EG's Security World!!

VIM은, BOM(Byte Order Mark) 이 있는 UTF-8 파일은 자동으로 인식하지만, BOM이 없으면 인식하지 못하고 파일 속의 한글이 깨집니다.

이때는 다음과 같이 인코딩을 수동으로 전환해 주면 됩니다.

VI : 인코딩 전환

* 현재 편집중이라면 키보드의 Esc키를 누릅니다.
* 콜론(:) 키를 눌러, 명령어 모드로 들어갑니다.

* set enc=utf8 , set enc=utf-8

VI : UTF-8 인코딩 전환

* set tenc=korea
* set enc=utf-8

- tenc는 termencoding 값을 설정하는것이고
- enc는 encoding 값을 설정하는 겁니다.

VI : 한글 완성형(euc-kr)으로 인코딩 전환

* set enc=cp949
* set enc=euc-kr

VI : 영문 모드로 인코딩 전환

* set enc=cp437

VI : 인코딩 설정

.vimrc 에서

set fileencodings=utf-8,euc-kr 만 하면 자동으로 utf-8인지 euc-kr인지 자동판별해서

fileencoding 값을 정해 줍니다

저장하면 새파일이면 터미널의 인코딩대로 저장되고 있던파일이면 원래 파일 인코딩대로 저장됩니다.
만약 인코딩을 바꾸려면
:set fileencoding=utf-8
:w

하면 utf-8로 바뀌어서 저장됩니다.

도스형 플래쉬 역어셈 프로그램이다.
조금 복잡하면 잘 되진 않지만, 그래도 나름 유용하다.
패치기능도 있으니 조타~~~~

swf -> flm
flm -> swf

http://www.nowrap.de/flasm.html

출처 : HAKIN9

MS에서 정말 잘 만들어진 보고서 하나 나왔다...

URL : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=b5f9eddc-70dc-4b11-996b-1bc6987c44b9
국내자료 : http://www.microsoft.com/security/sir/threat/default.aspx#korea

관련되어 국내 기사도 나왔다. 전자신문의 "내 PC에도 봇넷이..?" (http://www.etnews.co.kr/news/detail.html?id=201010140112)

역시 신문의 제목만으로 현혹하는 기술은 대단하다.. 하지만 오바한 것도 아니다.. (오바? 이거 사투린가? ㅋㅋ 오버?)

보고서에서는 2Q10 순위에 한국이 4위를 기록했지만(기사에서도 세계 최고수준이라 표현함),
실제 Bot CCM(Computer cleaned per mille-1,000)로 보면 한국이 14.6로 1위를 기록했다.

(이는 천대 기준으로 감염이 된 PC를 점수화시킨 것으로 보인다.
보니 1Q10에도 17.4로 1등했더라... 내가 파견나온 이후부터인가?? ㅡ,.ㅡ;;)

Figure 14. The 25 locations with the most bot cleanings in 2Q10

Figure 15. Bot infection rates by country/region in 2Q10

 

아시아에서도 한국이 빨간점을 찍어버리고... ^^;;;

문제는 원인파악이 아니겠는가?

보고서에 따르면 탐지된 코드명의 순위를 확인할 수 있다.


보고서에서 제일 맘에 드는건 위와같은 차트이다..
비록 업체들마다 다른 코드명을 사용해서 저게 뭐를 말하는지 다시 찾아봐야하지만, 여튼 트랜드를 볼수 있어서도 좋지만,
무엇을 대응해야하는지 볼수 있어 너무 좋다.

전세계야 그런다치고,
주변국가를 보자.

먼저 우리나라다..

Figure 30. Trends for the top 5 botnets in Korea, 3Q09-2Q10

Figure 27. Trends for the top 5 botnets in Japan, 3Q09-2Q10

Figure 12. Trends for the top 5 botnets in China, 3Q09-2Q10

주변국인데도... 좀 결과가 많이 상이하다.. ㅡ.ㅡ;;; 사실 의외다 ㅡ.ㅡ;;
주변국에는 없는 Virut가 국내에는 보인다는게 조금은 쓱스럽다.   2006년도에 발견되었던 악성코드가... 물론 변종이 많이 생기고 2007년도에 DDoS를 일으키는 놈으로 유명세를 타기도 했지만... 지금까지 활발하게 돌아다닌다는게... 정말.... 쪽팔린다.. 이런!!

왜그럴까? 얼마전에 엄청난양에 Virut 변종이 유입된 적이 있었다.
하필 XX과제 종결보고하기 전날...
하지만 조사했을까?? 그냥 Virut 변종이라며 그냥 지나쳤을테다...
이러면 안된다....

시끄러워야 대응하고, 내세울수 있는것에만 눈 휘둥그레 대응하고 투자하는 짓은 이제 그만하자!!
적어도 우리는 이러기위해 만들어진곳이 아니라는걸... 윗분들이 좀 알았으면 좋겠다..
어느분 말처럼... 소스는 있다. 윗분들의 관심을 두느냐... 얼마나 투자할수있게 여건을 만들어주느냐.. 이게 문제일 것이다.
이젠 이슈를 우리가 만드는 것이다!!
Receiver or Response가 아닌 Creator로...


여튼 국내 순위 자료로 다시 돌아가보자.

국내 환경이 전세계를 대변하는 것일까?
국내 것이 오히려 전세계 감염 추이가 비슷한 것 같다...

몇개만 간단히 알아보자.. 추후에 해당 코드까지 분석하게 되었으면 좋겠다... 추후에.. ㅡ,.ㅡ;;


- 1위, Win32/Rimecud

: 웜의 일종으로 하드디스크(외장형/USB 포함) 또는 메신저등을 통하여 전파되고
백도어를 추가 설치하여 허가되지 않은 접근을 가능하게 한단다...
Aliases로 Mariposa나 Pilleuz로 알려져 있는 웜이란다.

2008년 12월에 처음 발견된 봇넷(실제 발견은 Mariposa Working Group-MWG, Defence Intelligence Inc.에서 구성하여 Georgia Tech Information Security Center와 Panda Security가 참여함... 부럽다... - 에서 2009년 5월에 최초발견으로 알려져있다)으로 패킹이나 난독화, 그리고 안티디버깅, 프로세스 인젝션에 C&C서버를 Anonymouse VPN을 이용하는 등 분석하기 매우 어렵게 만들어졌고, IRC 형식의 C&C 서버와 통신을 통해 악성코드 업데이트와 전파 및 제어를 했었다고한다.
하지만, MWG는 2009년 12월에 봇넷을 제어할 수 있게되었다고 한다.

사실 올해 2~3월중에  FBI에서 악성코드 유포자를 체포했다는 기사를 본적이 있다.(http://www.telegraph.co.uk/technology/7913767/FBI-arrests-mastermind-of-Mariposa-botnet-computer-code.html , 위키피디아에서)

그래서 줄어드나 했더니만... 아직도 극성이나보다..

글을 쓰면서
조사해보니 이들의 동일명이 "Autorun/Palevo/Rimecud/Pilleuz" 란다... ㅡ.ㅡ;;;
보아하니... DDP Team (Spanish: Días de Pesadilla Team, English: Nightmare Days Team, 국내에서는 봇넷명을 따서 Mariposa 그룹이라 알려져있지만 위키피디아에 따르면 DDP가 맞는거 같다.)라는 스페인 그룹에서 "Butterfly bot"이라 불리는 프로그램을 통해 악성코드(봇)이 생성되고, 이들을 Mariposa(스페인어로 "나비"라는 뜻) Botnet으로 불려진듯 하다... 이는 나아가 특성에 따라 다른 이름으로 명명되기도 했는데, 주요기능으로는 은행정보 및 웹사이트 패스워드 탈취와 DDoS 공격의 기능을 가지고 있다고 한다.
이들은 블랙마켓에 $500에서 $1300에 팔린다고 한다.

팔레보(Palevo)라고하니 요즘 한참 뜨고 있는 봇넷이 아닌가..
안랩 발표에 의하면 2009년 10대 보안위협에 포함되었을 정도로 지난 10월8일자 ASEC Threat Research에 따르면
올해 10월달에 갑자기 일일건수가 9배 이상으로 급증한 것으로 나타났다.


어제 오랜만에 사고분석차 현장지원나간적이 있었는데, 행안부에서도 요넘때문에 고민하고 있다는 애기를 들었다.
오늘 사고분석에서도 안랩 요원(?)들이 USB들 점검해주면서 보니까 대부분 팔레보였던게 생각난다...

이놈이었구나...


에고.. 쓰다보니 또 길어졌군...
오늘 몇개 알아볼려고 했는데... 여기까지 해야겠다.

ㅁWin32/Hamweq
- USB를 통해 전파되고 IRC를 기반으로 제어되는 봇넷, DDoS기능있음

ㅁWin32/Virut
- IRC(port 65520, 채널 &virtu)를 통한 봇넷으로 .exe, .scr파일을 감염시킨다. 백도어 기능 또는 추가 악성코드 다운로드 및 설치 기능 있음
- 주요 도메인이 proxima.ircgalaxy.pl이란다... 젠장! 싱크홀 악성도메인에 있는건데.... 누가 차단 안한거야...
(Ping 때려보고... 127.0.0.1로 떨어진지 확인하고.... 내꼰 떨어지는데... 케이블사도 하는데... ㅡ.ㅡ;;;)

KrCERT/CC 월보에도 2009년에 나왔었는데... ㅡ.ㅡ;;
http://www.krcert.or.kr/statReportNewDownload.do?userFilename=0906_statistics.pdf p.21

여튼 안하는 곳은 때려잡아야써!!!!
법으로 다스려 주마!!


ㅁWin32/Hupigon
- 자체 확산기능은 없음, 이메일이나 웹사이트의 악성 스크립트에 의해 감염. 주요기능 키로깅과 백도어
- 발생지가 중국이란다. ㅡ.ㅡ;;
- http://www.f-secure.com/v-descs/backdoor_w32_hupigon.shtml

ㅁWin32/Rbot
- SDbot으로 알려있는 것으로, IRC을 기반으로 하는 봇넷, 스캔과 윈도우 취약점을 통한 자가전파 기능과 DDoS 기능이 있음
- 감염되면 PC를 꺼버린다네... ㅡ.ㅡ;;


오늘은 여기까지... ㅡ.ㅡ;;

※ 참고자료
 - http://defintel.com/docs/Mariposa_Analysis.pdf
 - http://www.cert-in.org.in/advisory/ciad-2010-45.htm
 - http://en.wikipedia.org/wiki/Mariposa_botnet
 - http://blog.ahnlab.com/asec/413
 - http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fRbot
 - http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Virut

---------------------------------------------

에고... 정말 포스트 하나 하는게 이렇게 힘들다!!

왜그럴까??

회사에 너무 집중하는 것일까?
아님 갖태어난 우리 이쁜 지민이 때문에??
아님... 술먹느라고?
ㅎㅎ

그냥 다니는데 열심히 다니라는 건가보다...

S사 서류에서 떨어지고... 나를 뒤돌아보면서... 2010.10.16일
늦잠자서 잠이 안오는 추운 저녁에....
혼자 스스로 자책하면서....

시작! 아무것도 모른다.. 정말.. 이제부터 알아가보자.. [EG™ in KrCERT/CC]