IT이야기2009. 7. 9. 01:15
저녁에 알약 등의 사이트가 안뜨길래, 백신받으려는 사람이 많아서 그러나보다 생각했다. 그런데, 2차 공격이 진행됐다는 기사가 올라왔다. 개인적으로 11시대에 안랩 홈페이지(home.ahnlab.com) 가 느리게 접속되는 현상이 확인했고, 다음의 한메일(mail.daum.net)은 현재(00시대) 거의 접속이 안될 정도이다. 네이버가 메일 장애시에 임시로 mail2 도메인을 사용했는데, 방금전(01:00에 확인)에 다음 한메일도 주소를 mail2.daum.net 로 임시 변경했다.

다음 한메일 접속시.

[ 다음 한메일 접속시 나오던 창. 도메인이 mail.daum.net인 경우 ]


그러나 어느 사이트가 접속된다, 안된다의 정보를 확인하는 것보다 중요한 것은 개인 PC의 점검이다.
  • 안철수연구소에서 오후부터 전용백신을 제공( http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1 ) 하고 있으니 V3를 이용하지 않으신 분은 꼭 받아서 확인하시길.
  • 그리고, 'MPEG2TuneRequest 제로데이 취약점' 패치가 임시로 올라왔으니 적용하시길... '안철수연구소 ASEC'블로그에 자세히 설명되어 있다.
새로운 공격 대상이 생겼다는 것은 대상을 자체적으로 변경하거나, 지금도 악성코드가 계속 배포된다는 의미일 것이다. 궁금해진다.

공격당하는 사이트의 보안담당자, 네트웍엔지니어, 시스템엔지니어들, 그리고, 악성코드 분석과 대처를 위해 애쓰시는 보안업체분들은 지금 이시간에도 고생하고 계실 것 같다. 힘내세요.

* 관련 정보 

Posted by 좋은진호

댓글을 달아 주세요

  1. 평소에 관리를 잘 해야 해요. 검증되지 않은 사이트는 가지 말고 말이죠.
    자신의 PC가 좀비피시가 되지 않도록 모두 노력해야 합니다.

    2009.07.12 13:22 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 예. 그렇죠. 정부 노력, 기업의 보안장비와 인력운영, IDC와 ISP업체 등과 함께 개인 PC의 관리 중요하죠.
      검증된(잘알려진?) 사이트를 방문해도 악성코드가 자주 심어져 있는게 참 많아 보입니다. 악성코드가 심어지지 않도록 프로그램의 보안검증도 중요한데, 현실에서 개발 시간에 쫓기다 보니... ^^

      2009.07.12 23:53 신고 [ ADDR : EDIT/ DEL ]
  2. 직업상 자주 돌아다니는 편인데 다니다 보면 깜짝 놀랄 정도로 많은 분들이 백신을 설치하지 않은 컴퓨터를 사용하고 계시더군요. 그것도 문제의 심각성을 잘 모른체 말이죠.

    2009.07.12 17:45 [ ADDR : EDIT/ DEL : REPLY ]
    • 예. 이번 DDoS공격으로 개인의 보안 인상 향상의 계기가 되기를.. 일시적인 것이 아닌 꾸준히 말이죠. ^^

      2009.07.12 23:54 신고 [ ADDR : EDIT/ DEL ]

IT이야기2009. 7. 8. 10:24
어제 네이버 메일과 쪽지기능, 옥션(auction.co.kr), 조선닷컴(chosun.com), 청와대(www.president.go.kr), 국방부(www.mnd.go.kr), 은행사이트, 그리고 백악관 등 다수 사이트가 DDoS공격을 받았다. 지금도 청와대, 국방부, 조선닷컴, 옥션 등이 원할게 접속되지 않는다. 네이버 블로그도 일부 개인 페이지들이 제대로 보이지 않는 경우가 있다. 그 원인은 악성코드 때문이었다. 쿨캣님의 블로그( http://xcoolcat7.tistory.com/520 )에서 악성코드가 공격을 하는 대상 사이트의 목록을 볼 수 있다. 악성코드의 공격대상 목록과 실제 공격당한 사이트가 일치한다.

악성코드 msiexec2.exe의 공격 대상 사이트 목록

[ 출처 : 쿨캣님 블로그 ]


msiexec1.exe 등을 포함한 Win-Trojan/Downloader.374651 악성코드는 안철수연구소 바이러스 정보에서 정보를 얻을 수 있다. 그러나 공격대상 사이트 목록이 있는 msiexec2.exe에 대한 분석자료는 안랩 사이트 등 다른 곳에는 아직 공개되어 있지 않은 상태이다.

KRCERT에 '신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령'  공지가 올라와 있다. '신종 DDoS 악성코드로 인하여 국내 주요 공공기관 및 이용자 방문이 많은 포털, 금융 사이트에 대한 접속 장애 발생'했다는 내용이다.

이 악성코드가 부팅 후 자동 실행이 된다. 그리고, 제어 서버(C&C) 접속 없이 공격 대상 목록 파일정보를 기반으로 자동 공격한다.  만약 악성코드내에 공격을 중단하는 명령이 없다고 한다면, 대상사이트는 공격을 계속 받을 수 밖에 없다. C&C(Command & Control) 접속없이 이뤄지므로, 공격을 멈출 방법이 없기 때문이다. PC만 켜져있는 동안은 계속 공격이 이뤄진다는 얘기.

개인 PC에 악성코드가 심어져 있는지 검사가 필요하다.


* 관련정보 (18:15 추가)
  - 안철수연구소, DDoS 공격용 악성코드 전용백신 무료 제공 (그리고, 이번에 공격한 악성코드명)
  - Urgent-Massive DDOS Attack!
  - 하우리의 분석자료 (Trojan.Win32.DDoS-Agent.33841) (공격대상 목록 포함)
  - 네이버, 옥션, 청와대 공격 악성코드 분석 (글 쿨캣님, 16:36)
  • 악성코드 초기 버전(7.5일)이 만든 uregvs.nls 파일에는 한국 사이트는 없었고, 미국 정부 사이트만 있었다고.
  • 한국 사이트는 7월 7일에 포함

Posted by 좋은진호

댓글을 달아 주세요

  1. 네이버에 장애 공지가 새로 올라왔습니다.

    * 네이버 메일/쪽지 서비스 장애에 대한 안내. 마지막 수정 시간: 2009-07-08 11:22:51
    http://nboard.naver.com/nboard/read.php?board_id=nvnews&nid=439
    ----------------------------------------------------------------------
    네이버 메일/쪽지 서비스 장애에 대한 안내 말씀드립니다.
    안녕하세요. 네이버입니다.
    어제 자정을 기준으로 해결되었던 메일/쪽지 서비스 접속 장애가
    금일(7월 8일) 오전 10시 50분부터 다시 발생하고 있습니다.
    ----------------------------------------------------------------------

    그리고, 오전에 KISA 기업정보보호팀에서 '[KISA]신종 DDoS 공격에 따른 피해 현황 파악'에 대한 메일을 일부 업체에 보냈습니다.

    ----------------------------------------------------------------------
    7일 오후 6시부터 신종 DDoS 악성코드로 인하여 국내 주요 사이트에 대해 접속 장애가 발생 되었습니다.
    이에 안전진단 대상업체의 피해 현황을 조사하고자 하오니 많은 협조 부탁 드립니다.
    ----------------------------------------------------------------------

    2009.07.08 12:45 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 일반인들을 대상으로 하는 매체에서 좀더 신중하게 단어를 선택했으면 좋겠어요.
    해킹과 공격은 엄연히 다른 의민데 말이죠.
    여튼... 저도 혹시 몰라서 검사하고 있어요.ㅎㅎ

    2009.07.08 13:46 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 그러게요. 좀 더 정확히 표현해주면 좋은데 말이죠.

      이제. 악성코드 심어진 PC들이 빨리 치료가 되어야 하는데, 아직도 감염되었는지도 모르는 유저들이 많을 듯...

      2009.07.08 18:14 신고 [ ADDR : EDIT/ DEL ]
  3. 트랙백 걸어 주셔서 보고 갑니다. ~~ 옆팀은 오늘도 날을 새시는듯 하네요

    2009.07.08 18:55 신고 [ ADDR : EDIT/ DEL : REPLY ]

IT이야기2008. 4. 5. 02:39
중국의 한 정부기관 사이트 www.????????.gov.cn (주소는 아래 F-Secure 링크에 있음)가 iframe으로 숨겨진 악성코드가 들어가 있다. iframe속엔 다른 1개의 iframe이 있고, 또 이 iframe은 3개의 iframe속에 감춰져 있어서, 양파까듯이 파들어가야 한다. 최근 F-Secure버전은 Trojan-Downloader.Win32.Small.suu 으로 진단한다.

사용자 삽입 이미지

F-Secure합법적 사이트에 iframe으로 악성코드를 넣는 방법이 요즘은 점점 보편화되는 것 같다고 얘기한다. www.sony.com.cn도 유사한 iframe이 포함되어 있었는데, 현재는 제거된 상태다.

4월 3일에 접속할 때 악성코드를 내포한 iframe이 있었는데, 지금도 존재한다. 사이트 관리자는 아직 인지하지 못하고 있다. (아직도 악성코드가 존재하니 주의 요함)
중국쪽에서는 F-Secure의 글을 잘 안보나. 누군가는 저 사이트 관리자에게 전달했을 법도 한데, 아직도 그대로다. 중국발해킹에서 보여줬던 중국해커의 날렵한 사냥솜씨(?)에 비하면, 사이트 운영자의 대응은 배가 부른 사자마냥 느릿하다.

그럼 우리는? 우리의 공공기관의 웹사이트 해킹에 대해서는 언론이나 해킹된 사이트 DB에서 봤을 것이다. 중국의 저 사이트와 비슷하게 며칠간 방치는 경우도 있다. 하지만, 이미 해킹당한 것은 당한 것이고, 다른 방문자의 피해를 줄이기 위해선 불구경은 그만하자. 해당 사이트 운영자에게 전달하는 '감시자의 역할'을 철처히 해야할 듯 싶다.

※ 3일 #coffeenix방에서 나눴던 얘기에 살을 붙여 정리했다.
Posted by 좋은진호

댓글을 달아 주세요

  1. 기관의 홈페이지도 저럴진대 개인이 운영하는 홈페이지들은?
    오~ 상상만 해도... 아찔하군요.

    2008.04.05 22:10 [ ADDR : EDIT/ DEL : REPLY ]
    • 개인이나 기관이나 당하기는 마찬가지인데, 욕을 소수에게 먹느냐, 다수에게 먹느냐와 피해를 소수에게 주느냐, 다수에게 주느냐의 차이일 들. ^^

      2008.04.06 02:43 신고 [ ADDR : EDIT/ DEL ]
  2. ㅡ.ㅡ 뭐... 요즘 보안쪽으로... 엄청 시끄럽네요...

    우리나라... 방화벽...장비 설치하면... 보안은 끝났다고 생각 하는게 문제죠...

    그리고... 우리나라 전산쪽 관리 시스템도 문제고... 엔지니어는 없고??? 관리자만 있는 시스템...ㅋㅋㅋ

    2008.04.23 23:53 [ ADDR : EDIT/ DEL : REPLY ]
    • 이것도 안전불감증의 하나일 것 같습니다. 개발자는 바쁘다 보니 미쳐 생각하지 못하고 개발하게 되고, 윗선에서는 장비면 다 되지 않느냐는 생각. 시스템운영자는 장비를 믿고, 개발자를 믿는 생각. 며칠 고생해서 고치면 수정할 수 있는 문제를 알면서도 안하는 느림보적 사고. 이런 것들일 것 같네요. ^^

      아무튼 본인은 속이 안보이게 옷을 잘 입었다고 생각하는데, 단순 스크립트 키드들도 속옷은 물론이고, 속살까지 보고 있는 세상이라는거. ㅋㅋ

      2008.04.24 00:16 신고 [ ADDR : EDIT/ DEL ]