한RSS 디렉토리 (새 창으로 열기)

한RSS 디렉토리에 보안 디렉토리에 등록 하려고 이 글을 발행 합니다.
한마디로 등록 포스트입니다.

USB 자동 실행을 통한것으로 추측 되는 바이러스가 출몰 되었습니다.

현상을 정리 하면 다음과 같습니다.

1. 시스템 트레이의 시간이 2090년 1월 1일 오전 10시로 고정 됩니다.
2. SYSTEM32 디렉토리에 숫자로 구성된 파일들이 계속적으로 생성이 됩니다.
3. 작업관리자에서 프로세스가 계속 실행 되고 죽여도 계속 실행 되고 있습니다.
4. 프로세스가 계속 실행 되다가 시스템 리소스를 다 사용 하면서 윈도우가 다운됩니다.

현재 많은 백신 업체에서 수정을 하려고 있으나 하루만에 변종이 나오는 등 현재 치료 할 수 있는 사항이 아니라고 합니다.

KISA 에서는 USB 자동 실행을 통한 감염을 원천적으로 막기 위한 가이드를 제공 하였습니다.


모두들 조심 하시기 바랍니다.

덧붙임)

관련기사 보기

오늘 인터넷침해사고대응센터 에서 보니 홈페이지 보안 강화 도구 CASTLE이라는 것을 보급 한다는 공지가 올라왔다.

         <홈페이지 보안 강화 도구(CASTLE) 보급 안내>

최근 공격자들이 국내 홈페이지를 해킹하여 악성코드 유포 및 개인정보 탈취하는 사례가 지속적으로 발생하고 있습니다.

이에, 한국정보보호진흥원에서는 홈페이지의 보안성을 강화하는 "홈페이지 보안 강화도구(CASTLE)"를 배포하고 있습니다.

사용을 희망하는 회사(기관)나 개인 사용자 분들은 아래의 프로그램과 설명서를 다운받아 사용하시기 바랍니다.

○ CASTLE 다운로드(ASP, PHP, JSP)
○ CASTLE 사용자 설명서 다운로드
○ CASTLE 설치 가이드 다운로드
○ CASTLE FAQ 다운로드
○ 문의 및 기술 지원(Tel : 02-405-5617, EMAIL : castle@krcert.or.kr)

※ CASTLE를 홈페이지에 적용하면, 주요 취약점을 공격하는 침입시도 및 공격코드들을 차단할 수 있습니다. 또한 개발 중이거나, 운영 중인 홈페이지에 약간의 수정을 통해 쉽게 적용 가능하고, 적용 후 CASTLE의 관리 기능으로 손쉽게 관련 정책이나, 설정을 수정할 수 있습니다.

다운은 받아 놓은 상태이고... 개인적으로 몇개의 사이트를 운영 하고 있는데 대부분 ZBEX 기반이라 이것과 어떻게 될지 궁금하네요. 한번 적용 시키고 싶은 마음이 굴뚝인데 시간이 어떨지...

2009 CWE/SANS Top 25 Most Dangerous Programming Errors

SANS에서 개발자들이 생각 해야할 개발중에 발생 할 수 있는 에러 사항을 정리 하였네요.

Insecure Interaction Between Components

These weaknesses are related to insecure ways in which data is sent and received between separate components, modules, programs, processes, threads, or systems.

• CWE-20 : Improper Input Validation
• CWE-116 : Improper Encoding or Escaping of Output
• CWE-89 : Failure to Preserve SQL Query Structure (aka 'SQL Injection')
• CWE-79 : Failure to Preserve Web Page Structure (aka 'Cross-site Scripting')
• CWE-78 : Failure to Preserve OS Command Structure (aka 'OS Command Injection')
• CWE-319 : Cleartext Transmission of Sensitive Information
• CWE-352 : Cross-Site Request Forgery (CSRF)
• CWE-362 : Race Condition
• CWE-209 : Error Message Information Leak

Risky Resource Management

The weaknesses in this category are related to ways in which software does not properly manage the creation, usage, transfer, or destruction of important system resources.

• CWE-119 : Failure to Constrain Operations within the Bounds of a Memory Buffer
• CWE-642 : External Control of Critical State Data
• CWE-73 : External Control of File Name or Path
• CWE-426 : Untrusted Search Path
• CWE-94 : Failure to Control Generation of Code (aka 'Code Injection')
• CWE-494 : Download of Code Without Integrity Check
• CWE-404 : Improper Resource Shutdown or Release
• CWE-665 : Improper Initialization
• CWE-682 : Incorrect Calculation

Porous Defenses

The weaknesses in this category are related to defensive techniques that are often misused, abused, or just plain ignored.

• CWE-285 : Improper Access Control (Authorization)
• CWE-327 : Use of a Broken or Risky Cryptographic Algorithm
• CWE-259 : Hard-Coded Password
• CWE-732 : Insecure Permission Assignment for Critical Resource
• CWE-330 : Use of Insufficiently Random Values
• CWE-250 : Execution with Unnecessary Privileges
• CWE-602 : Client-Side Enforcement of Server-Side Security

각 항목 별로 링크가 걸려 있어 자세히 설명이 되어있네요.
뭐 다 아는 이야기 일 수도 있지만 이것을 잘 정리 해놓아서 개발시 Check List에 포함 시켜 놓으면 도움이 될 것 같습니다.

아무튼 별의 별 트로이 목마가 다 생기네요.

기사 보기

해당 트로이 목마 적용 방식은 기사의 일부를 인용 해봅니다.

'라이텍스(Win-Trojan/Raitex.60928)'라는 이름의 트로이목마 는 영문으로 '오바마가 대통령 직을 물러날 수 있다', '매케인의 변호사들이 오바마의 탄핵을 추진하고 있다' 등의 호기심을 자극하는 문구와 함께 거짓으로 제작된 미 정부 공식 웹사이트(2008 USA Government Official Web Site)로 유도를 한다.

위 사이트를 클릭하게 되면, 맥케인 동영상 화면이 표시되는데, 동영상을 보기 위해 어도비플레이어9(AdobePlayer9) 실행파일을 클릭하도록 유도한다.

이 실행파일을 클릭하면, 악성코드인 루트킷 드라이버 파일이 생성되며, 악성코드를 은폐하는 기능과 함께 FTP, 아웃룩 메일의 사용자 계정과 암호 정보를 특정 주소(IP)로 유출한다.

이 뿐 아니죠. 이메일에 특이한 사항에 대한 메일이 온다 하면 일단 의심 하는 버릇을 반듯이 두시기 바랍니다.
그리고 아까 포털에서 어떤글을 보니 무엇인가 스크립터를 걸어 놓았더군요. 다행이 전 FF를 사용 해서 과감히 취소 했는데 어떤 글을 보다가 무엇을 설치 하라면 일단 의심하고 보지 말기를 권합니다.

이 모든 것들이 자신도 모르는 사이 정보를 유출하게 하거나 또는 DDoS의 좀비가 되니깐요.