Twitter 트위트 메세지를 이용한 악성코드 유포! Posted By ASEC , 2010년 3월 31일 많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다. 필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다. 메세지 내 단축 URL이 있어서 클릭을 해 보았습니다. 역시나 공짜로 무언가를 얻는 것이란 참으로 힘든 일인가 봅니다. 단축 URL을 클릭을 해 보니 아래 악성코드 유포 URL로 연결되는 것을 확인하였습니다. 잠깐~~ 참고하세요 ! 단축 URL을 사용하게 되는 이유는 Twitter의 메세지는 문자수 길이에 제한이 있습니다. 만약 URL 문자수 길이가 너무 많은 길이를 차지하게 된다면 메세지를 작성하는데 제한을 받게 되기 때문에 단축 URL 서비스 하는 곳에서 단축 URL을 만들어서 사용하게 되는 것이죠 ^^…
Process Explorer를 이용한 악성코드 대응법! Posted By ASEC , 2010년 3월 31일 안녕하세요! 오늘 알아 볼 tool은 Process Explorer입니다! ^^ 이 프로그램은 Windows 운영체제에 대해 매우 해박한 지식을 갖고 계시기로 매우 유명한 분이죠? sysinternals(현재는 Microsoft사에 인수됨)의 Mark Russinovich씨가 만든 tool로서 최고의 프로세스 관리 유틸리티라 생각됩니다! (사담이이지만, 저희 ASEC 대응팀원중 한분은 이분을 굉장히 존경하십니다.^^;) 이상 간략한 제작자에 대한 소개는 접고 바로 tool 소개를 하도록 하겠습니다! Process Explorer는 앞서 말씀드린바와 같이 프로세스를 관리할 수 있는 프로그램입니다. 다시 말해, 현재 실행중인 프로세스를 파악하고 해당 프로세스의 우선권을 변경, 정지, 강제 종료 등의 작업을 지원하여 실제 악성코드 분석시 유용하게 쓰이고 있는 프로그램이죠. ▶ 프로그램 장점 더보기 접기 * 실행중인 프로세스들을 계층적(Parent/Child)의 트리 구조로 표시하고 있습니다. * dll과 handles 정보를 볼 수 있습니다. * 프로그램상에서 특정 process나 연관되는 process tree를 강제로 종료할 수 있습니다. * 이외에 사용자에 따른 무한한 장점이 있겠습니다. ^^ 접기 ▶ 프로그램…
네트워크 패킷에 대한 분석! – WireShark 편 Posted By ASEC , 2010년 3월 31일 네트워크 패킷 분석에 있어 강력한 기능을 제공하는 WireShark! 오늘은 이 녀석에 대해 알아보는 시간을 갖도록 하겠습니다. 하지만 WireShark로 다룰수 있는 범위도 넓고 내용 또한 많아서 한번에 모든 부분을 다룬다는것은 무리(?)라고 생각됩니다. 그래서 일단! WireShark에 대한 이해를 돕는 시간을 갖도록 하겠습니다.^^ 먼저 아래는 WireShark의 공식 사이트 이며 링크된 사이트에서 프로그램을 다운받을 수 있습니다. 더보기 접기 http://www.wireshark.org/ 접기 ▶ 소개 더보기 접기 와이어샤크(WireShark)는 네트워크를 분석하는 데 사용되는 공개된 패킷 스니핑(packet sniffing) 프로그램입니다. 미주리 대학교의 제럴드 콤즈라는 사람에 의해 만들어졌으며 2006년 6월 상표권 문제로 인해 Ethereal 프로젝트에서 Wireshark로 이름이 바뀌었습니다. 접기 ▶ 장점 더보기 접기 ― 프로토콜 : AppleTalk이나 BitTorrent 같은 좀 더 개인적인 프로토콜까지 모두 사용할 수 있습니다. 또한 와이어샤크 는 오프 소스 형태이기 때문에 새로운 프로토콜이 생기면 쉽게 업데이트가 가능합니다. ― 친 사용자…
인터넷 익스플로러 긴급 보안패치 예정 Posted By ASEC , 2010년 3월 30일 얼마전 인터넷 익스플로러에 대한 취약점(981374, CVE-2010-0806)이 권고되었습니다. 해당 취약점은 현재 MS에서 공식 패치를 내놓지 않은 상태이며 임시적으로 DEP를 활성화 하거나 인터넷 익스플로러 8 버전 사용을 권장하고 있었습니다. [해당 취약점에 대한 자세한 내용 링크] 다수의 Zeroday 취약점 권고! : http://core.ahnlab.com/132 인터넷 익스플로러 제로 데이 악용 타켓 공격 상세 분석 : http://blog.ahnlab.com/asec/271 보안 권고 981374 : http://www.microsoft.com/kore/technet/security/advisory/981374.mspx 하지만 해당 취약점에 대한 공격 및 악성코드가 다수 전파되어 마이크로소프트에서 긴급하게 한국시각으로 내일 3월 31일 수요일 오전 2시 경에 보안패치가 제공될 예정입니다.최근 국가적으로 이슈가 되고 있는 천안함 침몰 관련 악성코드 메일 유포 또한 해당 취약점을 이용한 공격이며 다수의 사이트에서 해당 취약점을 이용하여 악성코드를 유포하고 있는 만큼 보안패치가 나오는대로 설치를 하시기 바랍니다.
파일의 텍스트 비교와 악성코드 분석의 응용 – WinDiff 편 Posted By ASEC , 2010년 3월 29일 봄의 문턱에서 알아 볼 오늘의 tool은 WinDiff입니다. ^^ WinDiff는 두 파일의 텍스트를 비교해 주는 tool로서 microsoft사에서 만들었으며 무료로 다운로드 받을 수 있습니다. 이제 tool 사용법에 대해 알아보겠습니다! 아래는 WinDiff의 실행과 관련된 파일들입니다. 1. File(파일) -> Compare Files… [ 비교할 파일을 선택하는 메뉴입니다. ] 2. 비교할 두 파일을 차례대로 선택합니다. [ 비교 파일은 “카라의 루팡” 노래 가사이며 시연을 위해 하나의 파일은 가사를 일부 수정하였습니다. ^^ ] 3. 비교 후 같은 파일일 경우에는 identical(동일)이라는 멘트가 나타나며 다른 경우 아래와 같이 확인됩니다. [ 폰트는 Edit -> Set Font… 에서 설정 가능합니다. ] 4. 아래 그림과 같이 서로 다른 텍스트 값에 대해서는 색으로 식별이 가능합니다. [ 붉은색과 노랜색 부분이 서로 값이 틀린 부분이며 흰색 부분은 일치하는 부분을 나타냅니다. ] 이런 WinDiff의 기능을 이용해 악성코드 분석에도 응용 할 수 있는데요. 악성코드 변종에 대한 것이 바로 그 예입니다….
