Working/IT Security 썸네일형 리스트형 7.7 DDoS 사태 최종 정리 내용변경 : 7/13 09:20 내용의 오류가 있어서 정정합니다. 대략 마무리 되어가는 추세인듯 싶습니다. 다른 변종이 나타나지 않은 이상... 지금까지 분석 내용들을 나름 정리해보면 다음과 같습니다. #01. C&C(명령제어)서버가 업는줄 알았는데 찾아보니 나오더라는... -_- 악성코드의 업데이트 서버를 추적하기 어렵게 다국적의 IP를 대역폭에 따라 랜덤하게 신호를 보내고 특정 C&C업데이트 서버임을 인증을 받는 형태라 쉽게 못찾았나 봅니다. #02. 이번 웜은 감염경로 등을 숨기기 위하여 참 많은 노력을 했었던 듯 싶습니다. 지가 Temp에 파일을 쓰고나서 파일 다시 생성하고 Temp 파일 지우고.. 하드디스크에 기록을 남기기 위해 특정파일들을 (복구 불가능하도록) 암호화 압축해서 지우고 MBR에 .. 해외에선 금번 DDoS는 myDoom 변종으로 판단 해외에선 금번 DDoS 공격을 하는 악성코드가 mydoom 소스의 변종으로 보고 있습니다. mydoom 웜 정보(http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.EA&VSect=T)를 보면 유사하네요. 간단히 정리해보면 해당 웜은 아래 파일을 다운로드해서 파일내 코딩되어 있는 도메인으로 DDoS 공격을 시행합니다. %System%\{random characters}.nls 또한 아래 서비스를 실행합니다. WMI Performance Configuration WmiConfig 레지스트리에는 다음과 같은 키가 생성됩니다. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services.. AhnLab 긴급경보 최고등급인 Level4로 격상 금번 DDoS 공격으로 인해 보안업계에 비상이 걸렸습니다. 금일 저녁까지만 해도 "주의" 수준의 등급이었으나 "긴급" 수준의 Level 4로 격상되었네요. 반면에 인터넷 침해 사고대응지원센터(KrCERT)에서는 "주의" 등급 수준입니다. 뉴스에도 충분히 보도가 되었으나 회사에서 실제 유해트랙픽을 발생하는 좀비 PC 감염자들과의 Contact 결과 거의 대부분이 인지하고 있지 않습니다. 현재 AhnLab에서 전용백신을 배포하고 있으며, 주요 백신 프로그램을 설치하고 계신 경우에는 최신 패치로 업데이트 하신 후 검사 및 치료를 반드시 수행하시길 바랍니다. 지금은 꼭 경고성의 공격일 뿐인듯한 오싹한 생각이 듭니다. 최악의 사태가 오지 않기 위해서라도 PC 사용자들께서 솔선수범해 주셔야 할 것입니다. 현재 기존.. 청와대,네이버,조선일보 등의 DDoS 공격 형태 분석 7월 7일 18시경부터 현재까지 청와대, 외교통상부, 네이버(메일), 조선일보 등의 웹사이트에 분산서비스거부공격으로 인한 접속 장애가 발생 중입니다. (☞ 관련기사 보기) 한국정보보호진흥원(KISA)의 분석보고서에 따르면 본 DDoS 공격은 Bot에 감염된 PC들에 의해 perfvwr.dll이 서비스로 등록되어 uregvs.nls에 하드 코딩된 웹사이트로 TCP GET Flooding 공격을 수행하고 있다고 합니다. ※ TCP GET Flooding 공격은 대규모 Traffic 유발은 아니며 Bandwidth보다 공격당하는 서버쪽의 Resource가 Full이 되어서 문제가 됨.금번 Bot은 콘트롤서버가 없이 특정 공격대상을 Bot의 코드내에 포함시켜놓은 경우라 일반적인 콘트롤서버의 주소를 찾아 이를 차.. 딜로이트 2009 TMT Global Security Survay 딜로이트에서 발표한 기술, 미디어, 통신 산업 분야의 보안 전망에 대한 6가지 이슈 자료로 2007년 이후 세번째 발표한 자료이군요. 따끈한 놈이 굴러들어와서 올려봅니다. 단, 내용은 영어라는 압박이.. ㅡ.ㅡ 6개 key finding을 간략하게 요약한 내용입니다. 1. Security investment is spiraling down with the economy 경제가 악화되면서 대부분의 기업이 보안에 대한 투자예산을 삭감하고 있고, 이는 단기적인 자금 흐름에는 효과가 있을지 모르나 장기적으로 회사에는 고통와 위협이 될 수 있다는 내용입니다. 2. Social networking adds to the list of insider threats social network이 발전함에 따라 의도되지 않.. 2009년 보안실무자의 주요 보안이슈 2009년 예상되는 주요 IT 이슈와 이에 대응이 필요한 보안 이슈입니다. 1. Windows 7 출시 Windows 7의 출시보다는 공식적으로 Windows XP의 제품공급이 2009년 1월말로 종료(참조 : MS 공지사항)가 되는 관계로 기업사용자의 클라이언트 OS 수요가 기존 Vista 보다는 성능의 향상이나 최신 OS라는 점에서 Windows 7의 공식 출시와 함께 사내 공식 OS로의 업그레이드가 추진 될 것으로 보입니다. 이는 특히 금년에 MSEA 계약이 완료되는 회사일 경우 공식 지원이 중단될 예정인 Windows XP에서 점진적으로 Windows 7으로의 변경을 검토하는 경우가 많은 것으로 예상됩니다. 따라서 사내 보안담당자들은 새로운 OS 업그레이드에 따른 각종 보안 클라언트(백신, PMS.. 사내 보안성 점검 Checklist 2008년 4월에 작성했던 보안 Checklist의 일부를 재수정하여 개제하는 포스트입니다. 회사의 일반적인 보안점검을 위한 Checklist로서 참조하시기 바라겠습니다. 1. 통신망 웹서버는 올바른 DMZ 구성이 되어 있는가? DMZ 방화벽에는 웹서비스 포트 외 다른 포트가 Open되어 있는가? - 웹서비스 포트 외 다른 서비스가 Open될 경우, 사용서비스 포트와 접속IP 주소를 고정하여 사용하는지 확인(SMTP,DNS사용의 경우 별도 예외) - 내부에서 외부로 나가는 Outbound 포트도 필요한 포트 외 차단하였는지 확인 방화벽 접속로깅을 하고 있으며 보관기간은 충분한가? - 방화벽 접속로깅은 6개월 이상 보관 권고 침입탐지시스템(IDS) 또는 침입방지시스템(IPS)이 가동 중인가? - 근래는 외.. 이전 1 2 3 4 다음
