패킷 뜯어 보기! – WireShark편 Posted By ASEC , 2010년 4월 21일 안녕하세요! 오늘은 “ 패킷 뜯어보기!” 시간입니다! 와이어샤크(wireshark)를 이용하여 네트워크를 흘러 다니는 패킷(packet)이란 녀석을 분석하는 것이지요! 이전에도 언급했듯이 와이어샤크는 네트워크의 패킷을 분석하는데 있어 아주 강력한 툴(tool)입니다. 하지만 패킷과 와이어샤크의 기능에 대한 이해가 없다면 그 강력한 기능도 무용지물일 것입니다. 그래서! 이 글에서는 패킷의 이해도를 높이고 보다 기능적으로 와이어샤크를 사용하기 위한 배움의 시간을 갖고자합니다. 그럼 슬슬 패킷이란 녀석을 뜯어 볼까요? 네트워크와 패킷에 관한 설명에는 늘 빠지지 않고 등장하는 것이 있는데요, 바로 OSI 7 layer와 각 레이어(layer) 별 프로토콜에 대한 설명입니다. OSI 모델(Open Systems Interconnection Reference Model)은 국제표준화기구(ISO)에서 개발한 모델로, 컴퓨터 네트워크 프로토콜 디자인과 통신을 계층으로 나누어 설명한 것입니다. 일반적으로 OSI 7 계층 모델이라 불리기도 합니다. 위 그림을 참고로 하여 각 레이어별 기능과 통신 프로토콜에 대해 간단히 아래 표로 설명 드리겠습니다. 어떤가요? 네트워크에 대한 어느…
네이트온 악성코드는 지금도 ing…… Posted By ASEC , 2010년 4월 16일 1. 네이트온 악성코드는 지금도 ing…… 네이트온 악성코드는 우리의 기억에서 잊혀질 만하면 낚시사진과 함께 변종이 1 ~ 2개정도가 출현하여 우리를 괴롭힌다. 옛말에 지피지기(知彼知己)면 백전백승(百戰百勝)이란 말이 있다. 즉 적을 알고 나를 알면 백 번 싸워서 백 번 승리한다는 말인데, 네이트온 악성코드 괴롭힘으로부터 탈출 그리고 감염 시 대처방법에 대해서 알려면 네이트온 악성코드가 어떻게 동작하고 감염 시 어떤 피해가 있는지 알아볼 필요가 있지 않을까? 2. 네이트온 악성코드, 넌 어디서 왔니? 네이트온 악성코드는 아래 그림처럼 네이트온 쪽지를 통해서 유포되며, 무심코 링크를 클릭하면 악성코드가 PC로 다운로드 된다. 또한 RAR로 압축된 형식의 파일을 전송하여 상대방이 다운로드 하도록 유도합니다. 참고로, 아래 리스트는 네이트온으로 배포된 악성파일이 포함된 rar 압축파일명 리스트 중 일부 리스트이며 파일명은 고정적이지 않고 랜덤한 파일명입니다. mesxd213eck.rarjpgssst.rarkdeggshfahf.rarmabkddhs.rarxsbnfbn.rar … 3. 네이트온 악성코드, PC에선 무슨 일이? salarboss.exe는…
4월의 중요 보안 업데이트 리스트 Posted By ASEC , 2010년 4월 15일 이번주에 악성코드와 관련된 다수의 보안 패치가 발표가 되었습니다. 아래 내용을 살펴보신 후 보안패치가 되어 있지 않으시다면 보안패치를 권장 드립니다. 1. 윈도우 보안 업데이트마이크로소프트는 4월 14일에 새로운 보안 공지 11개를 발표했습니다. 아직까지 보안 업데이트를 하지 않으신 분들은 아래 내용을 참고하시어 업데이트를 하시기 바랍니다.4월 공지 요약 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-apr.mspx [윈도우 보안 업데이트 방법]1. 인터넷 익스플로러를 실행합니다.2. 메뉴에서 [도구] – [Windows Update] 를 선택하여 윈도우 업데이트 사이트로 이동 합니다.3. 윈도우 XP 이하의 버전에서는 [빠른 설치] 버튼을 눌러 설치를 계속 진행하며, Vista 이상의 버전에서는 윈도우 업데이트 프로그램이 실행되므로 업데이트를 진행하시기 바랍니다. 추가로 윈도우가 정품이 아닌 경우 마이크로소프트에서는 업데이트를 제공하지 않습니다. 하지만 한국 인터넷 진흥원에서 운영하는 보호나라 사이트에서 “PC 보안 자동 업데이트” 프로그램을 제공하고 있습니다. 해당 프로그램을 이용하여 정품이 아닌 사용자도 업데이트를 꼭 하시기 바랍니다.PC 보안…
악성코드에 감염되어 인터넷이 안됩니다. 어떻게 최신엔진으로 업데이트하나요? Posted By ASEC , 2010년 4월 14일 악성코드에 감염되어 인터넷이 안되면 참 난감해집니다. 현재 버젼의 V3에서 인터넷을 못하게 하는 악성코드가 제거가 된다면 좋겠지만, 만약 최신엔진에서만 치료되는 변종 악성코드일 경우는 어떻게 해야 될까요? 엔진은 인터넷으로 업데이트 받는데 말이죠. 이제부터 엔진 업데이트가 불가한 상황(인터넷이 안되는 이유 등으로)에서 엔진을 최신버젼으로 업데이트 하는 방법을 소개하겠습니다. 1. 인터넷이 되는 PC에서 www.ahnlab.com 에 접속 2. 홈페이지 상단의 다운로드 –> 제품관련 파일 클릭 3. 윈도우즈용 클라이언트 및 서버 제품군 엔진을 다운받습니다. (우측 디스켓 모양 클릭) 4. 파일을 USB와 같은 이동식디스크에 저장합니다 5. 저장이 완료되면, 인터넷이 되지 않는 PC로 파일을 복사하고 설치합니다. [ 압축이 풀리고.. ] [ 업데이트 시작을 눌러주세요 ] 5. 작업이 끝난 후 V3 가 제대로 업데이트되었는지 확인합니다. 6. 정밀(수동)검사를 통해 시스템 전체를 스캔하여 발견되는…
[악성 스팸메일] Your order has been paid! Parcel NR.4542. Posted By ASEC , 2010년 4월 12일 소포 배달을 가장한 스팸메일이 유포되고 있습니다. 해당 스팸메일은 악성 파일을 첨부하고 있으며 메일 제목은 아래와 같은 형태입니다. Your order has been paid! Parcel NR.[랜덤한 숫자]. 아래 그림은 악성 파일을 첨부하여 유포되고 있는 스팸메일 수신시 캡쳐 화면이며 본문에는 Amazon이라는 유명 사이트인 것처럼 사용자를 속여 악성 파일을 다운로드 후 프린트를 할 것을 권하여 사용자가 파일을 실행하도록 유도합니다.. 첨부된 악성 파일이 실행되면 아래 그림과 같이 XP Security Tool 2010 이라는 FakeAV가 실행이 되며 허위진단 후 치료를 위해 제품 구입 결제를 요구하며 결제 페이지로 연결되게 됩니다. 첨부된 악성파일은 아래 그림 Fig 3.과 같이 워드 문서 아이콘으로 위장하여 사용자들에게 첨부된 파일이 워드 문서인 것처럼 인식시켜 안심하고 실행하도록 유도합니다. 해당 파일은 Dropper/Agent.57344.CY 진단명으로 V3에서 진단 및 치료가 가능합니다. 상기 캡쳐 화면 상에는 확장자인 exe 가…
