MS에서 2011년 7월 정기 보안 업데이트 공지가 나왔네요..


<영향받는 소프트웨어>
Windows XP / Vista / 7
Windows Server 2003 / 2008 / 2008 R2
<요약>
 
  Bluetooth 스택의 취약점으로 인한 원격 코드 실행 문제점, Windows 커널 모드 드라이버의 취약점으로 인한 권한
상승 문제점, Windows CSRSS(Client/Server Runtime Subsystem)의 취약점으로 인한 권한 상승 문제점,
Microsoft Visio의 취약점으로 인한 원격 코드 실행 문제점을 보완한 Microsoft 7월 정기 보안 업데이트를 발표
하였습니다.
<상세정보>


(MS11-053) Bluetooth 스택의 취약점으로 인한 원격 코드 실행 문제점
  이 보안 업데이트는 비공개적으로 보고된 Windows Bluetooth 스택의 취약점을 해결합니다. 공격자가 영향을 받는 시스템에 특수하게 조작된 일련의 Bluetooth 패킷을 보낼 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 이 취약점은 Bluetooth 기능을 사용하는 시스템에만 영향을 줍니다.  

(MS11-054) Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점
  이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 15건을 해결합니다. 가장 위험한 취약점으로 인해 공격자가 시스템에 로컬로 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.  

(MS11-055) Microsoft Visio의 취약점으로 인한 원격 코드 실행 문제점
  이 보안 업데이트는 Microsoft Visio의 공개된 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 라이브러리 파일과 동일한 네트워크 디렉터리에 있는 합법적인 Visio 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

(MS11-056) Windows CSRSS(Client/Server Runtime Subsystem)의 취약점으로 인한 권한 상승 문제점
  이 보안 업데이트는 비공개적으로 보고된 CSRSS(Microsoft Windows Client/Server Run-time Subsystem)의 취약점 5건을 해결합니다. 공격자가 사용자의 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.    

<참조사이트>
  한글 : http://www.microsoft.com/korea/technet/security/Bulletin/ms11-jul.mspx 
  영문 : http://www.microsoft.com/technet/security/Bulletin/ms11-jul.mspx 







'할롬::컴터 > 보안업데이트' 카테고리의 다른 글

[업데이트] Adobe Flash Player 다중 취약점 업데이트 권고 (2011.09.22)  (0) 2011.09.23
[업데이트] Microsoft 보안 업데이트 (2011.09.14)  (0) 2011.09.15
[업데이트] Microsoft 보안 업데이트 (2011.06.15)  (0) 2011.06.22
[업데이트] Adobe Flash Player 10.3.181.26  (0) 2011.06.22
[업데이트] Adobe Flash Player 10.3.181.23  (0) 2011.06.07


1PC에 1백신을 사용해야 하는 이유가 무엇일까요?

어떤 분은 감염될까 무서워 여러개의 백신을 설치하여 사용하고 있으신 분들도 계신데
대부분 백신에 관심이 많으신 분들이라면 "그거 기본 아니야?" "충돌나서 안돼"라고 대답하실 것 같습니다.

하지만 보안벤더에서 1PC에 1백신을 권고 하는 정확한 이유를 과연 얼마나 알고 계실까요?

다음 글을 보시면 어느정도 해소 되실거라 생각 됩니다.

1PC 1백신 권장은, 백신의 성능문제를 떠나서 윈도우란 OS는 기본적으로 후킹모듈 드라이버를
4개까지 지원을 하고 있습니다. 보통 하나의 백신이 후킹모듈을 1개 또는 2개를 사용하고 있습니다.

2개를 사용하는 백신은 안티스파이웨어 엔진이 따로 설치되는 제품중에 후킹모듈을 따로 설치하는
백신이 있기 때문입니다. 그렇다면 윈도우에는 이런 후킹모듈을 사용하는 백신을 2개 또는 4개까지
설치하여 사용을 해도 괜찮다는 말이 됩니다.

하지만 이런한 후킹모듈이 백신에서만 사용되는 것은 아닙니다.
응용프로그램 방식의 방화벽에서도 사용이 되고, 기타 스캐닝에 관련된 여러 응용프그램이나 툴에서도
후킹모듈 드라이버가 사용되고 있습니다.

한 OS에 후킹모듈이 4개이상 설치되는 경우에는 알수 없는 데몬서비스 충돌이나 블루스크린 증상이
나타날수가 있고, 후킹모듈을 사용하는 제품끼리의 충돌이 생겨 제품자체내의 성능을 저하시키는
원인이 되기도 합니다.

이러한 문제로 보안벤더에서도 1PC 1백신을 권장하고 있습니다.

저 같은 경우에도 하나의 백신으로는 안전하지 못하다고 생각됩니다.
그래서 안티스파이웨어는 추가로 사용을 하고 있습니다. 기존에 사용하는 백신이 안티스파이웨어와
단일엔진으로 사용하는 백신이어서 후킹모듈 드라이버를 하나만 사용하고 있고, 추가로 설치한
안티스파이웨어가 다른 후킹모듈을 사용하고 있어서 보안관련하여 후킹모듈이 2개가 설치되어 있고,
테스트용 스캐닝 프로그램을 사용하고 있어서 총 3개의 후킹모듈을 사용하고 있습니다.

기타 제가 여러프로그램을 사용중이라 제가 모르는 곳에 후킹모듈이 사용될수도 있기에 제가 알고있는한
후킹모듈을 사용하는 프로그램은 여기까지만 설치를 하며 사용중입니다. 

Windows에서 후킹모듈용 파일필터 드라이버를 4개까지 지원한다고 하지만, MS에서도 4개의 사용을
권장하고 있지는 않습니다. MS뿐만이 아닌 후킹모듈을 사용하는 어떤프로그램도 마찮가지의 입장입니다.

보안성을 위해서라면 다중백신사용을, 후킹모듈 충돌이 나지 않는 선에서 사용하셔도 문제는 없겠지만,
OS의 안전성을 위해서는 1PC의 1백신을 사용하는 방법으로 권해드리고 싶습니다.

[출처] 바이러스 제로 시즌 2 |작성자 제로데이

'할롬::컴터 > 정보보안' 카테고리의 다른 글

[보안상식] 윈도우 무한 재부팅 원인 확인 및 해결 방법  (0) 2011.09.16
Adobe Flash Player 최신버전으로 업데이트  (0) 2011.08.29
Adobe Flash Player 구버전 다운받기  (0) 2011.08.29
[보안상식] 공유폴더 보안 설정 방법  (0) 2011.07.05
[보안상식] IP주소를 Base10 방식으로 변환  (0) 2011.06.24


<출처> 처리의 블로그

정상적인 시스템 파일인 ws2help.dll 를 변조하는 악성코드 중 기존 악성코드와는 달리 변종된 악성파일로써
해당 파일에 감염 될 경우 윈도우 부팅 장애가 발생하니 아무쪼록 감염되지 않도록 주의하자~!


ws2help 관련 포스트 보기


<감염증상>

  1. 온라인 게임 계정 유출 (기존 악성코드와 동일)
  2. 인터넷 익스플로러 강제 종료 (기존 악성코드와 동일)
  3. 윈도우 부팅 시 블루 스크린 발생되어 부팅 장애 (변종 악성코드)
  4. 안전모드로 부팅 불가 (변종 악성코드)


해당 악성코드는 MS 취약점과 Adobe Flash Player 취약점을 이용하여 감염이 되며,
현재 공식적인 보안 패치가 나와있다.


<참고 사이트>

  1. Microsoft 보안업데이트(2011년06월15일)

     http://www.microsoft.com/korea/technet/security/Bulletin/ms11-jun.mspx

  2. [Adobe]Security update available for Adobe Flash Player(CVE-2011-2110)
     http://www.adobe.com/support/security/bulletins/apsb11-18.html




패치 하지 않으신 분들은 감염 시 재부팅 되면 아래와 같은 무시무시한 화면을 보시게 된다.






<조치방법 No.1> - 감염 시
  1. 백신 최신버전으로 업데이트 하자 (현재 대부분 백신에서 탐지된다.)
  2. 변조된 ws2help.dll 파일을 임의의 파일명으로 변경한 후 원본파일을 ws2help.dll 로 변경한다.
  3. 재부팅 후 변조 된 악성파일을 삭제한다.


<조치방법 No.2> - 부팅 장애 발생 시
  1. 부팅 장애가 발생한 PC에서는 윈도우 CD를 이용하여 복구모드로 들어간다.
  2. 로그온 할 windows 설치 선택 부분에 "1" 을 선택한 후 명령어 모드로 들어간다.
  3. system32 폴더 위치에서 아래의 명령어를 입력한다.
     > del wsh2lp.dll
     > ren ws3help.dll ws2help.dll
     > exit


<조치방법 No.3> - 복구 CD가 없을 시
  1. PC에서 하드디스크를 떼어 다른 PC에 Slave로 연결한다.
  2. 감염 PC의 시스템폴더(c:\windows\system32)의 ws2help.dll을 삭제한다.
  3. 변경된 원본파일의 이름을 변경한다. (ws3help.dll -> ws2help.dll)
  4. 원래의 PC에 하드디스크를 연결한 후 재부팅 한다.



★ 감염되기 전에 최신 보안 패치를 생활화 하자~





'할롬::컴터 > 악성코드소식' 카테고리의 다른 글

[악성코드소식] Space와 Tab키를 이용한 보이지 않는 JavaScript를 이용한 악성코드 유포 (2012.1.1)  (0) 2012.01.03
[분석툴] JSUNPACK :: JavaScript Unpack 사이트  (0) 2011.10.05
[악성코드소식] 시스템 파일 변조하는 악성스크립트 주의~!  (0) 2011.06.24


윈도우에는 네트워크 내에서 자료를 공유할 수 있도록 하는 기능이 있다.

이는 편리하게 파일을 공유할 수 있도록 윈도우에서 기본으로 제공하는 서비스이지만
보안관리를 소홀히 한다면 해킹이나 바이러스에 감염이 될 수 있고 원하지 않는 사람들에게
파일이 공유 될 수 있다는 위험이 있다.

어떻게 하면 안전하고 타인에게 노출되지 않게 파일을 공유 할 수 있는지 알아보자.

<기본 공유 삭제 방법>

  1. 기본적으로 제공되는 공유 삭제
     - 공유폴더 확인 방법
        i. 시작 -> 실행 -> cmd 실행
        ii. net share 명령어로 공유폴더 확인

     - 삭제 방법
        i. net share 공유이름 /del


※ 기본적으로 제공되는 공유는 재부팅 시 원복 되므로 레지스트리에 등록을 해주어야 한다.

위치: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
값: AutoShareServer=dword:0 (윈도우 서버군)
     AutoShareWks=dword:0 (윈도우XP, Vista, 7)



기본 공유를 삭제 했으니 본격적인 공유폴더 보안설정에 대하여 알아보자.
대부분 윈도우7 사용자가 많으므로 윈도우7을 기준으로 설명 하겠다.

<공유폴더 보안 설정>
  1. 공유할 폴더를 선택한 후 폴더 속성에 들어간다.
  2. 속성에서 [공유] 탭으로 이동한다.
  3. 하단의 [고급공유]로 이동한다.

  4. [선택한 폴더 공유]에 체크하고 공유이름뒤에 $를 붙인다.

  5. [권한 설정]으로 들어간 후 [Everyone 계정을 제거]하고 [추가] 버튼을 클릭하여 사용자를 추가한다.

  6. [고급]버튼을 클릭하여 들어간다.

  7. [지금찾기] 버튼을 클릭 후 원하는 사용자를 선택하고 확인

8.  해당 계정에 대한 권한은 [읽기]로 설정한다.



















'할롬::컴터 > 정보보안' 카테고리의 다른 글

[보안상식] 윈도우 무한 재부팅 원인 확인 및 해결 방법  (0) 2011.09.16
Adobe Flash Player 최신버전으로 업데이트  (0) 2011.08.29
Adobe Flash Player 구버전 다운받기  (0) 2011.08.29
[보안상식] 1PC 1백신을 권장하는 이유  (1) 2011.07.06
[보안상식] IP주소를 Base10 방식으로 변환  (0) 2011.06.24



정상적인 시스템 파일의 이름만 바뀌어 사용되는 악성코드가 발견되었으며,
이전에 포스팅 하였으나 이름 정보가 변경되어 기록용으로 포스팅 한다.

이와 유사한 악성코드로는 imm32.dll, ws2help.dll 등이 있다.
모두 온라인 게임 계정 탈취를 목적으로 하는 악성코드 이며, 대부분 유명 게임들이 여기에 속해 있다.


<정상파일정보>
  - 위치:  C:\WINDOWS\system32\
  - 파일명: lpk.dll --> lpk32.dll  (악성코드에 감염이 되면 정상적인 파일의 이름을 변경함)
  - 파일크기: 22KB

<악성파일정보>
  - 위치:  C:\WINDOWS\system32\
  - 파일명: lpk.dll (정상적인 파일인 것처럼 위장함)
  - 파일크기: 32MB


위에서 보는거와 같이 악성코드에 감염이 되면 정상적인 시스템 파일인 lpk.dll 을 lpk32.dll 로 변경하고,
자신은 정상적인 파일인 lpk.dll 로 생성이 되어 위장한다.



- 정상파일과 악성파일의 차이점을 확인 해보자




위의 그림을 확인 해보면 정상파일과 악성파일의 다른 점을 확인 할 수 있다.
정상파일은 Language Pack 로 되어 있으며 악성파일은 regsetup 로 되어 있다.


자신의 PC에 lpk32.dll 이 생성되어 있다면 일단 의심 해보자~!




- 해당 악성파일이 감시하는 프로세스는 다음과 같다
  PCOTP.exe
  lin.bin
  FF2Client.exe
  MapleStory.exe
  dnf.exe
  iexplore.exe
  mapleotp
  item
  dfotp


- 계정 탈취하는 온라인 게임
  FIFA
  피망
  메이플스토리
  메이플OTP
  던전앤파이트
  던파OTP



- 해당 사이트 접속 시 계정 정보는 해커의 서버로 전송되며 전송되는 서버는 다음과 같다
  http://www.krshop.info/xxyy/df/mail.asp
  http://www.krshop.info/xxyy/dfotp/mail.asp
  http://www.krshop.info/xxyy/pm/mail.asp
  http://www.krshop.info/xxyy/hg/mail.asp
  http://www.krshop.info/xxyy/mxd/mail.asp
  http://www.krshop.info/xxyy/t1/mail.asp
  http://www.krshop.info/xxyy/mxdotp/mail.asp




<치료하는 방법>
  1. lpk.dll 악성파일 이름을 다른 이름으로 변경한다.
  2. 컴퓨터를 재시작 한 후 변경한 악성파일을 삭제 한다.




'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색닷컴_DirectKeyword2.exe  (0) 2011.08.05
[악성코드분석] 변조된 사이트 접속시 악성코드 감염주의  (0) 2011.08.04
[악성코드분석] 키로거 형태 악성코드 TeUpdate.dll, Crypt2.dll  (2) 2011.06.27
[악성코드분석] 광고성 악성코드 분석  (0) 2011.06.21
[악성코드분석] ws2help.dll 악성파일 분석  (10) 2011.06.21


[기사원문보기]


웹사이트를 평소처럼 방문했는데 갑자기 PC에 설치된 백신 프로그램이 악성코드에 감염됐다는 메시지를 보여줘 당황할 때가 있다. 웹사이트가 해킹돼 악성코드를 유포하고 있기 때문이다.

이런 형태의 공격으로 피해가 느는 이유는 금전적인 이익을 취하려는 해커 때문이다. 요즘은 해커의 공격 방식이 온라인 게임이나 스팸, 허위백신과 같은 매체에 특화돼 있고, 공격 기법 또한 전문화되고 있다. 일례로 국내에서 많이 유포되는 온라인 게임핵의 경우 계정을 탈취하는 게임의 종류나 악성코드 내부 기능들이 처음부터 국내 PC환경에 맞게 제작된다.

해커의 공격 방식이 점점 고도화되고 있지만 웹 환경은 여전히 보안에 취약하다. 평범한 웹사이트가 해킹돼 악성코드를 유포하기 시작한 것은 이미 오래 전부터의 일이다. 보안업계 종사자뿐 아니라 일반 사용자들도 잘 아는 내용이지만 상황은 악화일로에 있다.

유포된 악성코드들은 대부분 사용자 정보를 탈취하는 것들이고, 이 정보는 사이버 블랙마켓 등에서 판매될 것이다. 웹 사이트를 통한 악성코드 유포는 특정 그룹을 타깃으로 공격할 수 있다. 효과도 매우 뛰어나다. 때문에 악성코드 제작자들은 더 이상 이메일이나 P2P를 이용해서 악성코드를 유포하지 않는다.
3·4 DDoS 공격 당시 악성코드를 유포했던 업체들의 대부분은 공격이 발생하기 수개월 전부터 홈페이지에서 다른 악성코드를 유포하고 있었다. 그 가운데 일부 사이트는 현재도 악성코드를 유포한다.

이런 위협에 대처하는 가장 좋은 방법은 예방이다. 일단 서버가 해커에 손에 들어가면 백도어를 찾기란 쉽지 않다. 찾아낸다 해도 이미 주변 시스템들까지 모두 장악된 터라 문제가 재발하는 경우가 많다. 악성코드를 유포하는 대부분 사이트들의 관리자는 해킹된 사실을 모른다. 이를 인지해도 근본적인 문제가 해결되기 전까지 계속 해커에게 이용된다.

웹 보안 강화를 위한 자료들이 많기 때문에 웹사이트 관리자들은 이런 상황에서 무엇을 해야 하는지 이미 잘 알고 있을 것이다. 상황을 개선하기 위해 필요한 것은 기술적 완성도를 높이는 것보다 개선을 위한 결정권자의 강력한 의지와 지원임을 잊어선 안된다.




'할롬::컴터 > 칼럼' 카테고리의 다른 글

[칼럼] 중국 크래커 양성 최대 지원국은 ‘한국’?  (0) 2011.07.14
[칼럼] 보안염려증? 보안불감증보단 낫다!  (0) 2011.06.23
개인정보보호법 발효에 앞서  (0) 2011.06.07


select rid,rglexp from mstrinfo where rglexp like '%href%'  정규표현식으로 검색 
 
select rglexp from mstrinfo where rid = 2018 룰번호로 검색
< DIV >  
select * from lgintry where intryip is null order by intrydt desc limit 10; (null 값 찾기)
 

1. create database 디렉토리명;  (디렉토리 생성)
 
2. use 디렉토리명; (해당 디렉토리로 이동)
 
3. create table 테이블명(필드 int, 필드 char(8), ....);  (테이블 생성)
   a. text (하드용량이 가능한 양의 텍스트 무한대)
   b. datetime(날짜,시간)
   c. int not null auto_increment primary key(자동키값증가)
   d. int (숫자값)
   e. char(비트값)   (문자값)
 
4. show tables;  (테이블의 갯수 확인)
 
5. desc 테이블명;  (함수내용 확인)
 
6. drop table 테이블명; (테이블 지우기)
 
7. insert into 테이블명 (테이블 속성, 속성, 속성...) value(3, "천재", 3......); (테이블 내용입력)
 
8. select * from 테이블명; (테이블 내용확인)
 
9. update 테이블명 set 필드명=3 where 참조필드명=5;
   (참조하여 필드값 수정)
 
10. select * from 테이블명 order by 필드명 desc;
     (해당 필드명 내림차순 정렬)
 
11. select * from 테이블명 order by 필드명 asc;
     (해당 필드명 오름차순 정렬)
 
12. select 필드명,필드명 from 테이블명; (특정 필드만 호출)
 
13. select *, 필드명+필드명 as 새로운필드명 from 테이블명;
    (맨 오른쪽 특정필드명을 합한 새로운 필드명 생성)
 
14. select *, 필드명+필드명 as total,(필드명+필드명)/2 as avg from
     테이블명; (맨 오른쪽 특정 필드명의 합한 total 생성 및 특정
                    필등명의 합계의 2로 나눈 avg란 필드 생성)
 
15. update 테이블명 set 필드명=10; (해당 필드의 모든 값이 10 변경)
 
16. update 테이블명 set a=a+1 where b=3;
    (a란 필드값들중 b란 참조값이 3이 되는 것이  1+ 로 변경)
 
17. delete from 테이블명 where 필드명=6;
    (필드명 값중 6에 해당되는 한줄 모두 삭제)
 
18. select * from 테이블명 where 필드명>3;
    (3보다 작은 필드 값만 찾아서 출력)
 
19. select * from 테이블명 where 필드명=3;
    (3하고 같은 필드 값만 찾아서 출력)
 
20. select * from 테이블명 where 필드명a>3 and 필드명b>5;
    (a와 b 중에 3과 5가 동시 해당되는 필드값만 출력)
 
21. select * from 테이블명 where 필드명a>3 or 필드명b>5;
    (a와 b 중에 3과 5가 하나라도 해당되면 필드값 출력)
 
22. select * from 테이블명 where not(필드명a>3 and 필드명b>5);
    (a와 b 중에 3과 5가 동시 해당되는 필드값이 아닌것만 출력)
 
23. select * from 테이블명 limit 2.4;
    (순서대로 입력한 필드값을 기준으로 2번째에서 4번째만 출력)
 
24. select *from 테이블명 order by 필드명 limit 3,5;
    (정렬한 필드명 값을 기준으로 3번째에서 5번째까지 출력)
 
25. select sum(필드명) from 테이블; (필드값 전체 합계)
 
26. select avg(필드명) from 테이블; (필드값 전체 평균)
 
27. select min(필드명) from 테이블; (필드값 전체중 최저값)
 
28. select max(필드명) from 테이블; (필드값 전체중 최고값)
 
29. select count(필드명) from 테이블; (필드값의 전체 항목 수)
 
30. select 필드명,필드명,if(필드>5, "과다" , "과소");
    (필드값 중 기준값 5에 대한 비교값 출력)
 
31. alter table 테이블명 add name char(8);   (새로운 필드명 추가)
 
32. alter table 테이블명 drop 필드명;
     (해당 필드명 삭제)
 
33. alter table 테이블명 change 전필드명 변경필드명 int;
    (필드명 변경)
 
34. alter table 테이블명 modify 필드명 int;
    (전필드명은 char() 값이였고 int 값으로 변경하였음)
 
35. show databases; (데이타베이스 사용자 정보 출력)
 
36. show tables from 데이타베이스명; (데이타베이스의 테이블 출력)

'할롬::컴터 > DB' 카테고리의 다른 글

[Mysql] DB Export & Import 방법  (0) 2011.06.28
[Mysql] 크래쉬 된 DB 복구하자  (0) 2011.06.28

기존 DB 정보를 백업하여 복구하는 절차에 대하여 알아보도록 하자.

1. 우선 DB 접속 한다.
> use 데이터베이스명;

2. 특정 디렉토리 안에 백업하도록 하는 명령어
> SELECT * INTO OUTFILE '/tmp/filename.dat' FIELDS TERMINATED BY 0xff FROM 테이블명;
※ /tmp 라는 디렉토리에 해당파일명으로 특정 테이블 내용을 저장 하겠다는 명령어이며 파일명은 테이블명이랑 동일하게
사용하는게 안 헷갈리고 좋다.


여기까지 했으면 /tmp 디렉토리에 filename.dat 란 파일이 얌전하게 생성되어 있을 것이다.

자, 그럼  이제 백업한 파일을 새로운 DB 에 복구 해보자.

3. 사전 백업 받은 파일은 복구할 /tmp 디렉토리에 옮겨 놓은다음 DB에 접속~
> use 데이터베이스명;

4. 이제 복구를 해보자. 복구 명령어는 아래와 같다.
> LOAD DATA INFILE '/tmp/filename.dat' INTO TABLE 테이블명 FIELDS TERMINATED BY 0xff;

5. 복구를 했으니 제대로 Import 되었나 확인 해보자.
> select * from 테이블명;

복구한 데이터가 제대로 나오면 끝~

'할롬::컴터 > DB' 카테고리의 다른 글

[정보] DB 명령어 모음  (0) 2011.06.28
[Mysql] 크래쉬 된 DB 복구하자  (0) 2011.06.28

MySQL 테이블이 크래쉬 되었을 경우 복구 방법이 두 가지가 있다.

우선 MySQL 터미널 접속 후

> use 데이터베이스명;
> repair table 테이블명;

위 명령으로 복구가 안될 경우에는 myisamchk 라는 MySQL 의 외부 유틸리티를 사용하여 복구를 진행하면 된다.

> service mysql stop (MySQL 서비스 중지)
> cd /usr/local/mysql/var/websray (웹스레이 DB 폴더로 이동)
> myisamchk -r 테이블명 (복구 진행)
> service mysql start (MySQL 서비스 기동)

'할롬::컴터 > DB' 카테고리의 다른 글

[정보] DB 명령어 모음  (0) 2011.06.28
[Mysql] DB Export & Import 방법  (0) 2011.06.28


[기사원문보기]


어도비 플래시 플레이어 취약점 공격 84%가 한국 겨냥

어도비 플래시 플레이어의 최신 취약점인 CVE-2011-2110(메모리 충돌 취약점)을 이용해
사용자의 PC를 장악하는 형태의 공격이 증가하고 있다.

마이크로소프트 악성코드 대응센터는 CVE-2011-2110 취약점을 이용하는 악성코드가 지난 6월 17일경에 최초 출현했으며
19일 경 감염된 수치는 약 17,000여대로, 그 수치가 증가하고 있다고 밝혔다.




국가별로 살펴본 결과 한국의 PC가 약 15,000대에 달해, 전체 공격 중 84%정도를 차지하는 것으로 나타났다.

CVE-2011-2110 취약점을 이용하는 공격은 주로 취약한 웹사이트의 콘텐츠에 익스플로잇(main.swf)을 삽입하거나
SQL Injection 공격을 통해 DB상에 익스플로잇을 유포하는 경유지 URL을 삽입해 변조하는 방법이 주로 이용되고 있다.

문일준 빛스캔 대표는 “앞서 국내에서 감염된 사례를 분석해 보면 P2P(파일 공유), 온라인 매체, 커뮤니티 사이트를 대상으로
삼고 있다”며 “이들 대부분은 일방문자 수가 최소 1만명 정도를 넘어서는 것으로 파악돼 감염 시 피해가 크게 확산될 수 있어
우려된다”고 밝혔다.

백신(안티바이러스)에서 진단하지 못하는 경우 사용자가 해당 사이트를 방문하는 동시에 감염되는 심각한 문제가 발생할 수 있다.
따라서 백신에만 의존할 것이 아니라 PC 보안을 위한 사용자의 적극적인 자세가 필요하다.

문일준 대표는 “인터넷 서핑 시 의심스럽거나 불법적인 사이트는 방문을 자제하고 매달 정기적으로 제공되는 윈도우 보안 패치를
반드시 설치해야 한다”며 “아울러 어도비 아크로뱃 리더, 플레시 등의 제품을 수시로 업데이트 하는 것이 좋다”고 당부했다.

'할롬::컴터 > 보안이슈' 카테고리의 다른 글

[정보] 국내 최초의 캐릭터 백신 - 뿌까백신  (0) 2011.07.28
중국발 네이트닷컴 로긴 시도 흔적 확인  (0) 2011.07.22
[뉴스] 룰즈섹 ‘해커 악동’ 잡혔다… 英서 주모자급 19세 체포  (0) 2011.06.22
[뉴스] 1분기, 멀웨어 공격 늘었다  (0) 2011.06.07
[뉴스] 전세계 악성프로그램 89%, 10개 나라에서 유포  (0) 2011.06.07

 




올 초에 확인 된 악성코드인데 기록용으로 남기기 위해서 걍~ 포스트 한다.
해당 악성코드는 이미 예전에 Crypt2.dll 로 많이 알려져 있으며, 이름과 저장위치만 다르고 동작방식은 동일하다.

- 파일명은 TeUpdate.dll이며 레지스트리에 Ginadll로 등록되어 로컬로그인 및 터미널 원격접속 시
faxmode.inc 파일을 생성하여 사용자 계정정보를 탈취하는 키로그 형태의 공격으로 확인 되었음.

<파일위치>
  c:\Windows\system32



- 해당 악성파일이 Winlogon.exe 프로세스에 Inject 되어 있음





- Winlogon 레지스트리에 Ginadll로 등록이 되어 있음





<키로거 저장 위치>
  C:\WINDOWS\system32\spool\drivers\color\faxmode.inc


- faxmode.inc 내용






<제거 방법>
  1. 레지스트리 ginadll 검색하여 해당 내용 삭제
  2. 안전모드로 재부팅 후 C:\Windows\system32\teupdate.dll 파일 삭제
  3. faxmode.inc 파일은 맘대로 하시면 됨
 


'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 변조된 사이트 접속시 악성코드 감염주의  (0) 2011.08.04
[악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드  (0) 2011.06.29
[악성코드분석] 광고성 악성코드 분석  (0) 2011.06.21
[악성코드분석] ws2help.dll 악성파일 분석  (10) 2011.06.21
[악성코드분석] Winweng.exe 악성코드 분석  (0) 2011.05.26






지난 번 ws2help.dll 악성코드와 동일한 공격방식으로 분석이 아니라 자료를 남기고자 리포팅 한다.

<ws2help.dll 분석 리포트>
  - 분석 리포트 보기


인터넷 서핑 중 악성코드에 감염되어 확인 결과
유포지가 우리나라 보안기업 홈페이지로 확인이 되었다.

대부분 영세한 기업의 홈페이지는 호스팅 업체에 맡기고 있으니 보안업체라고 다 보안이 되는건 아니지만
보안업체 홈페이지에서 유포되니.. 참.. 안타깝다.

악성코드 유포지는 다음과 같으며 아직 유포중인 관계로 * 처리를 하였다. (내 스딸이 아니긴 한데..ㅋ)

<악성코드 유포지>
  http://do**.han****.co.kr/HanZip_Ins/info/ko.html
  http://do**.han****.co.kr/HanZip_Ins/info/1.html
  http://do**.han****.co.kr/HanZip_Ins/info/2.html
  http://do**.han****.co.kr/HanZip_Ins/info/nb.js
  http://do**.han****.co.kr/HanZip_Ins/info/2.js
  http://do**.han****.co.kr/HanZip_Ins/info/nb6.swf
  http://do**.han****.co.kr/HanZip_Ins/info/nb8.swf



각 악성코드 내용










'할롬::컴터 > 악성코드소식' 카테고리의 다른 글

[악성코드소식] Space와 Tab키를 이용한 보이지 않는 JavaScript를 이용한 악성코드 유포 (2012.1.1)  (0) 2012.01.03
[분석툴] JSUNPACK :: JavaScript Unpack 사이트  (0) 2011.10.05
[악성코드소식] ws2help.dll 변종 악성코드로 인한 부팅 장애 발생  (0) 2011.07.06



보통 해커들은 자신이 만든 악성코드가 쉽게 발견되지 않도록 하기 위해서 난독화란 방식을 사용합니다.
이러한 방식을 사용하는 이유는 악성코드의 생명주기를 연장시켜 더 많은 감염자를 발생시키기 위함이죠..

웹 서핑을 하던 중 IP주소를 Base10 방식으로 변환 해도 웹 브라우저에서 인식 한다는 내용을 보고 테스트를 해 보았습니다.

우선 IP 주소가 있어야 하기 때문에 "nslookup" 명령어로 대상 사이트의 IP주소를 확인합니다.
테스트를 위하여 구글을 사용해보자. 검색하여 나온 IP는 다음과 같습니다.

- 74.125.153.99

여러개 있지만 하나만 확인해도 되니..

어쨌든, IP 주소를 확인 했으니 Base10 방식으로 변환 해보겠습니다.
계산 법은 다음과 같습니다.

- {74 * (256^3)} + {125 * (256^2)} + {153 * (256^1)} + {99 *  (256^0)} = ?

계산기로 계산 해보면 결과는
1,241,513,984 + 8,192,000 + 39,168 + 99 = 1249745251 입니다.
 
이를 주소창에 입력하면 끝.

http://1249745251

덤으로 hex 값으로 변환 시켜도 됩니다.

http://0x4A7D9963

** 참고로 아래 사이트에서 주소변환 서비스를 제공하고 있으니 시간이 없으신 분들은 바로 해보시면 좋으실거 같습니다.

https://ipaddressguide.com/ip





'할롬::컴터 > 정보보안' 카테고리의 다른 글

[보안상식] 윈도우 무한 재부팅 원인 확인 및 해결 방법  (0) 2011.09.16
Adobe Flash Player 최신버전으로 업데이트  (0) 2011.08.29
Adobe Flash Player 구버전 다운받기  (0) 2011.08.29
[보안상식] 1PC 1백신을 권장하는 이유  (1) 2011.07.06
[보안상식] 공유폴더 보안 설정 방법  (0) 2011.07.05


[기사원문보기]

많은 사람들이 매달 둘째 주 수요일 아침부터 분주하지 않을까 싶다(만약 그렇지 않다면 이제부터 바쁘게 보낼 필요가 있다!). 바로 정기 윈도우 업데이트가 발표되는 날이기 때문이다. 필자도 출근 후 회사에서 사용하는 3대의 컴퓨터에 윈도우 보안 업데이트를 적용하고 이후 가상환경에 설치한 윈도우도 보안 업데이트를 진행한다. 대략 10번 이상 업데이트를 진행하므로 매달 둘째 주 수요일은 오전 시간을 업데이트로 다 보내고 있다. 이렇게 보안 업데이트에 신경 쓰는 이유는 보안업데이트를 적용하지 않으면 취약점을 이용한 악성코드 공격 받을 가능성이 높기 때문이다. 여기까지는 보안에 관심 있는 일반적인 사용자들도 하는 일이다.


백신업체에서 악성코드 분석하는 업무를 하다 보니 수많은 보안사고를 접하고 있다. 세상에 믿을게 없다는 지독한(?) 불신을 가지면서 스스로 보다 안전한 컴퓨터 환경을 위해 ‘가상화’, ‘습관’, ‘고민’의 도움을 받고 있다.


재작년부터 ‘가상화’ 프로그램을 이용해 컴퓨터 안에 또 다른 컴퓨터 환경을 구축해 두었다. 가상환경은 ‘업무’, ‘인터넷 서핑’, ‘인터넷 뱅킹’, ‘웹하드’, ‘악성코드 분석’ 등으로 나눴다(이 글도 가상환경에서 작성 중이며 작성 문서는 네트워크 드라이브로 실제 시스템에 저장된다). 공격자 입장에서 보면 하나의 가상 환경 내 시스템을 장악할 수는 있어도 주요 정보가 있는 실제 컴퓨터나 다른 가상 컴퓨터를 또 장악해야 하므로 공격이 분명 더 어려워진다. 단, 여러 대의 가상환경을 돌릴 만큼 시스템 성능이 뒷받침 되어야 하므로 상대적으로 최신 시스템이 필요하다.


‘업무’ 환경은 회사 메일 확인과 문서 작업이 가능하게 해뒀고 인터넷 서핑 환경은 인터넷 서핑에필요한 플래쉬 플레이어와 PDF 뷰어 외에는 설치하지 않고 다른 프로그램은 필요할 때마다 설치하고 있다. 인터넷 서핑은 가상환경을 종료하면 이전 상태로 복원되도록 했다. 인터넷 뱅킹 역시 중요한 공인인증서가 보관되어 있으므로 별도로 구성해 두었고 최근 프로그램 업데이트를 통한(특히 웹하드) 악성코드 감염이 증가하고 있어 웹하드 역시 별도 환경으로 분리해 두었다.


실제 시스템에는 주요 악성코드 감염 경로인 문서 편집 프로그램, PDF 뷰어, 플래쉬 플레이어 등은 아예 설치 하지 않았다. 주요 자료는 실제 시스템에 보관해 혹시 가상환경 내 시스템이 악성코드에 감염되어도 접근할 수 없게 해 정보 유출 가능성을 최소화했다.


가상환경 구축만큼 중요한 건 사용 ‘습관’이 아닐까 싶다. 가상화를 구축해도 정작 하나의 가상환경에서 회사 업무도 보면서 인터넷 서핑도 하고 문서 작업도 한다면 악성코드 감염 가능성이 그만큼 높아진다. 따라서, 가상환경을 용도별로 잘 분류해서 해당 용도에만 사용하는 습관이 가상환경 구축만큼 중요하다(사실 가장 좋은 방법은 용도별로 물리적으로 컴퓨터를 분리하고 별도의 인터넷 선을 사용하는 방법이지만 현실적으로 쉽지 않다). 처음에는 다소 불편하지만 회사 메일 확인 등을 하는 업무 가상환경에서는 특별한 경우가 아니면 인터넷 서핑을 하지 않으며 외부에서 받은(회사 직원이 보낸 메일이라도) 문서도 열어보지 않는다. 이들 가상 환경은 윈도우 업데이트 될 때마다 이전 환경으로 복원 후 보안 업데이트를 진행한다. 한달 사이에 악성코드나 외부 침입이 있더라도 생존 기간은 한달 정도가 된다. 제품을 구매할 때도 보안을 고려해 얼마 전 해외 출장을 준비 할 때 애플 맥북 에어를 구매했다. 이전에 사용하던 노트북보다 가볍고 무엇보다 악성코드나 해킹의 가능성이 윈도우보다는 낮기 때문이다(가능성이 낮다는 얘기지 불가능하지는 않다). 윈도우가 꼭 필요한 상황일때는 역시 가상화를 이용하면 된다.


공격자들도 사용자 시스템을 장악하기 위해 여러 가지 방안을 마련하므로 최신 공격 방식을 파악하고 좀 더 효과적인 대응 방안을 ‘고민’하고 있다. 시스템 보안뿐 아니라 암호 역시 마찬가지이다. 언론을 통해 어려운 암호를 사용해야 한다고 계속 보도되고 있지만 아무리 어려운 암호도 동일하게 사용한다면 해킹된 다른 사이트를 통해 수집한 아이디와 암호를 대입하는 방식으로 쉽게 뚫릴 수 있다. 필자는 일반, 포털, 금융, 쇼핑 등으로 나눠서 암호를 다르게 사용했다. 하지만, 해킹 위협이 계속 증가하면서 요즘은 자신만의 알고리즘을 만들어 사이트마다 다르게 적용을 시도 하고 있다. 이제는 다른 암호뿐 아니라 용도별로 아이디를 다르게 구분할 예정이다.


하지만, 이렇게 보안에 신경을 쓴다고 해도 공격자가 공격할 수 있는 허점은 물론 존재한다. 가상환경을 구성하는 중간에 악성코드에 감염된다면 악성코드를 포함한 상태로 이미지가 만들어져 완벽한 보안이라고 할 수 없다. 어떤 가상환경을 사용하는지 알 수 있다면 가상환경 프로그램 자체의 취약점을 이용해 가상환경을 벗어나 실제 시스템으로 접근할 수 있다. 암호 역시 사이트마다 다르게 만들어도 일정한 규칙이 있다 보니 1-2개의 암호만 알아 낸다면 다른 암호도 비교적 쉽게 추정할 수 있다. 암호 알고리즘을 더 어렵게 만들어야겠지만 정작 본인이 기억 못할 수 있고 잦은 암호 변경은 자주 방문하지 않는 사이트의 비밀번호를 모르는 상황을 야기한다.


가상공간 아니면 인터넷을 사용하지 않으려는 필자를 보면 지나치게 건강을 걱정하는 ‘건강염려증’처럼 지나친 걱정이 아닐까 싶지만 이 정도는 기본으로 해야 하는 시대가 왔다고 생각된다. 나하나 때문에 자신의 회사 보안이 뚫릴 수 있다고 생각한다면 이런 ‘보안염려증’이 ‘보안불감증’보다 낫다는 믿음을 가지고 있다


'할롬::컴터 > 칼럼' 카테고리의 다른 글

[칼럼] 중국 크래커 양성 최대 지원국은 ‘한국’?  (0) 2011.07.14
[칼럼] 악성코드 유포하는 웹사이트 해법은  (0) 2011.06.29
개인정보보호법 발효에 앞서  (0) 2011.06.07



[기사원문보기]


미국 중앙정보국(CIA)과 미 공영방송 PBS, 미 상원, 전자업체 소니 등의 웹사이트를 해킹한 해커집단 룰즈시큐리티(룰즈섹)의 지도자급으로 보이는 10대 해커가 20일 영국 경찰에 체포됐다. 4명가량으로 구성된 것으로 추정되는 룰즈섹의 멤버가 잡힌 것은 처음이다.

런던 경찰청은 21일 공식 성명을 통해 “경찰청 중앙사이버범죄 수사팀이 20일 밤 영국 서남부 에섹스 주 윅퍼드에서 19세 용의자를 체포해 조사 중”이라며 “방대한 증거자료를 확보해 과학수사를 펼치고 있다”고 밝혔다. 영국 일간 미러와 정보기술(IT) 전문 블로그들은 이 10대 용의자가 룰즈섹의 각종 해킹을 주도해 온 ‘지도자(mastermind)’라고 전했다. 용의자를 체포한 이후 룰즈섹의 트위터 계정에는 새로운 글이 올라오지 않고 있다.

10대 용의자 체포는 영국 경찰과 미 연방수사국(FBI)의 공조 수사로 이뤄졌다. 룰즈섹은 CIA 등 미국 주요 기관에 대한 해킹 공격 후 자신들에게 집중된 수사를 비웃듯 추가적인 해킹 공격을 공공연히 경고해 왔다.

20일엔 룰즈섹과 또 다른 해커집단 어나너머스가 세계 각국의 정부 및 주요 기관을 목표로 삼아 ‘연합공격’을 가하겠다고 밝혔다. 룰즈섹은 성명에서 “우리가 최우선 공격 목표로 삼은 것은 e메일 등 정부의 정보와 자료를 훔쳐내 퍼뜨리는 것”이라고 밝혔다. 주요 목표물은 은행과 주요 정부기관이라고 덧붙였다. 이들은 이날 영국의 중앙수사기관인 중대조직범죄청(SOCA) 웹사이트를 디도스(DDoS·분산 서비스 거부) 공격해 마비시켰다.

한편 미국 시사 주간지 포브스는 21일 영국 매체 더리지스터의 보도를 인용해 룰즈섹이 최근 10년 만에 이뤄진 영국의 인구주택총조사(센서스) 자료를 훔쳐낸 정황이 있다고 전했다.








'할롬::컴터 > 보안이슈' 카테고리의 다른 글

중국발 네이트닷컴 로긴 시도 흔적 확인  (0) 2011.07.22
[뉴스] 악성코드, 한국만 노리는 코드로 진화한다  (0) 2011.06.28
[뉴스] 1분기, 멀웨어 공격 늘었다  (0) 2011.06.07
[뉴스] 전세계 악성프로그램 89%, 10개 나라에서 유포  (0) 2011.06.07
[뉴스] 경쟁 게임사이트 15곳 디도스 공격한 일당 검거  (0) 2011.05.27

티스토리툴바