이 기사를 보고, "한심하다는 생각과 분노" 가 동시에 치밀었습니다. 이 기사에서는 "1원경매" 라고 불리우는 중소 오픈경매사이트를 중심으로 이루어진 것입니다만, 사이트를 들어가보시면 상당히 허술함을 딱 느낄 수 있습니다. 

이 기사가 나오기 전부터 줄 곧 계속해서 나타나고 있는 오픈경매사이트를 유심히 보았습니다. 그누보드와 같은 오픈보드로 만든 사이트서 부터, 디자인 마저도 엉망이고 링크연결도 되지 않는 문제점 마저 보였기에 저는 단순히 악성 사이트로 생각할 정도였습니다. 

이러한 사이트에 수만명이 가입했다는 것에 놀랐고, 이렇게 많은 회원이 가입했음에도 보안을 방치해둔 부분에 대해서는 분노할 수 밖에 없었습니다. 꼭 기사가 나야지 이렇게 하는 것인지. "정부차원" 을 언급하지만, 보안이 허술하다면 운영자체를 하지 않는게 좋지 않을까요?

후에 피해가 발생하면 "이미지 하락" 은 물론이고, 사업장이 망할 수도 있는 것인데, "유출되도 내 정보 아니니깐" 이라는 식으로 방관할 셈인가요? 저는 이러한 사이트를 오히려 처벌해야하는 것이 아닌가 생각합니다.

http://mcaf.ee/8ef52

Apple plugs 57 major security holes in iTunes


If you use Apple’s iTunes software — whether on Windows or Mac OS X — it’s important that you immediately apply the latest software update.

만약 아이튠즈를 이용중인 윈도우 혹은 Mac 유저라면 최신버전으로 패치해야 합니다.

Apple has shipped iTuens 10.2 as a highly-critical patch to cover a whopping 57 security vulnerabilities, some serious enough to allow hackers to take complete control of a vulnerable machine.

이번 아이튠즈 10.2는 취약한 기기를 조종할 수 있는 심각한 취약점을 포함한 57개의 취약점을 패치하였습니다.

According to an advisory from Apple, 50 of the 57 flaws were fixed in WebKit, the open-source rendering engine used within the multimedia software.

애플 관계자에 따르면, 57개중 50개는 멀티미디어 소프트웨어의 오픈소스 렌더링 엔진의 문제점 입니다. 

The vulnerabilities could be exploited to launch remote code execution attacks if a user simply opens an image file or surfs to a rigged Web site, Apple warned.

이 취약점은 인터넷을 서핑하거나 단순히 이미지를 여는 것만으로도, 원격 코드가 실행될 수 있습니다. 
follow Ryan Naraine on twitter

Most of the WebKit flaws were reported by Google’s security team and TippingPoint’s ZDI, a third-party broker of vulnerability information.

대부분의 웹 취약점은 구글의 보안팀과 취약점 정보를 연구하는 TippingPoint의 ZDI에서 보고하였습니다.

In addition to the WebKit issue, Apple also fixed the following:

고쳐진 웹 취약점. 

  • ImageIO: libpng is updated to version 1.4.3 to address multiple vulnerabilities, the most serious of which may lead to arbitrary code execution. For Mac OS X v10.5 systems, this is addressed in Security Update 2010-007. Further information is available via the libpng website. (Windows 7, Vista, XP SP2 or later).
  • ImageIO: A heap buffer overflow issue existed in ImageIO’s handling of JPEG images. Viewing a maliciously crafted JPEG image may lead to an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • ImageIO: A buffer overflow existed in libTIFF’s handling of JPEG encoded TIFF images. Viewing a maliciously crafted TIFF image may result in an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • ImageIO: A buffer overflow existed in libTIFF’s handling of CCITT Group 4 encoded TIFF images. Viewing a maliciously crafted TIFF image may result in an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • libxml: A double free issue existed in libxml’s handling of XPath expressions. Processing a maliciously crafted XML file may lead to an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • libxml: A memory corruption issue existed in libxml’s XPath handling. Processing a maliciously crafted XML file may lead to an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • LibXML의 XPath 핸들러에서 메모리 변조 취약점이 존재하였습니다. 악의적인 XML 파일을 실행할 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)
  • Libpng가 1.4.3 으로 업데이트 되었습니다. MAC v10.5 에서의 임의 코드 실행 취약점과 주소 배수 취약점을 수정하였고, 이름은 2010-007로 명명하였습니다. 더 많은 정보는 Libpng 웹사이트에서 확인할 수 있습니다.
  • Heap 버퍼 플로우 취약점이 ImageIO의 JPEG 핸들러에 존재하였습니다. 악성 JPEG 이미지를 볼 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)
  • LibTIFF를 이용하여 JPEG를 TIFF로 인코딩 하는 과정에서 버퍼플로우 취약점이 존재하였습니다. 악성 TIFF 이미지를 볼 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)
  • LibTIFF를 이용하여 CCITT4를 TIFF로 인코딩 하는 과정에서 버퍼플로우 취약점이 존재하였습니다. 악성 TIFF 이미지를 볼 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)

The company called special attention to a man-in-the-middle attack scenario may lead to an unexpected application termination or arbitrary code execution while a target user is browsing the iTunes Store via iTunes.  This is caused by a vulnerability in WebKit.

아이튠즈를 통해서 스토어를 서핑하는 유저를 타겟으로 하는 예기치 못한 프로그램 종료 혹은 임의 코드 실행 이라는 취약점을 중간자 공격이라고 특별히 부르도록 하였습니다. 

iTunes 10.2 is being pushed out via the Mac OS X and Windows software update mechanisms.  It can also be downloaded directly fromApple’s iTunes web site.

아이튠즈 10.2는 Mac과 Windows 소프트웨어 업데이트를 통해서 받을 수 있고, 아이튠즈 웹사이트에서 직접 다운받으 실 수도 있습니다.

원문: http://www.zdnet.com/blog/security/apple-plugs-57-major-security-holes-in-itunes/8275?tag=mantle_skin;content
액티브X로 인한 문제점은 날로 늘어가고, 없애자는 의견도 점점 늘어만 가는데도 정작 사라지고 있지 않습니다. 이 포스팅 전에 액티브X 와 관련된 옛기사가 있었습니다만, 아직까지도 액티브X 를 사용하다가 P2P 사이트에서 결국 문제점을 다시 일으켰습니다. 

특정 P2P사이트의 그리드 설치 액티브X를 받는 경우에는 좀비PC가 된다는 DDoS 악성코드가 다운로드 되는 것인데, 아마도 공격자도 이부분을 노린 것 같습니다. 

이제는 빠르게 시정해야 하지 않을까요?


http://mcaf.ee/95846

Stolen apps that root Android, steal data and open backdoors available for download from Google Market

To many of its fans, the openness and freedoms offered by the Android mobile operating systems is one of its main selling points. But that openness come with a price - it makes it easy for nefarious types to sneak malware into apps. And that’s exactly what they are doing.

자율성과 공개성은 안드로이드 OS의 판매 장점으로 꼽힌다. 하지만 공개성은 댓가를 치루게 되었다. Malware 어플리케이션이 활동하기 쉽도록 만들었고, 현실이 되었다.

Here’s an example offered up by Android Police:

Redditor lompolo has stumbled upon a perfect example of that fact; he’s noticed that a publisher has taken “… 21 popular free apps from the market, injected root exploits into them and republished.” The really scary part? “50k-200k downloads combined in 4 days.”

Redditor lompolo 는 "마켓의 21개 유명 무료어플들은 바이러스가 삽입된 채로 다시 재배포 되어지고 있다." 더욱 무서운 것은 "이것이 4일만에 다운로드수가 5만~200만개라는 것"

So take some free apps, inject them with malware and re-release them. It’s that simple. Then profit! And there’s almost no limit to what these apps can get away with:

일부 무료어플은 Malware를 삽입한 다음 재 배포 되어지고 있다. 이런 어플이 제한이 되지 않는 다는 것은 말도 안된다.

I asked our resident hacker to take a look at the code himself, and he’s verified it does indeed root the user’s device via rageagainstthecage or exploid. But that’s just the tip of the iceberg: it does more than just yank IMEI and IMSI. There’s another APK hidden inside the code, and it steals nearly everything it can: product ID, model, partner (provider?), language, country, and userID. But that’s all child’s play; the true pièce de résistance is that it has the ability to download more code. In other words, there’s no way to know what the app does after it’s installed, and the possibilities are nearly endless.

나는 소속 해커에게 코드를 살펴보도록 의뢰했고, "rageagainstthecage"을 이용하여서 이용자의 기계에 문제를 줄 수 있다고 확인하였다. 하지만 이것은 빙산위에 일각이다. IMEI, IMSI 까지 탈취할 수 있다. 또다른 APK는 코드 안쪽에 숨겨져 있고, 이 코드는 모델명, 제공자, 언어, 나라, USER ID, 제품ID 까지 거의 모든 것을 훔칠 수 있다. 하지만, 이정도도 또한 유치한 정도이다. 코드까지 다운로드시킬 수 있다. 다른말로 하자면, 한번 설치가 되면 무엇이 깔리는지 알 수 없는 것이다.

Scary stuff. And remember, unlike the Android malware I blogged about yesterday, this code has been freely available for download from the official Google app market.

어제 블로그한 안드로이드 말웨어와는 전혀 다르다는 것에 무섭다. 이번 코드는 공식적 구글마켓에서도 무료로 다운로드가 가능하다는 것이다. 

The publisher in question, Myournet, has been removed from the Android Market. Here is a list of affected apps:

개발자는 안드로이드 마켓에서 삭제하기로 하였다. Myournet 에서 제작한 문제가 있는 어플 리스트이다. 

  • Falling Down
  • Super Guitar Solo
  • Super History Eraser
  • Photo Editor
  • Super Ringtone Maker
  • Super Sex Positions
  • Hot Sexy Videos
  • Chess
  • 下坠滚球_Falldown
  • Hilton Sex Sound
  • Screaming Sexy Japanese Girls
  • Falling Ball Dodge
  • Scientific Calculator
  • Dice Roller
  • 躲避弹球
  • Advanced Currency Converter
  • App Uninstaller
  • 几何战机_PewPew
  • Funny Paint
  • Spider Man
  • 蜘蛛侠

Also affected were the following apps by a publisher calledKingmall2010:

또한 이것은 CalledKingMall2010 에서 제작한 문제어플이다.

  • Bowling Time
  • Advanced Barcode Scanner
  • Supre Bluetooth Transfer
  • Task Killer Pro
  • Music Box
  • Sexy Girls: Japanese
  • Sexy Legs
  • Advanced File Manager
  • Magic Strobe Light
  • 致命绝色美腿
  • 墨水坦克Panzer Panic
  • 裸奔先生Mr. Runner
  • 软件强力卸载
  • Advanced App to SD
  • Super Stopwatch & Timer
  • Advanced Compass Leveler
  • Best password safe
  • 掷骰子
  • 多彩绘画

And these by we20090202:

이것은 We20090202 에서 만든 것이다. 

  • Finger Race
  • Piano
  • Bubble Shoot
  • Advanced Sound Manager
  • Magic Hypnotic Spiral
  • Funny Face
  • Color Blindness Test
  • Tie a Tie
  • Quick Notes
  • Basketball Shot Now
  • Quick Delete Contacts
  • Omok Five in a Row
  • Super Sexy Ringtones
  • 大家来找茬
  • 桌上曲棍球
  • 投篮高手

There’s plenty that Android handset owners can do to stay safe (most of the advice consists of not removing safeguards put in place to protect them), but when it comes to the official download channel, Google needs to be doing more to protect Android users from malware.

아직 안전한 안드로이드 유저도 많다. (유저를 보호하는 백신을 지우지 않는 것을 추천드립니다.) 하지만, 만약 공식적인 다운로드 공간에 Malware 어플이 등장할 경우에는 구글에서는 Malware 로 부터 안드로이드 유저를 지켜야 한다.

If you’ve got apps from this publisher installed, it’s probably a good idea to uninstall them. You also might want to contact your handset maker or phone company for help and advice.

만약 리스트에 적힌 어플리케이션을 설치한 경우에는 지우는 것을 추천드립니다. 제조사나 제작자에게 문의를 하여서 도움을 받는 것이 좋습니다. 

원문: http://www.zdnet.com/blog/hardware/stolen-apps-that-root-android-steal-data-and-open-backdoors-available-for-download-from-google-market/11689?tag=content;search-results-river

Report: malicious PDF files becoming the attack vector of choice


According to a newly released report by Symantec’s MessageLabs, malicious PDF files outpace the distribution of related malicious attachments used in targeted attacks, and currently represent the attack vector of choice for malicious attackers compared to media, help files, HTMLs and executables.

시만텍 MessageLabs의 새롭게 공개된 보고서에 따르면 악의적인 PDF 파일 공격이 첨부파일과 관련된 공격을 넘어섰다. 현재는 공격의 대표적인 Media, Help 파일, HTML 문서, 실행파일 기법을 비교하여 그래프로 나타내었습니다.

The report also notes a slight increase in the distribution of executable files, a rather surprising trend given the fact that spam and email filters will definitely pick them up.

이 보고서는 실행파일 공격이 조심스럽게 증가하고 있음이 중요하고, 스팸과 E-mail 필터들이 확실하게 악성코드를 잡아낼 것이라는 것에 더욱 놀랐습니다.

PDFs now account for a larger proportion of document file types used as attack vectors. However, it should be noted that office-based file formats are still a popular and effective choice used in some targeted attacks. In 2009, approximately 52.6% of targeted attacks used PDF exploits, compared with 65.0% in 2010, an increase of 12.4%. Despite a recent downturn in the last three months, if this trend were to continue at the same rate it has for the last year, the chart in figure 2 shows that by mid-2011, 76% of targeted malware could be used for PDF-based attacks.

PDF는 현재 문서화 파일공격 비율보다 더 큰 부분을 차지합니다. Office 제품군의 파일 확장자가 여전히 일부 타겟으로 여전히 인기 있음을 시사합니다. 2009년 52.6% 정도로 PDF 공격이 차지하였으나, 2010년에는 65.%로, 12.4% 증가하였습니다. 현재 3달동안 하락세가 있었음에도 불구하고, 만약 작년과 같은 비율로 계속 증가한다면 2011 중반기에는 76% 까지 증가할 수 있습니다.

PDF-based malware campaigns are here to stay, though:

PDF-based targeted attacks are here to stay, and are predicted to worsen as malware authors continue to innovate in the delivery, construction and obfuscation of the techniques necessary for this type of malware,” said MessageLabs Intelligence Senior Analyst, Paul Wood.

Paul Wood는 "PDF 공격은 계속 지속될 것이고, Malware가 점점 분석이 어려워 짐으로써 악화될 것이라고 예측된다." 라 말했다. 

Are cybercriminals picky? Not necessarily as it’s entirely based on the campaign in question. In this case, they appear to be interested in bypassing spam and email filters by distributing a ubiquitous filetype that’s often allow to pass through them in the first place.

범죄자들은 특별한 것일까? 이번 경우에는, 범죄자들이 흔히 사용하는 파일종류는 통과시키는 것을 이용하여, E-mail 우회에 관심을 갖고 있는 것으로 나타났다. 

Email attachments combined with social engineering tactics, are among the many attack vectors, cybercriminals take advantage of. Next to email attachments, the use of web malware exploitation kits is growing, with the majority of publicly obtainable data indicating that they continuerelying on outdated and already patched vulnerabilities for successful exploitation.

E-mail 첨부파일과 사회공학적 기법과 결합하여, 많은 공격기법 중에 가장 범죄자들이 선호하는 기법중 하나이다. 이미 패치된 취약점을 나타내는 상당수의 공공연한 자료를 바탕으로 계속해서 웹 Malware 공격툴의 사용은 증가할 것이다.

See also:

참고자료:



현재 이 글을 포스팅 하는 이 시점에도 끊임없이 지식인을 통해서 DDoS 관련 질문이 쏟아지고 있어, 이렇게 블로그를 통해서 수많은 분들의 궁금증을 대신합니다. 

기존에 제 블로그에는 좀비PC에 관련해서 많은 글들을 포스팅 하였고, 이러한 글들이 유용하게 씌였으리라 생각합니다. 이 포스팅은 기존에 작성해 놓은 포스팅의 글을 대부분 빌려썼기 때문에 사실 상 "끌어올리기 성" 글로 이해하셔도 될 듯 싶습니다. 


많은 분들이 보호나라릉 이용해주시고 있습니다만, 현재 피해가 계속되어지고 있고, 아직 활동하지 않은 잠재적인 PC도 존재하는 만큼 보호나라의 악성 봇 페이지를 통해서 정상적인 진단을 받기란 매우 어렵습니다. (관련 글 : http://blog.bpscal.com/104)

또한 이번 계기로 다시 netstat 8080포트 니, svchost.exe 니 뭐니 해서 유언비어가 돌아다니고 있습니다. 유언비어에 따라 컴퓨터에 잘못된 처방을 내릴 수 있어서 매우 위험합니다. (관련 글 : http://blog.bpscal.com/30)

가장 추천드리는 해결방법은 백신을 이용하라는 것입니다. 세계적으로 정보가 수집되다 보니 국내백신보다는 아마도 해외백신을 선호하고 있습니다. 

Avast 사의 Avast Home Edtion ( http://www.avast.co.kr/ )
Avira 사의 Antivir Free 버젼 ( http://www.free-av.com/ )
AVG 사의 AVG ( http://www.avgkorea.com/ )
MIcrosoft 사의 MS Essentials ( http://www.microsoft.com/security_essentials/default.aspx ) 정품인증필요 !


UDP Flooding 을 이용한 공격을 통해서 상대방 컴퓨터를 마비시키는 프로그램을 제작하여 사용한 혐의로 중학생이 검거되었습니다. 

정말 대단한 실력인 것 같습니다. 벌써 프로그래밍 실력을 갖춘것 아니겠습니까? 그런데 그러한 실력을 나쁜데 악용하다니... 안타깝습니다. 인재로 남을 수 있었을텐데요. 


http://mcaf.ee/c0d72


Spamvertised 'You have received a gift from one of our members!' malware campaign


MXLab.eu is reporting on a currently spamvertised malware campaign dropping Backdoor.IRCBot which, once executed, opens a connection back to an IRC (Internet Relay Chat) server, allowing the botnet masters easy of control.

MXLab 에서는 IRC 서버를 접속하여 크래커의 명령을 받아 행동하는 IRCBOT 백도어를 다운받는 광고스팸 Malware를 보고하였습니다.

Sample messsage:

메일 내용 예문

Hello friend !You have just received a screensaver from someone who really cares about you!This is a part of the message:“Hi there! It has been a very long time since I haven’t heared anything from you! I hope you enjoy this gift from me that i’ve sent with love … I’ve just found out about this service from Sharon, a friend of mine who also told me that…”If you’d like to see the rest of the message click here to receive your 3d live Dolphins===================Thank you for using www.freeze.com ‘s services !!! Please take this opportunity to let your friends hear about us by sending them this screensaver from our personal collection !==================

안녕, 너는 널 걱정하는 한 친구로 부터 화면보호기를 받았어. 이것은 친구 메세지의 일부야. "안녕 친구, 소식을 듣지 못한지 오래됬구나, 나는 너가 나의 사랑이 담긴 선물에 만족하길 빌어. 이건 샤론이라는 한 서비스에서 찾았어, 꼭 답장해주길 바래. "만약 3D 돌고래 그림을 클릭하면 나머지 부분의 편지를 볼 수 있습니다"===== www.Freeze.com의 서비스를 이용해주셔서 감사합니다. 당신의 친구가 보낸 화면보호기를 다운받아보시기 바랍니다.

From a social engineering perspective this is a — thankfully — badly executed campaign lacking basic quality assurance elements typical for social engineering campaigns such as timing — see the Xmas photo — which could have contributed to a better infection rate.

이러한 사회공학기법은 불행하게도 (사실은 감사하게도) 특정 기념일에만 전파되어 피해율을 높이는 다른 말웨어와 달리 기본적인 요소가 많이 부족합니다. 

It seems though the the ubiquitous “You’ve received a screensaver” social engineering campaign is still favored by novice botnet masters

이러한 기법은 아주 흔한 기법이지만, 아직까지도 초보 크래커들이 여전히 선호하고 있습니다. 

원문 : http://www.zdnet.com/blog/security/spamvertised-you-have-received-a-gift-from-one-of-our-members-malware-campaign/8250?tag=content;search-results-river
프로그램을 실행하면 메모리에 적재되었다가 컴퓨터를 끄게 될 경우에는 메모리에서 사라지는 것으로 흔히들 생각하십니다. (휘발성) 하지만, 약 5분간은 메모리에 남는 것을 아시는 지요?

이것을 이용해서 범죄증거 확보를 한다고 예전 기사를 블로그에 포스팅 한 적이 있었습니다. 이제는 이러한 것을 이용한 바이러스가 등장했다고 합니다. 

윈도우의 전형적인 메모리 적재방식을 아예 바꾸어 버릴 수도 없고, 제한해 버린다면 다른 정상적 기능도 제한될 수 밖에 없으며, 중앙 집중방식은 정말 말도 안되는 방법이죠. 

해결책으로 제시된 샌드박스 기능에 대해서 생각해봐야 겠습니다 :)

http://mcaf.ee/43de5
최근에 광고업체 링x프라이스에서도 감염사건이 일어나 그 광고를 달고 있던 뽐x 라는 큰 커뮤니티 사이트에서 피해를 본 적이 있습니다. 

광고회사도 굉장히 많은 사이트에서 제휴하고 있는 큰 사이트였습니다. 결국 이번 변조로 IE 취약점 코드가 삽입되었고, 감염자는 많이 발생했으리라 생각됩니다. 

당시 제가 뽐x 자유게시판에 위험성을 알리는 글을 남겼음에도, 몇몇 사람들은 아예 믿지 않았고, 몇몇 사람들은 백신에서 감지가 안된다며 걱정하시는 분도 계셨습니다. 결국 백신이 가만히 있으니 감염사실마저도 모른다는 것이지요. 

광고업체의 보안이 정말로 중요한 것을 깨달아야 하지 않을까요.

http://mcaf.ee/c3816

+ Recent posts