드뎌 기다림의 종지부를 찍었습니다~ㅋㅋ
모두들 저와 같은 맘이었겠지요~

한가한 시간대를 이용해 1시간도 채 안걸려 업뎃완료 했습니다.
3~4시간 걸린분들도 계시더군요.. 거기에 비하면 전 그나마 빨리 IOS5를 만난 것 같습니다.
다만 백업을 안해서 자료가 다 날라가버린 것만 빼면요.. ㅡㅡㅋ




기념으로 인증샷 남김니다 ㅋㅋ
어떤 기능들이 있는지 언능 공부해야겠어요




 

'할롬::아이폰' 카테고리의 다른 글

[탈옥] 아이폰4 IOS5 완탈 Step by Step..  (0) 2012.01.27
[아이폰소식] iPhone 4S, iPad 2 탈옥 소식이 들려옵니다.  (0) 2012.01.09
[아이폰] IOS 5 :: 사진편집 기능  (0) 2011.10.17
[아이폰] IOS 5 :: 미리 알림 기능  (4) 2011.10.14



국내 온라인 게임 계정 탈취 목적인 VSLay.dll 악성파일에 대하여 살펴보겠습니다. 해당 악성코드는 변조된 사이트를 통해서 감염된 것으로 추정되며 아마도 Adobe Flash Player 취약점을 이용했을 가능성이 높지 않을까 싶네요..저는 샘플만 가지고 있어 정확한 감염 경로는 확인하지 못했습니다.

카스퍼스키 보안제품에서는 Rootkit.Win32.Agent.bnhw 진단명으로 탐지하고 있습니다.

동적분석을 위해 iexplorer.exe 프로세스에 dll을 삽입한 후 동작여부를 확인 해 보았습니다.
VSLay.dll 이 로드되면서 여러가지 파일들이 생성되며 국내 보안제품인 V3Lite, 알약, 네이버백신, 바이러스체이서 등이 설치되어 있는지 확인 하는 것으로 보아 정상적인 사용을 방해 하는 것으로 추정됩니다.

저는 카스퍼스키 제품을 사용중인데 악성코드에 감염이 되면 실시간 감시를 방해하고 있는 것을 확인할 수 있습니다.



 생성파일 정보

C:\Windows\midisappe.dll
C:\Windows\image.jpg
C:\Windows\ver.dat
C:\Windows\wallball.dat
C:\Windows\windowswalls.bmp - 숨김파일

C:\Windows\tasks\midisappe.dat - 루트킷
C:\Windows\tasks\nrfsny.dat - 루트킷
C:\Windows\tasks\ahnsvr.dat - 루트킷

C:\Windows\system32\midisappe.dll
C:\Windows\system32\drivers\ahnsvr.sys - 루트킷
C:\Windows\system32\drivers\ntfsny.sys - 루트킷


 레지스트리 정보

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnsvr]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntgsny]



midisappe.dll 파일은 explorer.exe 및 iexplorer.exe 외 다수의 프로세스에 로드 되어 있으며 정상적인 midimap.dll(Microsoft MIDI Mapper) 파일인 것처럼 위장하고 있습니다.



iexplorer.exe 를 감시하여 사용자가 넥슨, 피망, 한게임, 엔씨소프트, 넷마블등 국내 온라인 게임 사이트 접속 시 해커의 서버로 사용자의 계정을 탈취하고 있습니다. IP추적 결과 해커서버의 위치는 홍콩으로 확인 됩니다.




 악성파일 제거 방법

루트킷은 커널단에서 실행이 되기 때문에 탐색기에서 보여지지 않기 때문에 설치된 악성파일들을 제거하기 위해서는 루트킷 툴을 이용하여야 합니다. 프리웨어 툴인 GMER 을 다운받아 실행하시면 됩니다.

▶ GMER 다운받기

해당 툴을 실행하면 자동으로 스캔을 시작하며 루트킷이 발견되면 전체 스캔을 하라는 알림창이 뜨는데 시간이 오래걸리므로 무시하시고 [Services, Files] 항목만 체크하여 스캔을 합니다. 스캔이 완료되면 해당 항목을 클릭하여 삭제하시면 됩니다. 나머지 파일은 해당 위치에서 삭제하시면 되고 숨김파일이 있으므로 폴더옵션에서 [숨김파일 및 폴더 표시]에 체크하여야 합니다. 악성파일 제거 후 바이러스 검사를 꼭 하시기 바랍니다.


 





'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: Addendum-NM  (3) 2011.10.25
[악성코드분석] 검색도우미 :: QuickDomainSearch  (2) 2011.10.24
[정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.10.07
[백신프로그램] 악성코드 치료 프로그램 :: 비즈백신  (0) 2011.10.07
[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30


지난 번 디스크매니아와 알약코리아 사이트에 대하여 포스팅 하였는데 혹시나 하고 다시 들어가보니 다른 사이트로 리다이렉션 하더군요..ㅡㅡㅋ 새로운 이름으로 서버를 추가했습니다.

사이트를 검색 해보니 기존 파일공유 사이트인 쿡파일과 이름이 비슷합니다.. 아무래도 계속 이름을 바꾸어 서비스할 것 같다는 생각이 문득 드네요.. 아니면 알약에서 뭐라고 했나..ㅋ
어쨌든 기록용으로 남겨봅니다.

자세한 내용은 아래 링크를 클릭하셔서 보시면 됩니다.

[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점


해당 사이트는 알약코리아 사이트 대신 파일쿡이란 이름으로 바뀌었으며 알약코리아 접속 시 리다이렉션 됩니다. 사이트를 보면 로그만 바뀌고 전부 전 사이트와 동일합니다.







'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: QuickDomainSearch  (2) 2011.10.24
[악성코드분석] VSLay.dll :: 국내 온라인 게임 계정 탈취 목적의 악성코드  (0) 2011.10.13
[백신프로그램] 악성코드 치료 프로그램 :: 비즈백신  (0) 2011.10.07
[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30
태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30



국내에서 만들어진 악성코드 치료 프로그램인 비즈백신 (BizVaccine)에 대하여 살펴보겠습니다. 테스트 프로그램은 비즈백신 사이트에서 배포하는 파일이 아닌 제휴업체에서 배포하는 프로그램으로 작성하였습니다.



- 제휴사에서 배포중인 설치 파일 (top는 제휴사 ID로 추정됨, 정상파일시 ID는 bizvaccine임)



해당파일은 카스퍼스키 보안제품에서 Trojan.Win32.FakeAV.emgs 진단명으로 진단하고 있습니다.


정상적인 설치 파일과는 다르게 설치 과정이 사용자에게 보여지지 않는 것으로 보아 다른 프로그램 설치 시 제휴 프로그램으로 설치가 될 것으로 예상이 됩니다.



  URL 정보

hxxp://www.bizvaccine.co.kr/APP/pf_ck.php?v1=top (제휴사이름으로 추정)
hxxp://www.bizvaccine.co.kr/etc/yak_app.htm  - (이용약관페이지)
hxxp://www.bizvaccine.co.kr/dbk.php
hxxp://www.bizvaccine.co.kr/mbk.php?v1=top&v2=(사용자 MAC Address)
hxxp://www.bizvaccine.co.kr/value.php?strMode=setup&strID=top&strPC=(사용자 MAC Address)|&strSite=bizvaccine.co.kr

upstat.bizvaccine.co.kr/APP/ck_setup.php?m=(사용자 MAC Address)&d=bizvaccine.co.kr&a=top

 - 업데이트 다운로드 파일
hxxp://update.bizvaccine.co.kr/version/version
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccineu.exe
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccine.exe
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccined.dll
hxxp://update.bizvaccine.co.kr/version/bina/uninst_bizvaccine.exe
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccinestart.exe
hxxp://update.bizvaccine.co.kr/version/bina/EGutil.dll




  생성파일 / 폴더

C:\Program Files\bizvaccine
C:\Program Files\bizvaccine\bizvaccine.exe (프로그램실행파일)
C:\Program Files\bizvaccine\bizvaccined.dll
C:\Program Files\bizvaccine\bizvaccinestart.exe (프로세스 상주 파일)
C:\Program Files\bizvaccine\bizvaccineu.exe (업데이트파일)
C:\Program Files\bizvaccine\EGutil.dll
C:\Program Files\bizvaccine\uninst_bizvaccine.exe (프로그램삭제파일)
C:\Documents and Settings\All Users\시작 메뉴\프로그램\bizvaccine
C:\Documents and Settings\All Users\시작 메뉴\프로그램\bizvaccine\bizvaccine.lnk



  생성레지스트리

[HKCU\Software\Microsoft\Internet Explorer]
"bizvaccine_top"=1

[HKLM\SOFTWARE\bizvaccine] 
"code1"=top

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bizvaccine main"="C:\Program Files\bizvaccine\bizvaccineu.exe /8L"
"bizvaccinestart.exe"="C:\Program Files\bizvaccine\bizvaccinestart.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bizvaccine]
"UninstallString"=C:\Program Files\bizvaccine\uninst_bizvaccine.exe




제휴사에서 배포하는 프로그램은 설치여부를 사용자가 인지하지 못하도록 하기위해 설치 후 실행되지 않고 재부팅 후에 실행되도록 동작합니다. 프로그램 옵션에 윈도우 시작시 실행되도록 체크가 되어 있으며 정상적인 파일은 기본적으로 체크가 해제 되어 있습니다.

 





또한 시작 프로그램으로 등록이 된 PC는 윈도우 재부팅 시 악성코드 검사가 이루어집니다. 사용자가 환경설정에서 [윈도우 부팅시 실행] 체크를 해제 하기 전까지 매 부팅시마다 검사가 이루어져 사용자에게 불편을 주고 있습니다.




검사 후 악성코드가 발견이 되면 치료를 위한 결제창이 띄워지며 결제 시 악성코드를 치료하도록 되어 있습니다. 결제 후 사용자의 별도 해지 요청이 없을 시 자동 연장되기 때문에 사용자의 주의가 필요합니다.





  프로그램 삭제 방법
해당 프로그램을 사용하길 원치 않으신 분들은 [제어판] --> [프로그램추가/제거] 에서 해당 목록을 삭제하시면 됩니다.










'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] VSLay.dll :: 국내 온라인 게임 계정 탈취 목적의 악성코드  (0) 2011.10.13
[정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.10.07
[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30
태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30
[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.09.23

                               자바스크립트 난독화 되어있을 경우 자동으로 분석해주는 유용한 사이트가 
                               있어 소개를 합니다. 아시는 분은 다 아시는 사이트라 굳이 다른 부가적인
                               말은 하지 안겠습니다.

                                       
 

                                메인화면 입니다. 스크립트 소소나 파일을 업로드 하고 Submit URL(s) 를 클릭
                                하면 자동으로 난독화 된 소스를 분석하며 분석결과를 단계별로 보여줍니다.
                               



                                 
                               

'할롬::컴터 > 악성코드소식' 카테고리의 다른 글

[악성코드소식] Space와 Tab키를 이용한 보이지 않는 JavaScript를 이용한 악성코드 유포 (2012.1.1)  (0) 2012.01.03
[악성코드소식] ws2help.dll 변종 악성코드로 인한 부팅 장애 발생  (0) 2011.07.06
[악성코드소식] 시스템 파일 변조하는 악성스크립트 주의~!  (0) 2011.06.24



                                    티스토리에 가입하고 처음으로 제 블로그에 대하여 글을 써봅니다.
                                    사실 글재주가 별로 없어 시작한지 벌써 4개월이 지나가고 있는데
                                    아직까지도 새내기를 벗어나질 못하고 있네요.. 좀 더 분발 해야겠
                                    습니다. 맘 같아서는 매일 글을 올리고 싶지만 이게 쉬운게 아니네요..

                                    갑자기 오늘 방문자 수가 늘어 잘 안보던 통계를 보게되었는데
                                    운이 좋게도 현재까지 방문자 수가 7777 을 기록 했습니다.
                                    간직하고 싶어 캡쳐를 해봅니다. 오늘은 기분 좋은 날이네요~                                    
                                    아직까지 갈길이 멀지만 더 열씨미 해야겠다는 의욕이 생깁니다.

                                 








 
국내에서 제작되어졌으며 특정 사이트 접속 시 Internet Explorer 웹 브라우저 상단에 검색바(bar)가 생성되는 검색도우미 FineTop 프로그램에 대하여 살펴 보겠습니다.




 생성파일 정보

C:\Program Files\FineTop
C:\Program Files\FineTop\1
C:\Program Files\FineTop\FineTop.dll - BHO 등록
C:\Program Files\FineTop\FineTop.exe - 시작 프로그램 및 메모리 상주
C:\Program Files\FineTop\Uninstall.exe - 프로그램 삭제



 레지스트리 등록 정보
 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
FineTop="C:\Program Files\FineTop\FineTop.exe"

 
 
 

 
프로그램이 설치가 되면 실행파일인 FineTop.exe 프로세스란 이름으로 상주하며 레지스트리에 등록되어 시작시 자동 실행되며 업데이트를 체크하고 있습니다.







사용자가 Internet Explorer 실행 시 FineTop.dll 이 로드되어 동작하며 특정 키워드 검색 시 웹 브라우저 상단에 검색바가 나타납니다.









[웹 브라우저 -> 도구 -> 추가기능관리] 에서 FineTop.dll 이 BHO 형식으로 로드되어 있는 것을 확인할 수 있습니다.






 제거방법

해당 프로그램을 사용하기 원치 않으시는 분들은 [제어판 --> 프로그램 추가/제거] 에서 FineTop 항목을 제거하시면 됩니다.






'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.10.07
[백신프로그램] 악성코드 치료 프로그램 :: 비즈백신  (0) 2011.10.07
태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30
[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.09.23
U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의  (2) 2011.09.15

대부분의 악성코드 제작자들은 자기가 만든 코드들이 오래동안 사용되어져 많은 사용자들에게 감염이 되도록 하는게 목적입니다. 만약 코드를 누구나 알아보기 쉽게 만들었다면 금방 차단되어지고 말겠죠.. 그래서 악성코드 제작자들은 최대한 분석이 어렵도록 하기위해 여러가지 방식의 인코딩을 하게 되는겁니다.

난독화 된 코드를 분석하는 방법도 여러가지가 있지만 필자는 간단하게 <textarea>태그를 이용하여 확인 해보는 방법을 알려드리겠습니다.
사실 저도 잊어먹지 않기 위해서 포스팅하는 것도 있구요.. ^^




우선 테스트를 위해 준비한 코드를 한 번 보겠습니다.
우측에 스크롤바를 한 번 보시죠.. 스크롤 압박이 장난 아닙니다.






맨 아래 코드입니다. 보시는 것처럼 위의 iframe_str 변수를 받아서 출력하도록 되어 있습니다. 지저분한 코드를 좀 깔끔(?)하게 만들었습니다. 자~ 여기서 document.write 대신 alert 을 이용하여 해당 코드를 확인할 수 있습니다.
 




alert 를 이용하여 코드를 확인 시 스크롤 압박으로 인해 밑의 화면이 짤렸습니다.
                           






즉, 코드가 길 경우에는 alert 로 확인이 어려운 부분이 있습니다. 그래서 <textarea> 태그를 사용하게 되면 아무리 긴 코드라도 쉽게 확인 할 수가 있습니다. 다시<textarea> 태그를 사용하여 코드를 바꿔보았습니다.

사용 예시)
document.write ("<textarea rows=20 cols=100>" + (변수값) + "</textarea>");



                     
위의 코드를 실행 시 아래와 같이 쉽게 코드를 확인할 수가 있습니다. 코드길이에 따라서 alert 이나 <textarea> 태그를 적절히 사용하면 되겠습니다.


'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[백신프로그램] 악성코드 치료 프로그램 :: 비즈백신  (0) 2011.10.07
[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30
[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.09.23
U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의  (2) 2011.09.15
[악성코드분석] Adobe Flash Player 취약점(CVE-2011-2110)을 이용한 xpsp2res.dll 악성코드 유포  (0) 2011.08.29




프리웨어 무료 자료실 사이트인 디스크매니아와 알약코리아에 대하여 살펴보도록 하겠습니다.

여기서 제공하는 자료를 다운받아 설치 시 해당사이트와 제휴하는 프로그램들이
사용자가 원치 않게 설치될 수 있어 설치 시 사용자의 주의가 필요합니다.


우선 위 두 사이트를 비교해보면 도메인과 로고이미지만 다르고 메인 페이지는 같은 동일 서버로 확인이 됩니다.



해당 설치 프로그램을 다운받아 보겠습니다. 테스트를 위해 아무거나 다운 받아봅니다.



정상적인 설치파일 처럼 보입니다.
해당 파일을 실행해보면 정상적인 실행파일이 아닌 다운로드 매니저 파일임을 알 수 있습니다.



여기서 사용자들이 주의 하셔야 할 부분인데 바로 전송시작을 클릭 할 경우 오른쪽 하단의 제휴 프로그램들이
사용자의 동의 없이 설치가 될 수 있으며 시작 페이지가 변경이 됩니다.


설치되는 검색도우미들은 다음과 같습니다.

- 이지온 검색도우미
- 쇼핑도우미 위즈서치
- 검색도우미 WallTab
- 야후 시작페이지 설정



:: 복구 방법 ::

사용자 실수로 해당 프로그램들이 설치가 되었다면
[제어판 --> 프로그램 추가/제거] 에서 확인 후 삭제하시면 됩니다.





시작페이지 변경은
[인터넷 익스플로러 --> 도구 --> 인터넷옵션] 에서 변경할 주소를 입력 후 확인을 클릭하시면 됩니다.














'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: FineTop  (4) 2011.09.30
태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30
U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의  (2) 2011.09.15
[악성코드분석] Adobe Flash Player 취약점(CVE-2011-2110)을 이용한 xpsp2res.dll 악성코드 유포  (0) 2011.08.29
[악성코드분석] 검색도우미 :: GuiedOn  (0) 2011.08.12




Adobe Flash Player 다중 취약점 업데이트를 발표하였습니다.
10.3.183.7 이하 버전에서 발생하므로 낮은버전을 사용중이신 분들은 최신버전으로 업데이트를 꼭 하시기 바랍니다.

Adobe Flash Player 최신버전으로 업데이트


<영향받는 소프트웨어>
 
 - 윈도우, 매킨토시, 리눅스, 솔라리스 환경에서 동작하는 Adobe Flash Player 10.3.183.7 및 이전 버전
 - 안드로이드 환경에서 동작하는 Adobe Flash Player 10.3.186.6 및 이전 버전

<상세정보>
 
 - XSS 발생 취약점(CVE-2011-2444)
  ※ 해당 취약점의 경우 이메일, 조작된 웹사이트 링크 등을 이용한 실제 악용사례가 발생하고 있어,
      사용자의 주의를 요함
 - AVM 스택 오버플로우로 인한 원격코드실행 취약점(CVE-2011-2426)
 - AVM 스택 오버플로우로 인한 서비스 거부 및 원격코드실행 취약점(CVE-2011-2427)
 - 로직에러로 인한 브라우저 크래쉬 및 코드실행이 될 수 있는 취약점(CVE-2011-2428)
 - Flash Player 보안컨트롤 기능 우회를 통한 정보요출 취약점(CVE-2011-2429)
 - 스트라밍 미디어 로직 에러로 인해 코드실행으로 이어질 수 있는 취약점(CVE-2011-2430) 




'할롬::컴터 > 보안업데이트' 카테고리의 다른 글

[업데이트] Microsoft 보안 업데이트 (2011.11.9)  (0) 2011.11.14
[업데이트] Microsoft 보안 업데이트 (2011.10.12)  (0) 2011.10.17
[업데이트] Microsoft 보안 업데이트 (2011.09.14)  (0) 2011.09.15
[업데이트] Microsoft 보안 업데이트 (2011.07.13)  (0) 2011.07.13
[업데이트] Microsoft 보안 업데이트 (2011.06.15)  (0) 2011.06.22


오랜만에 웹 해킹 관련 글을 포스팅합니다..ㅋ
그동안 악성코드 분석에 심취해 있어서 잠시 손을 놓고 있었네요..
각설하고 본론으로 넘어가겠습니다.

웹 해킹을 하기위해서 반드시 알아야 할 XSS 에 대하여 알아보도록 하겠습니다.

:: XSS ::
XSS는 크게 Reflected XSS Stored XSS 두 가지로 분류할 수가 있습니다.

Reflected XSS 는 공격 스크립트가 삽입 된 URL을 사용자가 쉽게 확인할 수 없도록 변형시킨 후
이메일이나 다른 웹 사이트 등에 클릭을 유도하도록 하는 방법이며,

Stored XSS 는 스크립트를 웹 서버에 저장하여 -일반 게시판 등에 공격자가 게시글에 스크립트를 삽입
사용자가 해당 페이지를 클릭하는 순간 스크립트가 실행되도록 하는 방법입니다.


그럼, 간단하게 테스트를 해보도록 하겠습니다.

:: Reflected XSS

우선 간단하게 값을 입력 받아서 출력해주는 페이지를 작성해보겠습니다.










위의 그림을 보시면 입력값을 그대로 출력해주는 단순한 페이지이며 공격자는 해당폼에
스크립트를 삽입하여 실행여부를 확인합니다.






스트립트를 삽입 시 필터링이 되지 않고 실행이 되는 것을 확인할 수 있습니다.

이제, 공격자는 위의 주소를 사용자에게 전달해서 클릭을 유도하도록 해야되는데
위의 주소는 사용자가 쉽게 파악이 가능하기 때문에 클릭을 유도하기가 쉽지 않습니다.
그래서 사용자가 눈치채지 못하도록 아래와 같이 인코딩을 하여 클릭을 유도하게 되죠..

- 인코딩 전
hxxp://192.168.1.2/xss.php?word=<script>alert('XSS TEST');</script>

- 인코딩 후
hxxp://192.168.1.2/xss.php?word=%3C%73%63%72%69%70%74%3E%61%6C%65%72
%74%28%27%58%53%53%25%32%30%54%45%53%54%27%29%3B%3C%2F%73%63%72%69%70%74%3E







:: Stored XSS

웹 사이트의 게시판에 스크립트를 삽입하여 사용자가 해당 글을 클릭하면 스크립트가 실행되도록 합니다.









:: 보안 ::

XSS 공격은 입력값에 대한 검증이 제대로 이루어지지 않아 발생하는 취약점이기 때문에
사용자의 모든 입력값에 대하여 서버측에서 필터링 처리를 해주어야 합니다.

         From           To 
           <          &lt; 
            >          &gt;
            (         &#40;
            )         &#41;
            #         &#35;
            &         &#38;

'할롬::컴터 > 해킹' 카테고리의 다른 글

[웹해킹] 플래시로 쉽게 보는 XSS/CSRF  (2) 2012.11.15
[소개]WarGame 사이트 xcz.kr  (0) 2012.11.15
[웹해킹] Slow HTTP DoS Attack - SlowHTTPTest 사용방법  (1) 2012.01.09
[War Game] 문제풀이 형식 사이트 www.neroa.com  (0) 2011.07.14
모의해킹 데모 사이트 demo.testfire.net  (1) 2011.07.14



지난 번 윈도우 정품 인증을 제대로 받지않아 2 시간 마다 무한 재부팅이 되는 현상이 발생하였는데
대부분의 사용자가 이러한 사실을 알지 못해 당황하신 분들이 많을 거 같아 증상확인 및
해결방법을 알아보도록 하겠습니다.


● 윈도우 2시간 마다 재부팅 되는 현상 (2011/09/05)


자신의 PC가 간헐적으로 재부팅이 된다면 우선 이벤트로그를 먼저 살펴봅니다. (윈도우7 기준)

1. 제어판 -> 관리도구 -> 이벤트 뷰어 -> Windows 로그 -> 시스템

2. 로그 필터링
   : 작업탭에서 현재 로그 필터링을 통해 발생한 일시와 이벤트ID 6008 을 입력하여 필터링합니다.




3. 재부팅 발생 시점부터 약 2시간 간격으로 비정상적으로 종료가 되었는지 확인 합니다.
  





확인 시 2시간 간격으로 재부팅이 확인되면 윈도우 인증이 정상적으로 이루어지지 않은겁니다.

윈도우에서 정품인증을 확인하면 정상적으로 인증이 되었다고 나오는데요
더 웃긴건 영구인증까지 이루어졌다고 나옵니다.. 쩝.. ㅡㅡㅋ




하지만 콘솔에서 인증확인 명령어로 확인하면 평가종료날짜가 표시가 됩니다.
아래 명령어로 확인해보시면 됩니다.
C:\ slmgr /dlv


                                     <정상적으로 인증을 받은 경우>



                             <인증이 정상적으로 이루어지지 않은 경우>



자~ 이제 원인을 찾았으니 해결을 해야겠지요~~
아래 방법으로 재 인증을 받으시면 되구요
혹여 라이센스키가 없을 경우 인터넷에 돌아다니는 인증 프로그램을 이용하셔도 됩니다.



- 해결방법

1. 기존의 설치된 제품키를 삭제합니다.





2. 새로운 제품키를 입력합니다.





3. 윈도우 정품인증을 받습니다.





4. 정상적으로 인증이 되었는지 확인합니다.









'할롬::컴터 > 정보보안' 카테고리의 다른 글

OllyDBG를 이용한 UPX 언패킹  (6) 2011.11.21
Outlook 실행 시 mcou.dll 오류문제 해결방법  (1) 2011.10.20
Adobe Flash Player 최신버전으로 업데이트  (0) 2011.08.29
Adobe Flash Player 구버전 다운받기  (0) 2011.08.29
[보안상식] 1PC 1백신을 권장하는 이유  (1) 2011.07.06


MS에서 2011년 9월 정기 보안 업데이트 공지가 나왔습니다. 좀 늦은감이 있네요 ㅋㅋ


<영향받는 소프트웨어>

Windows XP / Vista / 7
Windows Server 2003 / 2008 / 2008 R2
Microsoft Office for MAC / Groove / SharePoint Workspace
Microsoft Office Forms Server / SharePoint Server / Groove Server / Web Apps

<요약>
  
     WINS의 취약점으로 인한 권한 상승 문제점, Windows Components의 취약점으로 인한 원격 코드 실행 문제점, Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점, Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점, Microsoft SharePoint의 취약점으로 인한 권한 상승 문제점을 보완한 Microsoft 9월 정기 보안 업데이트를 발표하였습니다.

<상세정보>

(MS11-070) WINS의 취약점으로 인한 권한 상승 문제점
  이 보안 업데이트는 비공개적으로 보고된 WINS(Windows Internet Name Service)의 취약점 1건을 해결합니다. 이러한 취약점은 사용자가 WINS 서비스가 실행되는 영향 받은 시스템에서 특수하게 조작된 WINS 복제 패킷을 수신할 경우에 권한이 상승되도록 합니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.


(MS11-071) Windows Components의 취약점으로 인한 원격 코드 실행 문제점
  이 보안 업데이트는 Microsoft Windows의 공개된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 DLL(동적 연결 라이브러리) 파일과 동일한 네트워크 디렉터리에 있는 합법적인 서식 있는 텍스트 형식 파일(.rtf), 텍스트 파일(.txt) 또는 Word 문서(.doc)를 열 경우 원격 코드가 실행될 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.


(MS11-072) Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점
  이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 5건을 해결합니다. 사용자가 특수하게 조작된 Excel 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 의심되는 파일을 열지 못하도록 Office 파일 유효성 검사(OFV)를 설치하고 구성하면 CVE-2011-1986 및 CVE-2011-1987에 설명된 취약점을 악용하는 공격 경로가 차단됩니다.


(MS11-073) Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점
  이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 Office 파일을 열거나 특수하게 조작된 라이브러리 파일과 동일한 네트워크 디렉터리에 있는 합법적인 Office 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.


(MS11-074) Microsoft SharePoint의 취약점으로 인한 권한 상승 문제점
  이 보안 업데이트는 Microsoft SharePoint 및 Windows SharePoint Services에서 발견되어 공개적으로 보고된 취약점 5건과 비공개적으로 보고된 취약점 1건을 해결합니다. 대부분의 심각한 취약점으로 인해 사용자가 특수하게 조작된 URL을 클릭하거나 특수하게 조작된 웹 사이트를 방문할 경우 권한 상승 문제가 발생할 수 있습니다. 대부분의 심각한 취약점의 경우 인터넷 영역에서 SharePoint 사이트를 검색하는 Internet Explorer 8 및 Internet Explorer 9 사용자는 기본적으로 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터가 인터넷 영역의 공격을 차단하는 데 도움을 주기 때문에 위험이 덜합니다. 그러나 Internet Explorer 8 및 Internet Explorer 9의 XSS 필터는 인트라넷 영역에서는 기본적으로 사용되지 않습니다.

<참조사이트>
  한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms11-sep 
  영문 : http://technet.microsoft.com/en-us/security/bulletin/ms11-sep


'할롬::컴터 > 보안업데이트' 카테고리의 다른 글

[업데이트] Microsoft 보안 업데이트 (2011.10.12)  (0) 2011.10.17
[업데이트] Adobe Flash Player 다중 취약점 업데이트 권고 (2011.09.22)  (0) 2011.09.23
[업데이트] Microsoft 보안 업데이트 (2011.07.13)  (0) 2011.07.13
[업데이트] Microsoft 보안 업데이트 (2011.06.15)  (0) 2011.06.22
[업데이트] Adobe Flash Player 10.3.181.26  (0) 2011.06.22


이 번 포스트는 유니코드를 사용하여 사용자의 눈속임을 통한 악성파일 실행을 유도하는
공격방법에 대하여 살펴보겠습니다.

유니코드를 이용한 공격은 2005년경 부터 사용되어져 왔으며 최근 이메일 피싱에 자주 사용이
되어 많이 알려진 것 같습니다.

유니코드란 한 마디로 표현하면 "모든 문자를 표현하는 문자셋" 입니다.
각 나라마다 고유의 필요한 문자들이 있는데 컴퓨터는 이러한 것들을 표현하지 못합니다.

그렇기 때문에 참조할 것이 필요한데 바로 "참조" 할 것이 문자셋이라 생각 하시면 됩니다.
그래서 컴퓨터마다 Character map 이란 문자표가 있는 것이지요.




피싱에 사용되어진 유니코드는 U+202E (Right-To-Left-Override) 으로 확장자를 다른 형태로
보이도록 하여 사용자의 눈속임을 통한 악성코드 파일실행이 목적이 되겠습니다.


http://www.fileformat.info/info/unicode/char/202e/index.htm


악성코드 실행파일이 예전엔 대부분 EXE 형태의 확장자로 유포가 되다보니 지금은 사용자들의 눈에
익숙해져 쉽게 실행하지 않게 되죠.. 그래서 악성코드 제작자들도 다양한 방식으로 실행을 유도 하도록
고심한 흔적이 역력합니다.



대부분 이메일을 통하여 악성파일이 유포되고 있으며 .ZIP 형태의 압축파일을 첨부하여 다운로드
하도록 하고 있습니다. 또한 이와 같은 Invoice 내용의 피싱공격이 다수 보고 되고 있습니다.





해당 압축파일을 확인해보면 확장자가 .DOC (MS워드문서파일) 처럼 보이지만 실제로는
.EXE 형태의 실행파일로 되어 있으며 사용자가 문서파일로 착각하도록 하여 실행을 유도하고 있습니다.





파일의 속성을 확인하면 .DOC 문서파일이 아닌 응용프로그램(.exe)으로 확인이 됩니다.
아이콘도 실제 문서파일과 동일하게 바꾸어 사용자가 쉽게 알아차리지 못하도록 하고 있습니다.






해당 파일을 콘솔에서 확인 해보면 실제 .doc 파일이 아닌 cod.exe로 표시가 되는 것을
확인할 수 있습니다.

즉, 윈도우NT 이 후의 버전에서는 유니코드를 사용하여 문자를 표시하기 때문에 확장자를
정상적으로 보여주지 못하는 것입니다.




그럼 어느 부분에 유니코드가 사용되었는지 Hex Editor로 살펴보겠습니다.



_Coll 문자열 다음에 알 수 없는 문자값 E2 80 AE 값이 들어가 있네요.

해당 유니코드가 삽입되면 글자를 오른쪽에서 왼쪽으로 입력할 수가 있어 .exe .src 등
실행파일 확장자를 문서파일등 공격자가 원하는 확장자로 쉽게 변경을 할 수 있습니다.

대부분 글씨를 쓸 때 왼쪽에서 부터 시작하지만 오른쪽에서 부터 시작하는 나라도 있기 때문에
이러한 유니코드가 사용되어지고 있습니다.

저도 가끔 해킹 관련 동영상을 볼 때 메모장에다 오른쪽에서 부터 쓰는 것을 본 적이 있는거 같네요.
어쨌든 위의 방식을 사용하면 어떠한 확장자로도 다 표현할 수 있기 때문에 사용자의 각별한주의가 필요합니다.



참고로 약간의 팁을 드리자면 저도 테스트 하면서 알게 되었는데 이러한 형태의 악성코드가
대부분 .zip 파일 형태로 배포가 되고 있으며 특정 압축 프로그램에서는 문자열 오류로 인하여
압축이 풀리지 않는 것을 확인 하였습니다. (zip 압축파일 형태에만 해당됩니다.)

 - 테스트 프로그램

1. 알집     --> 압축해제 됨
2. 반디집  --> 압축해제 됨
3. 7zip     --> 압축해제 됨
4. 빵집   --> 압축해제 되지않음
5. 윈도우 압축(zip)폴더 --> 압축해제 되지않음

  ※ 단, 7z 으로 압축이 되어있을 경우는 빵집 프로그램에서도
     압축해제가 되기 때문에 잘 살펴 보시길 바랍니다.

어떠한 파일이든 압축을 풀기 전 바.이.러.스. 검사를 꼭! 하시기 바랍니다.





'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

태그를 이용한 javascript 난독화 분석 방법  (1) 2011.09.30
[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점  (0) 2011.09.23
[악성코드분석] Adobe Flash Player 취약점(CVE-2011-2110)을 이용한 xpsp2res.dll 악성코드 유포  (0) 2011.08.29
[악성코드분석] 검색도우미 :: GuiedOn  (0) 2011.08.12
[악성코드분석] 검색닷컴_DirectKeyword2.exe  (0) 2011.08.05


9월 1일 부터 이상하게 PC가 간헐적으로 재부팅 되는 현상이 발생했다.

OS를 새로 설치한지 얼마되지도 않았는데 말이다..

나와 비슷한 사람들이 속속 나타나고 여기저기서 자기 PC 고쳐달라고 난리다..ㅡㅡㅋ


이거 혹시 바이러스..?? 제발 바이러스만 아니길 바라면서

구글에 검색을 해보았더니 컴터를 재부팅 하는 웜바이러스가 있단다..

헌데 일자를 보니 4~5년 전 일이고 이미 패치가 된 상태라 그 것과는 거리가 있다고 판단이 되었다.

혹시나 해서 안전모드 부팅하여 바이러스 검사를 해봤지만 딱히 걸리는게 전혀 없다.

시스템 모니터링을 해봐도 다 정상이었다.

그럼 도대체 무엇이 문제란 말인가... 다시 미궁으로 빠졌다..


그러던 중 혹시나 해서 이벤트 로그를 보니 발생시점부터 2시간 간격으로 시스템이 비정상적으로 종료되고 있었다.

나와 비슷한 상태를 가진 PC를 다 조사해보니 동일하게 2시간 간격으로 종료된 것을 확인할 수 있었다.


그래서 나는 다시 구글 형님들에게 여쭈어 보았다..

이런.. 윈도우 정품인증이 제대로 되지 않으면 MS에서 2시간 마다 부팅이 되도록 해놨다는 것이다... 헉...ㅠㅠ

정말.. 이건 뭥미..??


그래서 내 PC의 정품상태를 확인 해봤지만 정상적으로 인증이 되었다고 나온다.. 쩝..

그래.. 그렇다면 다시 인증을 해주마..


인증 프로그램을 입수하여 확인 결과 정품인증이라고 떠 있는 내 PC가 인증 프로그램에서는

Trial 버전이라고 나와있었다..ㅡㅡㅋ


된장.. 결국 다시 인증 받고 나니 괜찮아 졌다..


● 윈도우 무한 재부팅 원인 확인 및 해결방법 (2011/09/16)
 



 

'할롬::컴터 > 보안이슈' 카테고리의 다른 글

[뉴스] 통합진보당 해킹, '헥티비즘 전초전'  (0) 2012.02.21
[A5칩 탈옥성공] “아이패드2 탈옥 OK“…10개월만에 성공  (0) 2012.01.25
[정보] 무료 압축프로그램 반디집  (0) 2011.08.05
네이트닷컴 개인정보 유출 여부 확인  (0) 2011.07.29
[뉴스] 중국발 네이트·싸이 해킹, 3500만 정보 유출 '초유사태'  (0) 2011.07.28

티스토리툴바