'운영체제'에 해당되는 글 28건
- MS10-087 취약점 악용 워드 악성코드 발견 (1) | 2011/07/06
- 어도비 플래쉬 플레이어 CVE-2011-2110 취약점 분석 (3) | 2011/06/22
- 안랩 V3, ICSA 국제 인증 첫 획득..기술 ‘그랜드슬램’ 달성 (1) | 2011/06/08
- SNS로 전파되는 맥 OS X 대상의 허위 백신 | 2011/06/02
- 어도비 플래쉬 플레이어 CVE-2011-0611 취약점 악용 PDF (1) | 2011/04/26
- 워드 파일로 유포된 어도비 플래쉬 플레이어 제로 데이 취약점 (1) | 2011/04/12
- 안철수연구소 2011년 4월 V3 VB100 국제인증 획득 (1) | 2011/04/11
- 국내 40개 웹사이트들에 대한 디도스 공격 경보 (2) | 2011/03/04
- 마이크로소프트 윈도우 7 서비스 팩 1 배포 | 2011/02/24
- 통합보안관리 장비 ‘APC 어플라이언스’ 공급 활발 (1) | 2011/01/12
MS10-087 취약점 악용 워드 악성코드 발견 :: 2011/07/06 17:10
최근 몇 년간 악성코드 유포에 사용되고 있는 취약점들은 대부분이 웹 브라우저(Web-Browser) 또는 웹 어플리케이션(Web Applications)과 관련된 것들이 많았으며, 특히 최근에는 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 CVE-2011-2110 취약점을 악용한 악성코드 유포가 증가하고 있어 주의가 필요함을 ASEC에서 알린 바가 있었다.
웹 어플리케이션과 관련한 취약점외에도 전자 문서에서도 역시 어도비에서 개발한 아크로뱃 리더(Acrobat Reader) 파일 포맷인 PDF에 존재하는 취약점을 악용해 악성코드 유포를 시도한 사례가 다수 존재하고 있으며, 그 다음으로 마이크로소프트(Microsoft)에서 개발한 워드(Word)에 존재하는 취약점을 악용한 사례도 다수 발견되고 있다.
특히 최근에 발견되는 워드 취약점을 악용한 악성코드의 경우에는 2010년 11월 배포한 "MS10-087 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)" 취약점을 악용하는 사례가 대부분을 차지하고 있으며, 2011년 3월 일본에서 발생한 대지진 재난을 악용한 악성코드 유포, 2011년 5월 오사마 빈 라덴(Osama Bin Laden)이 사망을 악용한 악성코드 유포 사례들에서도 해당 취약점이 악용 되었다.
최근 다시 아래 이미지와 같은 파일명들로 MS10-087 취약점을 악용한 악성코드들이 발견되고 있으며, 이러한 취약한 워드 파일 형태의 악성코드는 메일의 첨부 파일로 유포되는 사례가 다수를 차지하고 있음으로 메일에 첨부된 워드 파일에 대해서는 각별한 주의가 필요하다.
발견된 취약한 워드 파일들은 모두 아래 이미지와 같이 사용하는 쉘코드(Shellcode)만 조금씩 다르게 조작되어 있다.
앞서 언급한 바와 같이 PDF와 워드에 존재하는 취약점을 악용한 공격의 경우 2011년 4월 알려진 RSA 침해사고에서와 같이 메일의 첨부 파일 형태로 타킷 공격(Targeted Attack)에 악용됨으로 사용하는 제품에 맞는 보안 패치를 설치하는 것이 보안 위협에 노출되는 것을 근본적으로 차단할 수 있다.
이 번에 발견된 MS10-087 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Dropper/Cve-2010-3333
그리고 마이크로소프트에서 제공하는 윈도우(Windows) 운영체제와 오피스(Office) 보안 패치들은 다음 웹 사이트를 통해 설치가 가능하다.
2423930,
Acrobat,
ASEC,
Bin,
CVE-2011-2110,
Dropper,
Laden,
Microsoft,
MS10-087,
Office,
Osama,
PDF,
Player,
RSA,
shellcode,
Targeted Attack,
Web Application,
Web-Browser,
Windows,
word,
대지진,
리더,
마이크로소프트,
메일,
문제점,
빈라덴,
쉘코드,
실행,
아크로뱃,
악성코드,
악용,
어도비,
업데이트,
오사마,
운영체제,
워드,
원격,
웹브라우저,
윈도우,
일본,
첨부파일,
취약점,
침해사고,
코드,
타킷공격,
플래쉬,
플레이어
Trackback Address :: http://blog.ahnlab.com/asec/trackback/561
-
accounting classes nyc
Tracked from accounting classes nyc | 2013/05/05 12:42 | DELASEC Threat Research -
어도비 플래쉬 플레이어 CVE-2011-2110 취약점 분석 :: 2011/06/22 17:30
ASEC에서는 6월 15일 어도비 플래쉬 플레이어(Adobe Flash Player)에서 보안 패치 배포 소식을 전한 바가 있다. 해당 보안 패치에는 제로 데이(Zero Day, 0-Day) 취약점이었던 CVE-2011-2110 취약점을 제거 할 수 있는 보안 패치가 같이 포함이 되어 있으며, 현재에도 해당 취약점을 악용한 플래쉬 파일(SWF) 변형들이 유포 중에 있다.
ASEC에서는 해당 어도비 플래쉬 플레이어 취약점을 악용한 악성코드 유포에 대해 상세한 분석을 진행하였으며, 해당 취약점의 전체적인 악용 구조는 다음 이미지와 같은 형태로 진행 되었다.
위 이미지와 같은 구조로 취약한 플래쉬 파일을 유포하여 최종적으로 온라인 게임의 사용자 정보를 탈취하는 악성코드의 감염을 시도하였다.
먼저 취약한 웹 사이트에 아래 이미지와 같은 스크립트 파일을 삽입하였으며, 해당 스크립트 파일에는"main.swf?info="를 통해 취약한 플래쉬 파일을 호출하도록 설정되어 있다.
호출된 플래쉬 파일을 통해 Zlib 압축을 해제한 후 XOR 디코딩을 수행하여 특정 웹 사이트에서 파일을 다운로드 하도록 설정되어 있다.
다운로드 된 파일을 아래 이미지와 같이 XOR 디코딩을 수행한 후 Zlib 압축을 해제하게 될 경우 일반적으로 윈도우(Windows) 운영체제에서 실행 가능한 PE 파일이 생성된다.
최종적으로 메모리상에서는 아래 이미지와 같은 쉘코드(Shellcode)와 함께 다운로드된 PE이 같이 동작하도록 구성되어 있다.
메모리 상에서 쉘코드와 함께 동작하게 되면 윈도우 임시 폴더(Temp)에 scvhost.exe 파일을 생성하게 되며 생성한 파일을 cmd.exe 명령을 이용하여 실행하게 된다.
생성된 해당 파일이 실행되면 온라인 게임의 사용자 정보를 탈취하는 악성코드와 함께 외부에서 윈도우 시스템 관련 파일들인 imm32.dll와 win32.dll을 악성코드로 변경하는 기능 등을 수행하게 된다.
최근 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하여 악성코드를 유포하는 사례가 지속적으로 발생하고 있음으로 어도비사의 보안 권고에 따라 어도비 아크로뱃 리더(Adobe Acrobat Reader)와 플래쉬 플레이어를 해당 취약점이 제거된 최신 버전으로 업데이트 하는 것이 중요하다.
이 번 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하여 유포를 시도한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
SWF/Exploit
JS/Swflash
SWF/Cve-2011-2110
Win-Trojan/Onlinegamehack.36352.CN
Win-Trojan/Patched.DE
Win-Trojan/Onlinegamehack.102400.DM
Acrobat,
Adobe,
ASEC,
cmd.exe,
CVE-2011-2110,
Day,
exploit,
flash,
Imm32.dll,
OnlineGameHack,
Patched,
PE,
Player,
reader,
scvhost.exe,
SWF,
Swflash,
Temp,
Trojan,
win32.dll,
Windows,
XOR,
Zero,
Zlib,
게임,
다운로드,
디코딩,
리더,
메모리,
보안,
분석,
사용자,
쉘코드,
스크립트,
아크로뱃,
악성코드,
악용,
압축,
어도비,
온라인,
운영체제,
웹사이트,
윈도우,
유포,
임시,
정보,
제로데이,
취약점,
파일,
패치,
폴더,
플래쉬,
플레이어,
해제
Trackback Address :: http://blog.ahnlab.com/asec/trackback/554
-
Adobe Reader,Acrobat,Adobe Flash Player 10.3.181.26 업데이트
인터넷을 하다 보면 만나는 PDF 그리고 Adobe Flash Player, Adobe AIR 제품이 보안업데이트가 이루어지고 있습니다. 일단 Adobe Reader&Acrobat 경우 해당 Authplay.dll구성 요소 취약점과 관련된 보안 갱신이므?
안랩 V3, ICSA 국제 인증 첫 획득..기술 ‘그랜드슬램’ 달성 :: 2011/06/08 09:16
- 기업 PC용 통합 백신 V3 IS 8.0, ICSA 국제인증 획득
- 국내 보안 제품 최초의 ICSA 인증, 세계적 기술력 인정받아
글로벌 통합보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com]는 자사의 기업용 통합보안 제품인 V3 Internet Security 8.0 [이하 V3 IS 8.0]이 최근, 세계적인 보안 테스트 기관인 ICSA랩[보충자료 참조, http://www.icsalabs.com]으로부터 안티바이러스[백신] 부문에서 ICSA 국제인증을 획득했다고 밝혔다.
ICSA인증은 VB100, 체크마크와 함께 컴퓨터 백신 분야의 3대 국제 인증 중 하나로, 안철수연구소는 국내 백신 제품 중 최초로 이번 인증을 획득해 그 의미가 크다. 특히 ICSA인증은 가장 까다롭고 권위있는 인증이라는 점에서 국산 보안제품의 진정한 글로벌화의 성과로 평가된다. 따라서, 안철수연구소는 유일하게 3대 주요 국제 인증을 모두 획득해 세계적 수준의 기술력을 인정 받았다.
ICSA 인증은 지정된 운영체제[OS]환경에서 세가지 악성코드 샘플 세트를 대상으로 진행된다. 이를 받기 위해서는 현재 전 세계에서 활동 중인 각종 악성코드목록[와일드리스트]를 하나의 오진없이 100% 진단 및 치료해야 함은 물론, ICSA랩이 규정한 5만여 개의 자체 악성코드 샘플을 일정기준 이상으로 진단해야 한다. 안철수연구소의 V3 IS 8.0은 윈도우7 32비트 환경에서 통과기준을 상회하는 성적으로 이번 인증을 획득했다.
이번 ICSA 인증을 획득한 V3 IS 8.0은 동종 제품 중 가장 가볍고 빠른 최경량 통합보안 솔루션으로서 신개념의 악성코드 탐지 신기술을 탑재해 감염 억제 능력을 강화하고 안티바이러스와 안티스파이웨어 통합 엔진의 완전한 제품화 적용으로 사용자 편의성이 높다. 안철수연구소의 독창적인 차세대 신기술인 ‘V3 뉴 프레임워크[V3 New Framework]’를 적용해 악성코드 검사 속도가 빠르고, 메모리 점유율이 적은 것이 특징이다. V3 IS 8.0은 이런 우수한 성능을 바탕으로 최근 VB100과 체크마크 국제인증도 획득한 바 있다.
안철수연구소의 김홍선대표는 "ICSA 인증은 백신업계에서 가장 중요한 국제 인증 중 하나로, 안철수연구소는 이번 인증을 통해 다시 한번 세계적 기술력을 검증 받았다"며 "또한 이번 국제인증을 받은 V3 IS 8.0과 동일한 진단 성능을 제공하는 엔진을 V3 제품군 뿐만 아니라, 산업용 시스템 보안 솔루션 트러스라인, 네트워크 보안장비 트러스가드 등 안철수연구소의 주요제품에 모두 탑재해 고객에 통합적인 보안 서비스를 제공하고 있다”고 말했다.
한편, V3 제품군은 2007년 세계 백신 업계 최초로 최고 등급인 EAL4[Evaluation Assurance Level 4] 등급으로 국제정보보호평가기준인 CC[Common Criteria; 국제공통평가기준]인증을 획득하는 등 국제적 보안 제품 평가 기관에서 글로벌 수준의 기술력과 성능을 공인받고 있다. 또한, V3는 우리나라를 대표하는 국내 최장수 소프트웨어이자 아시아 최고의 보안 소프트웨어를 넘어 해외 각국에 수출되어 세계적 소프트웨어로 성장해 나가고 있다.
<보충자료>
ICSA 랩 [ICSA Lab]
ICSA랩은 미국 Verizon Business의 독립기관으로, 보안제품에 대한 중립적이고 객관적인 테스트 및 인증을 제공한다. 세계 유수의 보안 기업들이 ICSA랩으로부터의 인증 획득을 위해 제품 테스팅을 거치고 있다. ICAS랩에 대한 보다 자세한 정보는 http://www.icsalabs.com을 방문하면 된다
32비트,
AhnLab,
Assurance,
CC,
Common,
Criteria,
EAL4,
Evaluation,
ICSA,
icsalabs,
Internet,
IS,
Level,
OS,
Security,
V3,
VB100,
Verizon,
국제,
국제공통평가기준,
그랜드슬램,
글로벌,
기술,
김홍선,
뉴프레임워크,
달성,
독립기관,
백신,
보안,
신기술,
악성코드,
안랩,
안철수,
안티바이러스,
안티스파이웨어,
연구소,
와일드리스트,
운영체제,
윈도우7,
인증,
제품화,
차세대,
체크마크,
탐지,
테스트,
통과기준,
통합,
환경,
획득
Trackback Address :: http://blog.ahnlab.com/asec/trackback/546
SNS로 전파되는 맥 OS X 대상의 허위 백신 :: 2011/06/02 18:09
5월 15일 해외에서 발견되었던 애플(Apple)에서 개발한 맥(Mac) OS X를 대상으로 감염되는 허위 백신인 맥디펜더(MacDefender)가 유명 소셜 네트워크(Social Network)를 전파 수단으로 이용하여 다시 전파되는 것이 발견 되었다.
최초 5월 15일에는 아래 이미지와 같이 트위터(Twitter)를 이용하여 맥 운영체제 사용자들이 관심을 가질 만한 게임을 소개하는 내용으로 위장하여 메시지 본문에 단축 URL(URL Shortening)을 사용하여 악의적인 웹 사이트로 접속을 유도하였다.
사파리(Safari) 웹 브라우저를 사용하는 맥 운영체제 사용자가 해당 단축 URL을 클릭하게 될 경우 다음 이미지와 같은 특정 웹 사이트로 연결된다.
해당 웹 페이지에서는 기존 윈도우(Windows) 운영체제를 감염 대상으로 하였던 허위 백신에서 사용하는 방식과 동일하게 시스템 전체를 검사하는 모습을 보여주고 허위 진단 결과를 보여주게 된다.
그리고 맥 운영체제에서 실행되는 특정 파일을 다운로드 하도록 유도하여 허위 백신의 감염을 시도하고 있다.
이 번에 발견된 맥 운영체제를 감염 대상으로 하는 허위 백신은 페이스북(Facebook)에서 성인 비디오 내용으로 유포되기 시작한 것을 영국 보안 업체 소포스(Sophos)에서 블로그 "Rihanna and Hayden Panettiere sex video spreads Mac malware on Facebook"를 통해 공개하였다.
맥 운영체제를 개발하는 애플에서는 맥 운영체제 사용자를 대상으로하는 유포되었던 허위 백신의 진단 및 탐지를 위해 보안 업데이트 "About Security Update 2011-003"를 배포 중에 있다.
그러므로 맥 운영체제를 사용하는 사용자는 해당 보안 업데이트를 설치하고 트위터와 페이스북과 같은 소셜 네트워크를 통해 전달 되는 메시지에 포함된 단축 URL 클릭을 주의 해야 된다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/545
어도비 플래쉬 플레이어 CVE-2011-0611 취약점 악용 PDF :: 2011/04/26 16:10
4월 12일 ASEC에서는 어도비 플래쉬 플레이어(Adobe Flash Player)에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이었던 CVE-2011-0611을 악용한 SWF 파일이 포함된 마이크로소프트 워드(Microsoft Word) 파일이 유포되었음을 전한 바가 있다.
현재 어도비에서는 플래쉬 플레이어에 존재하는 해당 CVE-2011-0611 취약점을 제거하기 위한 보안 패치를 미국 현지 시각 4월 21일부터 배포하기 시작하였다.
워드 파일에 취약한 SWF 파일이 포함되는 방식으로 악용되었던 해당 취약점이 최근 어도비 리더 파일 포맷인 PDF 파일을 통해서도 악용되어 유포된 것이 확인 되었다.
이 번에 발견된 플래쉬 플레이어에 존재하는 CVE-2011-0611 취약점을 악용한 PDF 파일들은 기존에 발견되었던 워드 파일에 포함되었던 것과 동일하게 아래 이미지와 같이 파일 내부에 취약한 SWF 파일을 포함하고 있다.
그리고 해당 PDF 파일들이 실행되면 아래 이미지와 동일하게 아무런 내용 없이 비어 있는 PDF 파일이 열리게 된다.
실제로는 다음의 경로에 파일들이 생성되며 위 이미지와 같은 내용이 없는 PDF 파일은 다음 경로에 생성된 취약점이 존재하지 않는 정상 PDF 파일이다.
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AcroRd32.exe(376,832 바이트 또는 430,080 바이트)
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\실행한 파일명.pdf
생성된 AcroRd32.exe(376,832 바이트 또는 430,080 바이트)는 외부에 위치한 특정 시스템으로 역접속(Reverse Connection)을 수행하며, 실행된 시스템의 하드웨어 및 운영 체제 정보등을 수집하도록 되어 있다.
해당 플래쉬 플레이어 CVE-2011-0611 취약점을 악용한 아크로뱃 리더 파일 포맷으로도 발견된 만큼 향후 이와 동일한 취약점을 악용한 PDF 파일들이 지속적으로 발견될 것으로 예측 됨으로 사전에 해당 취약점을 제거 할 수 있는 보안 패치를 설치하는 것이 중요하다.
현재 플래쉬 플레이어의 CVE-2011-0611 취약점을 악용한 아크로뱃 리더 파일은 V3 제품군에서 다음과 같이 진단한다.
PDF/Cve-2011-0611
SWF/Exploit
Win-Trojan/Ixeshe.376832
Win-Trojan/Ixeshe.430080
Trackback Address :: http://blog.ahnlab.com/asec/trackback/531
-
GS test demo
Tracked from GS test demo | 2013/04/02 21:06 | DELASEC Threat Research - 어도비 플래쉬 플레이어 CVE-2011-0611 취약점 악용 PDF
-
Instant Payday Loans
Tracked from Instant Payday Loans | 2013/05/10 16:37 | DELASEC Threat Research -
워드 파일로 유포된 어도비 플래쉬 플레이어 제로 데이 취약점 :: 2011/04/12 15:29
4월 12일 금일 새벽 어도비(Adobe)사에서는 보안 권고문 "APSA11-02 Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat" 을 통해 해당 업체에서 개발한 플래쉬 플레이어(Flash Player)에 심각한 제로 데이(Zero Day, 0-Day) 취약점이 존재하며, 이를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 공개하였다.
어도비사에서는 해당 취약점에 영향을 받는 플래쉬 플레이어로는 다음과 같은 것으로 밝히고 있다.
Adobe Flash Player 10.2.153.1과 그 하위 버전
구글 크롬(Google Chrome) 사용자를 위한 Adobe Flash Player 10.2.154.25 과 그 하위 버전
구글 안드로이드(Google Android) 사용자를 위한 Adobe Flash Player 10.2.156.12과 그 하위 버전
이 번에 알려진 플래쉬 플레이어의 제로 데이 취약점은 현재까지 ASEC에서 분석한 결과로는 플래쉬 플레이어에 사용되는 FlDbg10e.ocx 에 존재하는 버퍼오버플로우(BufferOverflow)를 이용한 코드 실행 취약점으로 분석된다.
어도비사에서는 해당 제로 데이 취약점을 악용한 타깃 공격이 취약한 플래쉬 플레이어 파일인 SWF 파일이 포함된 마이크로소프트(Microsoft) 워드(Word) 파일을 전자 메일에 첨부하여 유포된 것으로 공개하고 있다.
해당 제로 데이 취약점을 악용한 타깃 공격의 최종 목적은 원격 제어가 가능한 트로이목마를 감염시키기 위한 것이었으로 분석되면 해당 취약점과 악성코드로 인한 감염 절차를 도식화 한 이미지가 다음과 같다.
취약한 SWF 파일이 포함된 워드 파일이 실행되면 어도비 플래쉬 플레이어 제로 데이 취약점으로 인해 다음 파일들이 생성된다.
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\scvhost.exe (73,728 바이트)
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AAAA (73,728 바이트)
생성된 AAAA (73,728 바이트) 파일은 정상 워드 파일로서 아래 이미지와 같은 내용을 가지고 있으며 이를 컴퓨터 사용자에게 보여줌으로서 정상적인 워드 파일이 열린 것으로 오인하도록 만들고 있다.
해당 타깃 공격에 사용된 워드 파일에는 아래 이미지와 같이 해당 제로 데이 취약점을 악용하기 위한 취약한 SWF 파일이 포함되어 있다.
취약한 SWF 파일이 포함된 워드 파일은 다음 이미지와 같이 frame1() 함수 안에서 쉘코드(Shellcode)를 생성하여 채운 후에 동적으로 취약한 SWF 파일을 로딩하도록 설계되어 있다.
이로 인해 생성된 scvhost.exe (73,728 바이트) 파일이 실행되면 다음 다음의 파일들을 생성하고 정상 윈도우 시스템 파일인 svchost.exe 파일의 스레드(Thread)로 인젝션(Injection)을 시도한다.
C:\WINDOWS\system32\mspmsnsv.dll (8,704 바이트)
C:\WINDOWS\system32\msimage.dat (78,065 바이트)
인젝션이 성공하게 되면 최초 감염된 컴퓨터에서 인터넷 연결이 가능한지 확인하기 위해 마이크로소프트의 웹 사이트인 www.microsoft.com으로 접속을 하게 된다.
접속이 성공하게 되면 미국에 위치한 특정 시스템으로 리버스 커넥션(Reverse Connection)을 시도하게 되나 현재 정상 접속이 되지 않고 있다.
그리고 윈도우 시스템 폴더(C:\WINDOWS\system32)에 실행 중인 프로세스 리스트를 기록한 task.dat
파일과 감염된 컴퓨터에 존재하는 모든 파일들의 리스트를 기록한 fi.txt 를 생성하게 된다.
그 외에 해당 파일들은 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.
프록시(Proxy) 기능 수행
감염된 시스템의 운영체제 및 하드웨어 정보 확인
IP 및 Port 등의 네트워크 정보 확인
윈도우 사용자 계정(User Accout) 생성
감염된 시스템의 사용자 계정의 암호 확인
이 번에 알려진 어도비 플래쉬 플레이어에 존재하는 제로 데이 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Dropper/Cve-2011-0611
Win-Trojan/Npkon.8704
Win-Trojan/Npkon.73728
Win-Trojan/Agent.78065
SWF/CVE-2011-0611
어도비에서는 현재까지 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일인 PDF 파일을 악용한 유사 공격 형태는 발견되지 않았으며, 해당 플래쉬 플레이어에 존재하는 취약점을 제거하기 위한 보안 패치를 제작 중에 있는 것으로 공개하고 있다.
0-day,
AAAA,
Accout,
Acrobat,
Adobe,
Advisory,
Agent,
AhnLab,
Android,
APSA11-02,
ASEC,
attack,
BufferOverflow,
Chrome,
Connection,
Cve-2011-0611,
Dropper,
fi.txt,
FlDbg10e.ocx,
Google,
Injection,
IP,
Microsoft,
msimage.dat,
mspmsnsv.dll,
Npkon,
Player,
Port,
Proxy,
scvhost.exe,
Security,
shellcode,
SWF,
Targeted,
task.dat,
Thread,
Trojan,
User,
V3,
word,
Zero Day,
계정,
공격,
구글,
권고문,
기능,
네트워크,
데이,
리버스,
마이크로소프트,
버퍼오버플로우,
보안,
사용자,
쉘코드,
스레드,
악성코드,
안드로이드,
안랩,
안철수,
암호,
어도비,
연구소,
운영체제,
워드,
원격,
윈도우,
인젝션,
정보,
제로,
제로데이,
제어,
취약점,
커넥션,
크롬,
타깃,
트로이목마,
파일,
프록시,
플래쉬,
플레이어,
하드웨어
Trackback Address :: http://blog.ahnlab.com/asec/trackback/518
-
Adobe Flash Player, Adobe Reader & Adobe Acrobat 제로데이 취약점 : APSA11-02 (2011.4.12)
Tracked from 울지않는벌새 : Security, Movie & Society | 2011/04/12 18:04 | DELAdobe사에서 제공하는 Adobe Flash Player 제품과 Adobe Reader & Adobe Acrobat 제품에서 새로운 제로데이(0-Day) 보안 취약점을 이용한 악성코드 유포 행위가 확인이 되었다는 소식입니다. <Adobe Security Bulletin>
-
어도비 플래쉬 플레이어 제로데이(Adobe Flash Player 0-Day)를 이용한 악성파일 유포 주의!!
(그림출처 : Contagio Blog) 4월 12일 발표 된 Adobe Flash Player 0-Day 취약점을 이용한 악성파일이 발견되었다. 해당 악성파일은 이메일(E-Mail)로 전파되는것이 확인되며, "Disentangling Industrial Policy and Competi
안철수연구소 2011년 4월 V3 VB100 국제인증 획득 :: 2011/04/11 11:47
안철수연구소 V3 인터넷 시큐리티(Internet Security) 8.0 이 2011년 4월 바이러스 뷸리틴(Virus Bulletin)에서 진행된 VB100 국제인증을 획득하였다.
이 번에 진행된 바이러스 뷸리틴(Virus Bulletin)의 VB100 국제인증은 마이크로소프트(Microsoft) 윈도우 XP (Windows XP) 운영체제에서 테스트가 진행되었다.
바이러스 뷸리틴(Virus Bulletin)의 VB100 국제인증을 획득하기 위해서는 전 세계적으로 발견된 In-The-Wild 악성코드를 모두 진단하고 정상 파일을 악성코드로 진단하는 오진(False Positives)가 1건도 발생하지 않아야 된다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/516
국내 40개 웹사이트들에 대한 디도스 공격 경보 :: 2011/03/04 10:59
- 4일 오후 6시 30분 공격 예상..2009년보다 17개 많은 주요 기관 공격 대상
- ASEC, CERT 비롯 전사 비상 대응 체제 가동
- 긴급 전용백신 개발 무료 배포..기존 V3 사용자는 최신 버전으로 치료
- 기업/기관은 DDoS 방어 통합보안 시스템, 보안관제 서비스 등 필요
글로벌 통합보안 기업인 안철수연구소[대표 김홍선 www.ahnlab.com]는 디도스[DDoS; Distributed Denial of Service, 분산 서비스 거부] 공격이 국내 40개 웹사이트를 대상으로 3월 4일 오늘 10시부터 발생하고 있으며, 같은 날 오후 6시 30분부터 재차 발생할 것이라고 예측했다.
이에 따라 안철수연구소는 ASEC[시큐리티대응센터]과 CERT[컴퓨터침해사고대응센터]를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다.
이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다. 공격 대상은 40개로 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력㈜이다.
디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll 등이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한다. 안철수연구소 보안전문가들은 3월 3일 첫 신고를 받아 분석한 결과 공격 대상과 공격 시각을 파악했다. 동시에 좀비 PC를 최소화하기 위해 전용백신을 신속히 개발했다.
안철수연구소는 이들 악성코드를 진단/치료할 수 있는 긴급 전용백신[http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe]을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’[http://www.V3Lite.com]를 비롯해 ‘V3 365 클리닉’[http://v3clinic.ahnlab.com/v365/nbMain.ahn], V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
한편, 이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다.
악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월 3일 07시~09시로 추정된다.
안철수연구소 김홍선 대표는 “PC가 디도스 공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다. 운영체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜두어야 한다. 또한 이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다. 또한 웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다.”라고 강조했다.
<보충 자료>
<좀비 PC 예방 대책 10계명>
1. 윈도우 운영체제, 인터넷 익스플로러, 오피스 제품의 최신 보안 패치를 모두 적용한다.
2. 통합보안 소프트웨어를 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지되도록 부팅 후 자동 업데이트되게 하고, 시스템 감시 기능이 항상 작동하도록 설정한다. 대표적인 보안 소프트웨어로는 무료백신 V3 Lite[www.V3Lite.com], 방화벽과 백신이 통합된 유료 보안 서비스 ‘V3 365 클리닉’[http://V3Clinic.ahnlab.com] 등이 있다.
3. 보안에 취약한 웹사이트 접속 시 악성코드에 감염되지 않도록 예방해주는 ‘사이트가드’[www.SiteGuard.co.kr]를 설치해 사용한다.
4. 이메일 확인 시 발신인이 모르는 사람이거나 불분명한 경우 유의한다. 특히 제목이나 첨부 파일명이 선정적이거나 관심을 유발한 만한 내용인 경우 함부로 첨부 파일을 실행하거나 링크 주소를 클릭하지 않는다. 최근 페이스북, 트위터 등 SNS[소셜 네트워크 서비스]를 사칭한 이메일이 많으니 특히 유의한다.
5. 페이스북, 트위터 등 SNS[소셜 네트워크 서비스]를 이용할 때 잘 모르는 사람의 SNS 페이지에서 함부로 단축 URL을 클릭하지 않는다.
6. SNS나 온라인 게임, 이메일의 비밀번호를 영문/숫자/특수문자 조합으로 8자리 이상으로 설정하고 최소 3개월 주기로 변경한다. 또한 로그인 ID와 비밀번호를 동일하게 설정하지 않는다.
7. 웹 서핑 시 특정 프로그램을 설치하라는 창이 뜰 때는 신뢰할 수 있는 기관의 서명이 있는 경우에만 예를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
8. 메신저로 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
9. P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다.
10. 정품 소프트웨어를 사용한다. 인터넷에서 불법 소프트웨어를 다운로드하는 경우 악성코드가 함께 설치될 가능성이 높다.
<디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>
ntcm63.dll : Win-Trojan/Agent.131072.WL
SBUpdate.exe : Win-Trojan/Agent.11776.VJ
ntds50.dll : Win-Trojan/Agent.118784.AAU
watcsvc.dll : Win-Trojan/Agent.40960.BOH
soetsvc.dll : Win-Trojan/Agent.46432.D
mopxsvc.dll : Win-Trojan/Agent.71008
SBUpdate.exe : Win-Trojan/Npkon.10240
Agent,
AhnLab,
ASEC,
CERT,
DDoS,
mopxsvc.dll,
Npkon,
ntcm63.dll,
ntds50.dll,
P2P,
PC,
SBUpdate.exe,
soetsvc.dll,
Trojan,
V3,
watcsvc.dll,
경보,
경찰청,
공격,
공군본부,
관세청,
관제,
국가대표포털,
국가정보원,
국내,
국민은행,
국방부,
국방홍보원,
국세청,
국회,
금융위원회,
긴급,
김홍선,
네이버,
네트워크,
농협,
다음,
대신증권,
대응,
디도스,
디씨인사이드,
방송통신위원회,
방위산업청,
백신,
보안,
비상,
사고,
사이트,
서비스,
센터,
셰어박스,
솔루션,
슈퍼다운,
시큐리티,
신한은행,
악서오드,
안랩,
안철수,
연구소,
옥션,
외교통상부,
외환은행,
우리은행,
운영체제,
웹,
육군본부,
전문가,
전사,
전용,
전용백신,
제8전투비행단,
제일은행,
좀비,
주한미군,
지마켓,
청와대,
침해,
컴퓨터,
키움증권,
통일부,
패치,
하나은행,
한게임,
한국수력원자력,
한국인터넷진흥원,
한국철도공사,
합동참보본부,
해군본부,
행정안전부
Trackback Address :: http://blog.ahnlab.com/asec/trackback/494
마이크로소프트 윈도우 7 서비스 팩 1 배포 :: 2011/02/24 15:09
한국 시각으로 2011년 2월 23일 마이크로소프트(Microsoft)에서는 해당 업체에서 개발한 윈도우(Windows) 7 SP1(서비스 팩 1)을 배포하기 시작하였다. 이 번 서비스 팩 배포에는 윈도우 7외에 윈도우 서버(Server) 2008 R2의 서비스팩 1도 같이 배포를 진행하고 있다.
이 번에 배포되는 윈도우 7 서비스 팩 1에는 현재까지 마이크로소프트에서 배포하였던 해당 운영체제에 존재하는 보안 취약점들을 제거 할 수 있는 보안 패치들도 모두 포함되어 있어 성능적인 면과 함께 보안성도 강화하도록 되어 있다.
윈도우 7 서비스팩1의 자세한 설치 방법과 관련 내용은 마이크로소프트의 "Windows 7 SP1(서비스 팩 1) 설치 방법" 웹 페이지를 통해서 확인 할 수 있다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/489
-
Windows 7 & Windows Server 2008 R2 서비스 팩 1 출시
Tracked from 울지않는벌새 : Security, Movie & Society | 2011/02/24 18:39 | DEL마이크로소프트(Microsoft)사에서 제공하는 Windows 7, Windows Server 2008 R2 운영 체제(OS)에 대한 안정성, 성능, 호환성을 강화한 서비스 팩(Service Pack) 1이 출시되었습니다. <Microsoft Download Center> Windows 7 ?
통합보안관리 장비 ‘APC 어플라이언스’ 공급 활발 :: 2011/01/12 12:26
- 리눅스 기반 ‘APC 어플라이언스’ 공공기관 공급
- 비용 절감 효과, 안정성 및 사용편의성 호평
글로벌 통합보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 최근 자사의 통합보안관리 장비 ‘APC 어플라이언스’[AhnLab Policy Center Appliance]가 국세청을 비롯해 한국가스공사 등 공공 분야에 활발히 공급되고 있다고 발표했다.
‘APC 어플라이언스’는 기존 소프트웨어 제품인 ‘AhnLab Policy Center 4.0’를 리눅스 기반 어플라이언스[하드웨어] 형태로 새롭게 개발한 것으로 APC 4.0의 우수한 기능과 어플라이언스의 장점이 결합돼 좋은 반응을 얻고 있다.
보안 관리자는 중앙에서 ‘APC 어플라이언스’를 사용해 기업 PC용 ‘V3 Internet Security 8.0/7.0’과 윈도우 서버용 제품인 ‘V3 Net’을 통합 관리하고, 취약한 PC의 네트워크 접근을 제어할 수 있다. 이로써 기업 내 보안 현황을 한눈에 파악해 안전한 네트워크 환경을 유지할 수 있다.
‘APC 어플라이언스’의 장점은 리눅스 기반 제품이라 총소유비용이 낮고, 어플라이언스 제품이기 때문에 소프트웨어 제품에 비해 안정성과 사용편의성이 높다는 것이다[보충 설명]. 이런 장점 때문에 최근 국세청을 비롯해 한국가스공사, 울산동구청, 대구동구청 등이 이 제품을 잇달아 구축했다. 또한 앞으로 기업에서도 많은 수요가 있을 것으로 전망된다.
‘APC 어플라이언스’의 주요 기능은 V3 제품군의 자동 설치와 버전 업데이트, 보안 정책 설정, 원격 제어 등이다. 보안 제품 관리 외에 기업 보안 현황 모니터링, 사전 방역 기능도 제공하므로 보안 사고 발생 시 신속한 대응을 할 수 있다. 또한 네트워크 보안 장비인 ‘트러스가드[AhnLab TrusGuard]’와 연동되어 네트워크 접근 제어[NAC; Network Access Control] 기능을 제공한다. 즉, ‘APC 어플라이언스’가 설치되지 않은 PC의 네트워크 접근을 차단하고, 악성코드에 감염된 PC를 격리해 V3로 검사하는 등 보안 조치를 해준다.
정진교 제품마케팅팀장은 “APC 어플라이언스는 소프트웨어의 장점과 보안 장비의 장점이 잘 결합되어 각종 보안 위협에 효과적으로 대응하고, 기업 네트워크의 시스템 및 정보 자산을 안전하게 관리하고 보호해준다. 공공을 필두로 많은 기업에서도 적극 도입할 것으로 전망된다.”라고 밝혔다.
<보충 설명-‘APC 어플라이언스’ 의 특장점>
'APC 어플라이언스’는 리눅스 기반 제품이라 총소유비용이 낮고, 어플라이언스 제품이기 때문에 소프트웨어 제품에 비해 안정성과 사용편의성이 높은 것이 장점이다.
‘APC 4.0’을 비롯해 보안관리 제품 대부분이 도입 시 하드웨어와 운영체제, 데이터베이스 등 관련 소프트웨어를 별도로 구입해야 한다. APC 어플라이언스는 리눅스 기반의 어플라이언스 제품으로서 초기 도입 및 운용 비용을 절감할 수 있으며, 제품 1대 당 5천 대 PC를 관리할 수 있어 하드웨어 및 소프트웨어 라이선스 비용 추가를 최소화할 수 있다. 따라서 비용 절감 효과가 크다.
또한 ‘APC 어플라이언스’는 운영체제와 데이터베이스, 소프트웨어를 어플라이언스에 최적화했기 때문에 매우 안정적이다. 더욱이 데이터 저장 기술인 레이드[RAID] 옵션을 지원하기 때문에 안정성이 더 높다.
사용편의성 면에서 ‘APC 어플라이언스’는 전원 연결 후 간단한 환경 설정만으로 구축이 끝나며, 하드웨어, 소프트웨어, 운영체제, 데이터베이스관리시스템[DBMS]을 원스톱 관리한다. 네트워크 환경에 따라 다양한 구조로 적용할 수 있으며, 더욱 향상된 원격 관리 및 전원/패치 관리 기능을 제공한다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/473
-
sameday service appliance repair tampa
Tracked from sameday service appliance repair tampa | 2013/04/27 13:11 | DELASEC Threat Research -