IT Tech전문가 Roy

1. scada malware 1.1. evolution of scada malware The Mask ( aka Careto ) 2014년 1월 US, UK 에서 발견된 The Mask ( aka. Careto ) 는 Kaspersky 연구소에서 최초 발견하였으며 2007년 제작된 것으로 알려져 있다.정부기관을 포함한 산업기관을 타겟으로 멀티 플랫폼 (Windows, Max OSX, Linux, Android, IOS 등) 380대 이상을 타겟으로 설정하였다. 380대라고 하면 적은 숫자로 느껴질 수 있지만 타겟으로 삼은 대상은 전 세계의 핵심인물(기관) 을 대상으로 하였기 때문에 파급력이 큰 공격이었다. 제작자는 스페인어를 사용하였으며 Spear Phising, Watering Hole Attack ..

1. scada malware 1.1. evolution of scada malware Dragonfly ( aka. Energetic Bear ) 2014년 6월 러시아에서 발견된 Dragonfly ( aka. Energetic Bear ) 는 Symantec 연구소에서 발견하였으며, 2011년 제작된 것으로 확인되었다. 에너지 기법 외 다수 국가(미국, 스페인, 프랑스, 이탈리아, 독일, 터키, 폴란드 등) 를 대상으로 산업 제어 시스템 (ICS) 에 피해를 주는 악성코드로 3천대 이상을 감염시킨 악성코드이다. 러시아 해커 집단이 제작된 것으로 알려져있으며 감염 경로는 Spear Phising, Watering Hole Attack, Bundled Maware ( 모디피케이션 어택 ) 이다. 에너지 ..

1. scada malware 1.1. evolution of scada malware Gauss 2012년 6월 레바논에서 발견된 GAUSS 는 Kaspersky 연구소에서 발견하였으며 2011년에 제작된 것으로 확인하였다. 중동의 금융권을 타겟으로 했으며 8만대 이상의 Window, Linux, Mac OS 를 사용하는 이용자를 대상으로 했다. 첫 감염경로는 USB였으나 그 후의 감염경로는 알려진 정확히 알려지지 않았다. Kaspersky가 Flame 을 탐색 및 대응하는 과정에서 찾았으며 로드하는 모듈 이름이 유명한 수학자 이름을 사용한 것을 확인하였다. 가우스(Gauss) 이외에도 Lagrange(라그랑지), Kurt Godel(쿠르트 괴델) 등의 이름이 있었으며 Flame 유사한 형태를 가지고 ..

1. scada malware 1.1. evolution of scada malware Flame 2012년 5월 이란에서 발견된 Flame 은 Kaspersky, CrySys, Maher CERT 에 의해 발견되었으며 2006년 ~ 2011년 제작된 것으로 알려져 있다. 다수국가를 대상으로 윈도우 운영체제를 사용하는 1만대 이상의 컴퓨터가 악성코드가 감염되었으며 감염경로는 E-mail과 Network를 이용하였다. 2012년 5월 새로운 정보통신기반시설 악성코드 조사를 위해 sKyWlper 이름으로 국제적 협력 조직 구성되어2012년 5월 27일 이란 CERT팀인 Maher가 Flamer 악성코드를 조사하고 공개 (Kaspersky와 CrySyS가 협력) 하였다. ※ 분석보고서가 60페이지, 6Mb로 ..

1. scada malware 1.1. evolution of scada malware Duqu 최초 발견자는 CrySyS로 20011년 9월 헝가리에서 발견하였다. 투자비용은 1,000,000 ~ 10,000,000$ 으로 예상되며 제작은 2007 ~ 2011 까지 이루어졌다. 이란, 수단 등 다수의 국가를 타겟으로하여 윈도우 플랫폼에 악영향이 있었다. 50이상 컴퓨터를 대상으로 Doc, Network 를 이용하여 감염시켰으며 부다페스트 대학 CrySyS Lab에서 2011년 9월 헝가리에서 발견, 글로벌 보안회사 시만텍에 의해 2011년 10월에 분석 보고서 공개하였다. Stuxnet과 유사성으로는 디자인 철학(내부 구조 및 매커니즘, 구현 세부 사항, 디지털 서명 된 드라이버) 과 악성코드 종류 (..

scada malware - 발견자 : VirusBlokAda- 발견일 : 2010년 6월- 발견국가 : 이란- 투자비용 : 10,000,000 ~ 50,000,000 $- 제작 : 2008 ~ 2009년- 대상 : Natanz FEP in Iran * FEP ( Fuel Enrichmen Plant )- 영향 : 시멘스 PLCs, 윈도우 운영체제 * PLC(Programmable Logic Controller)- 피해 : 150,000 이상 Computer- 감염경로 : USB, 감염된 PC …… - 산업 공정/기반 시설/설비 등을 바탕으로 한 작업공정을 감시하고 제어하는 컴퓨터 시스템- 기존에는 특별 제작된 전용 운영체제로 운영되며, 고립된 네트워크로 사용이 제한되어 왔으나, 점진적으로 상용 운영체제..

1. apt attack APT 공격 자체는 기술적인 요소가 아니고 학술적인 용어이다. ( 실무에서 탐지로그를 봤는데 APT 공격이더라.. 라는 말은 말이 안된다!! ) APT ( Advanced Persistent Threat ) 의 Advanced 는 침입도구를 제작하고 침입할수 있는 방법에 대해서 명확하게 알고있는 상태에서 지속적으로 공격자들이 오랜시간 공격을 할수 있는가를 의미하며 Persistent는 공격자가 누군가의 사주를 받고 특정대상을 선정하고 임무를 달성하기 위해 계획을 할수있는가를 뜻한다. 그리고 Threat 는 공격자가 사주를 받고 조직을 구성해서 특정 집단을 만들어서 체계적으로 공격을 할수있는것을 뜻한다. 그리고 진행하는데에 있어서 동기부여가 명확하게 있는지에 있다. 동기부여는 어떠..

1. drive-by download 정의- 웹해킹n 웹 서버를 해킹하여 악성코드 유포 스크립트 삽입n 삽입된 웹 서버는 모든 데이터가 유출되었다고 봐도 무방 - 취약점n 국내는 인터넷 익스플로러, 자바, 어도비 플래시 플레이어 취약점 사용n 해외는 더 많은 취약점들을 사용n 원격 코드 실행 취약점들만 사용 (위험고 10점 만점에 9점 이상) - 악성 소프트웨어n 자동화 도구로 악성코드를 생성n 시간 단위로 악성코드 변형n 자바스크립트 코드 난독화n 순기능 – 소스코드 보호 차원에서 발생n 역기능 – 패턴형태의 보안 장비를 우회 1.1. warering hole attacks - 공격 타겟이 되는 대상이 자주 들어가는 웹 사이트에서 발생하는 Drive-by download- 미정부 주요 정부인사가 필수로..

Distributing Malware 사회공학적 기법- 클릭사기n 사용자가 원하는 데이터인 것 같은 파일로 위장n 사용자가 직접 다운로드 하고 실행- 직접침투n 해커가 직접 대상이 되는 기업에 침투하여 악성코드 설치 디스크 & USB- 과거 바이러스 형태의 악성코드가 전파하는데 사용- 최근 트로이 목마 계열은 USB의 오토런을 이용하여 감염 OS Exploitation- 과거 네트워크로 대상이 되는 운영체제에 직접 접근- 최근 내부 직원 PC의 제어를 통한 내부망 서버에 악성코드 감염- 대부분 지속적인 접근 용이성을 위해 백도어 계열 설치n 인터넷 서비스 업체n 게임업체n 기타 대형 IT 업체 Email – 첨부파일- 과거 단순 첨부파일로 전송- 최근 지능형 지속 공격을 위해 문서 형태의 악성코드 전송 ..

공격 목적은 돈!! 취약점 발견 è 취약점 è 취약점 거래 è 돈 공격 툴 개발 , 악성코드 제작, 탐지회피 è 공격도구와 악성코드 è 도구판매 è 돈 블랙햇 활동 è블랙햇 기술 è 고용 è 돈 è블랙햇 훈련 è 교육코스 è 돈 맛집 해킹 hacking web 웹 네트워크 network 학원 해커 크래커 hacker cracker 강아지 dog 고양이 해운대 강남 서면 보쌈 치맥 치킨 맥주 육회 회 포렌식 침해대응 cert 관제 모의해킹 mobile 모바일 무선 wireless 디지털포렌식 Clanguage C언어 C# JSP JAVA tool 해킹방어대회 ctf 문제풀이 기타 맛집 해킹 hacking web 웹 네트워크 network 학원 해커 크래커 hacker cracker 강아지 dog 고양이 해..