[사이트 변조] Document.Referrer 함수를 이용한 악성코드 다운로드 방식 주의!! 기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 접속 된 PC가 취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다. 그래서 이전에 기존 사이트 변조와는 다른 iframe 을 이용한 악성코드 다운로드 방식을 소개 한 적이 있었다.[사이트 변조] iframe 태그를 이용한 악성코드 다운로드 방식 주의!! 이번에 발견 된 내용은 이와는 또 다른 방식으로 악성코드를 다운로드 시키고 있다.실제로는 아주 옛날부터 사용해왔던 방식이지만, 최근 6월 11일 부터 우후죽순으로 발생하고 있어 주의가 필요하다.(일명, 사이트 납치라고도 불리운다) ※ .. 2014. 6. 18. [MS] Microsoft Word 원격코드 실행 신규 취약점 주의 권고(0-Day : CVE-2014-1761) + Fix it 공개 2014년 3월 24일 Microsoft Word 프로그램과 관련 된 제로데이(0-Day : CVE-2014-1761)취약점이 발견되었다. 해당 취약점을 악용한 Word RTF 문서(Rich Text Format) 실행 시 또는 Microsoft Outlook 이메일 클라이언트 프로그램의 이메일 뷰어 기능을 사용할 시 악성코드 감염 등 보안 위협에 쉽게 노출되오니, 해당 제품을 사용하시는 사용자들은 보안 패치 적용 전까지는 의심스런 문서 파일 실행을 하지 않도록 주의하길 바란다. 이번에 발견 된 Microsoft Word 프로그램 취약점은 RTF 파일을 처리하는 과정에서 발생하는 원격코드 실행 취약점으로써, Microsoft Word 2010 버전을 통해 조작 된 RTF 파일을 오픈할 때 조작 된 RTF.. 2014. 3. 26. 카스퍼스키(Kaspersky), 북한 소행 APT 공격(Kimsuky Operation) 분석 리포트 세계적인 러시아 보안회사 카스퍼스키(Kaspersky)가 한국 정부 및 정치기관, 연구소, 기업, 국방관련인원등 한국의 주요기관을 대상으로 한 북한발 APT 공격(Kimsuky Operation)에 대한 분석 리포트를 공개하였다. 초기 징후는 2013년 4월 3일이며, Trojan.Win32.Kimsuky 샘플은 2013년 5월 5일에 최초 발견되었다고 한다. 관련 된 정보는 아래와 같다. [데일리시큐] 북한발 악성코드 'Kimsuky' 국내 스파이 활동 포착 [하우리] 북한 해커조직 추정, APT 공격으로 인한 기밀 유출 시도 및 첩보활동 정황 [울지않는 벌새] Kaspersky에서 공개한 북한 APT 공격 정보 : Trojan.Win32.Kimsuky (2013.9.12) 국내 보안업체도 맞추지 못한.. 2013. 9. 19. [SpamMail] 페이스북 친구추가를 위장 된 스팸메일 주의!! 오늘 오랫만에 스팸메일을 하나 받았다. (악성파일이 첨부 된 메일은 아니지만~ 그래도^^ 나름 괜찮았다 ㅋㅋ) 이번 메일은 "ELNORA Rangel wants to be friends on Facebook" 이라는 제목으로 친구추가를 요청한다는 내용의 메일이였다. 사용자는 스팸메일인지 모르고 "Confirm Friend Request(친구요청 승인)" 버튼을 눌렀다가는 특정 스크립트 서버에 접속을 하게된다. - 악성 스크립트 서버 hxxp://backveard.***.**2.com/aligner-left.html hxxp://bqredret.**/main.php 악성 스크립트는 최근 유행하는 BlackHole Exploiter(BlackHole Exploit Kit)를 사용하여 만들어진 스크립트로써, .. 2011. 11. 30. 노벨평화상 초청장을 가장한 이메일에 첨부 된 PDF 분석 G20 정상회담때문에 별것도 아닌 악성코드들이 주목받고 있다. 조심해서 나쁜건 없지만, 오버하진 말자!! 본론으로 들어가자 ㅋㅋ - 관련내용 알약(ALYac), 노벨평화상 초청장을 가장한 이메일 주의 : http://kjcc2.tistory.com/830 11월 7일 외국 보안블로그인 "contagiodump.blogspot.com" 에 노벨평화상 초정장을 가장한 스팸메일이 발견되었다. 스팸메일에는 CVE-2010-2883 취약점을 이용한 PDF 파일이 첨부 되어 있다. 해당 invitation.pdf 파일을 실행시키면, 오버플로우가 발생되어 PDF 속 쉘코드를 실행한다. 쉘코드는 PC에 svchost.exe 파일을 생성시킨 후 실행한다. - 파일생성 C:\Documents and Settings\kjc.. 2010. 11. 11. 알약(ALYac), 노벨평화상 초청장을 가장한 이메일 주의 안녕하세요? 이스트소프트 알약보안대응팀입니다. '노벨평화상’ 초청장을 위장한 악성 이메일이 유포되고 있습니다. 본 메일은 PDF취약점을 이용한 Exploit 파일(invitation.pdf)을 포함하고 있습니다. 실행할 경우 시스템에 아래와 같은 파일을 생성하며 악성코드에 감염되므로 주의하시기 바랍니다. C:\Documents and Settings\사용자 이름\Local Settings\Temp\svchost.exe C:\Documents and Settings\사용자 이름\Local Settings\Temp\invitation.pdf C:\Windows\midimap.dll 현재 알약에서는 이들 악성코드에 대한 진단 및 삭제 (진단명 Exploit.PDF.CVE-2010-2883, K.EXP.PDF... 2010. 11. 11. 맥아피(McAfee), 업데이트 후 부팅 안되는 사고 발생(5958 DAT) 안렙에 이어 맥아피까지~ 문제들이 발생하고 있다. 맥아피는 오진이며, 안랩은 업데이트 장애이다. 그나저나 svchost.exe의 어느 부분을 보고, 진단을 한것일까? 항상 정상파일을 탐지 할 경우에는 분명 어떤 시그니처가 대입이 되었을 텐데, 궁금하다~ 궁금해!! 원문기사 : http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=00000921963962&cDateYear=2010&cDateMonth=04&cDateDay=22 백신 업데이트가 멀쩡한 PC를 고장내는 사고가 발생했다. 22일 한국맥아피 등 관련업계에 따르면, 보안업체 맥아피의 백신 업데이트가 오류를 일으켜 고객 PC를 먹통으로 만드는 일이 벌어지고 있다. 맥아피 보안 제품을 사용중.. 2010. 4. 22. 이전 1 다음
