posted by Kwan's 2013.08.17 18:40


최근 공부하는것 중 메일서버에 대한 이야기를 들어서 이렇게 도식화를 그려본다. 사용자가 보낼때는 SMTP 포로토콜를 이용하여 전송을 하며 메일서버를 거치면서 상대방에게 가기까지는 모두 SMTP 프로토콜을 이용한다. 하지만, 받는 사람은 메일 서버에 도착되어 있는 메일을 클라이언트로 가져올 때 적용되는 프로토콜 사용하는 POP3/IMAP 프로토콜를 이용하여 확인을 하게 된다.


SMTP (Simple Mail Transfer Protocol) : 클라이언트가 메일을 보내거나, 메일 서버끼리 메일을 주고 받을 때 적용되는 프로토콜 이며 사용하는 TCP 포트번호는 25번이다. 


POP3(Post Office Protocol) : 메일 서버에 도착되어 있는 메일을 클라이언트로 가져올 때 적용되는 프로토콜

윈도 라이브 핫메일, G메일, 및 Yahoo! 메일과 같은 대부분의 웹 메일에서 지원한다.


IMAP(Internet Mail Access Protocol) : 온라인 모드와 오프라인 모드를 모두 지원하므로 POP3를 사용할 때와 달리 이메일 메시지를 서버에 남겨 두었다가 나중에 지울 수 있다. 그러므로 다른 컴퓨터 환경에서 서로 다른 이메일 클라이언트가 같은 이메일을 받아올 수 있는 장점을 가지고 있다.


그렇다면 스팸메일에 대한 대처는 어떻게 하면 될까?


아래와 같이 스팸장비는 받는 메일 서버 바로 앞에 있다고 볼 수있다.

스팸메일을 전송할때 메일 서버를 이용하여 전송하는 경우도 있지만 다이렉트로 보내는 사람이 받는사람 메일 서버로 보낼 수도 있기 때문이다. 차단에 대해서는 아래 그림과 같이 차단을 한다. 차단이 된 메일에 대해서는 반송/삭제/보관과 같은 조치가 취해질 수 있다. 이를 통해 정상메일로 분류가 된다면 메일 서버를 통해 받는 사람에게 전달이 된다.


'security > 공부 하는 것들' 카테고리의 다른 글

TCP/IP 프로토콜 아키텍처  (0) 2013.08.21
메일 서버 원리 / 스팸 메일의 차단  (0) 2013.08.17
posted by Kwan's 2013.08.06 14:15


소포스랩에서 우리는 이전에 제로액세스(ZeroAccess) 맬웨어 계열의 위협에 대해, 그 본성을 탐구하고 이런 맬웨어 계열이 오랜 시간 지나면서 변화하는 것에 대해 문서화를 하면서 매우 심도 깊게 다루었습니다.

무슨 생각이 드나요?

맬웨어 제작자들은 또 다른 업데이트를 쏟아내고 있고 이번에는 확실히 재부팅을 지속하기 위해 재미있는 기술들을 사용하고 있습니다.

→ Persistence 는 APT(지능형 지속 공격- Advanced Persistent Threat)의 “P”를 말합니다. 여러분이 로그오프하고 다시 로그온 할 때나 재부팅할 때 만약 맬웨어가 자동으로 직접 다시 로딩된다면 맬웨어가 지속되도록 단순히 놓아두는 것입니다. 일반적으로 그것은 훨씬 오랫동안 사이버범인들을 도와주기 때문에 그것은 맬웨어를 더욱 위험하게 만듭니다.

제로액세스(ZeroAccess)의 이전 사용자모드는 그 파일들을 덜 확실하게 만들기 위해 Recycle Bin(보통 XP에서는 C:\RECYCLER 이거나 Vista 이상에서는 C:\$Recycle.Bin) 안에 생성된 폴더에 저장하였습니다.

그것은 또한 그 폴더의 액세스 컨트롤 리스트(Access Control List entries, ACLs)를 변경하여 어떤 사용자도 그 파일들을 읽거나 쓰지 못합니다.

이번에 그 파일들은 다시 사용된 ACL 속임수로 새로운 위치에 떨어뜨려집니다.

하지만 맬웨어 제작자들은 신원확인과 제로액세스(ZeroAccess) 컴포넌트 제거를 더욱 가로막기 위해 파일 경로와 레지스트리 엔트리에 RLO(right-to-left override)과 비인쇄(non-printable) 유니코드 문자를 또한 사용합니다.

이것이 무엇을 의미하는지 설명하도록 하겠습니다.

새로운 제로액세스 드로퍼(ZeroAccess dropper)는 %Program Files% 폴더와 사용자의 로컬 AppData, 2군데 위치에 스스로를 복사합니다.

각 복사본은 구글 제품의 일부인 것처럼 보이는 폴더 안에 위치하게 되는데, 비인쇄 유니코드를 사용하여 몇몇 윈도우 버전에서는 알아채기가 어렵습니다.

Vista 이상에서는, 그 폴더 이름이 탐색기를 사용하여 탐색할 수 없습니다.

비록 위에 보듯이 ACL 속임수에 의해 여전히 중지되지만, 우리는 Windows XP에서 좀 더 많은 것을 보게 됩니다.

더 많은 것을 얻기 위해, 우리는 그 폴더의 컨텐트를 보도록 허락하는 폴더의 소유권을 얻을 필요가 있습니다.

만약 우리가 헥스 에디터(hex editor)에서 사용되는 파일 경로를 조사하면, 비정상적인 유니코드 문자가 사용된 것을 알 수 있습니다.

그 폴더 구문은 다음과 같이 시작됩니다.

%PROGRAM FILES%\
  Google\
    Desktop\
      Install\
        {????????-????-????-????-????????????}\
          [SPACE][SPACE][SPACE]\
            ...\

다음은 위에서 헥스 에디터 스크린샷에 빨간색으로 표시된, 유니코드 문자를 따라서 만들어진 폴더입니다.

\x2e\x20 \xf9\xfb \x5b\x0e

첫 번째 글자는 히브리어와 같이 오른쪽에서 왼쪽으로 쓰는 언어를 지원하는 데 사용되는 ROL(right-to-left override) 문자입니다.

ROL은 맬웨어 제작자들이 악성 실행파일 타입의 확장자를 숨기기 위해 종종 사용합니다.

제로액세스(ZeroAccess) 제작자들은 윈도우 탐색기에서 표시되지 않는 다른 문자들과 서로 조합하고 있습니다.

이것은 파일들을 숨기고, 제거하기에 최고입니다.

시작시 이 폴더에 저장된 EXE 파일을 시작하도록 서비스가 생성됩니다.: 유니코드 문자 속임수가 그 서비스명에 다시 사용됩니다.

맬웨어는 서비스명이 gupdate처럼 보이게 하려고 시도하지만, 우리는 그 서비스가 알파벳순에서 잘못된 위치에 나타나기 때문에 Windows의 XP 이후 버전에서는 적합하지 않은 무언가가 있음을 알 수 있습니다.

그것은 ‘g’가 아니라 오히려 ‘e’로 시작하는 이름 사이에 있습니다.

우리가 그 서비스 엔트리에 대한 ImagePath 값의 데이터를 클릭하면, RLO 오버라이드를 맞닥뜨리자 마자 그 데이터가 거꾸로 나타나기 때문에 RLO문자를 볼 수 있습니다.

하지만, XP에서는 RLO문자가 지원되지 않아서 우리는 동그라미 친 것처럼 정확한 경로를 볼 수 있습니다.

제로액세스 페이로드는 이번 수정본에서는 변경되지 않았습니다.

맬웨어는 이 기술문서에 설명한 것처럼 동일한 P2P(peer to peer) 네트워크와 연결되어 현재는 주로 클릭 사기를 수행하는 모듈을 다운로드하고 있습니다.

하지만, 이번 업데이트는 활발한 개발이 여전히 진행 중에 있고, 그 제작자의 초점이 좀 더 어려운 프로세스를 발견하고 제거함으로써 시스템을 감염시키는 제로액세스(ZeroAccess)의 생명주기를 늘이는 데 있다는 것을 보여줍니다.

posted by Kwan's 2013.07.23 00:50


매 분기마다, 우리는 전 분기 대비 국가별 스팸트랩(spamtrap) 통계를 합하여 더티 더즌(Dirty Dozen)을 산출합니다.

물론, 이것은 하나의 “경쟁”으로 스팸 제공자의 프리미어 디비전(Premier Division)으로 승격되는 것으로 환희가 아닌 실망을 안겨줍니다.

승격/강등(promotion/relegation) 분석은 특히 지금이 적기입니다.

이번 분기에 3개 국가가 더티 더즌(Dirty Dozen)을 벗어났지만, 표에서 13-24 위 사이에 위치하는 스팸의 세리아 B(2부)보다 훨씬 낮게 떨어진 것은 아닙니다.

마찬가지로, 상위에 자리 잡았던 그 3개 국가는 13-24위 범위에서 나왔습니다.

그리고, 마치 여러분이 좋아하는 축구 리그처럼, 높은 주가를 올리는 대다수의 국가들은 최상단에 머물고 있었습니다.

그럼 소포스랩 스패미어쉽 리그표(SPAMMIERSHIP League Table)를 보도록 합시다:


고해상도의 이미지를 보기 위해서는 이미지를 클릭하세요

미국이 대체로 “우승”하고 있는 스패미어쉽의 맨유(Manchester United)라는 것이나 중국과 인도가 상위근처에서 종종 발견되었다는 것은 꽤 놀랍지 않습니까?

중국과 인도 양국에서는 각각 10억 이상의 인구가 있고 이들의 인터넷 접속에 대한 요구의 갈망이 증가하고 있기 때문에, 중국과 인도가 더티 더즌(Dirty Dozen)에서 제외되고 다른 국가를 보길 기대할 수 있을까요?

미국은 3억 이상의 인구와 세계 최고의 인터넷 연결을 자랑하기 때문에, 다른 국가가 그 스팸 선두 그룹을 노골적으로 이끌어가는 것을 보길 기대할 수 있을까요?

그러면, 만약 우리가 각 국가의 인구 비율에 따른 기록을 측정한다면 어떻게 될까요?

상당히 다른 이야기가 드러나기 때문에, 이제 흥미로운 일이 벌어집니다.


고해상도의 이미지를 보기 위해서는 이미지를 클릭하세요

스팸의 양(量)을 기반으로 했을 때 나타났던 국가들의 반은 사라지고, 룩셈부르크나 싱가포르같이 보통 눈에 띄지 않던 국가들이 갑자기 표에 등장하였습니다.

놀라지 마세요.

이것은 대체로 법을 잘 준수하는 싱가포르가 스팸 메일과 관련된 사이버 범행들의 끓어오르는 늪이 된 것을 의미하는 것은 아닙니다.

비록 더티 더즌(Dirty Dozen)이 각 국가의 컴퓨터들이 스팸 메일을 전송하는데 사용되고 있는 척도를 나타내긴 하지만, 그것이 스패머들 자체가 그 국가에 있다는 것을 말하는 것은 아니라는 것을 명심하세요.

요즘 대부분의 스팸은 간접적으로 보내지고 있습니다. 특히나 다음과 같이 그것이 명백하게 악의적인 경우에는 말입니다.

  1. 피싱 이메일(Phishing emails). 이것은 여러분을 속여 여러분이 거래하는 은행이나 웹메일의 실제 사이트와 똑같이 만든 사이트에 비밀번호를 입력하도록 합니다.
  2. 맬웨어 링크(Malware links). 이것은 여러분이 링크를 클릭하도록 강요하여, 여러분의 브라우저를 해킹된 웹사이트로 가져감으로써 여러분에게 직접적으로 해를 끼치게 합니다.
  3. 맬웨어 전송(Malware deliveries). 이것은 허위 견적서와 같은 가장(false pretences)을 사용하여 여러분이 감염된 첨부파일을 열도록 여러분을 속이는 것입니다.
  4. 신원도용(Identity theft). 이것은 여러분을 초대하여 종종 재택근무 기회를 제공한다고 주장함으로써 개인적으로 신원정보를 보내도록 합니다.
  5. 투자관련 스캠(Investment scams). 이것은 잘하면 규제를 받지 않고 최악의 경우는 완전한 신용사기가 되는 투자 계획을 이야기 하는 것입니다.
  6. 선금 사기(Advance fee fraud). 이것은 부(富)나 로망스를 약속하지만, 미리 지불해야 하는 많은 종류의 수수료나 뇌물, 비용이 있습니다.

만약 이런 종류의 사이버범죄 배후에 있는 사기꾼들이 그들 자신의 컴퓨터를 사용했더라면, 그들이 보내고자 했던 대량의 스팸 메일을 보낼 수 없었을 것입니다.

또한, 그들이 그들 자신의 컴퓨터를 사용한다면 경찰을 그들의 디지털 문간 앞으로 이끌 것입니다.

대신에, 사이버범죄자들은 좀비로 알려진 보트(bots)에 매우 의존하는데, 그것은 다음에 수행할 명령(instructions)을 다운로드하기 위해 규칙적으로 서버에 연결하는 맬웨어에 감염된 사용자의 컴퓨터입니다.

이런 명령들에는 “이것은 표준 이메일 메시지이고, 이것은 이메일 주소록입니다. 그것을 모든 사람들에게 복사해서 보내세요.”와 같은 메시지가 담겨 있을지도 모릅니다.

따라서, 만약 여러분의 국가가 더티 더즌(Dirty Dozen)에 속한다면, 그것은 거의 확실하게 맬웨어에 감염된 보호되지 않은 컴퓨터의 수가 평균이상으로 많다는 것입니다.

그리고 만약 사이버범죄자들이 결코 들어본 적 없는 천명의 사람들에게 스팸 메일을 보내라고 비밀스럽게 여러분 컴퓨터에 말할 수 있다면, 여러분은 반사회적인 행위에 대해 왜 인터넷라인을 끊어버리지 못하는지 ISP와 논쟁하는 것은 내버려두고, 스스로에게 이렇게 물어봅니다. “그 범인이 나의 계정으로 할 수 있는 다른 것이 뭐가 있을까?”

요약하면, 스패미어쉽 리그표(SPAMMIERSHIP League Tables)는 우리 모두에게 컴퓨터 보안에 대해 매우 중요한 부분을 상기시켜 주는 방법입니다.: 즉, 만약 여러분이 스스로 해가 되는 상황에 처하게 되면, 아마도 다른 많은 사람들에게 결국 해를 입히게 될 것입니다.

다시 말해, 컴퓨터 보안에 대해 심각하게 받아들이는 것이 가장 쉬운 종류의 이타심입니다. 스스로 보호함으로써, 여러분은 동시에 다른 사람을 보호하는 것을 돕는 것입니다.