1. 개요 2014년 2월 시스코 시큐리티 블로그에 악의적인 DDNS를 이용한 악성코드 유포에 관한 포스트를 보게 되었다. 해당 포스트를 보면서 알게된 정보로 피에스타 익스플로잇 팩(Fiesta Exploit Pack)이 DDNS를 이용한 드라이브-바이 다운로드 환경을 구축한다는 것이다. 또한, 앞서 포스팅한 도메인 쉐도잉(Domain Shadowing) 기법과 비슷하게 서브 도메인을 생성하여 악용한다는 점이다. 악의적인 DDNS를 이용한 악용에 대해 추가적으로 조사를 해 본 결과, 가장 흥미로웠던 정보는 2010년 어베스트(Avast) 보고서이다. 이 보고서에 따르면, 최종 악성코드 유포지까지 도달하는 과정에서 가장 길게 사용된 경우가 15개의 리다이렉션을 이용하였다고 보고한다. 이 트래픽은 3 개의 ..
1. 사건 개요 네이트온에 내가 아닌 다른 사람이 로그인을 했다. 최초 로그인 시간은 "2015-01-16 13:32:13"으로 공격자가 로그인 후 기존의 사용자의 로그인을 강제 로그아웃 시켰다. 이후 접근은 실시간으로 강제 로그아웃 했다. 2. 피싱 대화 내용 로그인 이후 가장 최근에 대화한 지인에게 말을 걸어 매우 자연스러운 한국어로 금전을 요구했다. 재미있게도 대화하고 있는 사람은 회사에서 바로 옆자리에 앉아 있는 사람이다. 그래서 실시간으로 회사직원들과 함께 자연스럽게 대화를 유도하여 공격자의 명확한 목적을 찾았다. 3. 사건 처리 절차 IM 피싱을 해결하기 위한 절차가 아닌 보편적인 사이버범죄 신고 절차이다. 접수 대상 - 사이버 상에서 일어나는 모든 범죄행위에 대해 신고가 가능하다.신고 방법 ..
1. Mass SQLi의 흔적 SQL Injection 기법 중 Mass SQL Injection기법이 있다. 이는 수많은 사이트에 무작위로 SQL Injection하는 기법으로 무작위 대입 기법과 비슷하다고 가정 할 경우 수작업 보단 자동화된 도구에 의존한다고 볼 수 있다. [칼럼] 웹서비스 보안의 불편한 진실,2010.08.05[KISA] [TR2008007] 자동화된 SQL Injection 공격을 통한 악성코드 대량 삽입 수법 분석 - PDF 현재 개인적으로 연구 겸 번역 작업을 하고 있는 "Investingating China's Online Underground Economy"의 3.3.2. 인터넷 리소스와 서비스 악용 가치 사슬의 역할 과 속어 파트의 두 번째 단락에서 다음과 같이 말하고 있..
제휴광고를 이용한 악성 소프트웨어의 유포를 정리하다가 "Poisoned adverts"라는 단어를 보았다. Poisoned adverts 혹은 Ads Poisoning은 "오염된 광고, 광고를 오염시키는 것"과 "주입된 광고, 광고를 주입하는것"으로 해석하여광고의 본래의 기능을 상실하고 다른 기능으로 바꿔치는 것을 의미한다. 광고는 XSS를 발생시키는 JavaScript코드와 Shockwave Flash 파일을 사용하기에 생겨난 단어로 추측하고 있다. 광고의 변질은 다음과 같은 효과를 가져다 준다.가장 view가 많은 시간에 Drive-By-Download 형태사용자 동의 없이 설치하는 소프트웨어 (PUAs)형태기존의 광고 대신 다른 광고를 삽입하여 수익을 발생피싱, 파밍에 사용
1. 판단 정상적으로 활용되고 있는 사이트는 아니지만, 최근에 만들고 있는 것으로 판단된다. 피싱사이트에서 보여지는 모든 링크는 정상적으로 동작되지 않는다.현재의 정상적인 우리은행 사이트와 매우 유사하다.중국에서 운영되고 있다. (링크를 클릭하면 중국어로 된 에러코드가 발생.) 2. 추측 과거에도 피싱사이트를 운영한 사람으로 추측된다. 점점 디테일이 좋아지고 있다. 아무래도 자주 만들어서 그런 것 같다.바로가기의 내용에 보면 "시행일 8월 ~ 9월예정" 으로 적혀 있는 문구가 있다. 3. 피싱사이트 전형적인 유형 악성코드로 인해 정상 사이트 접근 시도시 정상 사이트가 아닌 피싱사이트로 접근(host파일 변조 등) 로그인 시 아이디 비밀번호 갈취 본인 확인을 위한 주민번호 입력 유도 및 갈취 보안카드 전체..
