IT Tech전문가 Roy

1. 문제파악 눈에 보이는 문제는 보이지 않아 “Proess Explorer” 프로그램을 사용하였다. 결과는 다음과 같았다. “Process Explorer” Tool화면 그림 1‑1을 보면 “C:\WINDOWS\System32” 내부에 있는 “services.exe”가 아닌 단독으로 “services.exe”가 실행되고 있는 것을 확인되었으며 악성 파일로 의심된다. 그림 1‑1 “Process Explorer” 화면 1.1. Kill Process “Process Explorer” Tool화면 그림 1‑2 Kill Process 시도하였으나 에러 메시지와 함께 삭제되지 않았다. 그림 1‑2 Kill Process 시도 1.2. DLL File “Process Explorer” Tool화면 그림 1‑3 ..

1. scada malware 1.1. evolution of scada malware The Mask ( aka Careto ) 2014년 1월 US, UK 에서 발견된 The Mask ( aka. Careto ) 는 Kaspersky 연구소에서 최초 발견하였으며 2007년 제작된 것으로 알려져 있다.정부기관을 포함한 산업기관을 타겟으로 멀티 플랫폼 (Windows, Max OSX, Linux, Android, IOS 등) 380대 이상을 타겟으로 설정하였다. 380대라고 하면 적은 숫자로 느껴질 수 있지만 타겟으로 삼은 대상은 전 세계의 핵심인물(기관) 을 대상으로 하였기 때문에 파급력이 큰 공격이었다. 제작자는 스페인어를 사용하였으며 Spear Phising, Watering Hole Attack ..

1. scada malware 1.1. evolution of scada malware Dragonfly ( aka. Energetic Bear ) 2014년 6월 러시아에서 발견된 Dragonfly ( aka. Energetic Bear ) 는 Symantec 연구소에서 발견하였으며, 2011년 제작된 것으로 확인되었다. 에너지 기법 외 다수 국가(미국, 스페인, 프랑스, 이탈리아, 독일, 터키, 폴란드 등) 를 대상으로 산업 제어 시스템 (ICS) 에 피해를 주는 악성코드로 3천대 이상을 감염시킨 악성코드이다. 러시아 해커 집단이 제작된 것으로 알려져있으며 감염 경로는 Spear Phising, Watering Hole Attack, Bundled Maware ( 모디피케이션 어택 ) 이다. 에너지 ..

1. scada malware 1.1. evolution of scada malware Gauss 2012년 6월 레바논에서 발견된 GAUSS 는 Kaspersky 연구소에서 발견하였으며 2011년에 제작된 것으로 확인하였다. 중동의 금융권을 타겟으로 했으며 8만대 이상의 Window, Linux, Mac OS 를 사용하는 이용자를 대상으로 했다. 첫 감염경로는 USB였으나 그 후의 감염경로는 알려진 정확히 알려지지 않았다. Kaspersky가 Flame 을 탐색 및 대응하는 과정에서 찾았으며 로드하는 모듈 이름이 유명한 수학자 이름을 사용한 것을 확인하였다. 가우스(Gauss) 이외에도 Lagrange(라그랑지), Kurt Godel(쿠르트 괴델) 등의 이름이 있었으며 Flame 유사한 형태를 가지고 ..

1. scada malware 1.1. evolution of scada malware Flame 2012년 5월 이란에서 발견된 Flame 은 Kaspersky, CrySys, Maher CERT 에 의해 발견되었으며 2006년 ~ 2011년 제작된 것으로 알려져 있다. 다수국가를 대상으로 윈도우 운영체제를 사용하는 1만대 이상의 컴퓨터가 악성코드가 감염되었으며 감염경로는 E-mail과 Network를 이용하였다. 2012년 5월 새로운 정보통신기반시설 악성코드 조사를 위해 sKyWlper 이름으로 국제적 협력 조직 구성되어2012년 5월 27일 이란 CERT팀인 Maher가 Flamer 악성코드를 조사하고 공개 (Kaspersky와 CrySyS가 협력) 하였다. ※ 분석보고서가 60페이지, 6Mb로 ..

1. scada malware 1.1. evolution of scada malware Duqu 최초 발견자는 CrySyS로 20011년 9월 헝가리에서 발견하였다. 투자비용은 1,000,000 ~ 10,000,000$ 으로 예상되며 제작은 2007 ~ 2011 까지 이루어졌다. 이란, 수단 등 다수의 국가를 타겟으로하여 윈도우 플랫폼에 악영향이 있었다. 50이상 컴퓨터를 대상으로 Doc, Network 를 이용하여 감염시켰으며 부다페스트 대학 CrySyS Lab에서 2011년 9월 헝가리에서 발견, 글로벌 보안회사 시만텍에 의해 2011년 10월에 분석 보고서 공개하였다. Stuxnet과 유사성으로는 디자인 철학(내부 구조 및 매커니즘, 구현 세부 사항, 디지털 서명 된 드라이버) 과 악성코드 종류 (..