우키의 보안이야기

   DNS는 평소엔 그다지 주의깊게 관리 되지않는 기반서비스입니다.  별 신경쓰지않아도 잘 돌아가는 착한 서비스이죠.. 하지만 일단 문제가 생기면  정말 아무 것도 할 수 없게 만드는 정말 중요한 서비스입니다.  과거의  인터넷 대란 사태때에도  DNS 서비스 마비가  직접적인 원인이 되었었죠..

   ERP서비스등은  실시간  복제등 철저한 관리를 받고 있으나  DNS서비스는 사실 더 중요한 서비스임에도  소홀히 여겨지는 경우가 많습니다.  유닉스기반의 DNS를 관리하는 경우 전문지식이 부족하여  방치되는 경우도 있습니다.   현재 DNS서버의 BIND취약점을 공격하는 익스플로잇이 유통되고 있다고 합니다.  DNS 시스템 관리자분들께서는 즉각적인 점검및 업그레이드를 서둘르셔야 할 듯합니다.

================================================================
원문참조: http://www.boannews.com/media/view.asp?idx=17328&kind=1 

  인터넷상에서 가장 많이 이용되고 있는 DNS 서버 BIND의 취약점이 도메인 네임 시스템 서버를 파괴하는 수단으로 이용될 수 있어 결과적으로 인터넷 안정성 전반이 위협받고 있다는 경고가 제기 됐다.  소프트웨어 개발 그룹 인터넷 소프트웨어 컨소시엄(Internet Software Consortium, 이하 ISC)는 지난 28일(현지 시간) 홈페이지를 통해 BIND(Berkeley Internet Name Domain Server) 버전 9를 타겟으로 하는 익스플로이트가 유통되고 있다고 경고했다.  또한 ISC는 이 버그를 ‘고위험’으로 분류하고 관리자들에게 즉시 이를 방어하기 위해 업그레이드 할 것을 촉구했다.

이에 따르면 시스템 관리자들은 신속하게 BIND 서버를 버전 .4.3-P3, 9.5.1-P3, 또는 9.6.1-P1 버전으로 업그레이드해야 한다. 그러나 마스터 서버는 이 취약점에 영향을 받지만 슬레이브 시스템(slave system)은 영향 받지 않는다고 ISC는 덧붙였다. 그러나 이 취약점은 악의적인 업데이트 메시지로 서버 충돌을 야기하는 문제를 가져올 수 있다고 ISC는 지적했다. ISC는 홈페이지를 통해 “특정한 원격 다이내믹 업데이트 메시 수신으로 BIND 서비스 거부(서버 충돌)가 야기되고 있다”며 “마스터 서버 존에 대해 특수하게 고안된 다이내믹 업데이트 메시지가 BIND 9 버전이 종료되게 할 수 있다. 테스트 결과 이 공격 패킷이 마스터 서버에 대해 조직된 것으로 나타났다”고 설명했다.

또한 “이 취약점은 하나 이상의 존을 가진 모든 마스터 서버에 영향을 끼친다”며 특히 “다이내믹 업데이트를 허용하도록 설정되어있는 마스터 서버로 제한된 것이 아니다”라고 강조했다. 인터넷 DNS 서버의 대다수가 BIND를 이용하고 있는 만큼 BIND 취약점은 잠재적으로 심각한 위협이 될 수 있다. 다른 모든 문제 중에서도 특히 웹 서핑이나 이메일 전송을 방해하는 수단으로 이용될 수 있어 우려를 낳고 있다.

http://www.us-cert.gov/

US의 Cert사이트입니다.
우리나라의 Cert보다 간결하고 상황을 쉽게 알 수 있도록 만들어져 있더군요…
자주 참고하시는 것이 좋을 듯합니다. ^^

  보안패치라고 하면  윈도우 보안패치만 연상하는 경우가 많습니다.  하지만 요즘은  OS 자체의 취약점보다  응용프로그램의 취약점을 노리는 경우가 늘고 있습니다.  어도비의 플래시같은 경우  웹에 있어서 필수불가결한 요소가 될 정도로 많은 사람이 광범위하게 사용하고 있지요..  당연히 해커입장에선  좋은 공격목표가 되겠지요.  플래시외에도  MS 오피스제품들도 자주 공격목표가 되고 있습니다.   최근 어도비 플래시에 새로운 제로데이 취약점이 발견되었다고 합니다.

원문참조:  http://www.boannews.com/media/view.asp?idx=17238&skind=D

Adobe Product Security Incident Response Team 블로그  : http://blogs.adobe.com/psirt/

어도비 시스템즈(Adobe Systems Inc.)는 제품 보안사건 대응팀(Adobe Product Security Incident Response Team) 블로그를 통해 “플래시 에러가 어도비 리더(Adobe Reader) 및 아크로뱃(Acrobat) 9.1.2와 어도비 플래시 플레이어(Adobe Flash Player) 버전 9, 10에 잠재적으로 영향을 끼칠 수 있다”고 짤막하게 언급했다. 또한 “현재 이 문제를 조사하고 있으며 더 많은 정보를 얻는 대로 업데이트 할 것”이라고 덧붙였다.

  이와 관련해 시만텍(Symantec Corp.)의 보안 연구자 패트릭 피츠제럴드(Patrick Fitzgerald)는 지난 22일(현지 시간) 시만텍 보안 블로그를 통해 “시만텍 보안대응 연구자들이 최근 어떤 어도비 아크로뱃 PDF 파일을 조사한 결과 이것이 어도비 플래시 취약점을 익스플로이트하고 이용자의 시스템에 트로잔을 잠입시켜 실행하는 것을 발견했다”고 전했다.  이어 “이 PDF 파일의 작성자는 힙 스프레이 기법을 이용했다”며 “대개 공격자는 이용자를 속여 악성 웹사이트를 방문하게 하거나 이메일을 통해 악성 PDF를 발송한다. 만일 의심 없는 이용자가 이러한 웹사이트를 방문하거나 PDF 파일을 열면 이 익스플로이트로 피해자의 컴퓨터에 맬웨어가 설치될 수 있다”고 설명했다. 또한 이들 악성 PDF 파일은 Trojan.Pidief.G로 탐지된다고 피츠제럴드는 전했다.

US-CERT는 어도비 이용자들에게 어도비 보안대응팀의 블로그를 확인하고 추가적인 정보가 있기 전까지 다음과 같이 대처할 것을 권장했다.

 “%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll”,
 “%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll”  
 –> 파일들의 이름을 변경해 윈도우 플랫폼의 어도비 리더9의 플래시 비활성화.
플래시 플레이어의 비활성화 또는 보안 권장사항을 참조해 플래시 컨텐츠의 선택적 활성화.

원문: http://www.us-cert.gov/current/#adobe_reader_acrobat_and_flash 
US cert의 좀더 자세한 취약성소개글  << Vulnerability Note VU#259425 >>
  Adobe has released a security advisory to address a vulnerability in Adobe Reader and Acrobat 9.1.2 and Flash Player 9 and 10. This vulnerability may allow a remote, unauthenticated attacker to execute arbitrary code or cause a denial-of-service condition.  US-CERT encourages users and administrators to review the security advisory and implement the following workarounds until a fix is available:

  • Disable Flash in Adobe Reader 9 on Windows platforms by renaming the following files: “%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll” and “%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll”.

  • Disable Flash Player or selectively enable Flash content as described in the Securing Your Web Browser Document.
Additional information regarding this vulnerability can be found in Technical Cyber Security Alert TA09-204A.

   최근 Ddos사태에 대한   효과적인  대응책으로 이야기되고 있는  Virtual Victim 기술이 궁금해서 자료를 찾아보니  올해 2월쯤에 관련 제품이 소개된 것이 있더군요..   원래 내역중에 일부를 아래에 적었구요.. 좀더 자세한 것은  원문을 참고해주세요

원문출처: http://www.boannews.com/know_how/view.asp?idx=2463&kind=05

—————————————————————————
  파이어아이는 2004년 컴퓨터 가상화 기술을 보안에 응용, Virtual Victim 기술을 통해 네트워크상에 알려지거나 알려지지 않은 악성코드에 의한 Bot 감염을 탐지 및 분석하는 하드웨어 일체형 어플라이언스인 Botwall 4200 제품을 선보였다. 이 제품은 네트워크에 미러링이나 TAP을 이용해 Offline 모드로 설치되어 네트워크상에 전송되는 트래픽을 실시간 캡처한다.

  파이어아이의 Botwall 제품은 네트워크에 미러링이나 TAP을 이용하여 Offline 모드로 설치되어 네트워크상에 전송되는 트래픽을 실시간 캡처해서 Appliance에 내장된 가상 머신이 캡처된 트래픽 안에 악성코드가 포함되어 있는지를 조사하고 악성코드에 감염된 Bot PC를 발견한 후 이러한 Bot PC를 조종하는 원격지의 제어 서버(C&C : Command and Control 서버)를 찾아낸 후 더 이상 해커가 C&C에 의해 Bot PC를 원격제어 하지 못하도록 막아주는 기능을 제공한다

1단계. 트래픽 캡처 후 헤더 및 웹페이지 분석을 통한 이상트래픽 감지 단계

   트래픽 미러링 또는 TAP을 이용하여 트래픽을 캡처한 후 Client별로 트래픽을 재정돈한다. 이때 이상트래픽 감지(Anomaly Detection)엔진에 의해 의심스러운 트래픽들을 분류하는 작업을 한다. 운영체제의 취약점이나 웹 또는 브라우져의 취약점을 이용한 악성코드가 포함된 것으로 추정되는 의심스러운 트래픽을 분류하게 되며 여기에 사용되는 일련의 패턴들은 파이어아이사의 독자 기술인 Botwall Networks를 통해 전 세계에서 수집된 이상트래픽 정보가 활용된다

2단계. 가상머신을 이용한 악성코드 분석 단계

  이상트래픽 감지단계에서 탐지된 의심스러운 트래픽들은 FireEye Botwall Appliance내에 내장된 다수의 가상 머신에 전달되고 이때 가상머신들이 해당 트래픽을 실제 봇에 감염된 PC와 동일한 환경에서 그대로 재현하게 된다.  이 단계를 통해서 의심스러운 트래픽 안에 악성코드가 존재하는지, 해당 악성코드는 운영 체계내에서 어떻게 동작하는지를 분석하고 이를 통해 Bot에 감염된 PC와 악성코드를 배포하는 사이트 및 감염된 Bot PC를 원격에서 제어하는 C&C 서버를 탐지하게 된다.

  탐지된 정보를 바탕으로 C&C 서버와 감염된 Bot PC간의 통신을 차단함으로써 더 이상 해커에 의해 원격지에서 조정되지 않도록 예방할 수 있게 된다

참조한 기사: http://www.dt.co.kr/contents.html?article_no=2009072102019922601017&ref=naver 

  최근 Ddos공격으로 인해  보안이 관심을 많이 받게 되었던 것 같습니다.   방송이나 신문에서  떠들어댄 것이 큰 역할을 했던 것 같습니다.    제 블로그 접속자수도 예전보다 늘어났답니다.  ^^  하지만 관심이 얼마나 갈까 싶기도 합니다.   매번 이런 사건사고가 생기면 관심을 받다가  슬며시 수면아래로 사라지는 …   위험성은 정말 커져가는데도  근본적인   대책이나  국가적인 투자등은  항상 부족하기만 합니다.   우리나라의 발달된 IT인프라는  어떤 경우 잘못 악용되면  훌륭한 공격인프라(?)로 탈바꿈 할수 있다는 것이 이번에 입증된 듯합니다.

  감염pc들이  실제로 온라인에서  거래가 되고 있다고 합니다.  7월 21일 정보통신 연구진흥원에서 밝힌 자료에 따르면   Golden Cash Network같은 곳에서 거래가 되고 있다고 합니다.  

▶ 좀비PC 1천대당 가격 비교
한국,일본,중국등 동아시아 국가:  5달러
네덜란드, 스웨덴, 캐나다, 불가리아, 프랑스, 터키 : 20달러
독일, 스페인:  30달러
미국: 50달러
영국: 60 달러
호주: 100달러

▶ 왜 좀비PC들이 거래되고 있는가?
 악성코드에 의해 감염된  좀비PC들은  봇넷 마스터(해커)의 명령에 의해 특정 작업을 진행할 수있는데   감염된 pc들을 이용하여  정보를 빼내거나  보안이 취약한 특정사이트를 집중공격함으로서   수익을 창출하고 있습니다.  이제 대부분은    명예욕구가 아닌  경제적 이익을 위해  이런 공격이 성행하고 있는 것이 현실입니다.  해킹기술이 날로 발전하고 있어서  좀비pc는 필요에 따라 새로운 목적과 기능의  악성코드들을 내려받을 수 있게 되었습니다.  윈도우즈 보안패치를 받는 것처럼  좀비 pc들은 네트웍을 통해서  스스로를 업데이트하고 있다는 것이죠..
 
   감염 PC는 더이상 개별 사이버 범죄에 이용되는 일회성 자산이 아니라 사이버 범죄자들이 몇번이고 반복해서 온라인을 통해 거래할 수 있는 디지털 자산으로 전환되고 있으며    이 PC는 새 소유자에 의해 구매될 때마다 악성소프트웨어에 감염된 뒤 다른 소유자에게 팔릴 가능성이 있다고 합니다.

어딘가에서 보고 적어두었는데 다시 찾으려니 못찾겠네요.. 원문링크를 해야하는데.. ㅠㅠ
커맨드를 통해 간편하게 원격서버에 연결된 터미널세션을 확인하고 로그오프 시킬수있습니다.
물론 관리자 권한이 있을 경우에 그렇게 할 수있습니다.

▶ 원격서버에 연결된 세션확인

C:> query session /server:192.168.100.1

▶ 연결된 세션 disconnet하기 : tsdiscon [세션ID] /server:[서버IP]

C:> tsdiscon 1 /server:192.168.100.1

▶ 연결된 세션 로그오프시키기: logoff [세션ID] /SERVER:[서버IP] /v 
C:> logoff 1 /SERVER:192.168.100.1 /v

원문출처: http://news.nate.com/view/20090715n02443 

http://www.microsoft.com/korea/technet/security/current.mspx

   매달 발표되는 보안패치들을 가장 심플하면서 알기쉽게 정리해둔 MS의 보안공지 사이트입니다.  보안패치에 대해 확인하기 위해 여러사이트들을 돌아다녀보았는데 이 사이트가 가장  보기 쉬우면서  정리도 잘 되어 있습니다.

원문출처: http://www.boannews.com/media/view.asp?idx=17088&kind=1 

  인터넷에 접속되지않거나  기존에 트렌드에서 제공하는 active update서버에 접속이 되지않는 경우 TMCM을 이용하여  최신 버전으로 업데이트가 가능합니다.  네트웍 구조에 따라서 피치못하게  Trend active update서버에서 업데이트를 할 수 없는 경우  아래 방법을 사용하시면 되겠습니다.

Officescan 업데이트 서버 주소: http://osce8-p.activeupdate.trendmicro.com/activeupdate

TMCM 업데이트 주소http://TMCM_server_IP_address:8080/controlmanager/download/activeupdate/

트렌드에서 제공하는 Active Update 링크에서  TMCM서버의 업데이트 링크로 바꾸기
1. 웹콘솔에서 Update / Server / Update source 메뉴로 이동
2. Other update source 선택하고   TMCM업데이트 링크를 입력한다.
3. 저장하고 나온다.  ^^