ISEC 2011 은 해킹 컨퍼런스로써, 예선전은 특정 페이지에서 여러 해킹문제를 해결하면서 포인트를 가장 많이 획득한 순으로 8팀까지 본선에 진출하는 형식입니다. 

웹보안, 리버싱 등 다양한 보안기법을 이용하여 이루어지는 만큼, 세계각국에서 많이 참가하는 대회인데, 이번에 예선전이 치뤄져 한국팀과 해외팀 8팀이 진출하게 되었습니다.

예선전은 누구나 할 수 있기 때문에 저도 참가해보았는데, 단체로 나오는 팀의 포인트 획득속도를 따라가지 못하겠더라구요. 또 대회 끝나기 막판에 참가한지라..

입시만 끝나면 얼른 본선보러 갈 예정입니다. 

윈도우 환경에서 유저들에게 기본적으로 제공하는 서비스 를 악용하면 백신의 무력화를 할 수 있다는 것에 대한 기사가 나왔습니다. 이미 몇년전부터 알려진 취약점이였음에도 MS 측에서 윈도우의 기술 공개가 염려되어 해결책을 알려주지 않았다거나, 백신 회사측에서 일방적으로 무시하여 취약한 부분이 보수가 되지 않았다고 합니다. 

이 기사를 보니 저도 1년전에 피해입은 FakeAV 가 생각이 납니다. 바이러스 분석과정에서 실수로 실행해버렸는데, 윈도우의 권한을 강제로 하락시켜 백신이고 프로그램이고 아무것도 실행 못하게 붙잡아 버렸는데, 결국 포맷했습니다.

아마도 이 취약점이 아닐까 생각이 듭니다. 당시 분석하던 바이러스는 신종바이러스라 감지도 안되었으니...

PHP 는 어느 웹사이트에서나 사용하는 웹 언어라고 해도 과언이 아닐 정도로 수 많은 이용자가 이용중인데, 이러한 PHP 5.3.7 버젼의 암호화 함수에서 결함이 발견되었다고 하네요. 

특히나 많이 사용하는 데이터 암호화 함수에서 발견된 만큼 그대로 방치할 경우에는 정보 유출과 같은 피해가 발생할 수 있습니다. PHP 5.3.8 버젼에서는 이러한 부분이 고쳐졌고 현재 배포중이니 5.3.7 버젼 이용자들은 즉시 패치해주셔야 합니다.

5.3.7 이 나온지 얼마 되지 않았기 때문에 이용자가 별로 없을 것이라고 하는데, 패치를 하지 않는 소수의 관리자들로 인하여 수 많은 정보유출 피해자가 발생할 수 있다는 점을 잊으면 안되겠지요.

흔히 게임은 즐기는 것이다 라고 생각하시는 분이 종종 계신데, 이미 게임의 아이템과 사이버머니는 현물로써의 가치가 있다는 것, 결국 이것을 직업으로 삼아 돈을 버는 기업이 있다는 것은 혹시 아셨는지요? 

게임 육성 / 사이버머니 판매 등으로 이미 기업화 되어가고 있습니다. 매크로(자동사냥) 을 통하여 사이버머니를 대량 생산한 뒤 현금 거래 사이트를 통해서 유통되고 있다는 것은 게임유저라면 다 아시리라 생각됩니다. 

이렇게 불법 프로그램을 이용하여 게임 머니를 대량 판매하는 행위를 업으로 삼는 행위는 법적으로 위법이라는 사실들은 잘 모르고 계시는데, 엄연히 위법 사항입니다. 이번 기사는 이것을 업으로 삼던 범인들을 검거한 것이구요.

중국등지에서는 검거가 불가능 한 점을 노려 많이 하고 있고, 이렇게 단속되더라도 상당수는 여전히 영업중이라죠. 시세를 안정시켜줄 필요악이라는 주장도 있지만, 글쎄요..?

물론 해당 게임머니 구매자의 경우에는 해킹을 통하여 얻어진 머니를 구매하신 분이 아닌 이상 아무런 피해가 없습니다. 

Microsoft expecting exploits for critical IE vulnerabilities


Summary: 
Patch Tuesday: Gaping holes in the Internet Explorer browser can be exploited to launch drive-by download attacks from rigged web sites.

주요내용 : IE 브러우저의 취약점으로 인해 웹사이트로 부터 다운로드 공격이 실행될 수 있는 부분에 대해 패치한다. 
 
Microsoft today warned that multiple gaping security holes in its Internet Explorer browser could expose millions of Web surfers to hacker attacks via rigged web pages.

MS는 오늘 조작된 웹페이지를 통해 수백만의 이용자가 해커에 무방비로 노출 될 수 있는 IE의 취약점에 대해 경고하였다.


As part of this months’ Patch Tuesday release, Microsoft shipped a “critical” IE bulletin (
MS11-057) with fixes for total of 7 security flaws.   Two of the vulnerabilities were publicly discussed prior to the availability of the patch.

이번 패치로 MS는 심각한 취약점인 MS11-057 을 포함한 총 7개의 취약점이 수정 되며, 이 중 두개는 패치 가능성이 이미 언급되었던 취약점이다.

 
The company expects to see reliable exploits developed within the next 30 days.
 
 
MS는 향후 30일 이내로 한층 더 진화된 공격이 이루어질 것이라 전망한다.

 

Because these vulnerabilities expose IE and Windows users to drive-by download attacks without any user action beyond surfing to a booby-trapped web site, Microsoft is strongly recommending that all Windows users apply the patch immediately.

이번 취약점은 웹페이지를 서핑한 이후 어떠한 동작 없이도 IE와 윈도우 유저가 다운로드로 인한 공격에 노출될 수 있기 때문에 MS는 즉시 윈도우 모든 이용자들에게 패치를 하도록 권고하고 있다.

 

The IE update is rated “critical”  for Internet Explorer 6 on Windows clients, and for Internet Explorer 7, Internet Explorer 8, and Internet Explorer 9; and Important for Internet Explorer 6 on Windows servers.

 
IE 업데이트는 윈도우의 IE 6,7,8 심지어 9까지 적용되는 심각단계이며 IE 6 서버용 이용자들에게는 특히나 중요하다 
 

Patch Tuesday heads-up: Critical IE update among 13 bulletins ]

IE의 중요 취약점 13개 패치내용

Microsoft also called special attention to MS11-058, a “critical” bulletin that addresses a pair of serious security holes in the Windows DNS Server.

MS는 윈도우 DNS서버의 심각한 취약점으로 발표한 심각단계의 MS11-058로 별도 명명하고 있다. 

 

The more severe of these vulnerabilities could allow remote code execution if an attacker registers a domain, creates an NAPTR DNS resource record, and then sends a specially crafted NAPTR query to the target DNS server. Servers that do not have the DNS role enabled are not at risk, Microsoft explained.

 
이 취약점은 공격자가 도메인을 이용한 경우 원격코드가 실행될 수 있고, NAPTR DNS 자원 기록 및 특정 명령문을 DNS 서버로 전송할 수 있다. 사용가능한 DNS를 보유하지 않은 관리자들은 위험하지 않다고 MS는 전했다. 

 

In an attack scenario, the company said that a malicious attacker can send a name resolution request to the victim DNS server that is configured to issue requests to a malicious DNS server.  Because of the vulnerabilities, the response from the malicious DNS server to the  victim DNS server is improperly handled, resulting in a denial-of-service condition on the victim DNS server.

 
예상 공격이라면, MS측에서는 "악의적인 공격자가 악의적인 DNS서버로 정보를 전송하도록 설정된 피해 DNS 서버에 명령을 정송할 수 있다" 고 전했으며, 취약점으로 인해 악의적인 DNS 서버에서 피해 DNS서버로 응답이 갈 경우 결과적으로 피해 DNS 서버에는 DOS 공격이 가능하다

 

The Windows DNS Server update is rated “critical” for 32-bit and x64-based editions of Windows Server 2008, and x64-based editions of Windows Server 2008 R2; and Important for all supported editions of Windows Server 2003.

윈도우 서버 2008의 32,64bit 와 윈도우 서버 2008 R2 64bit 와 특히나 윈도우 서버 2003의 모든 버전까지 "심각" 단계로 분류된다.

The August Patch Batch also fixes these serious problems:
8월에 패치되는 심각한 주요취약점 : 

 

  • MS11-063: An “important” vulnerability in Windows Client/Server Run-time Subsystem that allows privilege escalation if an attacker logs on to an affected system and runs a specially crafted application designed to send a device event message to a higher-integrity process. Microsoft expects to see reliable exploits developed within the next 30 days.

    MS11-063: "중요" 단계의 윈도우 서버/이용자 런타임 보조시스템의 중요 프로세서 메세지를 유출시키도록 개발된 프로그램의 실행과 컴퓨터에 영향을 줄 수 있는 취약점, MS는 30일 내로 한층 진화된 공격이 있을 것으로 예상하고 있다. 

     

     
  • MS11-062: A vulnerability in the Remote Access Service NDISTAPI Driver.  This could allow elevation of privilege if an attacker logs on to an affected system and runs a specially crafted application designed to exploit the vulnerability and take complete control over the affected system.  Microsoft warns that reliable exploits could be developed within the next 30 days.

    MS11-062: NDISTAPI 드라이버에 접근하여 조종할 수 있는 취약점. 이 취약점은 공격자가 영향 받는 시스템을 완벽히 조종할 수 있도록 개발된 프로그램을 실행시켜 영향을 줄 수 있다. MS는 30일 내로 더욱 진화된 공격이 있을 것으로 예상하고 있다.
     
  • MS11-064: Provides patches for a pair of vulnerabilities in the TCP/IP stack. The vulnerabilities could allow denial-of-service (blue screen) if an attacker sends a sequence of specially crafted Internet Control Message Protocol (ICMP) messages to a target system or sends a specially crafted URL request to a server that is serving Web content and has the URL-based Quality of Service (QoS) feature enabled.  Microsoft said there is no exploit possible for code execution.

    MS11-064: TCP/IP 스택의 취약점. 이 취약점은 ICMP 메세지를 보내거나, QoS 기반의 URL을 기초로 하는웹 컨텐츠를 제공하는 서버로 특정 응답이 전송될 수 있는 경우 DoS(블루스크린) 공격이 가능하다.
     
This month’s patch release also includes fixes for denial-of-service bugs in Remote Desktop Protocol (MS11-065); a pair of code execution holes in Microsoft Visio (MS11-060); a solitary bug in ASP.NET Chart Controls that causes information disclosure (MS11-066); a data exposure flaw in Microsoft Report Viewer (MS11-067); and an elevation of privilege bug in Remote Desktop Web Access (MS11-061).

이번달 패치는 RDP의 DOS 버그(MS11-065)와 MS 비지오의 코드 실행 취약점(MS11-060) 과 정보 유출을 야기할 수 있는 ASP.NET 차트 컨트롤(MS11-066) 및 NTS Reprot Viewer 의 정보 유출 취약점 및 RD에서 웹 접근시 발생하는 버그(MS11-061)도 포함된다. 


원문 : http://www.zdnet.com/blog/security/microsoft-expecting-exploits-for-critical-ie-vulnerabilities/9244?tag=mantle_skin;content

무엇이 일어나도 항상 스케일이 큰 중국이 이번에는 피싱사이트에 대한 리포트를 발표했습니다. 예상대로 엄청난 양의 피싱사이트와 바이러스 유포지로 결과가 나왔네요. 

특히나 중국의 유명 쇼핑몰을 빙자한 피싱사이트를 제작하여, 가짜 아이폰4를 판매하여 현금을 가로채는 등등 우리나라 방식과는 다른 방식을 통하여 피싱사이트 피해가 발생하고 있습니다.

우리나라에서는 특정 사이트를 따라하는 형태가 아닌 새롭게 제작하는 형태이기 때문에, 그리 큰 문제가 되지는 않았는데, 중국에서는 활발하게 이루어지는 사기 방식이라고 합니다. 

국내에서 유명한 구사무엘씨와 김슬기 씨가 백신의 취약점을 발견하셨다고 합니다. 이 취약점은 백신 대부분이 적용되어, 실시간 감시를 무력화 시킬 수 있으며, 방법도 소스 코드 몇줄로 가능할 만큼 간단한 방식이라고 합니다. 

실시간 감시 무력화는 중국으로 부터 제작되고 있는 악성코드에서 많이 발견되는 기능이였는데요. 이 기술이 악성코드에 악용되기 전에 발견된 것인지 이미 사용되고 있는데, 문제점을 이제야 발견했는지는 알 수 없으나, 무력화 문제를 해결할 수 있는 좋은 기회로 작용했으면 좋겠습니다. 

해외백신에 대한 취약여부는 나와있지 않으니, 실제로 취약점이 적용되는지는 알 수가 없네요.


 
한 언론 매체에 의해 곰TV 글로벌 페이지의 외부 해킹 가능성이 보도되었습니다. 이와 같은 보도에 곰TV는 외부 공격이 이루어졌음을 인정하고 보안에 더욱 신경쓰겠다는 내용입니다. 

곰TV 글로벌 페이지와 우리 한국인이 사용하는 페이지와는 다른 페이지 입니다. 의도적으로 가입한 경우가 아니라면 한국 이용자들은 무관하지만, 해외 이용자들의 곰TV 계정 정보가 유출되었다고 합니다. 

신용정보는 문제가 없다고 하니 다행이겠지만, 곰TV 결제 이용자들의 계정 노출은 심각한 문제로 부각될 듯 싶습니다. 한국 이용자 영향이 없다보니 메인 기사화 되지 않은 것 같은데, 만약 한국 페이지마저도 같은 취약점이 있다면 엄청난 문제로 인식되겠지요?

Bing ad serves malware to would-be Google Chrome switchers

The criminal gangs that specialize in malware love search engines, because they represent an ideal vector for getting Windows users to click on links that lead to potentially dangerous Trojans. The latest attack targets ads, and the social engineering is frighteningly good. 
 
말웨어를 다루는 범죄조직들은 검색엔진을 좋아한다. 잠재적으로는 위험한 트로이목마로 연결된 링크를 윈도우 유저가 클릭할 수 있도록 하는 이상적인 방법이기 때문입니다. 최근 공격은 사회공학 기법에 알맞은 광고를 목표로 삼고 있다.   


Update: The same gang is responsible for a wave of new ads that lead to malware. See 
Bing ad leads to more malware; new Mac Trojan in the wild.

흐름에 발 맞춘 말웨어 광고들. 새로운 맥 OS 트로이목마 같은 말웨어를 유도하는 Bing의 광고를 보아라!

Can you trust your favorite search engine? Don’t answer too quickly.
가장 좋아하는 검색엔진을 믿고 있는가? 섣불리 판단하지 말아라 


Earlier this year, Google was under siege by a gang of Russian criminals. The bad guys hijacked search results (especially for images) and used scripts to redirect Windows and Mac users to sites that tried to scare them into installing fake antivirus software.
이번년도 최근에 구글은 러시아 범죄자들의 갱으로 부터 포위됬다. 검색결과를 악용하고 가짜백신 프로그램을 설치하도록 윈도우와 맥 OS 유저를 겁주기 위한 사이트로 연결되는 스크립트를 구현하였다

 

Google eventually cleaned up the mess, and Russian authorities helped their cause immensely byarresting the ringleader.
구글은 이 페이지들을 정리하였고, 러시아 정부관계자들도 책임자로써 원인파악에 도움을 주었다. 

 

But that doesn’t mean it’s safe to relax yet. This week I’m watching a new wave of attacks that are using web advertising and social engineering to deliver Windows-based malware. The payload looks like legitimate software, but it’s actually a malicious downloader .

하지만 이것은 안전하다를 의미하는 것이 아니다. 이번주 윈도우 기반 말웨어를 배포하는 사회공학기법과 웹 광고를 이용한 새로운 공격형태를 보고있다. 마치 합법적인 프로그램처럼 보이지만 사실 악성 다운로더이다.

 
 

Today’s example is from Bing, which may have a fraction of Google’s search traffic but still has attracted the attention of cybercriminals.
이번 예시는 구글의 검색에 버금가는 정보율을 보이고 있지만 여전히 범죄자들의 표적이 되고 있는 Bing을 사용할 것이다. 

 

Earlier today I visited Bing and searched for google chrome. The results were accompanied by a handful of ads in prominent positions at the top and along the right side. Nothing unusual about that, except for two nearly identical ads that appeared side-by-side at the top of the list. Here’s what they looked like (I’ve obscured the URL names to make the test tougher).

오늘 일찍, 나는 BIng을 접속해 "Google Chrome(구글 크롬)" 을 검색하였다. 오른쪽과 위쪽 눈에 딸 띄는 위치에 유용한 광고들이 결과에 같이 표시되었다. 리스트 상단과 옆에 나타난 두 광고들을 제외하고는 유용하지 않은 것은 없었다. 여기 무엇을 표현하는지 나타나 있다. (URL 이름은 가렸다)


 
 

One of those ads was legitimate, and the other led to a malware attack. Can you tell which was which?
이 광고중 하나는 합법적이고, 하나는 말웨어 공격으로 연결된다. 무엇이 무엇인지 말할 수 있을까? 

Here’s the landing page for the first ad:
첫 광고에 연결된 페이지: 


And here’s where clicking the second ad led:
이것은 두번째 광고를 클릭했을 때 연결된 페이지: 
 

If you look closely enough, you can probably figure out that the first site is Google’s legitimate Chrome download page and the second one is fake, but the differences are subtle. A nontechnical observer would have a very difficult time figuring out that one of those big blue Download Google Chrome buttons is the real deal and one is fake.

가장 친근하게 보이는 것이라면 첫 번째 사이트가 구글의 합법적인 크롬 다운로드 페이지이고 두번째는 가짜라 생각할 것이지만, 두 페이지간에 차이점을 찾기 힘들다. 비전문가 입장에서는 큰 파란색 다운로드 버튼이 진짜이고 나마자는 가짜라는 것을 판단하기 어려웠을 것이다.


The path from my web browser to the malicious software was a convoluted one.  
웹 브라우저로 부터 악성 프로그램까지의 이동 경로는 복잡하다. 

 

The landing page for the fake site is served from a domain called iDownloadster.info, which has been built for deception. The domain was registered with GoDaddy four days ago, and the ad is hosted at a Ukrainian site called Goodnet. The download link leads to a separate domain, dl-byte.com, which was registered seven days ago and is hosted on a server that is infested with malware, porn, and fake pharmaceutical sites, most of it located in Russia.

가짜 사이트로 이동하는 페이지는 iDownloadster.info 이다. 도메인은 GoDaDDy에 4년간 등록되었으며 광고는 Goodnet으로 불리는 우크라이나 사이트가 주인이였다. 다운로드 링크는 전혀 다른 도메인이였고 도메인은 dlbyte.com으로 7년간 등록되었으며, 말웨어, 음란물, 가짜약으로 악용된 곳이였다. 이런 사이트는 대부분 러시아에 위치한다.


But there’s no way to know any of that if you simply click the link and download the software.
하지만, 직접 프로그램을 다운받는 방법외에는 사전에 이런 사이트를 알 수 있는 방법이 없다.

 

When I sent the fake download to VirusTotal for analysis, it was detected by only a handful of antivirus engines. Microsoft Security Essentials missed this threat initially, but a definition update a couple hours later identified the downloaded file as Rogue:Win32/FakeRean. This family of fake antivirus software goes by dozens of names in the wild: Win 7 Internet Security 2011 and Total Win 7 Security, among others.

바이러스 토탈에 가짜 다운로드 프로그램을 전송하니, 몇 안되는 백신엔진에서만 바이러스를 감지하였다. MSE는 초기에는 진단하지 못했으나, 두시간 이후 Rogue:Win32/FakeRean 라는 이름으로 진단하도록 업데이트 되었다. Win7 Internet Security 2011, Total Win7 Security 등등 가짜 백신들은 이름도 다양하다.


That lag between the time I downloaded the file and when it was identified is a perfect illustration of the phenomenon I wrote about last week in Why malware networks are beating antivirus software. But that doesn’t mean I was a sitting duck. In fact, all of my main Windows PCs stopped this potential infection in its tracks, using security layers that don’t depend on definition files.

내가 파일을 받을 시점과 내가 저번주에 작성한 "말웨어 네트워크는 왜 백신을 노릴까" 에 적었던 현상이 나타난다는 것을 파악하고 있는 사이에 링크는 사라졌지만, 내가 알아채지 못했음을 의미하는 것이 아니다. 사실 나의 윈도우 PC들은 모두 파일에 의존하지 않는 보안이라던가 말웨어에 감염되어 있지 않다. 

 
 

In my next post, I’ll offer a detailed look at how those antivirus alternatives work and why they represent the future of online security.

나의 다음 기사는 어떻게 백신이 작동하고 왜 백신이 미래보안을 대표하는 것인지 자세히 알아볼 것이다


 

Update: Five hours after I reported this issue to Microsoft, the fake ad was removed. A Microsoft spokesperson provided the following comment:

MS에 이번 문제를 취재한지 5시간 만에 가짜 광고는 삭제됬고, MS 대변인은 다음과 같은 답변을 하였다.
 

Microsoft has identified the malicious ad and took the appropriate action to remove it. The advertiser also can no longer post ads on Bing. In addition, the site’s URL is no longer available via adCenter. We remain vigilant in protecting consumers, advertisers and our network from fake online insertion orders and continue to directly work with our agency media partners to verify and confirm any suspicious orders.

MS는 악성광고를 확인했고, 삭제조치 하였습니다.  해당 광고주는 더이상 Bing에 광고를 개제할 수 없으며 사이트 URL도 ADCenter 를 통해 더이상 사용할 수 없습니다. 우리는 소비자, 광고주, 자사를 가짜 광고 등록으로 부터 보호하기 위해 주의할 것이며, 지속적으로 의심되는 등록에 대해 검토할 담당요원을 배치할 것입니다.


Related posts:
관련 기사 

룰즈섹은 일반 크래커 그룹과는 달리 개인의 이익 보다는 자칭 '선의'의 이익을 위해 활동한다고 주장합니다. 예를 들자면 세금을 탈루한다거나 비리를 저지른 국회의원들의 정보나 기업인들의 정보를 크래킹을 통해 알아내어 공개해버리는 것이지요. 

만약 이러한 룰즈섹이 우리나라에 온다면 웃어야 할까요? 울어야 할까요? 우리나라의 보안수준은 IT강국이라는 말과 달리 매우 낮습니다. 관심도 굉장히 적기 때문에 기업에 투자를 하지 않으니 외부로 부터 정보유출사태도 많이 겪는 것이구요.  

이미 숭실대학교의 서버를 마비시켰다고 하니, 한국을 진출경로로 잡은 것이 확실해 보입니다. 룰즈섹에서 우리나라 현지사정을 알까 궁금합니다. 세금을 탈루한 대기업의 정보를 캐내어 공개하면서 선량한 일반 시민의 개인정보까지 공개되어버리는 것은 아닌지...

미국은 자신의 나라이기에 어떠한 시스템인지 눈이 밝다지만 우리나라의 주민등록번호 유출은 얼마나 큰 정보인지 알까요? 괜히 네티즌들에게 불똥이 튀지 않을까 걱정됩니다.

+ Recent posts