'보안 정보'에 해당되는 글 21건

  1. 2008.07.02 DB 호스팅 서비스를 이용하는 악성코드 by 알 수 없는 사용자
  2. 2008.06.20 Firefox 3의 첫 취약점 보고 by 알 수 없는 사용자
  3. 2008.06.18 T2W, 트로이 목마를 웜으로~ by 알 수 없는 사용자
  4. 2008.06.12 인터넷 공유기의 설정을 바꾸는 악성코드 by 알 수 없는 사용자 1
  5. 2008.06.11 Microsoft 보안 업데이트 - 2008년 6월 by 알 수 없는 사용자
  6. 2008.06.04 Safari 웹 브라우져의 '융단 폭격' 취약점 by 알 수 없는 사용자
  7. 2008.06.04 악성 PDF 파일을 만드는 도구 by 알 수 없는 사용자
  8. 2008.06.02 Adobe Flash Player 취약점 공격 SWF 유포중 by 알 수 없는 사용자
  9. 2008.05.14 Microsoft 보안 업데이트 - 2008년 5월 by 알 수 없는 사용자
  10. 2008.01.16 부록이 많은 프로그램 by Joey C. 1
WebSense 블로그에 따르면 DB 호스팅 서비스를 이용하는 악성코드들이 최근에 기승을 부리고 있다고 합니다.

무료로 MySQL DB를 호스팅하는 서비스를 이용하는 이 악성코드들은 실행시 원격 서버의 설정 파일로부터 해당 서비스 주소와 접속 정보를 얻은 후 원격 DB에 접속하여 감염된 PC의 정보를 기록하고 다양한 공격 모듈을 추가로 내려받아 공격을 수행한다고 합니다.

자세한 정보는 아래 링크를 참조하세요.
WebSense 블로그
http://securitylabs.websense.com/content/Blogs/3099.aspx

Posted by 알 수 없는 사용자
,
Firefox 3의 첫 원격 코드 실행(Remote Code Execution) 취약점이 발견되었습니다.
발표한지 5시간 만에 TippingPoint의 Zero Day Initiative에 보고된 이 취약점은 FireFox 3.0과 그 이전 버전에도 영향을 준다고 합니다.

TippingPoint는 이 취약점을 확인했으며 Mozilla 측에 통보하였다고 합니다. Mozilla 측에서는  현재 수정 중이라고 하는군요.. 더 자세한 내용은 여기서 확인하실수 있습니다.

해당 취약점은 최근의 취약점들과 마찬가지로 사용자의 특정 웹사이트를 방문하거나 특정 링크를 클릭할때만 영향을 미친다고 하며 패치가 나오기전까지는 정책상 공개되지 않을 예정입니다.

Firefox 3를 사용하시는 분들은 패치가 나올때까지는 되도록이면 안전한 웹사이트만 이용하시는게 좋을것 같습니다. 또,
Posted by 알 수 없는 사용자
,
스페인의 보안 업체인 Panda Security의 블로그에 새로 발견된 악성코드 제작툴이 소개되었습니다. T2W(Trojan to Worm)이라는 이름의 이 툴은 어떤 실행파일도 웜으로 만들어버리는 기능을 가지고 있는 것으로 보입니다. 이 툴의 기능들은 아래 스크린샷을 보면 한눈에 짐작할 수 있습니다.  이제는 악성코드를 만드는데 그다지 기술은 필요가 없겠네요. :(
사용자 삽입 이미지

더 자세한 정보는 아래 링크에서 보실 수 있습니다.
http://pandalabs.pandasecurity.com/archive/T2W-_2D002D003E00_-Trojan-to-Worm.aspx

Posted by 알 수 없는 사용자
,
최근에 발견된 악성코드 중에 인터넷 공유기의 설정을 바꾸는 유형이 발견되었다고 합니다.

Security Fix에 따르면 DNSChanger라는 이름으로도 잘 알려진 "Zlob" Trojan의 최근 버전은 감염시 사용자가 인터넷 유무선 공유기를 사용하는지 확인하고 해당 공유기에 알려진 기본 암호 조합들 을 이용하여 접속을 시도하여 DNS 설정을 바꾼다고 합니다.

이렇게 DNS 설정이 바뀌게 되면 이 공유기를 사용하는 모든 사용자들은 인터넷 접속시 입력하는 모든 주소들이 공격자의 DNS 서버를 거쳐가게 됩니다. 이를 통해서 광고를 띄운다던가 특정 웹사이트로 강제로 이동시키는게 가능해지겠죠.

이런 유형의 공격을 막기 위해서는 공유기의 기본 암호를 반드시 변경을 해두어야 합니다. 혹시 지금 사용하시는 공유기를 사서 암호를 변경하지 않고  바로 사용하셨다면 꼭 DNS 설정 등을 확인하시고 지금이라도 공유기의 암호를 변경하세요.

더 자세한 내용은 아래에서 확인하세요.

Posted by 알 수 없는 사용자
,
2008년 6 월 Microsoft 보안 업데이트가 공지되었습니다.

이번 달의 보안 업데이트 항목에는 긴급(Critical) 수준의 공지가 3개, 중요(Important) 수준의 공지가 3개, 보통(Moderate) 수준의 공지가 1개 포함되어 있습니다. 긴급 수준의 문제점들은 주로 원격 코드 실행(Remote Code Execution)과 관련되어 있으므로 꼭 패치하시기 바랍니다. 이번 달의 중요 수준의 취약점들은 주로 DoS(Denial of Service)와 관련되어 있다는 것도 인상적이네요.

자세한 사항은 아래 링크에서 확인하실수 있습니다.
http://www.microsoft.com/korea/technet/security/Bulletin/ms08-jun.mspx

노애드 툴박스를 사용하시면 보안 업데이트를 더욱 손쉽게 할수 있습니다. :)
Posted by 알 수 없는 사용자
,
Apple의 Safari 웹 브라우져를 통해 PC의 바탕화면에 파일을 '융단 폭격(carpet bombing)'할 수 있는 취약점이 발견되었습니다. 이 취약점을 이용하면 특정 웹사이트를 방문했을 때 사용자의 동의 없이 PC의 바탕화면에 파일을 설치하는 것이 가능하다고 합니다.

단순히 파일의 설치만이 가능하긴 하지만 바탕화면에 바로가기 등의 파일을 설치함으로써 사용자를 유도하는 다양한 방법들을 생각하면 위험성은 적지 않을 것으로 보입니다. Microsoft의 보안권고문에 따르면 Safari 웹 브라우져의 기본 다운로드 경로를 바탕화면이 아닌 다른 폴더로 지정함으로써 이 위험성을 줄일 수 있습니다. 

이 취약점은 사실 <iframe> 등의 태그를 이용한 특정 파일을 기본 다운로드 경로로 사용자 동의 없이 내려받게 하는 방식이기 때문에 이는 단순히 파일이 바탕화면에 설치되는 것을 다른 경로로 우회시키는 것 뿐임은 참고하시기 바랍니다. 하지만 이렇게 함으로써 실수로 다운로드 받은 파일을 클릭할 가능성은 훨씬 적어지는 건 사실입니다.

이 취약점은 Nitesh Dhanjani라는 보안 전문가에 의해 발견되었으며 2개의 다른 취약점들과 함께 Apple 측에 통보되었다고 합니다. 다만 Apple 측에서는 이를 '좋은 제안(good suggestion)'으로 받아들이긴 하지만 보안 문제로 생각하고 있지는 않다고 합니다. 확실히 악성코드가 없는 맥 나라에서 와서 그런걸까요?

그나마 현재 세계적으로 Safari 웹 브라우져의 사용률은 0.3% 이하라고 하니 큰 이슈가 되진 않을 것 같습니다. :)
Posted by 알 수 없는 사용자
,
문서를 관리하거나 조회하기 위해 PDF 파일 많이 사용하시죠?
대표적인 PDF 뷰어인 Acrobat Reader의 알려진 취약점을 이용하여 PDF를 열었을때 악성코드를 실행하는 악성 PDF 파일들이 유포되고 있다고 합니다. 재미있는 점은 이 악성 PDF들이 악성코드를 실행한 후, 실행된 악성코드는 무해한 PDF를 열어서 보여줌으로써 마치 안전한 PDF를 연 것처럼 사용자를 안심시킨다는 것입니다.

실행파일과 PDF 파일을 주고 대상 플랫폼을 선택하면 이런 악성 PDF 파일을 만들어주는 프로그램도 존재한다고 합니다. 이런 도구들에 의해 악성코드의 유포는 점점 쉬워지는 것 같아 걱정입니다.

사용자 삽입 이미지


그러니 메일이나 웹에서 PDF 파일을 열 때도 믿을만한 PDF 파일인지 꼭 확인하시고, 무엇보다도 취약점이 패치된 최신 버전의 Acrobat Reader를 사용하시기 바랍니다.

다음 링크에서 더 자세한 내용을 찾으실 수 있습니다.
F-Secure 블로그 http://www.f-secure.com/weblog/archives/00001450.html

Posted by 알 수 없는 사용자
,

지난 5월 27일부터 Adobe Flash Player의 취약점을 이용하여 악성코드를 다운로드하는 SWF가 해킹된 웹사이트를 통해 유포되고 있다는 사실이 Symantec을 비롯한 각종 보안 업체들로부터 보고 되었습니다. 초기에는 발견되지 않은 취약점으로 간주되었으나 사실은 이미 패치된 취약점으로 것으로 밝혀졌습니다.

하지만 현재도 해당 SWF가 유포중인 것으로 보이므로 설치된 Adobe Flash Player의 버전을 확인하시고 꼭 업데이트 하시기 바랍니다. 해당 취약점이 패치된 Adobe Flash Player의 버전은  9.0.124.0으로 설치 및 업데이트는 다음 링크에서 내려받을 수 있습니다.


설치된 Adobe Flash Player의 버전은 [프로그램 추가/제거]에서 "Adobe Flash Player ActiveX"의 지원 정보를 통해 확인할 수 있습니다.

해당 취약점에 대한 더 자세한 정보는 다음 링크들에서 찾으실 수 있습니다.

Posted by 알 수 없는 사용자
,

2008년 5월 Microsoft 보안 업데이트가 공지되었습니다.

이번 달의 보안 업데이트 항목에는 긴급(Critical) 수준의 공지가 3개, 보통(Moderate) 수준의 공지가 1개 포함되어 있습니다. 긴급 수준의 문제점들은 주로 원격 코드 실행(Remote Code Execution)과 관련되어 있으므로 꼭 패치하시기 바랍니다.

자세한 사항은 아래 링크에서 확인하실수 있습니다.
http://www.microsoft.com/korea/technet/security/Bulletin/ms08-may.mspx

노애드 툴박스를 사용하시면 보안 업데이트를 더욱 손쉽게 할수 있습니다. :)

Posted by 알 수 없는 사용자
,

사용자 삽입 이미지
할인마트에서 판매하는 라면들은 위와 같은 형태로 포장되어 있습니다. 5봉지씩 포장해서 팔고 있지만 어떤 날은 저 옆에 한봉지를 더 붙여서 6봉지를 5봉지 가격에 판매합니다. 면도기를 사면 면도거품 한통을 공짜로 주기도 합니다.

 이렇게 상품을 판매하면서 같은 상품 혹은 다른 상품을 함께 제공하는 것을 '번들(bundle)'이라고 합니다. 잡지의 부록과 같은 의미라고 할 수 있습니다.

 마트에서 판매하는 상품들 뿐 아니라 소프트웨어도 번들로 많이 제공됩니다.

사용자 삽입 이미지

 이전에는 '그래픽 카드에 게임소프트웨어', 'dvd드라이브에 dvd 재생소프트웨어'와 같은 식으로 하드웨어에 그 하드웨어를 사용할 수 있는 소프트웨어를 함께 제공하는 것이 일반적이었지만 요즘은 소프트웨어에 번들되는 소프트웨어도 많습니다.

사용자 삽입 이미지

대표적인 예로 pdf 파일을 읽을 수 있는 Adobe Reader를 설치할 때 Google Toolbar를 함께 설치하는 옵션이 제공되는 것을 들 수 있습니다.

 이런 번들은 소프트웨어들간의 시너지 효과를 얻기 위해서, 혹은 번들을 함으로써 그에 대한 사용료를 받기 위해 사용됩니다.

 번들 방식은 소프트웨어를 전파하는데 편리한 배포 방식이므로 악성코드를 전파하는데 즐겨 사용하는 방법입니다.

 사용자 입장에서도 특별한 수고를 들이지 않고 유용한 소프트웨어를 사용할 수 있으므로 편리할 수 있습니다. 하지만 무심코 함께 설치한 번들소프트웨어가 매일 커다란 광고를 띄우거나 한다면 조금 불편하겠죠. 게다가 이런 소프트웨어들은 개인정보를 훔쳐내거나 자료를 파괴하는 스파이웨어일 수도 있습니다.


 어떤 소프트웨어와 번들되는 소프트웨어는 함께 제공되지만 하나의 제품으로 볼 수 있는 것은 아니므로 소프트웨어 설치 중에 번들 소프트웨어 설치 여부에 대한 사용자 확인이 표시됩니다. 설치에 동의하면 번들되는 소프트웨어 사용 약관이 표시되고 약관에 동의했을 때 설치가 진행되죠.
 그러므로 설치과정에서 함께 설치되는 소프트웨어에 대한 설명과 약관을 주의깊게 읽고 필요하거나 안전한 소프트웨어만 설치에 동의하면 안전한 컴퓨터를 유지할 수 있습니다.

 만약 이 과정에서 설치 여부 확인 없이 무조건 어떤 소프트웨어를 설치한다면 그 소프트웨어는 스파이웨어가 됩니다. 또한 함께 설치된 프로그램이 스파이웨어라면 그걸 설치한 소프트웨어는 사용자 동의에 관계없이 스파이웨어로 구분됩니다.


1. 애드웨어 번들 예

 가상 CD롬 소프트웨어인 데몬툴은 무료임에도 불구하고 강력한 기능과 편리함 덕분에 많이 쓰이는 소프트웨어입니다.
 데몬툴 배포 초기에는 데몬툴만 설치가 되었지만 최근에는 몇가지 프로그램을 함께 제공하고 있습니다. 아래 화면에에 표시된 'DAEMON Tools sponsor ad module'이 데몬툴이 번들하는 소프트웨어입니다.

사용자 삽입 이미지

이 소프트웨어를 설치하게 되면 인터넷 사용중에 아래 화면과 같이 광고가 나타나게 됩니다.해당 소프트웨어는 하루에 4-5회 정도 나타난다고 설명하고 있는데 언제 나타나는지는 알 수 없습니다. 광고가 불편하다면 제어판의 프로그램 추가/제거 에서 쉽게 제거할 수 있습니다.

사용자 삽입 이미지

 설치시 "DAEMON Tools default Search Provider"에 체크하면 이후 웹브라우저의 주소창을 통한 기본 검색 설정이 데몬툴에서 제공하는 검색으로 바뀌게 됩니다.

2. 악성코드 번들 예

 이번에는 좀더 위험한 번들 소프트웨어를 살펴보겠습니다.

사용자 삽입 이미지

 많이 쓰이는 P2P 프로그램의 설치화면입니다. [스폰서] 라고 표시된 항목들은 이 프로그램과 함께 설치되는 번들 소프트웨어들입니다. 목록에 마우스를 올려 놓으면 아래쪽에 해당 프로그램에 대한 약관이 표시됩니다. 이 소프트웨어들은 따로 설치할 경우 서로가 서로를 번들하는 특징을 가지고 있습니다.

사용자 삽입 이미지

 이전 화면에서 '동의함'을 선택하면 이번엔 툴바 설치에 대한 동의를 묻는 창이 나타납니다.
이 툴바는 인터넷 익스플로러의 주소창을 대체하며 툴바가 제공하는 검색엔진의 검색창으로도 사용됩니다.

사용자 삽입 이미지

모든 설치를 완료한 화면입니다. 새로운 바탕화면 바로가기와 툴바가 설치된 것을 알 수 있습니다. 그런데 설치화면에서 동의한 것과는 약간 다른 프로그램들이 설치된 것을 볼 수 있습니다. 'IE 즐겨찾기' 라는 폴더 안에는 400여개나 되는 인터넷 바로가기가 포함되어 있으며 인터넷 익스플로러의 즐겨찾기에도 같은 바로가기들이 추가됩니다.


사용자 삽입 이미지

특히 '메가패스..', '옥션' 이라고 써져 있는 바로가기는 우리가 알고있는 메가패스, 옥션과는 전혀 관계없는 사이트로 이동하는 바로가기입니다.


노애드2+로 검사를 수행해 보겠습니다.

사용자 삽입 이미지

15개의 스파이웨어와 1개의 그레이웨어가 발견되었습니다. 대부분 키워드를 훔쳐내거나 윈도우 설정을 변경하는 스파이웨어들입니다. 이 정도면 '종합병원'이라고 불러도 손색이 없을 것 같습니다. ^^;

4. 마무리

 번들의 의미와, 악성코드를 번들하는 소프트웨어에 대해서 간단히 알아보았습니다.

 올해의 주된 보안 문제로 예상되는 것은 피싱이나 후킹을 통한 인터넷 뱅킹, 전자 상거래 과정 공격으로 발생하는 금전적인 피해입니다. 이런 공격에 가장 기본적으로 사용되는 것이 앞서 살펴본 번들을 통한 악성코드의 설치입니다.

 눈치채셨겠지만 어떤 소프트웨어에 번들되는 악성코드들은 사용자가 소프트웨어 설치과정에서 약간만 주의하면 피할 수 있는 것들입니다.

사용자가 주의 깊게 살펴보지 않는다면 좋은 보안프로그램을 사용하더라도 무심결에 공격을 당할 수 있습니다. 안전한 컴퓨터 생활을 위해 조금만 더 주의를 기울여 주세요.


Posted by Joey C.
,