인터넷과 보안

성인동영상으로 위장한 악성파일

viruslab — Mon, 14 May 2012 16:37:02 +0900

거의 매일 새로운 변종을 처리하고 있다.

최근에는 EXE 확장자인데 알집압축(EGG) 아이콘으로 위장한 형태도 보인다.

발견 사례랑? 피해 사례랑?

viruslab — Tue, 08 May 2012 18:36:57 +0900

보안기업, 모바일 백신 돈 안돼 `고민`

http://www.etnews.com/news/computing/security/2588159_1477.html

전화 인터뷰 당시 국내에 발견된 사례가 있고, 잉카인터넷 대응팀이 최초 보고한 바 있다고 언급했다.

보통 발견되었고, 유명 사이트 등에서 다수의 다운로드가 있었기 때문에 피해를 입었다고 보는게 일반적인데..

기자분은 피해사례는 없다고 표현하신 것 같다.

그런데 기사에는 다음과 같이 나왔다.

[문종현 잉카인터넷 시큐리티대응팀장은 “국내에서 모바일 악성코드 피해사례가 보고된 바 없지만 해외의 경우 안드로이드 기반 악성코드가 놀라운 속도로 전파되고 있다”며 “실제 해외에서 악의적인 목적으로 만들어진 애플리케이션이 국내 인터넷 자료실에 버젓이 배포되고 있어 국내 사용자의 피해도 우려되는 실정”이라고 말했다.]

이게 참...

발견된거는 피해라고 보기 애매한건가? ㅡ.ㅡ

다시 정리하자면 피해라는 기준을 감염으로 매칭시켰을 때...

1. 국내에서 발견되었고

2. 다운로드하여 설치한 사용자가 있었고

3. 따라서 감염 피해 사례가 있다고 할 수 있다.

국내 대기업을 표적으로 하는 HWP 취약점을 이용한 APT 공격

viruslab — Thu, 03 May 2012 09:55:39 +0900

국내 유수의 대기업을 상대로 한 표적공격(APT) 사례 공개..

특히 공격자는 특정 대기업의 내부 직원 메일주소를 이미 다수 확보한 상태이며, 2차 후속공격을 하고 있는 상태이다.

또한 HWP 취약점을 이용하고 있어 외산제품의 대응력은 다소 약할 수 있다.

http://erteam.nprotect.com/272

https://www.virustotal.com/file/e6138c8bd4a4442202525f60bcfa09e3737deedf46bb8352cc2f0073c30afa5b/analysis/

nProtect	Trojan-Exploit/W32.Hwp_Exploit.207338

변호사 사무소 관련 내용의 HWP Exploit

viruslab — Mon, 30 Apr 2012 16:32:02 +0900

내용은 무지 허술하게 만들어져 있다.

악성파일에 감염되면 대만의 특정 호스트로 연결되어 추가 명령을 받는다.

HWP 취약점 악성파일 사회적 이슈를 악용

viruslab — Wed, 25 Apr 2012 17:15:42 +0900

이젠 제목 자체로 사용자 클릭을 현혹시키는 군요.

티벳 관련 APT 공격용

viruslab — Wed, 25 Apr 2012 09:20:14 +0900

티벳 관련 APT 공격 메일

viruslab — Tue, 24 Apr 2012 16:02:17 +0900

티벳 표적형 공격은 꾸준히 진행 중

대만 자이셀(ZyXEL) APT 공격용

viruslab — Tue, 24 Apr 2012 16:01:03 +0900

대만 자이셀 기업 공격용 메일

성인동영상 악성파일 매개체

viruslab — Thu, 29 Mar 2012 10:08:16 +0900

이건 뭐 매일 성인동영상 수집하고 있다.

최근들어 유포 방식도 조금씩 바꾸고 있고, Virut 에 감염된 채 유포되고 있기도 하다. ㅡ.ㅡ+

또한, 곰플레이어나 AVI 동영상 처럼 보이도록 퀵타임 플레이어 아이콘을 모방하고 있기도 하다. 속지 맙시다.

http://erteam.nprotect.com/254

북한의 조선 컴퓨터 센터(KCC)

viruslab — Wed, 21 Mar 2012 11:06:27 +0900

북한의 조선 컴퓨터 센터(Korea Computer Center)는 평양 만경대 구역에 있는 IT 중심기지로 알려져 있고, 1990년 10월 24일 부터 업무를 시작하였다고 한다.

1991년 1월 16일에는 전자 자동화 공업 위원회에 소속되었고, 1998년 5월 6일에는 프로그램 능력을 글로벌 수준에 올리기 위해서 정무원(내각) 직속기관으로 지정되었다.

MS12-020 GUI Attack Tool

viruslab — Mon, 19 Mar 2012 18:48:08 +0900

MS12-020 + Downloader

viruslab — Sat, 17 Mar 2012 12:53:32 +0900

중국의 특정 사이트에서 파일을 다운로드하여 실행하는 기능까지 포함하고 있다.

MS12-020 또 다른 공격도구

viruslab — Fri, 16 Mar 2012 13:18:37 +0900

파리알이 곧 구더기로 완전변태 과정을 진행할 것이다.

RDP Worm(Bot) 출현은 시간 문제일 듯.

MS08-067 보다는 파급력이 약하겠지만, 그렇지만 네트워크를 통한 자동 전파가 가능하므로 얕보면 안된다.

MS12-020 PoC 중국 동영상

viruslab — Fri, 16 Mar 2012 13:06:01 +0900

계산기를 실행하는 장면

3389.flv

MS12-020 RDP 취약점

viruslab — Fri, 16 Mar 2012 08:50:36 +0900

RDP Bot, RDP Worm 출현은 시간 문제.. 보안패치 필수! ASAP

아래는 수집된 자료들이다.

중국에서 발견된 Exploit 인데, 한글에서 작동시 시스템이 강제 종료된다.

아래 화면은 러시아에서 공개되었는데, 이것도 중국에서 제작된 것으로 보여진다.

중국 블로그에서 공개된 일부 파이썬 코드는 정상적으로 작동되지 않는 것으로 알려져 있다. 이것 때문에 분석가들이 고생을 많이 했다. ㅡ.ㅡ+

Search Link

viruslab — Wed, 14 Mar 2012 23:28:14 +0900

중국에 있는 조선족 해커의 어눌한 DDoS 홍보 문구

viruslab — Wed, 14 Mar 2012 14:47:09 +0900

중국에 거주하고 있는 조선족 해커의 DDoS 판매 대행용 홍보 문구이다.

중국 조선족 해커왈 한국에 있는 좀비PC 1대당 중국돈으로 1위안이라고 한다. 한국돈으로 200원이라나 뭐라나.. ㅡ.ㅡ+

지금 1300대 정도 한국 좀비가 온라인이고, 저녁에는 1800대 정도 된다고 하네..

국내 지능형 지속 접속의 실체

viruslab — Fri, 09 Mar 2012 09:54:56 +0900

국내 지능형 지속 접속 공격을 실제 받았던 기업에는 관련된 내용을 신속하게 제공해 주었으며, 이미 작년에 수차례 공격을 받았다는 사실을 파악하였다고 연락받았다. 또한, 여러가지 수법의 공격이 더 있었던 것으로 보여진다.

대부분 스팸 메일 필터링 등을 통해서 방어를 했다는 결과도 받았다.

http://erteam.nprotect.com/249

또한 해당 이슈가 보안컨설팅(모의 침투)용 사례가 아니냐는 의혹도 있는데, 현재까지는 해당 악성파일이 작년경에 여러가지 형태로 발견된 바 있고, 시만텍에도 유사 변형 정보가 등록되어 있다. 또한, 입사지원서의 실제 이름과 주민번호도 일치하는 것으로 보여진다.

http://www.symantec.com/security_response/writeup.jsp?docid=2011-040602-4624-99&tabid=2

상기 샘플은 파일 감염 기능도 존재하는 것으로 알려져 있다.

마지막으로 해당 정보는 "실제 메일 전문을 입수"하면서, 정보 제공 차원 목적으로 작성한 글이지 꾸며낸 것이 아니다.

소위 전문가라는 분들이 아마추어 같은 언행을 하는 모습을 보면 슬프다.

C&C 서버를 이용하는 국산 Adware 유포 기법

viruslab — Wed, 07 Mar 2012 14:20:25 +0900

아래 사이트들에 의해서 설치되는 광고성(+악성)파일들은 나름 C&C 서버를 통해서 새로운 프로그램을 설치해 준다.

[C&C 서버] - 차단 좀 하면 좋겠는데.. 안해주는구나 ㅡ.ㅡ+
http://yeongasi.kr/list.php?ver=1.1.0

유포 방식은 개인 블로그나 사이트에 덧글로 관련 파일처럼 위장해서 배포한다.
주의 차원에서 내용을 공개한다.

http://blog.daum.net/_blog/BlogTypeView.do?blogid=06c2z&articleno=11200455#ajax_history_home

http://www.gopdeungi.co.kr/data/game_download.php?file_path=/data/down/1/&file_name=%B3%BB%BF%EB%C1%F5%B8%ED%BE%B2%B4%C2%B9%FD.exe

http://www.gopdeungi.co.kr/data/game_download.php?file_path=/data/down/1/&file_name=%B3%BB%BF%EB%C1%F5%B8%ED%BC%AD%B0%DF%BA%BB.exe

http://blog.daum.net/gunersincescfabregas/21

아톰파일쿠폰 다운 받는곳 링크걸께요.

클릭하면 사이트 이동안하고 바로 다운 받아져요^^

http://www.gopdeungi.co.kr/data/game_download.php?file_path=/data/down/1/&file_name=%BE%C6%C5%E8%C6%C4%C0%CF%C4%ED%C6%F9.exe

http://blog.daum.net/_blog/BlogTypeView.do?blogid=05RpI&articleno=10246768#ajax_history_home

http://www.gopdeungi.co.kr/data/game_download.php?file_path=/data/down/1/&file_name=%C2%F9%BC%DB%B0%A1%BE%C7%BA%B8%B8%F0%C0%BD.exe

http://pepeshion.tistory.com/m/comment/index

통기타코드표 다운 받는곳 링크걸께요. 클릭하면 사이트를 이동안하시고 바로 다운 받아져요^^. http://www.gopdeungi.co.kr/data/game_download.php?file_path=/data/down/1/&file_name=%C5%EB%B1%E2%C5%B8%C4%DA%B5%E5.exe

http://blog.daum.net/vestel/12400715

http://www.gopdeungi.co.kr/data/game_download.php?file_path=/data/down/1/&file_name=%B9%AB%B7%E1%B1%E2%C5%B8%BE%C7%BA%B8.exe

http://blog.daum.net/_blog/BlogTypeView.do?blogid=09vRf&articleno=17200611#ajax_history_home

--------------------------------

베이스기타코드표 다운 받는곳 링크걸께요.

클릭하면 사이트를 이동안하시고 바로 다운 받아져요^^.