인터넷뱅킹 비상...'제우스(Zeus)' 소스 유출 - 2011.05.11 - zdnet.co.kr
글쓴이: 익명 사용자 / 작성시간: 수, 2011/05/11 - 10:25오후
인터넷뱅킹 비상...'제우스(Zeus)' 소스 유출 - 2011.05.11 - zdnet.co.kr
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20110511095617
Forums:
우리나라는 예전부터 액티브X 보안경고 무시하고 무심코
우리나라는 예전부터 액티브X 보안경고 무시하고 무심코 설치해댔으니...
특별히 새로운 것도 아니군요.
해당 악성 프로그램은 ActiveX와 상관없는
해당 악성 프로그램은 ActiveX와 상관없는 프로그램입니다.
RET ;My life :P
향후 심각한 사태가 발생할 수도 있겠군요. 전지구적으로 말입니다.
향후 심각한 사태가 발생할 수도 있겠군요. 전지구적으로 말입니다.
안 깔고 실행 안 하면 그만. 그런데 액티브X로
안 깔고 실행 안 하면 그만.
그런데 액티브X로 배포될 경우,
IE 보안 설정 낮추어 둔 경우, 경고창 없이 사용자가 몰래 그냥 깔릴 가능성 있습니다.
우리나라는 액티브X 보안 프로그램 깔면 IE 보안 설정이 낮추어지는지...
어떤 사이트 방문한 후... 경고창 없이 액티브X가 설치되어 놀랐던 적이 있습니다.
ActiveX가 아니더라도 공격자가 피해자의 컴퓨터에
ActiveX가 아니더라도 공격자가 피해자의 컴퓨터에 이미 설치되어 있는
소프트웨어의 취약점을 이용한다면 감염될 수 있습니다.
RET ;My life :P
맞는 말씀입니다. 소프트웨어 취약점으로 인하여
맞는 말씀입니다.
소프트웨어 취약점으로 인하여 원격으로 감염되려면 소프트웨어가 실행 중이 있어야 됩니다. 이를테면 서비스(daemon)같은 것, 웹 브라우저 같은 통신 프로그램들.
http://en.wikipedia.org/wiki/Zeus_%28trojan_horse%29 여기도 참고해주세요.
Zeus is spread mainly through drive-by downloads and phishing schemes.
제우스는 주로 다운로드 유도와 피싱으로 퍼진다고 하네요.
우리나라는 아이러니하게도 MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다.
10여년 이상 그래왔기 때문에 제우스 소스가 유출이 되든, 제우스 할아버지 소스가 유출이 되든 별로 새롭지 않다는 의미로 한 말입니다.
제우스 소스가 유출되었으면 안티바이러스 프로그램들의 제우스 감지 기능도 향상되겠군요.
"MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져
"MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다."
해당 주장에 대한 구체적인 근거(또는 자료)가 필요해보입니다.
구체적 근거(또는 자료)없이 ActiveX를 사용하는 인터넷뱅킹이 이용자 컴퓨터의 보안 설정을 낮춘다고 주장하신다면, 앞으로 다는 댓글은 무시하겠습니다.
RET ;My life :P
논의에 끼어드는건 아닙니다. (익명 사용자가
논의에 끼어드는건 아닙니다. (익명 사용자가 아닙니다.)
저도 데이터없이 이야기하기에는 자신이 없습니다.
제 경험안에서는 은행 거래시 어플이 ie의 보안 설정을 낮춰 버려서 쓸때 좀 불안합니다.
IE의 보안 정책을 잘 모르는 관계로 ActiveX 어플이 실행할때만 임시로 낮추는 건지 의문이구요.
물론 주 브라우저가 chrome 이고 은행거래 외에는 ie를 쓰지 않아서 걱정까지는 하지 않습니다.
과거 IE 6를 썼을때 이러한 보안 모듈이 설치되고 키로거 방지가 설치되는것에 대해서 저는 '안전함'을
느꼈는데, 요즘은 반대네요.
이부분에 대해서 혹시 정확하게 사실을 말씀해 주실수 있는 분이 계실까해서 댓글 달아 봅니다.
요즘은 어떤지 모르겠는데, 예전에는 실제로 그런 웹
요즘은 어떤지 모르겠는데, 예전에는 실제로 그런 웹 사이트들이 있었습니다.
자기네들 서비스를 제공하기 위해 ActiveX를 설치해야 하는데, 잘 안된다는 고객들이 너무 많았던 것인지...
FAQ에 가보면 "안될때는 인터넷 옵션에서 보안 설정을 낮추세요"라고 친절하게 안내한 웹 사이트가 있었네요.
그러나 구체적인 증거는... 화면 캡쳐를 해둔것이 없어서 제시할 수 없겠네요. -_-;
피할 수 있을때 즐겨라! http://melotopia.net/b
보안 설정을 직접적으로 낮추는 액티브X 보안
보안 설정을 직접적으로 낮추는 액티브X 보안 프로그램이 있는지는 저도 잘 모르겠습니다.
간혹 경고창없이 액티브X가 자동으로 설치되는 경우가 있어서 놀란 적이 있습니다.
보안 설정을 낮추라는 안내는 은행, 카드, 대학, 게임회사 등 상당히 많이 검색이 됩니다.
"MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다."
이 주장에 대한 근거가 아래 링크에 있습니다.
http://cyber.dankook.ac.kr/html/help_desk/system3.htm
http://update.nprotect.net/nprotect/kiup/check/setup_faq.html
검색어: 은행 액티브X 보안 설정 낮음
http://www.google.com/search?um=1&hl=en&newwindow=1&safe=off&client=iceweasel-a&rls=org.mozilla%3Aen-US%3Aunofficial&biw=870&bih=548&tbm=isch&sa=1&q=%EC%9D%80%ED%96%89+%EC%95%A1%ED%8B%B0%EB%B8%8CX+%EB%B3%B4%EC%95%88+%EC%84%A4%EC%A0%95+%EB%82%AE%EC%9D%8C&btnG=Search&aq=f&aqi=&aql=&oq=
검색어: 카드 액티브X 보안 설정 낮음
http://www.google.com/search?um=1&hl=en&newwindow=1&safe=off&client=iceweasel-a&rls=org.mozilla%3Aen-US%3Aunofficial&biw=899&bih=720&tbm=isch&sa=1&q=%EC%B9%B4%EB%93%9C+%EC%95%A1%ED%8B%B0%EB%B8%8CX+%EB%B3%B4%EC%95%88+%EC%84%A4%EC%A0%95+%EB%82%AE%EC%9D%8C&aq=f&aqi=&aql=&oq=
검색어: 스크립팅하기 안전하지 않은 것으로 표시된 ActiveX 컨트롤 초기화 및 스크립팅
http://www.google.com/search?num=20&hl=en&newwindow=1&safe=off&client=iceweasel-a&rls=org.mozilla:en-US:unofficial&q=%EC%8A%A4%ED%81%AC%EB%A6%BD%ED%8C%85%ED%95%98%EA%B8%B0%20%EC%95%88%EC%A0%84%ED%95%98%EC%A7%80%20%EC%95%8A%EC%9D%80%20%EA%B2%83%EC%9C%BC%EB%A1%9C%20%ED%91%9C%EC%8B%9C%EB%90%9C%20ActiveX%20%EC%BB%A8%ED%8A%B8%EB%A1%A4%20%EC%B4%88%EA%B8%B0%ED%99%94%20%EB%B0%8F%20%EC%8A%A4%ED%81%AC%EB%A6%BD%ED%8C%85&um=1&ie=UTF-8&tbm=isch&source=og&sa=N&tab=wi&biw=1089&bih=818
http://cyber.dankook.ac.kr/ht
http://cyber.dankook.ac.kr/html/help_desk/system3.htm http://update.nprotect.net/nprotect/kiup/check/setup_faq.html
언급된 2개의 링크의 경우 극히 정상적인 설정입니다.
첫번째 링크의 경우
"라) 안전하지 않은 것으로 표시된 ActiveX컨트롤 초기화 및 스크립트 - 확인 또는 사용
마) 안전한 것으로 표시된 ActiveX컨트롤 스크립트 - 확인 또는 사용
바) ActiveX컨트롤 및 플러그인 실행 - 확인 또는사용"
위와 같은 설정의 경우 ActiveX가 사용자 동의없이 실행되지 않습니다. (물론, 전부 확인으로 설정 할 경우에 한함)
두번째 링크의 경우 보통으로 설정하라고 하는데, 이것은 보안 설정이 낮음을 의미하지 않습니다.
RET ;My life :P
안전하지 않은 거랑 서명되지 않은 거는 "사용 안
안전하지 않은 거랑 서명되지 않은 거는 "사용 안 함"이 되어야지요.
그렇지 않으면 토돌이 키재기입니다.
제가 이렇게 주장했었죠? "MS 액티브X 인터넷뱅킹
제가 이렇게 주장했었죠? "MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다."
위의 두 링크는
MS 액티브X 인터넷뱅킹(전자상거래) 사용하려고 디폴트 기본 설정에서 보안 설정을 낮춘 것이 맞습니다.
기본 설정에서 낮춘 겁니다.
여기는 국민카드?
ActiveX 컨트롤 및 플러그 인 실행: 사용
사용자 지정 설정: 낮음.
보이시죠? ㅋㅋㅋ
이런 은행, 카드사, 대학교 많아요.
다음부터 근거를 제시할 경우 원본 링크를 제시해주시기
다음부터 근거를 제시할 경우 원본 링크를 제시해주시기 바랍니다.
http://kbcard.kbstar.com/quics?page=B010887
위 링크를 보시면 아시겠지만, 해당 스크린샷은 보안메일의 ActiveX가 동작하지 않을 경우에 대한 안내입니다.
사용자에게 불필요하게 강요를 하거나, 인터넷뱅킹에 쓰이는 보안 ActiveX가 강제로 설정하는 것이 아닙니다.
사용자가 직접 설정하는 것입니다.
RET ;My life :P
은행, 카드사 같은데는 IE 아니면 사이트가
은행, 카드사 같은데는 IE 아니면 사이트가 정상작동하지 않고, 액티브X 깔지 않으면 보지도 못하게 하는데가 많아서 원본링크를 드리지 못했습니다.
MS 윈도우 사용하신다면 그외도 많이 찾을 수 있을 겁니다. 관공서 중에도 그런 곳들이 있습니다.
기록해 두지는 않았는데 어떤 사이트는 아예 낮춰 놓고 해야지 그렇지 않으면 이용을 못하는 사이트도 경험해봤습니다.
제가 허튼 소리를 하거나 유언비어를 퍼뜨리는 것은 아닙니다.
여러 카드사, 은행, 관공서를 방문하여 액티브X를 수십 종 설치한 후,
경고창없이 액티브X 가 자동으로 설치되는지 테스트해볼만 합니다.
그런데 어느 세월에. 그런다고 해서 누가 알아주는 것도 아니고, 돈주는 것도 아니고요.
저 혼자만 경험한 거는 아닌거
저 혼자만 경험한 거는 아닌거 같군요.
twitter.com/channyun/status/11412875322
FAQ 등에서 보안 수준을 "낮음"으로 하라고
FAQ 등에서 보안 수준을 "낮음"으로 하라고 안내했으면...
그 컴퓨터는 어떠한 사이트에 단지 접속만으로 악성코드에 감염될 수 있죠.
아래 링크를 참고하세요...
주소: "악성코드 사이트"
요렇게 해놓으면 링크를 클릭하겠죠... 그 컴퓨터는 악성코드에 감염이 됩니다.
10여년간 이렇게 해왔는데... 제우스 할아버지가 나오든 말든...
대문이 열려있는데 새로울 것도 없죠. ㅎㅎㅎㅎ
저는 충분한 근거를 들었습니다.
저는 리눅스 사용자라서 근거를 더 드릴려면 MS로 부팅해야 되고 여기 저기 사이트 방문에서 보안 액티브X 설치해야 되기 때문에 많은 시간이 소비된답니다. 의아한 부분이나 궁금하신 부분이 있으면 Stand Alone Complex님께서 직접 해보시는 것이 좋을 것 같네요.
그런식으로 설명할 경우 보안 설정 낮음이든 보통이든
그런식으로 설명할 경우 보안 설정 낮음이든 보통이든 뭐든 해당 소프트웨어(여기서는 IE)에 취약점이 있으면 감염될 수 있습니다.
그렇다면 제가 왜 그렇게 주장을 하는지 비겁하게 익명으로 댓글을 다는 당신이 알아서 찾아보세요.
왜 익명이 비겁하냐고 하신다면 그것도 비겁하게 익명으로 댓글을 다는 당신이 알아서 찾아보세요.
저는 생업이 있다보니 컴퓨터에 투자할 수 있는 시간이 별로 없네요.
RET ;My life :P
취약점으로 인하여 감염될 수도 있는데... 우리나라의
취약점으로 인하여 감염될 수도 있는데... 우리나라의 경우는...그런 것까지 갈 필요도 없고...
http://en.wikipedia.org/wiki/Zeus_%28trojan_horse%29
Zeus (also known as Zbot, PRG, Wsnpoem or Gorhax) is a Trojan horse that steals banking information by keystroke logging and Form Grabbing. Zeus is spread mainly through drive-by downloads and phishing schemes.
여기에 보듯...
http://en.wikipedia.org/wiki/Drive-by_download
Downloads which a person authorized but without understanding the consequences (e.g. downloads which install an unknown or counterfeit executable program, ActiveX component, or Java applet).
방법을 사용하면 더 쉽겠죠.
액티브X로 만들어서 뿌리면 얼마나 편하겠어요...
커다란 은행, 게임회사 등의 FAQ에 보셨듯, 보안 설정을 낮추라는 안내가 많아요. 주소 클릭만으로도 경고창없이 자동 설치가 될 수 있죠.
저는 그걸 이야기하는 거에요.
"MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다." <== 그러면 Stand Alone Complex 님이 이것이 아니라는 근거를 좀 대보세요. 혹시 액티브X 개발자이신가요?
참고로, 바로 위에 익명사용자랑 저(이 기사내용을 처음으로 올린 사람)은 다른 사람입니다.
참고로, 바로 위에 익명사용자랑 저(이 기사내용을 제일처음으로 올린 사람)은 다른 사람입니다.
너무 기분이 나뻐서 글을 또
너무 기분이 나뻐서 글을 또 남기는데요...
FAQ라는 것이 자주하는 질문을 의미하는 겁니다.
사용자가 액티브X 안 된다고 자주 질문을 하니 고객센터에서 보안설정을 낮추라고 안내하고 있네요.
그것도 거다란 회사에서요... 굉장히 많은 사람들이 이용하는 은행, 대학, 관공서 홈페이지에서 그렇게 안내를 하는데...
"MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다." 이에 대한 충분한 근거가 되는 것입니다.
소프트웨어취약점(이를테면 IE취약점, 액티브X 취약점)을 이용하는 것과 액티브X로 배포하는 것 중,
어느게 쉽고 가능성이 높아 보일까요? 당연히 액티브X로 만들어서 배포하는게 쉽잖아요. 각종 DDoS 공격도 그런식이고요.
Stand Alone Complex님이야 말로 정말 비겁한거죠.
아무리 생각해도 너무 기분이 나쁘네요.
아예 차라리 논문을 써달라 하시죠?
술먹고 운전석에 앉았지만 음주운전은 안했다 식의 논리로군요
아니, 남을 술먹여서 운전석에 앉혔지만 음주운전을 조장한 건 아니라는 논리인가...
> 사용자에게 불필요하게 강요를 하거나, 인터넷뱅킹에 쓰이는 보안 ActiveX가 강제로 설정하는 것이 아닙니다.
네, 불필요하게 강요를 하진 않죠. 어디까지나 사용자가 직접 설정하게 안내할 뿐입니다.
다만,
그렇게 안하면 인터넷뱅킹을 쓸 수 없을 뿐.
이런 식으로 배타적으로 대화하는 사람들보면 기독교인일
이런 식으로 배타적으로 대화하는 사람들보면 기독교인일 가능성이 매우 높다라는 점.
온라인, 오프라인에서 직접 경험한 것들임.
KLDP에서도 이런 식으로 발언한 사람들을 찾아보면 기독교인이었음.
기껏 열심히 설명해 주면... 예수, 하나님 말씀만 중요하게 여기는지...
인간이 말하는 것은 그냥 무시하는 태도.
어떠한 주장에 대하여 근거를 자꾸 요구할 것이 아니라...
반박하는 측에서 주장이 터무니없다는 것을 증명해봐요.. ㅎㅎ
나 참 웃겨서...
소프트웨어 취약점으로 인하여 침투되는 악성코드 비율이 높나요?
아니면 액티브X로 무심코 침투되는 악성코드 비율이 높나요?
이 당연한 것을. 오죽하면 고딩들도 액티브X로 카페같은데에서 뿌리겠어요. 각종 DDoS 사건 보셨잖아요.
아무리 생각해도 아..진짜..너무 기분 나쁘다..
아무래도 KLDP 사용자들 중에 이해 관계에 얽혀있는 업계 관계자들이 많으신가봐요.
각 사용자들이 예전의 순수한 마음으로 돌아지 않으면 사이트 부흥은 어려울 듯.
서로 조금씩만 마음 가라앉히면서 차분한 투로 글을 포스팅했으면 좋겠습니다.
서로 조금씩만 마음 가라앉히면서 차분한 투로 글을 포스팅했으면 좋겠습니다.
죄송합니다. 과거 불교가 문제를 일으키던 시절도
죄송합니다. 과거 불교가 문제를 일으키던 시절도 있었습니다. 기독교 탓이 아닙니다.
저는 아직 한참 멀은 것 같네요.
기분 나쁘다고 내뱉은 이런 말에도 Stand Alone Complex님 포함하여 차분하게 참아주신 분들에게
죄송스럽고 감사하다는 말씀을 드립니다.
주말, 휴일 잘 보내세요.
1) 창과 방패, 어느 쪽이 더 이득을 볼 지
1) 창과 방패, 어느 쪽이 더 이득을 볼 지 궁금하군요.
2) 이제 다른 플랫폼으로 포팅 되는걸까요.. 많은 기사가 이를 다루고 있군요.
english install guide
Language and IDE programming:
Visual C + + (current version 9.0). No additional libraries are used
(crtl, mfc, etc.).
Supported OS:
XP / Vista / Seven, as well as 2003/2003R2/2008/2008R2. Including work
under Windows x64, but only for 32-x-bit processes. Also retained full work
boat under active sessions "Terminal Servers".
Principle:
Boat is based on intercepting WinAPI, by splicing in ring3 (user mode)
by running a copy of its code in each process the user (without using the
DLL).
Installation process:
At the moment, primarily a bot designed to work under Vista / Seven,
enabled UAC, and without the use of local sploytov. Therefore, the bot is
designed to work with minimal privileges (including the user "Guest"), with
regard to this boat is always working within sessions per user (from under
which you install the bot.). Bot can be set for each user in the OS, while
the bots will not know about each other. When you run the bot as the user
"LocalSystem" will attempt to infect all users in the system.
When you install, the bot creates a copy of a user's home directory,
this copy is tied to the current user and the operating system and can not
be run by another user, or even more operating systems. The original copy of
the same boat (used for installation) will be automatically deleted,
regardless of the success of the installation.
Session with the server (control panel):
Session with the server through a variety of processes from an internal
"white list" that allows you to bypass most firewalls. During the session,
the bot can get the configuration to send the accumulated reports, report
their condition to the server and receive commands to execute on the
computer. The session takes place via HTTP-protocol, all data sent by a bot
and received from the server is encrypted with a unique key for each botnet.
Defense:
Unique names of all objects (files, myuteksov, registry keys) to
create a bot for every user and a botnet.
Fixed bot can not be run with a different operating system or
user. Destroyed
by the code that is used to install the bot.
At the moment, not done to hide files, bot through WinAPI,
because anti-virus
tools are very easy to find such a file, and allow to pinpoint the location
of the bot.
AutoUpdate bot, do not require a reboot.
Monitoring the integrity of files the bot.
Functions of the server-side bot:
Socks 4/4a/5 server with support for UDP and IPv6.
Bekkonekt for any service (RDP, Socks, FTP, etc.) on the infected
machine. Ie may gain access to a computer that is behind a NAT, or, for
example, which prohibited the connection firewall. For this feature to work
using additional applications that run on any Windows-server on the
Internet, which has a dedicated IP.
Getting a screenshot of your desktop in real time.
Intercepting HTTP / HTTPS-requests Libraries wininet.dll (Internet
Explorer, Maxton, etc.), nspr4.dll (Mozilla Firefox):
Modification of the content loaded pages (HTTP-inject).
Transparent redirect pages (HTTP-fake).
Getting out of the page content right pieces of data (eg bank
account balance).
Temporary blocking of HTTP-injected and HTTP-fakie.
Temporary blocking of access to determine a URL.
Blocking logging requests for certain URL.
Forcing logging of all GET requests for specific URL.
A snapshot of the screen around the mouse cursor during the click of
buttons.
Getting session cookies and blocking user access to certain URL.
Get important information from the user programs:
Logins from the FTP-Client: FlashFXP, CuteFtp, Total Commander,
WsFTP, FileZilla, FAR Manager, WinSCP, FTP Commander, CoreFTP, SmartFTP.
"Cookies" Adobe (Macromedia) Flash Player.
"Cookies" wininet.dll, Mozilla Firefox.
Import certificates from the certificate store Windows. And tracking
their subsequent addition.
Tracking keystrokes.
Sniffer traffic for TCP in Windows Socket.
Intercept FTP-login on any port.
Intercept POP3-login on any port.
Others:
Execution of scripts (commands) created in the Control Panel.
Separation of the botnet to sabbotnety (by name).
Description: Control Panel
Programming Language:
PHP, using the extension mbstring, mysql.
Statistics are displayed:
The number of infected computers.
The current number of boats online.
The number of new bots.
Daily activity bots.
Country statistics.
Statistics on the OS.
Working with the list of bots:
Filtering the list by country, botnets, IP-addresses, NAT-status,
etc.
Displaying desktop screenshots in real time (only for bots is NAT).
Mass inspection of the Socks-servers.
Displays detailed information about the papers. Of the most
important here are:
Version of Windows, the user language and time zone.
Country and IP-address of the computer (non local).
Internet connection speed (measured by calculating the load time
a predefined HTTP-resource).
The first and last communication with the server.
Time online.
Ability to set comment for each bot.
Scripts (commands):
You can control the bots by creating a script for them. Currently,
syntax, and scripting capabilities are very primitive.
Working with reports (logs) and files of bots:
Files (such as screenshots, cookies Flash Player) received from the bots
are always written to the files on your server, you get the opportunity to
search for files with a filter: by name of bots, botnets, content and file
name.
Reports can be written in both files (% botnet% /% bot_id% /
reports.txt), and in the database. In the first case, the search for records
in exactly the same way as for files. In the second case, you get more
flexible filtering, and viewing reports from the Control Panel.
Receive notifications in the IM (Jabber):
You can receive notifications from the Control Panel in the
Jabber-account.
At the moment there is a possibility of receiving notifications about
entering user defined HTTP / HTTPS-resources. For example, it is used to
capture user session in an online bank.
Others:
Creating a control panel users with certain privileges.
Displays information about the server software.
Automatic recovery of corrupted tables MyISAM.
Configuration file: HTTP-inzhekty/HTTP-grabbery.
For the convenience of writing, HTTP-inzhekty/HTTP-grabbery recorded in a
separate file specified in the configuration file as
"DynamicConfig.file_webinjects". Naturally, after creating the
end-configuration file, or any additional files are generated.
The file consists of a list of URLs for which you can specify an unlimited
number of any modification thereto or derived from their data. The current
URL is the following line:
set_url [url] [options] [postdata_blacklist] [postdata_whitelist]
[url_block] [matched_context]
Parameters:
url URL, which should run HTTP-inzhekt/HTTP-grabber. Allowed the use of
masks (* and #).
options determine the basic rights and conditions for zapsuka consists of a
combination of the following characters:
P - run at POST-request.
G - run by GET-request.
L - if it is of characters is specified, the launch takes place as the
HTTP-grabber, if not specified, as the HTTP-injection produce.
D - starting blocks more than once in 24 hours. This symbol requires a
mandatory presence of the parameter url_block.
F - complements the symbol "L", allows you to record the result is not
in plain report, and as a separate file "grabbed \% host% _% year% _% month%
_% day%. Txt".
H - complements the symbol "L", saves the contents without excision of
HTML-tags. In normal mode the same, all HTML-tags are removed, and some are
transformed into a symbol of "new line" or "gap".
I - to compare the url parameter insensitive (only for English.
Alphabet).
C - compare konekst insensitive (only for English. Alphabet).
postdata_blacklist complete (from start to finish) the contents of
POST-data, which should not be run. Allowed the use of masks (wildcards *
and?).
Parameter is optional.
postdata_whitelist complete (from start to finish) the contents of
POST-data, which should be run. Allowed the use of masks (wildcards * and?).
Parameter is optional.
url_block In the absence of a character "D" in the parameter options:
If the launch must occur only once, it should specify a URL, in the case of
an appeal which, dalneshy run will be blocked. Expectation that the URL
begins immediately after application HTTP-inzhekta/HTTP-grabbera. If, after
blocking, you will need to restart, then the lock can be removed via the
command "bot_httpinject_enable" with a parameter, for example, equal to the
parameter url.
In the presence of the symbol "D" in the parameter options:
You must specify a URL, when accessed, the launch will be blocked at the 24
th hour. Expectation that the URL begins immediately after application
HTTP-inzhekta/HTTP-grabbera. This lock can not be removed by a team of
"bot_httpinject_enable".
Parameter is optional in the absence of a character "D" in the parameter
options.
matched_context Podsoderzhimoe (substring) soderimogo URL, which should be
run. Allowed the use of masks (wildcards * and?).
Parameter is optional.
With the next line begins a list of changes introduced in the contents of
the URL, and if the symbol "L" in the parameter options - a list of data
retrieved from the content URL. This is a list lasts until they reach the
end of the file, or do not specify a new URL.
Unit list consists of three elements in random order:
data_before When ..
이런 것은 링크를 거는 것 만으로도 불법 아닌가요? 이런 건 KLDP에서는 삭제조치하시는게 좋을 것 같다고 건의합니
이런 것은 링크를 거는 것 만으로도 불법 아닌가요? 이런 건 KLDP에서는 삭제조치하시는게 좋을 것 같다고 건의합니다.
일단 비공개 처리 해두었습니다.
일단 비공개 처리 해두었습니다.
추가.
위 english install guide는
1) 설치 가이드가 아닌 사용 가이드이며
2) 사용 가이드 자체는 실제 실행 파일이 없으면 의미가 없으며
3) 사용 가이드를 통해 해당 프로그램의 특성에 관한 논의가 가능합니다
이런 이유로 일단 남겨두었습니다.
제우스,
제우스, 위키피디아
http://en.wikipedia.org/wiki/Zeus_%28trojan_horse%29
벌써 제우스 변종?, 새 인터넷뱅킹 악성코드 등장 - ZDNet Korea - 2011-05-12
벌써 제우스 변종?...새 인터넷뱅킹 악성코드 등장 - ZDNet Korea - 2011-05-12
http://news.nate.com/view/20110512n08598
이 기사내용은 Zeus에 대한 내용이 아니라, "썬스팟 트로이목마"에 대한 내용입니다. 제목 때문에 낚였습니다.
이 기사내용은 Zeus에 대한 내용이 아니라, "썬스팟 트로이목마"에 대한 내용입니다.
이 링크를 포스팅한 나도 자극적인 제목 때문에 낚였습니다.
요즘 링크 포스팅하시는 분..한 분이신 것 같은데
요즘 링크 포스팅하시는 분..한 분이신 것 같은데 딱히 별것도 없는데 그만 하세요.
아니면 새소식 란도 있지 않습니까?
거기에 대해서 무슨 개인적 의견이 있어서 이야기를 나누고 싶은건지 아닌지도 모르게 그냥 링크나 제목 정도만 딸랑 올리시던데..
어쩌라구요? 응?
http://kldp.org/node/122028#comment-548241
http://kldp.org/node/122028#comment-548241 -> 이것은 관리자 중 한 분의 의견입니다.
전산관련이지만 기타로 분류되는 내용들이니 새소식보다 자유게시판이 더 적합합니다.
잘못된 점이 무엇입니까? 잘못된 점이 있으면, 관리자에게 정식으로 의견제시 하십시요.
헐. 관리자 "권순선"님의 글입니다.
헐. 관리자 "권순선"님의 글입니다.
제가 보기에는 말 전달의 오류가 아닌가 싶습니다. 한
제가 보기에는 말 전달의 오류가 아닌가 싶습니다.
한 쪽에서는 어떤 원인으로든 인터넷 뱅킹이나 각종 관공서 사이트 등을 이용하는 과정에서 ActiveX 컨트롤을 설치해야 하고 그렇기 때문에 사용자는 보안 설정의 수준을 내릴 수 밖에 없고... 이것 또한... "MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다." 라는 내용의 일부라고 말씀하고 계시고...
다른 쪽에서는 ActiveX 컨트롤이 지 멋대로 그걸 바꿔 놓는게 아니니 "MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다." 라는 주장은 근거가 없다고 말씀하고 계시는 것 같습니다.
결국 이건 "MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다." 라는 말의 해석에 있어 몇 가지 생략된 부분들 때문에 서로 다른 부분에 초점을 두고 내용을 해석하기 때문에 생기는 오류라고 봅니다. "MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다." 라는 주장을 하신 분은 자의든 타의든 혹은 자동으로든 수동으로든 보안 설정의 수준을 내릴 수 밖에 없거나 이와 비슷한 상황이 연출되고 있다는 것을 말씀하시려는 것 같고 Stand Alone Complex 님께서는 기술적인 측면에서 위 주장의 근거가 되는 것을 찾으려 하시는 것 같다는 이야깁니다. 주장하는 바가 서로 다르니... 논쟁이 벌어질 수 밖에 없는 거 같습니다.
사람천사
동감입니다. 서로 배경에 우순순위를 두고 있는 "전제"가 다르니 서로 핏대를 세우는 지경까지 가는 것 같습니다.
좀 서로에게 차분하게 대응했으면 합니다.
기술적인 근거 자료
1. 우리나라는 예전부터 액티브X 보안경고 무시하고 무심코 설치해댔으니... 특별히 새로운 것도 아니군요.
2. 소프트웨어(액티브X 소프트웨어도 소프트웨어입니다.)의 취약점을 이용한다면 감염
3. MS 액티브X 인터넷뱅킹 때문에 보안 설정이 낮춰져 있는 컴퓨터가 많습니다.
1,2,3 에 대한 기술적인 근거 자료입니다.
ActiveX 취약점 공격 및 방어 기법
powerofcommunity.net/poc2006/ryan.pdf
ActiveX Control 개발 보안가이드라인
http://service2.nis.go.kr/safe/securityRecomm.jsp?pArticleNo=1342&pListNo=113&mode=view
사이버 침해사고 사례집 사이버 침해사고 사례집
http://www.ben.go.kr/board/download.sko?boardId=m4_06&boardSid=902&menuCd=AA04005000000&contentsSid=250&orderBy=register_dt:desc&startPage=1&searchType=&keyword=&searchStartDt=&searchEndDt=&dataSid=240344&command=update&fileSid=240345
붙임1-웹 서비스 취약점 - 안성교육청
http://www.cnsce.go.kr/_prog/gboard/common/download.php?code=study12&no=12521&depth=0
홈페이지개발보안가이드
www.mest.go.kr/web/1118/ko/board/download.do?boardSeq=36290
취약점 악용 방지 가이드 ActiveX
www.sensb.go.kr/board.do?mode=download&att_seq=12394
이렇게 서로 치열하게 토의하는 것도 여기 KLDP에서는 간만인 것 같습니다. ㅎㅎ
이렇게 서로 치열하게 토의하는 것도 여기 KLDP에서 근간에 아주 간만인 것 같습니다. ㅎㅎ
우리나라에서 악성 프로그램에 감염되는 경우는 IE나
우리나라에서 악성 프로그램에 감염되는 경우는 IE나 Flash의 취약점을 노린 경우가 가장 많습니다. (덧: 주로 중국에서 공격을 많이 합니다.)
잘못된 ActiveX 설정으로 인하여 감염되는 경우는 드뭅니다.
나머지 설명은 Microsoft Malware Protection Center의 블로그 글로 대체하겠습니다.
1) CVE-2010-0806 (IE iepeers.dll 취약점) - http://blogs.technet.com/b/mmpc/archive/2010/03/30/active-exploitation-of-cve-2010-0806.aspx
* 주: 중국과 한국에만 몰려 있음. 본인이 직접 모니터링/분석한 결과와 일치함.
2) CVE-2010-3962 (IE mshtml.dll 취약점) - http://blogs.technet.com/b/mmpc/archive/2010/12/09/cve-2010-3962-the-weekend-warrior.aspx
* 주: 한국과 중국에만 몰려 있음.
3) CVE-2010-3971 (IE mshtml.dll 취약점) - http://blogs.technet.com/b/mmpc/archive/2011/02/08/cve-2010-3971-not-quite-the-weekend-warrior.aspx
* 주: 한국에만 몰려있음.
4) CVE-2010-3654 (Flash authplay.dll 취약점)- http://blogs.technet.com/b/mmpc/archive/2011/03/07/embedded-javascript-in-swf.aspx
* 주: 한국에만 몰려있음.
위와 같이 "지역성"이 있더라도 "공격 시도 횟수"가 "주목받을 정도로 충분히 많으므로" 국내뿐만 아니라 "해외(Microsoft)"에서도 블로그 포스팅을 합니다.
그렇다면 그렇게 문제가 많은(?) ActiveX의 경우는 어떨까요?
정말 공격 횟수가 많고 취약하고 기타등등 문제가 많다면 블로그 포스팅이 여러번 이루어졌어야겠죠?
http://blogs.technet.com/search/searchresults.aspx?q=activex§ions=6258
딱 "3개" 나오네요.
답이 나오시나요?
ActiveX가 보안에 취약한것은 맞습니다.
국내외에서 여러번 경고가 이루어져왔습니다.
하지만 ActiveX 컴포넌트의 취약성을 악용해서 사용자 몰래 설치되는 악성 프로그램은 그다지 많지 않습니다.
다른 소프트웨어의 취약점을 공격하는 경우가 "훨씬" 많습니다.
국내 컴퓨터 보안을 이야기할때 "ActiveX 때문" 운운하지 마십시오.
다른 문제가 더 큽니다.
RET ;My life :P
아...또 반복하게 만드는구요... go.kr
아...또 반복하게 만드는구요...
go.kr 자료에도 언급이 되어 있거든요. 읽어보기는 하신건가요?
업계 관계자들의 이야기.. 아... 피곤해..
1) 홈페이지개발보안가이드 (2007년도 자료)*
1) 홈페이지개발보안가이드 (2007년도 자료)
* Active, 액티브로 문서를 검색했을때 53페이지중 1페이지에 언급됨.
2) 사이버 침해사고 사례집 사이버 침해사고 사례집 (2007년도 자료)
* Active, 액티브로 문서를 검색했을때 127페이지중 어디서도 언급되지 않음.
이게 기술적 근거 자료로 적합하다고 생각하시나요?
RET ;My life :P
2006년도 사이버 침해사고 사례집 2007.
2006년도 사이버 침해사고 사례집 2007. 4
인용
가. ActiveX 취약점악용 공격증가
ActiveX는 MS의 인터넷 익스플로러 기능을 확장하기 위해 제공되는
것으로 웹브라우저 내에서 문서편집 가능 등 편리성을 지원하지만 PC의
각종 파일 및 레지스트리 등의 자원에 접근이 가능하므로 보안에 매우
취약하다.
이것은 웹 개발시 편리성을 제공하지만 웹에 은닉된 악성코드를 자동
으로 실행하게 되어 있어 악성코드 유포 등에 악용되고 있다. 우리나라는
사용자 편의성만 추구한 나머지 ActiveX 컨트롤 설치가 남용되고 있다.
지난해 ActiveX 취약점을 악용한 악성코드가 많이 발견된 반면, 이를
탐지할 수 있는 백신이 없기 때문에 위험성은 계속 증가하고 있는 형편
이다. 최근 MS에서 제작한 ActiveX들도 취약점이 드러나 지속적으로
패치를 발표하고 있지만, 국내에서 제작된 ActiveX는 패치 조차도 구할 수
없어 해커들이 국내 ActiveX의 취약점을 간파하고 공격하기 시작하면
큰 피해를 입을 것으로 예상된다.
악성코드 주요 유형인 리니지핵, 한게임핵이 지속 발생하고 있는데,
감염 방법은 해커가 보안에 취약한 홈페이지를 해킹한 후, 게시판 자료실
등에 해킹프로그램을 은닉하여 해당 홈페이지에 접속시 공격 대상 PC에
악성코드가 자동설치 되도록 하는 것이다.
ActiveX 기술은 웹사이트에서 다양한 효과를 표현할 수 있고, 네트워크
접속을 통한 업데이트 가능성 등의 장점이 있어 국내 인터넷사이트에서
광범위하게 활용되고 있다. 그러나 이와 같은 장점 외에 ActiveX 기술을
악용하는 해킹과 악성코드들도 증가하고 있다. 그러나 07년 1월 발표된
마이크로소프트사의 윈도우 비스타에서는 ActiveX로 인한 피해를 방지
하기 위하여 인터넷 익스플로러에서 ActiveX 컨트롤의 설치를 제한할 수
있는 기능을 추가하였다. 이로 인하여 ActiveX로 인한 악성코드 감염은
감소할 것으로 보이지만 사용자의 부주의에 의한 해킹 가능성은 상존
하므로 위협은 상당기간 지속될 것으로 예상된다.
ActiveX 취약점 공격 및 방어 기법
발췌 인용
국내 웹 사이트는 ActiveX 컨트롤을 많이 이용한다.
현황 (천만 명 이상이 사용하는 다수의 컨트롤에서 취약점 발견)
ActiveX 컨트롤에 대한 보안성 검증절차가 없다.
보안 프로그램에서 조차도 취약점이 발견된다.
개별 회사의 문제가 아니라 ActiveX 취약점에 대한 인식과 공감대 형성이 부족해서
발생한 문제
패치가 힘들다.
사례1 애드웨어 / 웜 배포
2002년 이후 발견되는 애드웨어의 상당수는 ActiveX나 IE의 취약점 이용
취약점을 이용하기 때문에 ‘확인’ 버튼을 누르지 않아도 자동설치
사례2 중국발 해킹
웹 서버 해킹 후 해킹툴/트로이 목마 배포
배포되는 트로이 목마는 IE ActiveX 컨트롤 취약점을 이용해 자동으로 PC에 설치
사례4 2005년 인터넷 뱅킹 용 ActiveX 컨트롤 취약점 사례
대부분의 은행에서 배포하는 ActiveX 컨트롤에 취약점 존재
인터넷 뱅킹 이용자 수 3000만 명 이상
국내 대부분의 PC가 국내외 해커에게 해킹 가능했던 상황
나머지 문서도 자세히 읽어보세요. 분명히 나와 있습니다.
Microsoft와 취약한 소프트웨어를 개발할 회사
Microsoft와 취약한 소프트웨어를 개발했던 회사 그리고 보안 회사들은 그동안 놀았을까요?
그동안 많은 변화가 있어왔기 때문에 위에서 언급한 문서들은 가치가 없다고 봅니다.
익명 사용자님에게 묻습니다.
ActiveX 컴포넌트의 취약점을 이용한 공격 횟수/피해액이 많을까요/클까요?
아니면 소프트웨어의 취약점(ActiveX 컴포넌트의 취약점 제외)을 이용한 공격 횟수/피해액이 많을까요/클까요?
저는 후자가 더 공격 횟수가 많고 피해액이 크다고 확신합니다. (주관적 판단과 국내외 자료 참고)
따라서 국내 보안을 이야기할때 "ActiveX가 큰 영향을 미친다"라는 주장에 동의하지 않습니다.
그리고 알려지지 않은 보안 문제의 경우 ActiveX든 IE든 뭐든 처음 취약점이 발견되서 악용된다면 막지 못할 확률이 무척 높습니다.
이건 ActiveX라는 기술에만 국한된 문제가 아닙니다.
모든 소프트웨어가 가지고 있는 문제입니다.
익명사용자님!
좀 더 큰 시야로 국내 보안을 바라보았으면 하는 바램입니다.
오늘은 여기까지만 올리겠습니다.
RET ;My life :P
소프트웨어의 취약점에는 당연히 액티브X도
소프트웨어의 취약점에는 당연히 액티브X도 포함되어야죠.
액티브X도 소프트웨어입니다.
공격 횟수와 피해액을 서로 비교하기 위한 의도로
공격 횟수와 피해액을 서로 비교하기 위한 의도로 제외한 것입니다.
오늘은 여기까지만 하겠습니다.
RET ;My life :P
그 액티브X가 이메일, 피싱, 웹 사이트 SQL 삽입
그 액티브X가 이메일, 피싱, 웹 사이트 SQL 삽입 등와 결합하여 사용되기도 합니다.
그리고 아래에 행동주의 심리학 소개했으니까...
진정으로 부탁하는데 거다란 시야로 한번 바라보세요.
소프트웨어 취약점(비교하기 위해 ActiveX
소프트웨어 취약점(비교하기 위해 ActiveX 취약점을 제외하고)이 이메일, 피싱, 웹 사이트 SQL 삽입 등와 결합되어 더 많이 사용됩니다.
소프트웨어 취약점(비교하기 위해 ActiveX 취약점을 제외하고)이 이메일, 피싱, 웹 사이트 SQL 삽입 등와 결합되어 사용되는 경우가 많을까요?
아니면 ActiveX가 이메일, 피싱, 웹 사이트 SQL 삽입 등와 결합하여 사용되는 경우가 많을까요?
전자가 더 많습니다.
실제 공격 데이터를 무시하고 억지 부리시려고 하지마세요.
RET ;My life :P
지엽적인 것 가지고 자꾸 물고
지엽적인 것 가지고 자꾸 물고 늘어지는데요...
그래서 전자가 몇배, 몇%나 더 많다는 얘기인가요?
전자가 후자보다 더 많으니까... 후자는 언급하면 안 된다는 이야기인가요?
도대체 원하는게 뭔가요?
"국내 보안 환경은 액티브X 때문이 아니다" 이런 걸 원하시는 건가요?
"소프트웨어 취약점(액티브X 취약점 제외 ㅎㅎㅎㅎ) 때문이다."
IE 취약점은요....? 액티브X 사용하려면 반드시 IE 써야되는데... ㅎㅎㅎㅎ
액티브X 취약점 + IE 취약점은 항상 붙어다니는 거에요.
그렇죠?
그러니까.. 통계, 자료 해석 중요한 거고요...
과거 주장 중에...
IE 사용자가 99% 이기 때문에 타 브라우저를 지원할 수 없다.
이런 주장도 궤변이라는 것도 판명이 났죠.
그 99% 사이트 = 금융권, 관공서, 쇼핑몰 ......ㅋㅋㅋㅋ
여기는 리눅스, 오픈소스 관련 사이트입니다.
제가 처음 달은 댓글부터 지금까지 하는 얘기가 무슨 말인지 이해 못하시나요?
Stand Alone Complex 같은 님은 리눅스, 오픈소스 관련 사이트에서 이런 식으로 토론하시는 거 아닙니다.
아..오해가 있을까봐 덧붙이는데... Stand
아..오해가 있을까봐 덧붙이는데... Stand Alone Complex 님은 "IE 사용자가 99% 이기 때문에 타 브라우저를 지원할 수 없다." 이런 주장을 하시지 않았습니다.
"액티브X 취약점 + IE 취약점은 항상 붙어다니는
"액티브X 취약점 + IE 취약점은 항상 붙어다니는 거에요."
아닙니다.
사용자가 취약점이 없는 ActiveX 컴포넌트를 이용하고 있다면 위와 같은 주장을 하실 수 없을 것입니다.
ActiveX 컴포넌트에 취약점이 있을 경우에만 같이 붙어 다니는 것입니다.
ActiveX 컴포넌트 개발자분들도 취약점을 해결하려고 불철주야 노력을 하고 계신 분들이 많습니다.
제가 주장하는 바는 ActiveX 취약점 문제만 강조하여 "국내 보안 상황이 이지경이 된건 ActiveX 탓이다."라고 주장하지 말자는 것입니다.
더 심각하고 치명적인 문제들이 많습니다.
RET ;My life :P
'취약점+취약점'이라고 써 있잖아요. '국내 보안
'취약점+취약점'이라고 써 있잖아요.
'국내 보안 상황이 이 지경이 된 건 ActiveX 탓이 (100%가 아니라) 크다'라고 주장하는 것도 별 무리는 없다고 생각합니다.
그 액티브X 쓰려면 보안 수준 또는 설정 낮추어야되고 IE 필수적으로 사용해야 되니까요.
그리고요... 알게모르게 보안에 걱정하는 사람들도 많고 자유 소프트웨어 확산, 오픈소스 확산, 리눅스 확산, 사용자들의 권리를 위해 불철주야 노력하고 계신 분들도 많습니다.
서로에게 상처를 주는 이런 상황이 슬프고 마음이 아픕니다.
제가 기분나쁘다고 홧김에 한 말이 있는데... 죄송하고요. 마음에 담아두지 마세요.
주말, 휴일 잘 보내세요. 저는 이만 논쟁을 마칠까 합니다.
감사합니다.
붙임1-웹 서비스 취약점 - 안성교육청 인용 가짜
붙임1-웹 서비스 취약점 - 안성교육청
인용
가짜 액티브(Active) X 확인하기
○ 취약점 개요
- ‘OO 소프트웨어 이용을 위해서는 액티브 X를 설치해야 한다’는 안내문에 무심코 클릭했다가 액티브 X 대신 스파이웨어(컴퓨터에 잠입해 개인정보를 빼가는 소프트웨어)가 설치됨
[그림] Active X 다운로드時 악성코드 삽입
- 인터넷에서 소프트웨어 설치를 권할 때 스파이웨어 여부 확인 필요
․국내 유명 UCC 포털 사이트는 요즘 액티브 X를 설치하지 않고도 동영상을 감상할 수 있도록 하고 있다
․동영상을 보려 할 때 액티브 X를 설치하라고 강권하는 사이트는 일단 의심해볼 필요가 있다.
액티브X 취약점 악용 방지 가이드
인용
최근 ActiveX 취약점이 DDoS 공격용 좀비PC를 양산하는데 악용될 가능성이 있으니 본 가이드 활용, 적극 대처하시기 바랍니다.
또한 ActiveX를 이용한 온라인 뱅킹 가입자가 6천만명(복수가입)이 넘어 ActiveX 취약점을 악용한 해킹 발생 가능성이 매우 높습니다.
사용중인 ActiveX 취약점은 개발시 보안을 고려하지 않아 발생하는 것으로 웹플러그인 취약점의 80~90%를 차지합니다.
ActiveX Control 개발
ActiveX Control 개발 보안가이드라인
[그림목차]
[그림 1] 우리나라 PC의 평균 ActiveX Control 설치 개수 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 14
[그림 2] 2007년 웹 플러그인 취약점 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 20
[그림 3] 대리자 프로세스를 이용한 권한 상승 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 26
[그림 4] 취약한 ActiveX Control 사용 예 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 28
[그림 5] ActiveX Control 실행 예 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 32
[그림 6] 버퍼오버플로우 취약점을 가진 메소드의 예 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 34
[그림 7] 메소드를 통한 버퍼오버플로우 취약점 악용 예 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 34
[그림 8] 메소드의 문자열 입력 값에 대한 크기 검증을 수행한 예 ∙∙∙∙∙∙∙∙∙ 35
[그림 9] 파라미터를 통한 버퍼오버플로우 취약점 악용 예 ∙∙∙∙∙∙∙∙∙∙∙∙∙ 36
[그림 10] 임의의 프로세스를 실행할 수 있도록 구현된 메소드의 예 ∙∙∙∙∙∙∙∙ 37
[그림 11] 임의의 프로세스 실행 기능 악용 예∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 39
제4절 ActiveX Control 악용 사례
본 절에서는 ActiveX Control의 보안을 고려하지 않고 개발된 악용 사례를 기술한다.
[그림 4]는 ActiveX Control 기능의 악용 예이다. [그림 4]의 왼쪽은 정상적인 ActiveX
Control의 사용흐름을 보여주고 있고 오른쪽은 공격자가 악용한 사례이다. 보안을 고려
하지 않고 개발된 자동 업데이트 기능을 가진 ActiveX Control은 아래와 같이 악용될 수 있다.
제4장 안전한 ActiveX Control 개발을 위한 십계명
제1절 문자열 입력 값에 대한 크기 검증
제2절 임의의 프로세스를 실행할 수 있는 기능 금지
제3절 임의의 파일 내용에 대한 읽기 기능 금지
제4절 임의의 레지스트리 내용 읽기 기능 금지
제5절 업데이트 파일에 대한 신뢰성 검증
제6절 관리자 권한의 폴더에 ActiveX Control 프로그램 설치
제7절 실행 가능한 웹 사이트의 제한
제8절 ‘신뢰할 수 있는 사이트 추가’ 남용 금지
제9절 권한 상승 창에 대한 우회 금지
제10절 ActiveX Control의 남용 금지
그 얘기, 국가기관에 얘기해 주세요.
그 얘기, 국가기관에 얘기해 주세요.
..
전에도 나왔던 이야기였던 것같습니다만 ActiveX 남용의 문제는 기술적인 것보다는 사용자들이 별생각없이 자동적으로 설치 버튼을 누르도록 한다는 점 같습니다. 루트킷 ActiveX나 루트킷을 설치하는 ActiveX를 그럴듯한 사이트에 숨겨놓으면 어떨까요? 그냥 설치를 눌러놓고 생각하는 사용자가 10%정도는 있을 것 같습니다. 또 적당한 게임하나 만들어두고 여러 용도로 쓸수도 있겠지요. 혹은 어떤 회사에서 마음먹고 이상한 코드를 심는다고 해도 구분할 방법이 없을 것 같습니다.
A rose is a rose is a rose..
악성 프로그램도 정상 프로그램과 동시에 설치되게
악성 프로그램도 정상 프로그램과 동시에 설치되게 만들거나, 정상 프로그램처럼 외관을 만들어서 웹(블로그, 메신저...)등을 통해 배포하면 일반 사용자들은 구분하기 매우 힘듭니다.
악성 프로그램이 ActiveX의 형태가 아니더라도 위와 같은 사회공학기법을 이용할 경우 일반 사용자들은 쉽게 피해를 입을 수 있습니다.
오늘은 정말 여기까지만 답변을 달겠습니다.
RET ;My life :P
행동주의(行動主義, behaviorism)
출처 http://ko.wikipedia.org
행동주의(行動主義, behaviorism)는 심리학의 중요한 조류 중 하나로, 심리적 탐구의 대상을 의식에 두지 않고 외현적으로 나타나는 행동에 두는 입장이다. 따라서 인간은 자극에 따라 반응하는 존재로 보고, 학습이란 인간의 바람직한 행동의 변화를 일으키기 위해 적절한 자극과 그 반응을 강화시키는 것으로 이해한다. 1913년 J.B.웟슨이 주장한 이후 미국 심리학의 주요한 줄기가 되어 왔다.
대표적인 이론들
* 파블로프의 고전적 조건화(Classical Conditioning)
* 스키너의 조작적 조건화(Operant Conditioning)
* 반두라의 관찰학습(Observational Learning)
고전적 조건화(古典的條件化, Classical Conditioning)는 행동주의 심리학의 이론으로, 특정 반응을 이끌어내지 못하던 자극(중성자극)이 그 반응을 무조건적으로 이끌어내는 자극(무조건자극)과 반복적으로 연합되면서 그 반응을 유발하게끔 하는 과정을 말한다. 우리에겐 파블로프의 개 실험으로 잘 알려져 있다.
조작적 조건화(操作的條件化, Operant Conditioning)는 행동주의 심리학의 이론으로, 어떤 반응에 대해 선택적으로 보상함으로써 그 반응이 일어날 확률을 증가시키거나 감소시키는 방법을 말한다. 여기서 선택적 보상이란 강화와 벌을 의미한다. 조작적 조건화는 작동적 조건화(作動的條件化)라고도 한다.
벌을 적용할 때 주의해야 하는 점은, 유기체가 스스로 바람직하지 않다고 여기는 행동을 했는데에도 불구하고 벌을 제공하지 않는다면 유기체는 그 행동이 옳은 행동이라고 믿는다는 것이다.
..
얼레.. 바이러스 소스군요..
A rose is a rose is a rose..
악성 프로그램과 바이러스를 의미/단어 구분해서
악성 프로그램과 바이러스를 의미/단어 구분해서 사용해주시면 감사하겠습니다.
RET ;My life :P
..
넵.. 왠지 답글이 수정이 안되네요.. 근데 VNC도 쓸려면 악성 프로그램으로 쓸수 있겠는데요..? 근데 유저 모드에서 WinAPI 호출이나 콜백을 다 가로챌 수 있는 건가요? VNC는 어떤 원리일까요 -_-?
A rose is a rose is a rose..
1) VNC 프로그램의 경우 몇몇 회사에서는 정책상
1) VNC 프로그램의 경우 몇몇 회사에서는 정책상 악성 프로그램으로 진단하는 경우가 있습니다.
2) 유저 모드(Ring3) 루트킷이 존재하는 것으로 보아 불가능하지 않으리라 생각됩니다.
3) 오픈소스로 구현된 VNC 소스를 참고하시기 바랍니다.
RET ;My life :P
..
고칠라면 제우스 고치느니 오픈소스 VNC고치는게 빠르겠군요.. 네트워크 서버-클라이언트 역할만 바꾸면 되지 않을까요?
A rose is a rose is a rose..
그럴 필요가 없습니다. Zeus용 VNC 모듈이 이미
그럴 필요가 없습니다. Zeus용 VNC 모듈이 이미 있습니다.
RET ;My life :P