없으면  설치해 주시고  반드시 최신으로 업데이트 해주세요
3.  ‘보안은 나부터’라는  보안의식을 가져주세요
  – 컴퓨터를 사용하는 모든 사람이 자발적으로 안전하게 pc를 관리해야 합니다.
 – 해킹기술의 발전으로  국가전체의 사이버 안전까지도 위협받고 있습니다.

사용자 삽입 이미지

[DDos공격] MPEG2TuneRequest activeX 제로데이 취약점 이용 유력

관련글 출처:  http://www.boannews.com/media/view.asp?idx=16962&kind=0

  와대및 다수의 국가기관 사이트,  네이버, 옥션 등의 홈페이지가 DDoS 공격을 받아 서비스 마비현상을 보이고 있습니다.   또한 미국쪽의 다수 사이트들도 공격을  받았구요..  미국쪽의 일부 사이트쪽에선  한국이 중계지점으로 지목되어  한국으로부터 접속을 차단한 바  있다고 합니다.  공격지가 어디인지 제대로 파악이 되지않은 상태인데.. 치밀한 준비끝에 이루어졌으며 사실상  예고된 공격의 성격을 가지고 있다고 합니다.   국정원에선  북한을 배후로 지목하기도 했습니다.    어쨋든 이번의  DDoS 공격의 원인은 최근 보고된 MS의 제로데이 취약점을 노린 악성코드가 실제적인 공격수단으로  보인다고 합니다. 이번 공격은  MS의 공식 패치도 아직 발표되지 않은  상태이기때문에 더욱 더 우려되는 상태이구요..  현재 내 컴퓨터가 좀비가 되어 있지는 않은지 점검이 필요할 듯합니다.

  2009년 7월 7일 중국에서 Microsoft DirectShow (msvidctl.dll) 취약점을 이용한 Zero-Day Exploit이 출현했습니다. 

▶  전파방법 : 윈도우 취약점을 악용하여 전파되거나 홈페이지 은닉 악성코드로 전파됨
    격자는 악의적인 웹 사이트에 사용자가 접속하도록 유도하여 공격자가 심어놓은 코드 실행
 – 취약점 내역: TV 튜너 지원을 제공하는데 사용되는 MPEG2TuneReuqest ActiveX 컨트롤 취약점,
 – 관련 CVE : CVE-2008-0015 [5]

▶  악성코드 공격특성  

   격을 수행한 악성코드는 파일명 msiexec2.exe(파일길이 : 33,841 바이트)’으로   이 파일은 실행될 때 uregvs.nls 파일을 생성하고 EXE 파일에는 코드 내부에 공격 리스트를 담고 있음.
  실제 공격을 수행하는 파일은 DLL 파일로 현재까지 perfvwr.dll(파일 길이 : 65,536 바이트) wmiconf.dll(파일 길이 : 67,072 바이트) 2개의 파일이 발견됐으며, DLL 파일은 공격할  리스트를 읽어 들여 해당 사이트로 공격함

▶  감염후 증상
 
 염된 PC를 좀비컴퓨터로 만들어 분산서비스공격(DDoS)를 수행. 악성코드가 만들어내는 트래픽은 한 PC에서 초당 1,050 패킷으로 100 킬로 바이트 정도 발생

▶  대응방법
  1) 응급패치 실시:  MS공식 패치는 아닙니다.
        (주) NSHC보안연구소에선 관련된 임시보안패치를 배포중입니다. 하지만  기존의 동영상서비스 이용에 문제가 발생할 수 도 있으니 안전이 더 우선시되는 곳에서만 배포하라고 권하고 있던군요…  
배포 URL: http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626 

  2) Outbreak Prevention 실시
      실행파일에 대한  쓰기 금지 또는 실행차단을 할 것
      msiexec1.exe  msiexec2.exe  msiexec3.exe  wmcfg.exe  wversion.exe
      perfvwr.dll  wmiconf.dll   uregvs.nls

▶  악성코드에 포함된 공격사이트 리스트

국내 사이트
http://www.president.go.kr/ (청와대), http://www.mnd.go.kr/ (국방부), http://www.mofat.go.kr/ (외교통상부), http://www.assembly.go.kr/ (대한민국 국회), http://www.usfk.mil/ (주한 미군), blog.naver.com (네이버 블로그), mail.naver.com (네이버 메일), banking.nonghyup.com (농협 인터넷 뱅킹), ezbank.shinhan.com (신한은행 인터넷 뱅킹), ebank.keb.co.kr (외환은행 인터넷 뱅킹), http://www.hannara.or.kr/ (한나라당), http://www.chosun.com/ (조선일보), http://www.auction.co.kr/ (옥션)

미국 사이트
http://www.whitehouse.gov/, http://www.faa.gov/, http://www.dhs.gov/, http://www.state.gov/, http://www.voanews.com/, http://www.defenselink.mil/, http://www.nyse.com/, http://www.nasdaq.com/, finance.yahoo.com, http://www.usauctionslive.com/, http://www.usbank.com/, http://www.washingtonpost.com/, http://www.ustreas.gov/ 

피싱메일에 넘어가지 말자

피싱에 주의해야할 것 같습니다.  점점 피싱이 정교해지고 그럴듯해지고 있습니다.  얼마전에 Microsoft에서  Office update를 권고한 것으로 보이는 메일이 왔었는데 정말 그럴듯하더군요

 

1. 진짜 같은 인터페이스에 넘어가지 말자

  아래 그림에서 보이듯  MS에서 사용하는 것과 매우 유사한 인터페이스를 가지고 있습니다. 내용도 별 이상한 것이 없고  요즘처럼 불안한 상황에서 보안업데이트를 하라는 좋은 (?) 권고상항으로 보입니다.  특히 관리자를 사칭하는 메일은 주의가 필요하다.  

 

2. 가짜 링크에 주의하자 (마우스를 링크위에 올려놓아 보자)

  링크이름은  http://update.microsoft.com/* 이지만  마우스를 살짝 올려보면   http://*.com.mx/*  라는 진짜 링크주소가 나옵니다. 도메인명을 읽을때 앞에서부터 읽으면 깜박 넘어갈수 있는 대목입니다.  도메인은 뒤에서 부터 읽어야한다는 것이죠..  

사용자 삽입 이미지

3. 유명업체의 무료 이벤트 사칭에 속지말자.

    최근의 사례입니다. 유명 인터넷 쇼핑몰에서  온라인 무료체험 이벤트를 사칭한 메일이 뿌려졌었습니다.  국내 대기업이나 주요포털사이트등의 이메일 양식을 이용해서 메일이 오는데..   정수기, 영어회화, 공무원수험서등의 상품을 무료로 체험할 수 있다고 속여 개인정보(주민번호,나이,전화번호,주소등..)를 수집한 바 있습니다.

   메일 주소를 자세히 보면  정상사이트의 관리자 메일주소와 매우 유사하긴 하지만 실제로는 다른 특징을 가지고 있습니다.  도메인주소가 미묘하게 다르죠.. ^^   예를 들면  webmaster@abc.com이 원래의 주소라면 webmaster@reply.abc.com 라는 다른 주소를 사용하는거죠..  얼핏보면  속기 쉽죠.. ^^

 

사용자 삽입 이미지