오랜만에 웹 해킹 관련 글을 포스팅합니다..ㅋ
그동안 악성코드 분석에 심취해 있어서 잠시 손을 놓고 있었네요..
각설하고 본론으로 넘어가겠습니다.

웹 해킹을 하기위해서 반드시 알아야 할 XSS 에 대하여 알아보도록 하겠습니다.

:: XSS ::
XSS는 크게 Reflected XSS Stored XSS 두 가지로 분류할 수가 있습니다.

Reflected XSS 는 공격 스크립트가 삽입 된 URL을 사용자가 쉽게 확인할 수 없도록 변형시킨 후
이메일이나 다른 웹 사이트 등에 클릭을 유도하도록 하는 방법이며,

Stored XSS 는 스크립트를 웹 서버에 저장하여 -일반 게시판 등에 공격자가 게시글에 스크립트를 삽입
사용자가 해당 페이지를 클릭하는 순간 스크립트가 실행되도록 하는 방법입니다.


그럼, 간단하게 테스트를 해보도록 하겠습니다.

:: Reflected XSS

우선 간단하게 값을 입력 받아서 출력해주는 페이지를 작성해보겠습니다.










위의 그림을 보시면 입력값을 그대로 출력해주는 단순한 페이지이며 공격자는 해당폼에
스크립트를 삽입하여 실행여부를 확인합니다.






스트립트를 삽입 시 필터링이 되지 않고 실행이 되는 것을 확인할 수 있습니다.

이제, 공격자는 위의 주소를 사용자에게 전달해서 클릭을 유도하도록 해야되는데
위의 주소는 사용자가 쉽게 파악이 가능하기 때문에 클릭을 유도하기가 쉽지 않습니다.
그래서 사용자가 눈치채지 못하도록 아래와 같이 인코딩을 하여 클릭을 유도하게 되죠..

- 인코딩 전
hxxp://192.168.1.2/xss.php?word=<script>alert('XSS TEST');</script>

- 인코딩 후
hxxp://192.168.1.2/xss.php?word=%3C%73%63%72%69%70%74%3E%61%6C%65%72
%74%28%27%58%53%53%25%32%30%54%45%53%54%27%29%3B%3C%2F%73%63%72%69%70%74%3E







:: Stored XSS

웹 사이트의 게시판에 스크립트를 삽입하여 사용자가 해당 글을 클릭하면 스크립트가 실행되도록 합니다.









:: 보안 ::

XSS 공격은 입력값에 대한 검증이 제대로 이루어지지 않아 발생하는 취약점이기 때문에
사용자의 모든 입력값에 대하여 서버측에서 필터링 처리를 해주어야 합니다.

         From           To 
           <          &lt; 
            >          &gt;
            (         &#40;
            )         &#41;
            #         &#35;
            &         &#38;

'할롬::컴터 > 해킹' 카테고리의 다른 글

[웹해킹] 플래시로 쉽게 보는 XSS/CSRF  (2) 2012.11.15
[소개]WarGame 사이트 xcz.kr  (0) 2012.11.15
[웹해킹] Slow HTTP DoS Attack - SlowHTTPTest 사용방법  (1) 2012.01.09
[War Game] 문제풀이 형식 사이트 www.neroa.com  (0) 2011.07.14
모의해킹 데모 사이트 demo.testfire.net  (1) 2011.07.14



지난 번 윈도우 정품 인증을 제대로 받지않아 2 시간 마다 무한 재부팅이 되는 현상이 발생하였는데
대부분의 사용자가 이러한 사실을 알지 못해 당황하신 분들이 많을 거 같아 증상확인 및
해결방법을 알아보도록 하겠습니다.


● 윈도우 2시간 마다 재부팅 되는 현상 (2011/09/05)


자신의 PC가 간헐적으로 재부팅이 된다면 우선 이벤트로그를 먼저 살펴봅니다. (윈도우7 기준)

1. 제어판 -> 관리도구 -> 이벤트 뷰어 -> Windows 로그 -> 시스템

2. 로그 필터링
   : 작업탭에서 현재 로그 필터링을 통해 발생한 일시와 이벤트ID 6008 을 입력하여 필터링합니다.




3. 재부팅 발생 시점부터 약 2시간 간격으로 비정상적으로 종료가 되었는지 확인 합니다.
  





확인 시 2시간 간격으로 재부팅이 확인되면 윈도우 인증이 정상적으로 이루어지지 않은겁니다.

윈도우에서 정품인증을 확인하면 정상적으로 인증이 되었다고 나오는데요
더 웃긴건 영구인증까지 이루어졌다고 나옵니다.. 쩝.. ㅡㅡㅋ




하지만 콘솔에서 인증확인 명령어로 확인하면 평가종료날짜가 표시가 됩니다.
아래 명령어로 확인해보시면 됩니다.
C:\ slmgr /dlv


                                     <정상적으로 인증을 받은 경우>



                             <인증이 정상적으로 이루어지지 않은 경우>



자~ 이제 원인을 찾았으니 해결을 해야겠지요~~
아래 방법으로 재 인증을 받으시면 되구요
혹여 라이센스키가 없을 경우 인터넷에 돌아다니는 인증 프로그램을 이용하셔도 됩니다.



- 해결방법

1. 기존의 설치된 제품키를 삭제합니다.





2. 새로운 제품키를 입력합니다.





3. 윈도우 정품인증을 받습니다.





4. 정상적으로 인증이 되었는지 확인합니다.









'할롬::컴터 > 정보보안' 카테고리의 다른 글

OllyDBG를 이용한 UPX 언패킹  (6) 2011.11.21
Outlook 실행 시 mcou.dll 오류문제 해결방법  (1) 2011.10.20
Adobe Flash Player 최신버전으로 업데이트  (0) 2011.08.29
Adobe Flash Player 구버전 다운받기  (0) 2011.08.29
[보안상식] 1PC 1백신을 권장하는 이유  (1) 2011.07.06


MS에서 2011년 9월 정기 보안 업데이트 공지가 나왔습니다. 좀 늦은감이 있네요 ㅋㅋ


<영향받는 소프트웨어>

Windows XP / Vista / 7
Windows Server 2003 / 2008 / 2008 R2
Microsoft Office for MAC / Groove / SharePoint Workspace
Microsoft Office Forms Server / SharePoint Server / Groove Server / Web Apps

<요약>
  
     WINS의 취약점으로 인한 권한 상승 문제점, Windows Components의 취약점으로 인한 원격 코드 실행 문제점, Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점, Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점, Microsoft SharePoint의 취약점으로 인한 권한 상승 문제점을 보완한 Microsoft 9월 정기 보안 업데이트를 발표하였습니다.

<상세정보>

(MS11-070) WINS의 취약점으로 인한 권한 상승 문제점
  이 보안 업데이트는 비공개적으로 보고된 WINS(Windows Internet Name Service)의 취약점 1건을 해결합니다. 이러한 취약점은 사용자가 WINS 서비스가 실행되는 영향 받은 시스템에서 특수하게 조작된 WINS 복제 패킷을 수신할 경우에 권한이 상승되도록 합니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.


(MS11-071) Windows Components의 취약점으로 인한 원격 코드 실행 문제점
  이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 DLL(동적 연결 라이브러리) 파일과 동일한 네트워크 디렉터리에 있는 합법적인 서식 있는 텍스트 형식 파일(.rtf), 텍스트 파일(.txt) 또는 Word 문서(.doc)를 열 경우 원격 코드가 실행될 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.


(MS11-072) Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점
  이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 5건을 해결합니다. 사용자가 특수하게 조작된 Excel 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 의심되는 파일을 열지 못하도록 Office 파일 유효성 검사(OFV)를 설치하고 구성하면 CVE-2011-1986 및 CVE-2011-1987에 설명된 취약점을 악용하는 공격 경로가 차단됩니다.


(MS11-073) Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점
  이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 Office 파일을 열거나 특수하게 조작된 라이브러리 파일과 동일한 네트워크 디렉터리에 있는 합법적인 Office 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.


(MS11-074) Microsoft SharePoint의 취약점으로 인한 권한 상승 문제점
  이 보안 업데이트는 Microsoft SharePoint 및 Windows SharePoint Services에서 발견되어 공개적으로 보고된 취약점 5건과 비공개적으로 보고된 취약점 1건을 해결합니다. 대부분의 심각한 취약점으로 인해 사용자가 특수하게 조작된 URL을 클릭하거나 특수하게 조작된 웹 사이트를 방문할 경우 권한 상승 문제가 발생할 수 있습니다. 대부분의 심각한 취약점의 경우 인터넷 영역에서 SharePoint 사이트를 검색하는 Internet Explorer 8 및 Internet Explorer 9 사용자는 기본적으로 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터가 인터넷 영역의 공격을 차단하는 데 도움을 주기 때문에 위험이 덜합니다. 그러나 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터는 인트라넷 영역에서는 기본적으로 사용되지 않습니다.

<참조사이트>
  한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms11-sep 
  영문 : http://technet.microsoft.com/en-us/security/bulletin/ms11-sep


'할롬::컴터 > 보안업데이트' 카테고리의 다른 글

[업데이트] Microsoft 보안 업데이트 (2011.10.12)  (0) 2011.10.17
[업데이트] Adobe Flash Player 다중 취약점 업데이트 권고 (2011.09.22)  (0) 2011.09.23
[업데이트] Microsoft 보안 업데이트 (2011.07.13)  (0) 2011.07.13
[업데이트] Microsoft 보안 업데이트 (2011.06.15)  (0) 2011.06.22
[업데이트] Adobe Flash Player 10.3.181.26  (0) 2011.06.22


이 번 포스트는 유니코드를 사용하여 사용자의 눈속임을 통한 악성파일 실행을 유도하는
공격방법에 대하여 살펴보겠습니다.

유니코드를 이용한 공격은 2005년경 부터 사용되어져 왔으며 최근 이메일 피싱에 자주 사용이
되어 많이 알려진 것 같습니다.

유니코드란 한 마디로 표현하면 "모든 문자를 표현하는 문자셋" 입니다.
각 나라마다 고유의 필요한 문자들이 있는데 컴퓨터는 이러한 것들을 표현하지 못합니다.

그렇기 때문에 참조할 것이 필요한데 바로 "참조" 할 것이 문자셋이라 생각 하시면 됩니다.
그래서 컴퓨터마다 Character map 이란 문자표가 있는 것이지요.




피싱에 사용되어진 유니코드는 U+202E (Right-To-Left-Override) 으로 확장자를 다른 형태로
보이도록 하여 사용자의 눈속임을 통한 악성코드 파일실행이 목적이 되겠습니다.


http://www.fileformat.info/info/unicode/char/202e/index.htm


악성코드 실행파일이 예전엔 대부분 EXE 형태의 확장자로 유포가 되다보니 지금은 사용자들의 눈에
익숙해져 쉽게 실행하지 않게 되죠.. 그래서 악성코드 제작자들도 다양한 방식으로 실행을 유도 하도록
고심한 흔적이 역력합니다.



대부분 이메일을 통하여 악성파일이 유포되고 있으며 .ZIP 형태의 압축파일을 첨부하여 다운로드
하도록 하고 있습니다. 또한 이와 같은 Invoice 내용의 피싱공격이 다수 보고 되고 있습니다.





해당 압축파일을 확인해보면 확장자가 .DOC (MS워드문서파일) 처럼 보이지만 실제로는
.EXE 형태의 실행파일로 되어 있으며 사용자가 문서파일로 착각하도록 하여 실행을 유도하고 있습니다.





파일의 속성을 확인하면 .DOC 문서파일이 아닌 응용프로그램(.exe)으로 확인이 됩니다.
아이콘도 실제 문서파일과 동일하게 바꾸어 사용자가 쉽게 알아차리지 못하도록 하고 있습니다.






해당 파일을 콘솔에서 확인 해보면 실제 .doc 파일이 아닌 cod.exe로 표시가 되는 것을
확인할 수 있습니다.

즉, 윈도우NT 이 후의 버전에서는 유니코드를 사용하여 문자를 표시하기 때문에 확장자를
정상적으로 보여주지 못하는 것입니다.




그럼 어느 부분에 유니코드가 사용되었는지 Hex Editor로 살펴보겠습니다.



_Coll 문자열 다음에 알 수 없는 문자값 E2 80 AE 값이 들어가 있네요.

해당 유니코드가 삽입되면 글자를 오른쪽에서 왼쪽으로 입력할 수가 있어 .exe .src 등
실행파일 확장자를 문서파일등 공격자가 원하는 확장자로 쉽게 변경을 할 수 있습니다.

대부분 글씨를 쓸 때 왼쪽에서 부터 시작하지만 오른쪽에서 부터 시작하는 나라도 있기 때문에
이러한 유니코드가 사용되어지고 있습니다.

저도 가끔 해킹 관련 동영상을 볼 때 메모장에다 오른쪽에서 부터 쓰는 것을 본 적이 있는거 같네요.
어쨌든 위의 방식을 사용하면 어떠한 확장자로도 다 표현할 수 있기 때문에 사용자의 각별한주의가 필요합니다.



참고로 약간의 팁을 드리자면 저도 테스트 하면서 알게 되었는데 이러한 형태의 악성코드가
대부분 .zip 파일 형태로 배포가 되고 있으며 특정 압축 프로그램에서는 문자열 오류로 인하여
압축이 풀리지 않는 것을 확인 하였습니다. (zip 압축파일 형태에만 해당됩니다.)

 - 테스트 프로그램

1. 알집     --> 압축해제 됨
2. 반디집  --> 압축해제 됨
3. 7zip     --> 압축해제 됨
4. 빵집   --> 압축해제 되지않음
5. 윈도우 압축(zip)폴더 --> 압축해제 되지않음

  ※ 단, 7z 으로 압축이 되어있을 경우는 빵집 프로그램에서도
     압축해제가 되기 때문에 잘 살펴 보시길 바랍니다.

어떠한 파일이든 압축을 풀기 전 바.이.러.스. 검사를 꼭! 하시기 바랍니다.





'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30
[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.09.23
[악성코드분석] Adobe Flash Player 취약점(CVE-2011-2110)을 이용한 xpsp2res.dll 악성코드 유포  (0) 2011.08.29
[악성코드분석] 검색도우미 :: GuiedOn  (0) 2011.08.12
[악성코드분석] 검색닷컴_DirectKeyword2.exe  (0) 2011.08.05


9월 1일 부터 이상하게 PC가 간헐적으로 재부팅 되는 현상이 발생했다.

OS를 새로 설치한지 얼마되지도 않았는데 말이다..

나와 비슷한 사람들이 속속 나타나고 여기저기서 자기 PC 고쳐달라고 난리다..ㅡㅡㅋ


이거 혹시 바이러스..?? 제발 바이러스만 아니길 바라면서

구글에 검색을 해보았더니 컴터를 재부팅 하는 웜바이러스가 있단다..

헌데 일자를 보니 4~5년 전 일이고 이미 패치가 된 상태라 그 것과는 거리가 있다고 판단이 되었다.

혹시나 해서 안전모드 부팅하여 바이러스 검사를 해봤지만 딱히 걸리는게 전혀 없다.

시스템 모니터링을 해봐도 다 정상이었다.

그럼 도대체 무엇이 문제란 말인가... 다시 미궁으로 빠졌다..


그러던 중 혹시나 해서 이벤트 로그를 보니 발생시점부터 2시간 간격으로 시스템이 비정상적으로 종료되고 있었다.

나와 비슷한 상태를 가진 PC를 다 조사해보니 동일하게 2시간 간격으로 종료된 것을 확인할 수 있었다.


그래서 나는 다시 구글 형님들에게 여쭈어 보았다..

이런.. 윈도우 정품인증이 제대로 되지 않으면 MS에서 2시간 마다 부팅이 되도록 해놨다는 것이다... 헉...ㅠㅠ

정말.. 이건 뭥미..??


그래서 내 PC의 정품상태를 확인 해봤지만 정상적으로 인증이 되었다고 나온다.. 쩝..

그래.. 그렇다면 다시 인증을 해주마..


인증 프로그램을 입수하여 확인 결과 정품인증이라고 떠 있는 내 PC가 인증 프로그램에서는

Trial 버전이라고 나와있었다..ㅡㅡㅋ


된장.. 결국 다시 인증 받고 나니 괜찮아 졌다..


● 윈도우 무한 재부팅 원인 확인 및 해결방법 (2011/09/16)
 



 

'할롬::컴터 > 보안이슈' 카테고리의 다른 글

[뉴스] 통합진보당 해킹, '헥티비즘 전초전'  (0) 2012.02.21
[A5칩 탈옥성공] “아이패드2 탈옥 OK“…10개월만에 성공  (0) 2012.01.25
[정보] 무료 압축프로그램 반디집  (0) 2011.08.05
네이트닷컴 개인정보 유출 여부 확인  (0) 2011.07.29
[뉴스] 중국발 네이트·싸이 해킹, 3500만 정보 유출 '초유사태'  (0) 2011.07.28



최근에 Adobe Flash Player 취약점 (CVE-2011-2110)을 이용한 악성코드가 유포되고 있습니다.
해당 취약점은 10.3.181.23 버전 이하 사용 시 감염이 이루어 집니다.

배포중인 사이트는 축구관련 사이트로 제로보드xe를 이용하여 제작한 웹페이지며
제로보드의 취약점을 이용하여 웹사이트 변조 후 악성스크립트를 업로드 한 것으로 확인됩니다.
메인페이지 접속 시 악성코드에 감염이 되며 현재에도 해당 취약점을 이용한 악성코드가 유포중입니다.

 - 악성코드 유포경로

  hxxp://www.******mania.com/xe/modules/addon/tpl/js/tpl.js
      └ hxxp://markopc**.com/files/out.htm
              └ hxxp://markopc**.com/files/main.swf

      └ hxxp://www.delp**.co.kr/files/analytics.html
              └ hxxp://js.users.51***.la/5359042.js
                       └ hxxp://www.51***.la/?5359042


위의 내용을 살표보면 해당 사이트의 tpl.js 스크립트 내부에 악성 iframe 을 추가하여 "out.htm" 파일에 포함된
"main.swf?info=" 를 호출하며 CVE-2011-2110 취약점을 이용하여 Flash Player 버전이 10.3.181.23 이하일 경우
감염이 이루어 집니다.



호출된 플래시 파일을 통해 특정 웹 사이트에서 파일을 다운로드 하도록 설정되어 있습니다.


해당 파일이 실행이 되면 윈도우 임시폴더에 svchost.exe 파일을 생성하고 cmd.exe 명령을 이용하여
_Taskkill_Name_.bat 파일을 실행하여 explorer.exe 프로세스를 죽이고 다시 생성하여 cmd.exe 프로세스의
자식 프로세스로 등록합니다. 해당 작업이 끝나면 _Delete_Me_.bat 를 실행하여 생성파일과 자신을 삭제합니다.






또, 윈도우 시스템 관련 파일인 xpsp2res.dll 을 Windows 디렉토리에 생성을 하여 explorer.exe 프로세스에
삽입이 됩니다.


 - 생성파일
  1. C:\Windows\xpsp2res.dll




위의 파일이 악성파일이며 아래의 정상적인 파일과 중복되어 사용되고 있습니다.

정상적인 파일의 위치는 c:\Windows\system32\ 디렉토리 안에 있으나
악성파일은 c:\Windows\ 디렉토리에 생성이 됩니다.





xpsp2res.dll 의 내용을 살펴보면 특정 사이트로 컴퓨터이름과 사용자계정 그리고 IP를 전달합니다.




해당 취약점은 보안제품인 카스퍼스케에서는 Exploit.SWF.CVE-2011-2110.a 진단명으로 진단하고 있습니다.


- 복구방법
  1. 관련 프로세스를 종료 (cmd.exe  explorer.exe)를 종료
  2. c:\Windows\xpsp2res.dll 파일 삭제 후 재부팅


해당 취약점을 악용한 사례가 지속적으로 발생하고 있으며 감염을 예방하기 위해서는 해당 취약점을 보완한
최신 버전으로 업데이트 하는 것이 중요합니다.

Adobe Flash Player 최신버전 업데이트







'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.09.23
U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의  (2) 2011.09.15
[악성코드분석] 검색도우미 :: GuiedOn  (0) 2011.08.12
[악성코드분석] 검색닷컴_DirectKeyword2.exe  (0) 2011.08.05
[악성코드분석] 변조된 사이트 접속시 악성코드 감염주의  (0) 2011.08.04



Adobe Flash Player 를 이용한 악성코드 공격이 증가함에 따라 감염되지 않기 위해서는 
항상 최신버전으로 유지해야 합니다.

윈도우 업데이트의 경우 자동으로 업데이트 여부를 확인할 수 있으나 Adobe Flash Player의 경우는
사용자가 관심을 가지고 주기적으로 업데이트를 확인 해줘야 하는 번거러움이 있어
대부분 업데이트를 하지 않으시는 분들이 많이 있습니다.
또 상당 수 업데이트를 어떻게 하는지 모르시는 분들도 있어 업데이트 하는 방법을 알아보도록 하겠습니다.

업데이트 하는 방법은 두 가지가 있습니다.

   1. 제어판에서 업데이트 하는 방법

      - "제어판" > "Flash Player" > "고급탭" 에서 [지금 확인] 버튼을 클릭한다.

 




  - 플레이어 다운로드 센터를 클릭 하여 최신버전을 다운로드 받는다.






   2. 홈페이지에서 업데이트 하는 방법
       http://get.adobe.com/kr/flashplayer/ 에 방문하여 Adobe Flash Player 최신버전을 설치한다.
       구글 툴바는 필요에 따라 설치 하시면 됩니다.







'할롬::컴터 > 정보보안' 카테고리의 다른 글

Outlook 실행 시 mcou.dll 오류문제 해결방법  (1) 2011.10.20
[보안상식] 윈도우 무한 재부팅 원인 확인 및 해결 방법  (0) 2011.09.16
Adobe Flash Player 구버전 다운받기  (0) 2011.08.29
[보안상식] 1PC 1백신을 권장하는 이유  (1) 2011.07.06
[보안상식] 공유폴더 보안 설정 방법  (0) 2011.07.05



악성코드 동적 분석을 하기위하여 가상서버를 구축 시 Adobe Flash Player 구버전이 필요한 경우가 있는데

Adobe 社 는 개발자를 위하여 모든 버전을 제공하고 있습니다.

아래 링크에서 필요한 버전을 다운 받으시면 됩니다.

http://kb2.adobe.com/cps/142/tn_14266.html






'할롬::컴터 > 정보보안' 카테고리의 다른 글

[보안상식] 윈도우 무한 재부팅 원인 확인 및 해결 방법  (0) 2011.09.16
Adobe Flash Player 최신버전으로 업데이트  (0) 2011.08.29
[보안상식] 1PC 1백신을 권장하는 이유  (1) 2011.07.06
[보안상식] 공유폴더 보안 설정 방법  (0) 2011.07.05
[보안상식] IP주소를 Base10 방식으로 변환  (0) 2011.06.24


국내에서 제작되어진 검색도우미 프로그램으로 인터넷 검색 시 좌측 사이드에 광고바가 생성되는
검색 도우미 GuideOn 에 대하여 살펴보도록 하겠습니다.


 [실행 파일명]



해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Adload.apfh 진단명으로 진단하고 있습니다.



해당 파일 구조를 확인하기 위해 PEID로 보니 UPX 로 패킹이 되어 있었습니다.






파일 내부를 살펴보니 해당 파일은 설치파일을 다운로드 후 자신은 삭제가 되도록 하여
사용자가 설치여부를 확인할 수 없도록 동작을 하고 있습니다.

다음은 파일내용의 일부입니다.



시스템루트에 DelUS.bat 배치 파일를 생성하여 실행 후 삭제되도록 하며
마지막으로 자신을 삭제하도록 동작합니다.


또, 아래와 같이 해당 서버에 접속하여 GuideOn_GO45.exe 를 다운받아 사용자 PC에 설치가 됩니다.





다운받은 GuideOn_GO45.exe 파일은 실제 사이드바를 설치하는 실행파일입니다.


 [생성 파일]
  C:\Program Files\GuideOn\elist.ini                 사이드바 생성 리스트 키워드
  C:\Program Files\GuideOn\GuideOn.dll           BHO등록 파일
  C:\Program Files\GuideOn\GuideOn.exe         시작프로그램 및 메모리상주
  C:\Program Files\GuideOn\uninstall.exe



인터넷 익스플로러 실행 시 GuideOn.dll 파일을 로드하여 감시하는 사이트에 접속하게 되면 사이드바를
보여지도록 합니다.




프로세스 정보를 보면 GuideOn.exe 가 메모리에 상주하여 사용자가 인터넷 익스플로러를 실행 시
iexplorer.exe에 GuideOn.dll 이 삽입되어 BHO 방식으로 동작을 합니다.





감시하는 사이트 접속 시 사이드바가 생성됩니다.






 [사이드바 생성하는 사이트 리스트]

  auction
  gmarket
  interpark
  dnshop
  cjmall
  gseshop
  shinsegae
  lotte
  hmall
  lotteimall
  samsungmall
  zeromarket
  nseshop
  yeoin
  ddm
  mple
  gsestore
  danawa
  enuri
  lotteshopping

약 20개 정도 사이트에 대하여 감시하고 있으며, 대부분 쇼핑몰 사이트로 사용자가 키워드를 클릭하게 되면
광고업체에 금전적인 수익이 발생할 것으로 예상됩니다.





시작 시 자동실행 되도록 레지스트리에 등록되어 집니다.




해당 프로그램은 [프로그램 추가/제거]에서 삭제가 가능합니다.












'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의  (2) 2011.09.15
[악성코드분석] Adobe Flash Player 취약점(CVE-2011-2110)을 이용한 xpsp2res.dll 악성코드 유포  (0) 2011.08.29
[악성코드분석] 검색닷컴_DirectKeyword2.exe  (0) 2011.08.05
[악성코드분석] 변조된 사이트 접속시 악성코드 감염주의  (0) 2011.08.04
[악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드  (0) 2011.06.29


이상하게 회사 컴퓨터에서는 압축프로그램을 설치했는데도 마우스 우클릭 시 보이는 탐색기 메뉴가
보이지 않아 몇 번이고 재설치 하고 여러 다른 프로그램을 설치 해봤지만 동일했다.

포맷하기도 그렇고 다른 걸 쓰자니 기업용이라 사용할 수가 없었는데
우연히 반디집이란 압축프로그램을 알게 되었다.

해당 사이트에서 확인 해보니 기업에서도 무료로 쓸 수 있단다..ㅋㅋ





혹시나 하는 맘에 설치를 했는데 웬 걸 마우스 우클릭 시 전혀 보이지도 않던
탐색기 메뉴가 반디집을 설치하니 보인다.




쓰기도 편하고 가볍고 웬만한 압축 다 지원하니 이거보다 좋은게 있을까~~

더 좋은건 무료라는거..ㅋㅋ

앞으로 반디집 많이 사랑해줘야겠다 ㅋㅋ


사용해보고 싶으신 분은 아래 링크 클릭하세요~
http://apps.bandisoft.com/bandizip/








'할롬::컴터 > 보안이슈' 카테고리의 다른 글

[A5칩 탈옥성공] “아이패드2 탈옥 OK“…10개월만에 성공  (0) 2012.01.25
윈도우 2시간 마다 재부팅 되는 현상  (3) 2011.09.05
네이트닷컴 개인정보 유출 여부 확인  (0) 2011.07.29
[뉴스] 중국발 네이트·싸이 해킹, 3500만 정보 유출 '초유사태'  (0) 2011.07.28
[정보] 국내 최초의 캐릭터 백신 - 뿌까백신  (0) 2011.07.28


국내에서 제작된 검색키워드광고 프로그램으로 특정 키워드 입력 시 플래시 팝업광고와 해당 업체 홈페이지를 띄워
광고주로부터 수익을 내는 방식의 프로그램이며 해당 프로그램에 대해 한 번 살펴보도록 하겠습니다.



어떠한 경로로 실행이 되는지 알 수는 없으나 해당 파일이 실행된 후 
자신은 삭제가 되도록 하여 사용자가 설치여부를 확인할 수 없도록 합니다.





카스퍼스키 보안제품에서는 HEUR:Trojan.Win32.Generic 진단명으로 진단하고 있습니다.



dktemp.exe 프로세스를 띄워 업데이트 파일과 DirectKeyword2.exe 파일을 다운받으며 DirectKeyword2.exe
프로세스를 메모리에 상주시켜 검색엔진을 주기적으로 확인하여 특정 키워드 입력 시 광고와 해당 업체 홈페이지를
생성하도록 하는 역할을 합니다.








해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2]
폴더에 파일을 생성하며, 윈도우 시작시 DirectKeyword2.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록
구성되어 있습니다.

[생성파일 / 폴더]

  - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2
  - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2\dktemp.exe (프로그램 다운로드)
  - C:\Docum...\(사용자 계정)\Local ...\Tempo...\Cont...\(랜덤폴더명)\DirectKeyword2_1107130.zip (업데이트 파일 및 사용자 정보 전송)
  - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2\Directkeyword2.exe (메모리 상주 프로그램)
  - C:\Docum...\(사용자 계정)\Local ...\Temporary Int...\Content.IE5\(랜덤폴더명)\install2.htm
  - C:\Docum...\(사용자 계정)\Local ...\Temp...\Cont...\(랜덤폴더명)\SetActiveCount_new.htm

 




자동시작을 위해 레지스트리에 DirectKeyword2.exe 파일이 등록 되어 있는 것을 확인할 수 있습니다.

[레지스트리 등록 정보]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 - DirectKeyword2 "C:\Documents and Settings\Administrator\Application Data\DirectKeyword2\DirectKeyword2.exe"

[HKCU\Software\GOMSEK.COM\DirectKeyword2]
 - Owner "admin"
 - Version "1107130"





해당 프로그램은 다른 검색 도우미와 다르게 툴바 및 사이드바 형식이 아니기 때문에 인터넷창을 띄워도
사용자는 아무런 변화를 느낄 수가 없으나 해당 키워드가 입력이 되면 플래시 팝업창 또는 업체 사이트를 생성해
사용자의 불편을 주고 있습니다.








[검색엔진 정보]
 
  paran.com             google.co.kr              google.com                
  daum.net               naver.com                 nate.com      
  empas.com           kr.yahoo.com             hanafos.com   
  freechal.com         dreamwiz.com           msn.com
  korea.com            auction.co.kr



해당 방식이 타 검색도우미와 비교하였을 때 나쁘지 않는 방식이긴하나 대부분의 검색도우미가 그렇듯
사용자의 동의를 구하지 않고 설치가 되는것이 문제여서 이러한 부분이 사용자기 느끼기에 컴퓨터가
이상해졌다.. 바이러스에 걸린것 같다..라고 생각할 수 밖에 없을 것 같습니다.
또한 팝업 띄우는 웹페이지가 악성코드에 감염이 되어 있으면 원치않게 감염이 될 수 있어
추가 피해가 발생할 수 있는 여지가 있습니다.
해당 업체에서는 이러한 부분도 신경을 써야 하지 않을까 생각이 됩니다.



사용을 원치않으시는 분은 [제어판 -> 프로그램 추가/제거]에서 해당 프로그램을 삭제할 수 있습니다.







'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] Adobe Flash Player 취약점(CVE-2011-2110)을 이용한 xpsp2res.dll 악성코드 유포  (0) 2011.08.29
[악성코드분석] 검색도우미 :: GuiedOn  (0) 2011.08.12
[악성코드분석] 변조된 사이트 접속시 악성코드 감염주의  (0) 2011.08.04
[악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드  (0) 2011.06.29
[악성코드분석] 키로거 형태 악성코드 TeUpdate.dll, Crypt2.dll  (2) 2011.06.27



해당 악성코드는 정상적인 js파일인 것처럼 위장하여 홈페이지에 삽입이 되어 있습니다.




해킹 된 사이트에 접속하게 되면 ajax.js 스크립트가 실행되면서 xdfile.com/ad.html을 호출하여
추가 악성코드를 다운로드 하게 되는 방식이며 해당 url 접속이 더이상 확인이 불가능 하여 분석을
진행할 수 없었습니다.

 악성코드 유포경로
  - h**p://momo****.com/js/ajax.js
  - h**p://xdfile.com/ad.html



카스퍼스키 보안제품에서는 HEUR:Trojan.Script.Iframer 진단명으로 진단되고 있습니다.


해당 js 파일의 내용을 확인해보니 별다른 난독화 없이 단순 인코딩 되어 해당 유포지를 쉽게 확인 할 수 있습니다.





디코딩 결과 iframe를 이용하여 악성코드를 다운로드 하도록 되어 있으며 확인결과 접속이 되지 않았습니다.




이러한 유형의 공격 확인결과 악성코드 주소만 변경되어 사용하고 있는 것으로 확인 되어집니다.




'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: GuiedOn  (0) 2011.08.12
[악성코드분석] 검색닷컴_DirectKeyword2.exe  (0) 2011.08.05
[악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드  (0) 2011.06.29
[악성코드분석] 키로거 형태 악성코드 TeUpdate.dll, Crypt2.dll  (2) 2011.06.27
[악성코드분석] 광고성 악성코드 분석  (0) 2011.06.21



사상 최대의 개인정보 유출사고가 발생한 네이트닷컴에서
개인정보 유출여부 확인 할 수 있는 공간을 마련해 놨다.

개인정보 유출여부 확인

3500만명 이라니 당연히 유출되었을거라 믿고 해보니 역시나..ㅋ



비번이랑 개인정보를 바꾼지 얼마되지 않았는데..쩝..
그래도 다행인건 사이트 마다 비번을 다르게 사용하고 있어서 별로 신경은 안쓰이지만 기분은 안좋다..ㅡㅡㅋ

이 번 해킹사고의 주범인 악성코드 탐지를 위해 KISA 보호나라에서 전용백신을 배포하고 있으니
한 번 검사 해보는 것도 좋을 듯 싶다.

o 진단/치료 대상 악성코드 명: Trojan/Infostealer.Ntn

o 악성코드 위험도
- 시스템: 높음
- 네트워크: 보통
- 확산: 보통

o 감염시 증상
- C:\Documents and Settings\All Users\ 폴더에 winsvcfs.DLL 파일을 생성
- 해당 dll를 레지스트리에 서비스로 등록하여 부팅시 자동으로 실행되도록 함
- Proxy 서버를 설정하여 데이터를 전송하는데 사용함


* 본 프로그램은 PC내에 설치되지 않으며, 특정 악성코드에 대한 1회용 검사/치료 프로그램 입니다










'할롬::컴터 > 보안이슈' 카테고리의 다른 글

윈도우 2시간 마다 재부팅 되는 현상  (3) 2011.09.05
[정보] 무료 압축프로그램 반디집  (0) 2011.08.05
[뉴스] 중국발 네이트·싸이 해킹, 3500만 정보 유출 '초유사태'  (0) 2011.07.28
[정보] 국내 최초의 캐릭터 백신 - 뿌까백신  (0) 2011.07.28
중국발 네이트닷컴 로긴 시도 흔적 확인  (0) 2011.07.22


네이트, 싸이 해킹당해 개인정보가 개 털렸다네요..ㅡㅡㅋ

그것도 3500만명.. 헉..
저도 예외일 순 없겠군요..

이 번 해킹은 중국에서 시도 된 것으로 2011년 7월 26일날 해킹을 당했고 업체에서는 28일날 해킹 사실을 알았답니다.

현재까지 유출 확인 된 개인정보는 ID, 이름, 핸펀, 이멜, 비번, 주민번호 등입니다.
비밀번호와 주민번호는 암호화가 되었다고는 하지만 그래도 불안하기는 마찬가지겠죠..

안그래도 네이트온으로 인한 피싱 공격이 많은데 이메일, 핸드폰 번호는 암호화 되지 않기 때문에
유출된 개인정보를 통해 스펨메일이나 전화 피싱 같은 사회공학적인 방법으로 추가적인 피해가 있을 것으로 예상됩니다.

네이트닷컴에서는 고객정보 유출 여부 확인을 오늘 오후부터 운영할 예정이라고 합니다.
우선 추가적인 피해를 막기 위해서 비밀번호 변경은 꼭 합시다~!

참고로 네이트닷컴에서 로그인 기록을 남기고 있으니 확인 해보는 것도 좋을 것 같네요..

중국발 네이트닷컴 로긴 시도 흔적 확인







'할롬::컴터 > 보안이슈' 카테고리의 다른 글

[정보] 무료 압축프로그램 반디집  (0) 2011.08.05
네이트닷컴 개인정보 유출 여부 확인  (0) 2011.07.29
[정보] 국내 최초의 캐릭터 백신 - 뿌까백신  (0) 2011.07.28
중국발 네이트닷컴 로긴 시도 흔적 확인  (0) 2011.07.22
[뉴스] 악성코드, 한국만 노리는 코드로 진화한다  (0) 2011.06.28



에브리존에서 개발한 캐릭터 백신이라고 하네요..

옛날 터보백신을 기반으로 개발된 백신이며 지금 무료로 배포중이랍니다.

뿌까 캐릭터를 이용한거라 많은 사람들이 한 번씩은 꼭 사용해 볼 거 같다는..ㅋㅋ


뿌까백신의 기능은 일반 백신 기능과 차이는 없구요

검사할 때나 업데이트 할 때 뿌까가 나와 지루하지는 않을거 같네요 ㅋ

 


'할롬::컴터 > 보안이슈' 카테고리의 다른 글

네이트닷컴 개인정보 유출 여부 확인  (0) 2011.07.29
[뉴스] 중국발 네이트·싸이 해킹, 3500만 정보 유출 '초유사태'  (0) 2011.07.28
중국발 네이트닷컴 로긴 시도 흔적 확인  (0) 2011.07.22
[뉴스] 악성코드, 한국만 노리는 코드로 진화한다  (0) 2011.06.28
[뉴스] 룰즈섹 ‘해커 악동’ 잡혔다… 英서 주모자급 19세 체포  (0) 2011.06.22

티스토리툴바