posted by Kwan's 2013. 2. 27. 16:00

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20500

만약 여러분이 Mac에 대한 맬웨어는 거의 없다고 여전히 생각한다면, 여러분은 쿠퍼티노(Cupertino)에 있는 꽤 유명한 과일 회사(Apple)의 보안 엔지니어와 말하기를 원할지도 모릅니다.

로이터 통신에 따르면, “Apple은 최근에 해커들에 의해 공격을 받았는데, 몇 몇 종업원들의 매킨토시 컴퓨터가 감염되었다.”고 합니다.

좀 더 구체적으로는, Apple 엔지니어들의 Mac OS X 노트북들이 지난주 Facebook을 공격했던 것과 동일한 제로데이(zero-day) Java 취약점에 의해 감염되었습니다.

Apple이 더 루프(The Loop)에 했던 성명서에서 Apple 대변인은 “그 맬웨어는 Apple과 다른 회사들(Facebook이나 Twitter등)을 공격할 때 사용되었고, 소프트웨어 개발자들을 위한 웹사이트를 통해 배포되었다”고 전했습니다.

공개적으로 이용 가능한 정보로부터 이 성명서는 이번 공격이 “워터링 홀 공격(watering hole attack)”으로 알려지게 된 것을 재확인하게 되었습니다.

그 컨셉은 회사를 직접적으로 공격하는 것보다 사람들이 자주 가는 사이트를 감염시키는 게 훨씬 더 쉽다는 것입니다.

Facebook과 Apple의 모든 보호막을 깨려고 시도하는 것은 매우 어렵게 될 것입니다.

하지만 Apple과 Facebook, 그리고 다른 고가치 표적들(high value targets)이 자주 방문할지도 모르는 작은 어플리케이션 개발자들의 웹사이트에 대한 보안을 위협하는 것이 훨씬 더 쉬울지도 모릅니다.

나는 Apple OS X가 온라인 공격의 배후에 있는 범인에 의해 더 이상 간과되고 있지 않는 맬웨어에 의해 타깃이 될 만한 사람들 사이에서 충분히 인기가 있다고 말하는 것이 타당하다고 생각합니다.

“어리석은 Mac 사용자만 자발적으로 맬웨어를 설치할 것이다”라고 말하는 사람들은 Apple 자사의 엔지니어들도 희생자가 될 수 있다는 것을 알게 되면 놀랄지도 모릅니다.

이것은 사용자의 역량이나 사람들이 종종 선택하는 웹사이트의 종류에 대한 것이 아닙니다. 패치되지 않은 취약성은 동일한 방법으로 우리 모두에게 영향을 끼치게 됩니다.

이것이 사용하는 플랫폼에 상관없이 안티바이러스를 필수적으로 사용해야 하는 이유입니다. 또한, IPS와 방화벽을 이용함으로써 네트워크 트래픽을 주의 깊게 모니터링 하는 것도 중요합니다.

그것은 최근 안티 바이러스와 만약 여러분이 감염을 막을 수 없다면, 시작시에 감염을 예방하지만 그것을 감지하는 효과적인 방어시작을 얻게 합니다.

사람들은 종종 그들의 방화벽을 단순한 방어 메커니즘으로 생각하지만, 그것은 법의학적인 목적으로 제공되기도 합니다.

만약 여러분이 Apple이나 Facebook을 이용하고 어떤 데이터가 여러분의 범죄 지배자들에게 수색되었는지 알아야 한다면, 여러분의 모니터링 솔루션으로부터 나온 자세한 로그들이 법의학 수사팀에게 필수적입니다.

2-3년간 로그정보를 유지한다는 것이 힘이 들긴 하지만, 여러분이 만약 감염을 당하게 된다면 그것은 여러분의 문제를 해결하는데 가치가 있을지도 모릅니다.

여러분은 이 결과로서 무엇을 해야 할까요? 만약 여러분이 Mac 사용자라면, 여러분의 컴퓨터를 확실히 패치해야 합니다. Apple은 이번 공격에 대응하기 위해 그날 오후에 자바 맬웨어 제거 툴(Java malware removal tool)을 발표할 것이라고 말하였습니다.

또한, 향후의 모든 공격을 발견하기 위해 안티바이러스를 최신으로 업데이트 하고, 여러분이 매일 매일 웹서핑을 하기 위해 자바가 필요하지 않는다면 브라우저에서 자바를 사용안함으로 하는 것이 좋습니다.

공평하게도, 그 충고는 컴퓨터 사용자들이 Windows나 OS X이나 Linux 어떤 것을 좋아하든지 모두에게 적용됩니다. 많은 시간을 안전한 상태로 있는 것이 편하지는 않지만, 길게 보면 투자할 가치가 있는 것입니다. 

댓글을 달아 주세요

posted by Kwan's 2013. 2. 21. 01:09

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20400


작년 동안, 소포스랩은 이미 패치가 적용된 MS 오피스의 오래된 취약점을 이용하는 중국의 소수민족들에 대한 공격에 대해 이야기를 해 왔습니다.

우리는 과거에 몇몇 공격들을 봐왔습니다.

이번 주 초에는, 에일리언봍트(AlienVault)의 직원이 Mac OS X의 오피스 제품에서 동일한 취약점을 사용한 또 다른 공격을 봤는데, 그것은 서부 터키의 위구르(Uyghur) 족을 타깃으로 하는 것입니다.

MS09-027로 알려진 그 취약점은 마이크로소프트 워드에서 원격 코드 실행을 허용하는 것이었고, 2009년 6월에 마이크로소프트에서 패치를 했었습니다.

그 의미는 패치되지 않은 컴퓨터에서 부비트랩 워드문서를 열면 여러분 Mac에 악성코드를 실행시킬 수 있다는 의미입니다. 여러분이 정신이 없어 워드파일의 내용을 읽게 되면, 맬웨어는 눈에 띄지도 않고 조용히 여러분 컴퓨터에 설치됩니다.

많은 Mac 사용자들은 Mac OS가 어떤 소프트웨어를 설치하기 전에 관리자의 사용자명과 비밀번호를 물어볼 것이라는 희망을 가지고 있겠지만, 그것이 유저랜드(userland) 트로이목마(Trojan)와 같은 공격에는 그런 메시지가 뜨지 않고, 관리자 신원정보를 요구 받지도 않을 것입니다.

왜냐하면 이것은 루트 권한을 요구하는 Mac OS X의 /tmp/ nor /$HOME/Library/LaunchAgents 폴더에 있지 않기 때문입니다. 소프트웨어 어플리케이션들은 어떤 어려움도 없이 userland에서 동작할 수 있고, 심지어 네트워크 소켓을 열고 데이터를 전송할 수도 있습니다.

소포스 제품들은 그 악성 문서를 Troj/DocOSXDr-B로 감지하고 그 맬웨어를 Mac 트로이목마 OSX/Agent-AADL로 감지합니다.

확실히 이번 캠페인 동안에 OSX/Agent-AADL는 약간의 성장이 있었습니다. 왜냐하면 우리가 3개의 서로 다른 버전을 봤기 때문인데, 그 첫 번째 것은 매우 흥미롭습니다.:

트로이목마의 최신 버전에서, 그 기능과 다양한 이름들은 밝혀졌고 그 쉘 스크립트 파일명은 더욱 더 감추어졌습니다.

다시 한번, Mac 사용자들은 그들 컴퓨터의 안전이 만족스럽지 않다는 것을 명심할 필요가 있습니다. 비록 Windows 용 맬웨어보다 Mac용 맬웨어가 훨신 적기는 하지만, 만약 여러분이 이와 같은 공격에 타깃이 된다면 어떤 보상도 없을 것입니다.

Windows 사용자들처럼 Mac 사용자들도 최신 보안 패치에 관심을 기울이고 그들의 소프트웨어를 최신 업데이트로 적절히 유지해야 할 필요가 있습니다.

만약 여러분이 아직 그렇게 하고 있지 않다고 하면, 여러분의 Mac에 안티 바이러스 소프트웨어를 설치하십시오. 여러분이 홈 사용자라면, 우리는 Mac 고객을 위한 무료 안티바이러스를 제안합니다.

댓글을 달아 주세요

posted by Kwan's 2013. 2. 7. 19:41


FBI는 페이스북 사용자의 계정을 해킹하고, 스카이프(Skype)를 통해 자신이 지켜보는 동안 수백 명의 여성들을 강제로 옷을 벋게 한 혐의로 27세 남자를 체포하였습니다.

캘리포니아 글렌데일(Glendale)의 Karen 'Gary' Kazaryan이 어제 연방 컴퓨터 해킹 혐의로 체포되었습니다.

법무부의 공식 발표에 따르면, Kazaryan은 피해자의 이메일과 페이스북 계정을 해킹하여 패스워드를 변경하였고, 나체사진과 반나체 사진들을 검색하였다고 합니다.

게다가, Kazaryan은 피해자의 패스워드와 친구 이름, 기타 개인정보 등 피해자에 대한 다른 정보까지 빼내었습니다.

여성인척 가장한 Kazaryan은 다른 잠재 피해자들을 속여 그들의 여자친구들 중의 한 명과 대화하고 있다고 믿게끔 하고, 그들이 웹캠 앞에서 옷을 벗도록 설득하였습니다.

Kazaryan은 그들이 만약 그의 요구에 순응하지 않으면, 그들의 페이스북 페이지에 피해자의 누드사진 몇 장을 올린다고 협박까지 하였습니다.

FBI는 Kazaryan의 컴퓨터에서 대략 3천여 장의 사진을 찾았다고 하는데, 350명 이상의 여성들이 "섹스토션(sextortion, 성적 강요)"이란 것으로부터 고통 받을지도 모릅니다.

만약 모든 기소들이 유죄로 판명되면, Kazaryan은 최대 105년 이상의 징역형에 처해질 수 있습니다.

FBI는 자신들도 피해자일지도 모른다고 생각하는 모든 여성들이 Los Angeles Field Office (310) 477-6565로 연락하도록 촉구하고 있습니다.

해커들은 어떻게 웹캠을 이용하여 그들의 성적 쾌감을 얻을까요.

수년 간, 우리는 웹캠을 이용하여 젊은 여성들을 훔쳐보고, 그들을 협박하여 옷을 벋게 하거나 성적인 행동을 하게 하는 해커들의 이야기를 많이 들어왔습니다.

예를 들어, 2005년 초 스페인 정부는 순진한 사용자들로부터 동영상 자료를 캡쳐했던 한 학생에게 벌금형을 내렸고, 은행 정보를 훔치는 동안 웹캠을 통해 피해자를 감시해 온 37세 남자를 체포했었습니다.

다음해, 더비셔(Derbyshire) 일케스튼(Ilkeston)의 잉글리쉬 타운에 사는 Adrian Ringland는 인터넷 채팅방에서 미성년자로 위장하여 입장하고 스파이웨어를 이용해 어린이들의 웹캠을 통해 노골적인 사진들을 훔친 혐의로 10년 징역형을 선고받았습니다.

그리고, 2008년에는 27세 캐나다 남자가 스파이웨어를 이용해 14세 보다 어린 여성들의 웹캠을 해킹하여 자신을 위해 옷을 벋도록 강요하여 기소되었습니다.

2011년에는 서부 캘리포니아의 한 남자가 100개 이상의 컴퓨터를 해킹하여, 거기서 훔친 개인정보를 이용하여 젊은 여성과 10대 소녀들의 성적으로 노골적인 동영상을 갈취한 혐의로 6년 징역형을 받았습니다.

하지만, 제가 들은 가장 놀라운 사건은 아마도 잠재적인 희생자의 노트북 화면에 에러 메시지를 나타냈다고 하는 남자의 케이스인데, 그는 희생자들을 속여 그들의 웹캠을 해킹하여 샤워기로 대체하여 보여주었습니다.

많은 홈 사용자들이 침실에서 무방비로 PC를 유지하고 있기 때문에, 특히 젊은이들 사이에서는 남용에 대한 상당한 잠재력이 분명히 존재합니다.

말씀 드리려고 하는 메시지는 간단합니다. 최신 위협들에 대해 여러분의 PC를 안티 맬웨어 소프트웨어, 보안 패치와 방화벽 등으로 지속적으로 보호하시고, 만약 의심이 든다면, 여러분이 사용하지 않을 때는 웹캠을 꺼두시기 바랍니다.

PS) 희소식은 가끔 웹캠 스파이활동이 해커들에게 역효과를 나을 수 있다는 것입니다.

2012년에, 조지아(Georgian) 정부는 그들 컴퓨터에 대한 인터넷 공격이 러시아 보안 기관과 관련되어 있다고 주장하였습니다.

하지만, 조지아 정부의 CERT (Computer Emergency Response Team)는 공격에 가담했다고 확신하는 해커의 컴퓨터를 비밀리에 해킹하고 그의 비디오 자료를 빼냄으로써 그 해커에 대해 보복하였습니다.

아마도 웹캠에 녹색불이 들어와 있을 때는 더 많은 주의를 기울인다는 것은 좋은 생각일겁니다.

댓글을 달아 주세요

posted by Kwan's 2013. 1. 28. 20:06


Google이 공식 안드로이드 앱 스토어에 있는 앱들을 감시하는 일을 충분히 잘하고 있을까요?

사기꾼들이 돈을 벌기 위해 합법적인 게임의 명성과 평판을 악용하며, Google Play에서 공개적으로 계속 다운로드 가능하게 하는 가짜 앱의 수로 판단하자면, 그것은 아닌 것 같습니다.

예를 들어, “abbaradon”이라 불리는 안드로이드 앱 개발자에 의해 만들어진 앱을 한번 살펴보시죠.(하지만, 설치하지는 마시길 바랍니다.):

'Plants vs Zombies'와 'PES 2012' (Pro Evolution Soccer)를 포함해 꽤 알려진 게임들 리스트가 거기에 있습니다.

'Plants vs Zombies'의 실제 안드로이드 버전은 Electronic Arts에서 개발하였는데, 유료 버전이며 수천 개의 리뷰가 있습니다.

하지만, Abbaradon 버전은 무료이며 Google Play 스토어에 있는 Description 밑에 눈에 띄지 않게 작은 글씨로 된 부분이 있습니다.

Plants vs. Zombies 무료! 좋은 평가만 남겨주세요. 질문이 있으시면 메일을 보내주세요. 이것은 게임 팬들에게는 특히나 놀라운 퍼즐입니다.

뛰어난 앱, 그것도 무료인 앱을 계속해서 제작하기 위해서는 앱을 만드는 데 시간과 비용이 들기 때문에, 우리는 우리의 앱을 현금화하기 위한 새로운 검색 서비스를 이용하고 있습니다. 이 서비스로 인해 우리는 여러분을 위한 더 훌륭한 앱을 개발할 수가 있습니다. 이 옵션은 여러분이 사용할 수 있도록 몇 가지 검색 포인트(아이콘, 북마크, 홈페이지)를 번들로 제공합니다. 여러분은 이것들을 손쉽게 제거할 수 있으며 우리 앱에는 어떤 영향도 끼치지 않습니다. 감사합니다!

그 앱 자체는 절대 Plants vs Zombies가 아닙니다. 그것은 단순한 그림 맞추기 퍼즐 타입의 앱인데 게임에 나오는 이미지를 사용하고 있습니다.

그리고, 그것은 Abbaradon도 아닙니다. 소포스랩은 지난 몇 주간, 순진한 사용자의 돈을 빼가려고 하는 수많은 유사 가짜 앱들을 봐 왔습니다. Google은 악한 개발자들을 근절시키려고 애쓰고 있지만, 그들은 자신들의 가짜 앱들을 단순히 새 이름으로 바꿔서 다시 업로드 시킵니다.

그래서, 만약 여러분이 이러한 앱들 중 하나를 실행시킨다면 무슨 일이 일어날까요?

아래 스크린샷에서 여러분은 우리가 PES 2012의 가짜 버전을 실행시켰을 때 어떤 일이 일어났는지 볼 수 있습니다.

그 프로그램은 광고지원형(ad-supported)이어서, 앱과 여러분의 안드로이드 기기의 알림창에 광고를 표시할지도 모릅니다.

더군다나, 그들은 여러분의 이메일과 전화번호 등 여러분에 대한 정보를 수집할 것이라고 얘기합니다. 만약 여러분이 광고 중 하나를 클릭한다면 써드파티 페이지로 연결됩니다.

그런데, 여러분이 하고 싶었던 것은 무료 축구 게임을 갖는 거였습니다.

하지만, 거기서 멈추지 않고 그 앱은 여러분의 브라우저 홈을 바꾸고, 북마크에 추가하고, 여러분 기기의 홈 화면에 아이콘을 추가할 것입니다. 이 모든 것은 앱 개발자가 돈을 벌도록 설계되었습니다.

아니나 다를까, 우리가 다운로드한 게임 아이콘 외에도 몇 개의 검색 아이콘들이 안드로이드 홈 화면에 추가되었습니다.

그 아이콘을 클릭하면, Moberium과 같은 검색엔진으로 이동합니다.

그 앱들은 Apperhand와 Clicxap, Airpush, Startapp과 같은 다양한 광고 프레임워크들을 사용하고 있는데, 유명한 게임의 프리버전인척 하면서 아마도 Google Play 스토어에 있는 앱들 주위에서 회자되는 개발자가 돈을 벌고 있습니다.

Google은 이런 식으로 사용자들을 속이는 앱 개발자들을 좋아하지 않습니다. 그래서 악의적인 개발자들은 다른 인증, 다른 이름을 사용하고 있는데, 그래서 그들의 패키지들이 매우 혼란스럽게 되어있어서 확실히 비슷해 보이지 않습니다.

비록 분석가들이 앱들이 비슷한 일을 하고 있다는 것을 알아내는 것은 쉬울지 몰라도, Google의 자동화 시스템은 그들의 안드로이드 앱 스토어에서 이런 가짜 수익 창출 앱을 발견하는 것은 훨씬 힘들어 보입니다.

소포스는 그 가짜 앱들을 Andr/NewyearL-B로 감지합니다.

안드로이드 맬웨어는 증가하고 있는 문제이며, 심지어 공식 Google Play 스토어에서도 그들의 방식으로 돈을 벌고 있는 악성 앱이 발견되었습니다. 예를 들어, 작년에 우리는 한 네이키드 시큐리티 독자가 Legend of Zelda 게임의 공식 안드로이드 버전이었다고 생각했던 것을 다운로드 했는데, 결국은 팝업 공지와 광고로 공격 당했다는 것에 대해 얘기를 했습니다.

만약 여러분이 증가하는 수많은 위협들에 대해 안드로이드 스마트폰이나 태블릿을 보호해야 할 때라고 생각하신다면, 소포스의 무료 안드로이드 안티바이러스 앱을 검토해 보시기 바랍니다.

댓글을 달아 주세요

posted by Kwan's 2013. 1. 22. 18:45


소포스랩은 보안 메시지처럼 가장하여 이메일을 통해 스팸메일로 보내진 광범위한 맬웨어 공격을 차단하고 있습니다.

“보안 메시지가 도착했습니다.”라는 제목을 가진 그 이메일은 수신인을 속여 첨부된 ZIP파일을 열도록 합니다.

하지만, <securedoc.zip>이란 ZIP파일에 포함된 것은 소포스 제품이 Troj/Zbot-DPM로 감지하는 트로이목마입니다.

다음은 전형적인 메시지를 보여줍니다.(전체 버전을 보시려면 이미지를 클릭하세요.)

보안 메시지가 도착했습니다.

SECUREDOC이란 첨부파일을 열어서 보안 메시지를 읽어주세요.여러분은 그 파일을 열거나 여러분의 컴퓨터에 다운로드 하게 될 것입니다. 제일 좋은 방법은, 우선 그 파일을 다운로드한 다음에 그 파일을 여는겁니다.

이 메시지의 타당성에 대해 걱정한다면, 발신인에게 직접 연락하세요.
Key 이메일 암호화 서비스에 대한 문의사항이 있으시면, 기술지원 888.764.7941로 연락하세요.

처음 사용자 - 첨부파일을 연 다음 등록을 하셔야 합니다.
Help - https://mailsafe.keybank.com/websafe/help?topic=RegEnvelope
아이언포트 암호화(IronPort Encryption)란 - https://mailsafe.keybank.com/websafe/about

Zeus라고도 알려진 악명 높은 Zbot 계열의 맬웨어는 여러분의 컴퓨터를 하이재킹하여 범죄용 봇넷의 일부로 만들 수 있습니다. 지난 몇 년간 사이버범죄자들은 서로 다른 버전의 Zbot을 사용하여 온라인 뱅킹 계좌에서 돈을 훔치고, 소셜 네트워킹 사이트의 로그인 정보와 이메일/FTP 정보 등을 훔쳤습니다.

수신인들이 왜 위에 보여준 것과 같은 보안 메시지를 실제 받았다고 믿게 되는지, 그리고 어리석게도 그 첨부파일을 열어서 그 안에 포함된 악성 실행파일을 실행시키게 되는지 이해하는 것은 쉽습니다.

현재 소포스랩은 이와 같은 메시지들이 스팸메일로 많이 보내지고 있는 것을 보고 있습니다. 그래서 여러분이 안티스팸이나 안티바이러스 제품이 업데이트되었는지, 그리고 이런 위협을 감지할 수 있는지 확인하길 바랍니다.

그리고 확인되지 않은 이메일 첨부파일을 열기 전에는 항상 주의 하시기 바랍니다.

댓글을 달아 주세요

posted by Kwan's 2013. 1. 15. 18:57


PDF 취약성과 익스플로잇에 대해 생각할 때, 가장 먼저 떠오르는 단어는 아마도 Adobe일 겁니다.

그 이유는 Adobe PDF 리더가 오랜 시간 동안 시장에서 가장 널리 사용되는 제품이었고 공격자와 연구원들에게 가장 많은 타깃이 되어왔기 때문입니다.

하지만 PDF 소프트웨어 시장에는 수많은 도전자들이 있는데, 다만 “다른 점”은 스스로 보안을 운영하기에는 충분하지 않다는 것을 명심하십시오.

또한, Adobe가 자체 보안에 중점을 둔 sandbox 기능이 있는 Reader X를 출시했기 때문에, 사기꾼들과 연구원들은 Adobe PDF가 크랙하기에 훨씬 더 힘들다는 것을 알게 된 것 같습니다.

그래서 여러분은 다른 PDF 소프트웨어 벤더들이 아마도 지난 수년 동안 전적으로 Adobe를 목표로 해왔을 거라는 열의를 좀 느끼기 시작하였다는 것을 예상할 수 있습니다.

여기 한가지 예가 있습니다. 이탈리아 보안 연구원 안드레아 미켈리치(Andrea Micalizzi)는 최근에 Firefox용 최신 Foxit PDF 플러그인에서 익스플로잇 가능성이 있는 취약점을 발견하게 되었습니다.

사실 미켈리치가 기술검증(proof-of-concept)용 익스플로잇을 만들었던 것은 아니지만, 저는 그의 익스플로잇을 마음대로 복제할 수 있었습니다.
(전 Windows XP3에 Foxit 플러그인 2.2.1.530이 설치된 Firefox 18.0을 사용하였습니다.)

스택 오버플로우(stack overflow)의 부작용인 충돌(crash)은 여러분이 선택한 메모리 영역을 거의다 쓰는 것입니다, 그것은 좋지 않습니다.

Foxit은 공개적으로 그들의 PDF 리더를 “악성 바이러스에 대한 걱정 없이 사용함을 보장[sic]”하는 안전한 플랫폼으로 홍보하고 있는데, 그것은 미켈리치가 발견한 버그에도 불구하고 대담한 진술처럼 들립니다.

하지만 Foxit의 주장에는 여전히 말 그대로의 진실이 있습니다.: 그 버그가 PDF 리더 자체에 있는 것이 아니라 브라우저와 리더간에 접착제처럼 행동하는 npFoxitReaderPlugin.dll이란 파일 안에 있기 때문입니다.

→ 파일명 앞의 np는 Netscape Navigator가 활기를 띄던 시절에 생겨났던 플러그인 아키텍쳐인 “Netscape Plugin”을 뜻합니다. 아이러니하게도, 그런 Netscape용 플러그인의 첫번째 예가 Adobe Systems에 사용되었습니다.

흥미롭게도, 여러분은 충돌(crash)을 유발시키기 위해 PDF를 Foxit에 넣을 필요는 없습니다. 단지 클릭할 때, 스스로 PDF라고 광고하는 HTTP reply를 제공하는 악의적인 링크를 Foxit에 넣어주기만 하면 됩니다.

버퍼 오버플로우는 링크를 처리하는 코드 안에서 발생하는데, 링크가 매우 긴 쿼리문(overly-long query string)을 포함하고 있을 때 충돌을 유발합니다.

만약 링크에 물음표[?]가 포함되어 있다면, 쿼리는 그 다음에 나오는 구문입니다. 쿼리 구성요소는 보통 server-side script에 종속된 파라미터를 확인하기 위해 사용됩니다. 아래 예문에서, 쿼리부분은 download=true 문자열입니다.

http://example.org/docs/file.pdf?download=true

비록 곧 그렇게 하겠지만, Foxit은 보안 경보(security advisories)에서 이 이슈에 대해 언급을 해야 합니다.

온라인에 올라온 이야기들을 봤는데, 아직 패치가 없기 때문에 다른 PDF 리더로 바꾸는 것을 고려해야 할 것입니다.

하지만 그 버그가 리더 자체에 있는 것이 아니기 때문에(어째든 아직 어떤 익스플로잇도 없어서), 여러분이 사용할 수 있는 더 빠르고 더 단순한 피해 완화방법은 Foxit을 고수하는 것일 겁니다.

다만 Firefox 플러그인을 사용하지 마세요.

Firefox 메뉴에서 Tools|Add-ons로 가서, Plugins을 선택하고 Foxit Reader Plugin for Mozilla 에 대한 Disable 버튼을 클릭하세요.

PDF파일은 더 이상 여러분의 브라우저 안에서 직접 열리지 않고, 여러분은 중간에 다음과 같은 대화상자를 보게 될 겁니다.

You have chosen to open: . . .

그리고 나면 여러분은 OK 버튼을 눌러야 합니다.

이것은 플러그인 DLL안에 있는 버그 코드를 피하면서, 분리된 Foxit 리더 프로세스안에 파일을 로드합니다.

스티브 잡스가 말했듯이, 그것은 그리 큰 문제는 아닙니다.

댓글을 달아 주세요

posted by Kwan's 2013. 1. 8. 17:36

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=19900


베테랑 사이버범죄 조사관 Bob Burls는 수천만 달러를 벌어드린 봇마스터에게 유죄를 선고하도록 도움을 준 IT 직원의 성실함이 돋보인 케이스를 돌이켜 봅니다.

맬웨어 공격 배후에 있는 자를 찾기에 관계당국만으로는 충분하지 않습니다. 성공적인 유죄판결을 보장하기 위해서, 범죄가 발생했었다는 희생자의 보고가 또한 필요합니다.

다음 케이스에서 보여주듯이, 컴퓨터를 사용하는 일반인 중의 한 사람이 사이버범죄의 몰락을 가져오는데 도움을 주는 퍼즐게임의 필수 조각이 될 수 있었습니다.

2006년 11월에 특히 공격적인 맬웨어 하나가 스코틀랜드 야드(런던경찰국) 컴퓨터 범죄부의 공지사항에 나타났습니다. 그 문제의 맬웨어는 소포스에서 W32/Vanebot-R로 감지되는 웜과 같은 속성을 지니고 있는 IRCBot이었습니다.

면밀한 조사로 그 맬웨어는 다음과 같은 것을 퍼트리기 위한 다양한 전파 벡터를 사용하는 것으로 드러났습니다.

  • 허술한 패스워드에 의해 “보호”되는 MS SQL 서버
  • 네트워크 공유
  • 원격 코드 실행을 허용할 수 있는 Microsoft Server Service의 치명적인 보안 취약점 (MS06-040)
  • 인스턴트 메시지

런타임 분석으로 그 맬웨어가 mang.smokedro.com 도메인으로 IRC 서버에 연결되어 있다는 것이 드러났습니다.

smokedro.com의 도메인 등록자 정보는 다음과 같습니다.:

John Durst
2307 E 23rd St
Panama City
Florida 32405
United States

gunit@gmail.com
(Google 메일 계정은 사용자명을 최소 6자로 하도록 요구한다는 것을 명심하세요. 따라서 그 도메인과 관련된 이메일 주소가 단지 5자라는 사실이 바로 의심스러운 것입니다.)

하지만, 수사가 착수되기 전에 극복해야 할 문제점이 있었습니다.

그 맬웨어는 혐의를 통한 경찰의 통지로 드러난 것이 아니었기 때문에, 수사를 착수하기 위해서는 맬웨어가 실제 릴리즈 되고 배포 되었었는지 확인이 필요하였습니다.

결론적으로, 경찰은 소포스랩의 맬웨어 전문가와 연락하였고, 그 맬웨어에 의해 공격받은 고객이 있었는지 물어봤습니다.

소포스는 고객 사이트들로부터 그 맬웨어 샘플을 받았던 것을 확인했고, 그 회사들 중 한 곳의 IT 직원인 “크리스(Chris)”(가명)와 접촉을 시도하였습니다.

결국, “크리스”는 경찰과 연락했고 그 맬웨어가 어떻게 그 회사의 네트워크를 공격했었는지 설명하였습니다.

“크리스”는 영국과 여러 유럽국가뿐만 아니라 미국에도 있는 글로벌 제조사에서 일하고 있었습니다. 맬웨어는 그 회사의 유럽 네트워크를 통해 배포되어 네트워크 공유를 공격하였고 높은 네트워크 트래픽을 발생시켰습니다.

운 좋게도, 그 IT 전문가는 해당 사건의 로그 이외에도 맬웨어의 복사본을 가지고 있었습니다. 이 시점까지도 그 사건은 어떤 희생자에 의해서도 관계당국에 보고되지 않았습니다

맬웨어 공격을 받은 회사는 유럽 네트워크 상에 있는 수많은 컴퓨터들이 공격받았다고 주장하였습니다.

smokedro.com 서버 도메인이 미국에서 등록되었기 때문에, 영국 경찰은 미국에서 조사를 시작할 어떠한 힘도 가지고 있지 않았습니다.

따라서, 미국 비밀 수사국(United States Secret Service)은 공식적으로 통보를 받고, 미국과 영국 당국이 포함된 공동 수사가 착수되었습니다.

이 사건은 1990년 영국의 CMA(Computer Misuse Act)법률의 3장, 컴퓨터의 인가되지 않은 정정(unauthorised Modification of a Computer)에 따라 범죄로 처벌받았습니다

이 경우에 적용되는 미연방법은 미국 연방 법전 제18편, 1030장 (a) (5); Intentionally Causing Damage to a Protected Computer에 따라 위법이 되었습니다.

미국 비밀 수사국은 도메인 등록자가 플로리다 파나마시티의 로버트 매튜 벤틀리(Robert Matthew Bentley)라는 21살 청년이었다고 보고했던 도메인 등록 담당자에게 공식요청을 보냈는데, 그는 Gmail에 있는 그의 실제 이름에 따라 lsdigital@ 이름을 포함한 등록 이메일 주소와 요금 담당자 정보를 제공하였습니다.

연방 수색 영장을 포함한 추가적인 요청 서비스 후에, 비밀 수사국은 벤틀리가 LSDigital이었다고 확신할 수 있었습니다.

벤틀리와 네덜란드에 있는 애드웨어 회사인 달러 레비뉴(Dollar Revenue)와의 대화가 드러났는데, 그 회사는 취약한 컴퓨터에 소프트웨어를 설치하면 제휴비를 지불하였습니다.

벤틀리는 애드웨어 제휴 제도에 참여함으로써 컴퓨터를 감염시켜 확실한 이익을 얻고 있었습니다.

“Dollar Revenue는 설치당 높은 금액을 제안하고 모든 나라로부터의 인터넷 트래픽을 실수익으로 전환합니다. 여러분의 트래픽을 돈으로 바꾸는 이 보다 나은 방법은 없습니다.”

애드웨어 제휴 제도는 무엇인가요?

제휴 애드웨어 회사들은 그들의 애드웨어 프로그램이 하나의 컴퓨터에 설치될 때마다 소정의 금액을 지불합니다.

한 사람이 가맹인으로 가입을 하면 그들의 멤버쉽 번호와 관련이 있는 특정 애드웨어를 받게 됩니다.

애드웨어 프로그램은 종종 엔드유저를 유혹하는 공짜 프로그램을 다운로드하고 설치하기 위한 초대장을 포함하고 있습니다.

애드웨어 프로그램이 한 컴퓨터에 설치될 때마다 멤버쉽 번호가 애드웨어 회사에 전송되고 가맹인은 컴퓨터의 위치에 따라 US $0.30 ~ US $0.01의 금액을 받습니다.

이런 비교적 적은 양의 돈은 특정 제휴 애드웨어 프로그램이 더 많이 설치될수록 누적됩니다.

예를 들어, 만약 1000대의 강력한 컴퓨터 봇넷안에 있는 각 컴퓨터가 그 제휴 애드웨어를 설치하도록 되어 있다면, 그 봇마스터는 감염된 컴퓨터의 지리학적인 위치에 따라 1000대의 설치비를 받게 될 것입니다.

따라서, 예를 들어 감염된 모든 컴퓨터들이 캐나다에 있었다면, 그 봇마스터는 $200을 받게 될 것입니다.

이런 타입의 제휴 활동은 수익화 봇넷의 첫 번째 모델 중의 하나처럼 보여졌습니다.

2007년에 독일 통신 규제기관인 OPTA는 2천2백만 컴퓨터에 애드웨어를 설치한 것에 대해 Dollar Revenue에 백만 유로 벌금을 부과하였습니다.

피해를 입은 회사의 IT 직원 “크리스(Chris)”에 의한 양심적인 노력으로 이번에 범죄의 공식 혐의를 확인 하였는데, 계속해서 IRCBot의 복사본을 유지함으로써 증거물을 보존했을 뿐만 아니라 멜웨어에 의해 야기된 손상의 범위에 대한 증명을 도왔습니다.

그 직원이 맬웨어가 회사 네트워크를 통해 전파될 때 자신의 안티바이러스 소프트웨어의 로그를 저장하고 있었기 때문에 그것들을 분석하고 맬웨어의 분포를 밝히는 것이 가능하였습니다.

런던 경찰청 컴퓨터 범죄국과 미국 비밀 수사국의 공동 조사 결론은 다음과 같습니다.

  • 로버트 벤틀리(Robert Bentley)가 mang.smokedro.com 도메인을 등록했고, 그 도메인이 IRC서버와 환경 설정되어 봇넷을 컨트롤하였습니다.
  • mang.smokedro.com의 IRC 서버에 연결된 감염 컴퓨터들은 은밀히 Dollar Revenue로부터 생겨난 애드웨어를 설치하도록 되어 있고, 벤틀리의 멤버쉽 번호와 연계되어 있습니다.
  • 벤틀리는 Dollar Revenue로부터 불법 자금을 받아 이익을 거둬들였습니다.

2008년 3월 6일에, 로버트 매튜 벤틀리는 미국 연방 법전 제18편, 1030장과는 반대로 컴퓨터 오용 음모에 대한 혐의를 인정하여 41개월 구금을 선고 받았고, 벌금으로 $65,000를 냈다고 말하였습니다.

이 이야기는 범죄자를 재판에 회부하기 위해 IT산업, 보안업체 벤더, 법 집행기관이 어떻게 협력하고, 정보를 공유하고 함께 일할 수 있는지에 대한 중요한 예제입니다.

비록 범인이 매우 먼 해외에 있을지도 모른다고 여러분이 의심할지라도 당국에 컴퓨터 범죄를 보고하는 것의 중요성을 과소평가하지 마십시오. 여러분의 보고가 큰 차이를 만들 수 있습니다.

댓글을 달아 주세요

posted by Kwan's 2012. 12. 24. 20:06


이번 주 초에 나의 동료 피터 서보(Peter Szabo)와 리차드 왕(Richard Wang) 각자는 시간을 떼우기에 좋은 스도쿠(Sudoku) 퍼즐을 만드는 데 사용되는 마이크로소프트 엑셀 스프레드시트로 가장한 맬웨어에 대해 발견하고 그것에 대해 적었습니다.

오늘 아침 나는 “2012년에 지구의 종말이 올까요(Will the world end in 2012)?”라는 제목으로 위장된 파워포인트 파일에 대해 또 다른 소포스랩 연구원인 스캇 시타(Scott Sitar)의 연락을 받았습니다.

엑셀 스프레드시트처럼, 이 파일은 비주얼 베이직 매크로 코드를 가지고 있어서 [X]가 랜덤한 대문자인 경우 VBA[X].exe 라는 실행파일을 만들어냅니다. 사실, 매크로는 스도쿠 퍼즐에서 발견된 것과 기능적으로 아주 동일하였습니다.

또 스도쿠 생성기처럼, 이 샘플은 사용자가 매크로를 허용하도록 요구했지만, 그것을 어떻게 하는지에 대한 도움말이나 여러분에게 매크로가 필요한 어떤 타당한 이유도 포함하고 있지 않았습니다.

이런 매크로들은 무슨 짓을 할까요? 그것들은 단일 배열(arrays of single) 바이트로부터 유용한 윈도우 PE(Portable Executable) 파일을 만들도록 제작되었습니다.

이것이 특히 새로운 것은 아니지만, 이 매크로들이 무엇인가 하도록 설계되었다는 것을 보통의 사용자는 이해하지 못할지도 모릅니다.

추출된 EXE 파일은 소위 드롭퍼(dropper)라는 것입니다. 그것은 올빼미 사진을 다운로드하는 또 다른 윈도우 PE 파일을 만들고, 명령 및 제어 서버에 연결합니다.

그것은 Wmupdate.exe라고 이름을 바꾸는 또 다른 페이로드를 다운로드 하도록 설계되었지만, 우리가 테스트하는 동안에는 명령 및 제어 서버로부터 어떤 지시도 받지 못했습니다.

스캇은 이것들이 자동으로 생성되고 반드시 그것들의 제작자에 의해 손수 만들어지는 것은 아니라는 그의 의혹을 언급하였는데, 나는 그가 옳다고 생각합니다.

나는 주위를 살펴보았고 이런 위험한 매크로가 추가되었던 초기의 감염되지 않은 파일을 발견하였습니다.

지구종말에 대한 프리젠테이션은 이 부비트랩(booby-trapped) 버전과 상관없이 보이는 미국에 있는 한 전도사에 의해 만들어졌습니다. 그래도 이 프리젠테이션을 찾으려고 하지 마십시오!

그의 합법적인 워드프레스(WordPress) 블로그는 해킹당했고, 현재 비아그라 밀매업자나 “역외(off-shore)” 카지노, 외환 사기, 소액대부 등을 위한 검색엔진으로 운영되고 있습니다.

만약 여러분이 이 프리젠테이션이 무엇을 말하려고 하는지 보고 싶다면, 안전하게 볼 수 있는 포맷을 온라인에서 찾을 수 있습니다.

매크로 바이러스가 확실히 새로운 현상은 아닌 반면에, 그것들은 많은 사람들이 생각한 것은 아닙니다.

무작위 소스로부터 얻은 문서들에 대해서는 조심하시고 여러분이 다운로드하거나 이메일 첨부파일로 받은 문서에 있는 매크로는 절대 허용하지 마십시오.

여러분은 거기에 무엇이 숨어 있는지 절대 알지 못하지만, 나는 지구의 종말에 대한 것은 아니라고 추측합니다.

이 문제에 대해 발견하고 이 이야기를 공유할 수 있도록 모든 필요한 분석을 해 준 소포스랩 밴쿠버의 스캇 시타에게 특별히 감사 드립니다.

댓글을 달아 주세요

posted by Kwan's 2012. 12. 18. 20:13

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=19700


당신의 삼성 스마트 TV가 갑자기 채널이 변경되었나요?

리모컨이 잘못 눌러졌다고 생각하지 마세요. 당신의 스마트 TV를 해킹한 해커들이 원격에서 그랬을 수가 있습니다.

몰타(Malta)에 위치한 보안 컨설팅 업체 리번(ReVuln)의 연구원들은 모델을 밝히지 않은 삼성 LED 3D TV 에서 취약점을 발견하고, 그 TV와 TV에 꽂힌 USB 드라이버에 루트 권한으로 접속하기 위해 그 취약점을 악용하였습니다.

"TV가 당신을 지켜보고 있다."라는 제목의 비디오에서, 리번은 연구원들이 시스템적으로 만지작거리는 것을 삼성 TV 화면에 보여주고 있습니다.

연구원들이 접속하여 제어할 수 있는 것은 다음과 같습니다:

  • TV 설정 및 채널 목록
  • SecureStorage 계정
  • 위젯 및 환경설정
  • USB 영화 히스토리
  • ID
  • 펌웨어(Firmware)
  • 전체 파티션
  • TV에 연결된 USB 드라이버

또 리번은 그 취약점을 악용하여, 드라이브 이미지를 추출하고 로컬에 마운트 시킬 수 있고, 사용자이름이나 비밀번호, 금융정보, 혹은 일반적으로 USB에 보관하고 있는 기타 자료와 같이 개인적으로 보관하고 있는 중요한 문서나 자료를 확인할 수 있다는 것을 알아내었습니다.

만약 이용자가 리모컨을 사용하고 있다면, 리번은 환경설정을 할 수 있고 원격으로 TV를 제어할 수 있다는 것도 알아내었습니다.

또 리번은 완전한 루트권한을 얻어 TV에 맬웨어를 원격으로 설치할 수 있다는 것도 알아내었다고 설립자 루이지 오리엠마(Luigi Auriemma)가 IDG News Service에 전하였습니다.;

"만약 공격자가 TV에 대해 완전 제어를 한다면..이용자를 ‘지켜보기’ 위해 내장된 웹캠과 마이크를 이용하는 최악의 시나리오로 계정을 훔치는 것처럼 모든 것을 할 수 있습니다."

취약점은 연구소에서 테스트한 특정 모델뿐만 아니라 다른 모델에서도 발견되고 있다고 전했습니다.

"그 취약점들이 삼성에서 생산한 여러 모델과 여러 세대의 장비들에 영향을 끼치게 때문에 리번의 연구소에서 테스트 한 특정 모델만 해당하는 것은 아닙니다."

리번은 버그와 취약점에 대한 정보를 매매하는 시장에서는 신생 업체인데 수도, 전기, 가스와 같은 공익사업, 산업시스템과 같은 곳에서 사용하는 SCASA와 ICS 소프트웨어에 있는 취약점들에 대부분 초점을 맞추고 있습니다.

오리엠마(Auriemma)는 이전에도 TV와 관련한 문제에 매달렸는데, 공격자가 원격 접속을 할 수 있도록 하는 취약점이 삼성 TV와 블루레이 시스템의 모든 버전에 있다는 것을 지난 4월에 우연히 발견하였습니다.

그 당시에, 오리엠마는 그 취약점들이 리모컨이 있는 모든 삼성 기기에서 발견될 수 있다고 말하였습니다.

연구원들이 책임감 있게 행동했었고 가정용 기기에 있는 취약점들에 대해 삼성에게 알렸기 때문에, 보안 허점을 막기 위한 펌웨어 업데이트가 인터넷을 통해 곧 일어나길 바랍니다.

댓글을 달아 주세요

posted by Kwan's 2012. 12. 12. 18:42


12월입니다. 이는 보안 업체들이 내년 12달 동안 예상할 수 있는 것들에 대한 예견을 해놓은 그들의 연간 보고서를 내놓기 시작하는 시기라는 의미입니다.

소포스 보안 위협 리포트의 최신판이 발행되었는데, 읽어 볼만한 가치가 있습니다.

소포스 보안 위협 리포트 2013에 포함된 주제는 다음과 같습니다:

  • 새로운 플랫폼과 변화된 위협들(New platforms and changing threats)
  • 블랙홀 익스플로잇 키트: 오늘날의 맬웨어 마켓 리더(Blackhole exploit kit: Today's malware market leader)
  • 임계치에 도달한 Java 공격(Java attacks reach critical mass)
  • 안드로이드 맬웨어(Android malware)
  • 랜섬웨어의 끊임없는 증가(The unrelenting rise of ransomware)
  • OS X 와 Mac: 더 많은 사용자들에게 생겨나는 위험들(OS X and the Mac: More users, emerging risks)
  • 주요 범죄 체포 및 기록(High profile arrests and take downs)
  • 더 복잡해진 폴리모픽 공격(Polymorphic attacks become more troublesome)
  • 타깃 공격(Targeted attacks)
  • 2013에 예상할 수 있는 것(What we can expect in 2013)

리포트의 많은 흥미로운 섹션들 중에 우리가 네이키드 시큐리티에서 자주 다뤘던 악명 높은 블랙홀 익스플로잇 키트(Blackhole exploit kit)에 대한 것이 있습니다.

블랙홀 익스플로잇 키트는 하버드 비즈니스 스쿨 MBA 학생들이 관심 있어하는 비즈니스 모델과 기술적인 재능이 결합된 인터넷에서 운영되는 가장 성공한 맬웨어 키트가 되었습니다.

블랙홀 익스플로잇 키트는 사용자들이 모르게 맬웨어를 컴퓨터 안에 심어놓기 위하여 악성 웹 서버에서 이용될 수 있는 사전 패키지된 소프트웨어 툴입니다. 블랙홀과 같은 익스플로잇 키트는 취약점들과 보안 허점들을 이용함으로써, 희생자들이 어떤 경고도 보지 않고도 조용히 컴퓨터 안에 맬웨어를 설치할 수 있습니다.

소포스의 연구는 전세계 어느 곳에서 블랙홀 익스플로잇 사이트가 호스팅되고 있는지를 밝혀내었습니다.

소포스 보안 위협 리포트 2013의 다른 섹션은 다른 나라들에서 경험한 맬웨어 공격(성공적이거나 아니거나)의 수준을 결정하는 시도를 하였는데 결과가 놀랍습니다.

소포스랩은 노르웨이가 가장 낮은 1.81%의 TER(Threat Exposure Rate/위협 노출율)을 기록했고, 반면에 인도네시아에 있는 국가들이 23.54%로 맬웨어 감염에 가장 큰 위험을 안고 있다고 산정하였습니다.

전체 소포스 보안 위협 리포트에는 좀 더 많은 정보들이 있는데 지금 바로 무료로 다운로드할 수 있습니다.(등록 필요 없음)

따라서, 보안 위협 리포트 2013을 자세히 살펴보는 게 어떨까요? 그리고, 여러분이 생각하는 것에 대해 글을 남겨서 알려주세요.

그리고, 여러분은 우리가 2012년 12월 11일 화요일, at 2pm ET / 11am PT에 주최하는 보안 위협 리포트에 대한 웹 세미나에 참여하실 수도 있습니다.

웹 세미나에 참여 하시면, 여러분은 2013년에는 어떤 일들이 생길 지, 어떻게 공격자들이 클라우드 서비스나 모바일 기기와 같은 새로운 플랫폼으로 그들의 목표를 확장하고, 더 스마트한 공격을 하기 위해 맬웨어 툴킷을 채택하고, 작년에 악용되었던 웹사이트들을 목표로 하는지 소포스랩 전문가 리차드 왕(Richard Wang)이 설명하는 것을 들을 수 있습니다.

댓글을 달아 주세요