논란이 된 엘키소프트의 제룩스 AI 분석을 22일에 마쳤고 그 분석 결과를 알려드립니다.


해당 백신은 여러 INI(설정) 파일에 악성코드 파일 이름과 다국어 지원을 위한 언어 파일을 담고 있습니다.

설정 파일에 저장된 악성코드 파일 이름과 일치하는 것이 있으면 종료 및 삭제를 시키게 되는 방식입니다.


문제가 된 이유는, 파일의 경로조차 생각을 안하고 무턱대고 파일 이름만으로 판단을 하기 때문에

심각한 오진 문제가 발생하고 있다는 점입니다.


또한, 엘키소프트 서버와 통신해서 버전 날짜를 비교하는(업데이트)가 포함되어 있었습니다.


이 외에 당초 홍보자료에 쓰인 일명 인공지능(AI)나 다양한 악성코드 및 해킹 검출(DDoS 공격 등)과 관련된 기능은

실제 프로그램 내부 확인을 통해 구현되어있지 않음을 확인하였습니다.


일부 IF(조건문)만을 가지고 진단 정책을 만들었다 하는 이야기가 있는데, 분석결과 이는 사실이 아님을 밝힙니다.

시그니처 역할을 하는 INI 파일로 부터 진단을 하도록 되어있습니다.


마지막으로 말씀 드릴것은, 청소년 사업가들이 국세청에 가서 사업자 등록증을 낸 순간, 학교 안에서는 학생이지만

밖에서는 학생이기를 포기한 성인임을 인지하시길 바랍니다.


성인 답게 책임있는 자세로 회사 경영을 부탁드립니다.

이번 사건에서 무책임한 태도를 보였던 엘키소프트는 기술력도 없는데다가 최소한의 윤리의식도 없는 업체로

영원히 남을 것입니다. 또한, 더이상 IT 업계에서 보는 일이 없었으면 좋겠습니다.


관련 분석자료는 여러 경로를 통해서 공유하였으니 참고하시길 바랍니다.


by 광은통신 웃는하루 2014.05.23 20:15
  • 구두링 2014.06.20 17:08 ADDR EDIT/DEL REPLY

    이 기회타서 잘난척 쩌네ㅋ

    • Favicon of https://blog.ko-kr.net BlogIcon 광은통신 웃는하루 2014.06.30 15:16 신고 EDIT/DEL

      죄송하지만 어디 학원이라도 다니는 입장이시라면 입좀 닫아 주시기 바랍니다.
      좋은 시대에 태어나서 저비용으로 고급기술 쳐배우고 있으면 얌전히좀 계시죠?
      다 나쁘다는건 아닌데 꼭 이런 싸가지 없는 분들 보면 어디 학원 출신이라고해서,
      이젠 아주 치가 떨리네요.

  • ㅉㅉ 2015.02.10 22:18 ADDR EDIT/DEL REPLY

    구두링 // 엘키소프트 좃중고딩 아니면 그 좃중고딩들 친구나 선후배냐? 야 이 병신새끼야 니들 같은 새끼들이 사기치고 튀는 지랄 해서 정부에서 청소년 기업 지원 다 때려치운 건 아냐? 뒈져 이 새끼들아 평생 사기치다 3대가 빌어먹다 뒈져라 병신들

Lovsan 웜, 우리에게는 '블래스터'라는 이름으로 익숙하죠.

이 웜이 나온지 2013년 올해 8월을 맞이하며 10주년이 되었다고 합니다.

60초 후에 컴퓨터를 종료한다는 추억의 메시지를 많은 사람의 가슴속에 남긴 녀석이죠.

 

10년 전 해외 뿐만 아니라 우리나라에서도 많은 문제를 일으켜 큰 이슈가 되었었습니다.

다행히 블래스터 10주년을 기념해서 열린 행사는 없었습니다.(?)

 

10년 전 비슷한 시기에 해외에선 뉴욕 대정전, 항공기 예약 전산망 마비 등의 일이 벌어지면서

그 원인으로 블래스터 웜이 지목되기도 하였습니다.

 

그랬던게 벌써 10년이 지났습니다.

그동안 악성코드도 많이 발전을 했고 막는 기술도 열심히 그에 맞춰 따라갔습니다.

 

10년전 웜이라고 하면 지금 생각하면 별거 아니라고 생각하실 수 있겠지만,

구현 아이디어 만큼은 10년이 지난 지금봐도 상당히 훌륭한겁니다.

어차피 신생 악성코드들도 창과 방패의 싸움에서 살아남기위해 계속 발전하는 것이지

결국은 원하는 목적을 이루기 위해 만들어지는 것은 예나 지금이나 마찬가지이기 때문입니다.

 

국내에는 블래스터 10주년에 대해 기사로 다룬 내용이 없어 해외 링크로 올려드립니다.

혹시 이 악성코드에 대해 잘 모르시는 분들은 2003년 당시에 나온 국내 기사 참고하셔도 좋습니다.

 

Blaster - 3654 Days Later

http://www.f-secure.com/weblog/archives/00002587.html

 

Blaster/Lovsan Worm - 10th Anniversary; Do you remember it?

http://www.pclinuxos.com/forum/index.php/topic,118798.msg1010770.html

 

10 years of Blaster: a retrospective (상세내용)

http://blog.erratasec.com/2013/08/10-years-of-blaster-retrospective.html

'정보보안' 카테고리의 다른 글

블래스터 웜 10주년, 당신은 기억하고 있나요?  (0) 2013.08.18
내가 바라본 정보보안  (0) 2013.08.11
api.tistory.us 상세 분석  (2) 2013.07.05
by 광은통신 웃는하루 2013.08.18 09:27

Episode 1. 아직은 먼 정보보안

제가 한창 고등학교를 마칠 즈음되어 입시를 준비하던 때였습니다. 그때도 컴퓨터, 특히 정보보안 쪽에 관심이 많아 컴퓨터 학과가 있는 곳에 진학을 하고자 하였습니다. 정보보안학과도 생각하고있었지만, 대부분 집과 먼 곳에 있었기때문에 통학하려면 적지 않은 부담이 되었습니다. 결국 집 근처 위주로 컴퓨터 학과에 진학하기로 마음을 먹고 면접을 보게되었습니다. 면접에서는 생각했던 의외의 일들이 저를 놀라게 했습니다. 정보보안을 하고 싶다는 이야기를 하였을 때, 돌아온 대답은 여긴 정보보안을 하지 않으며 학과를 잘못 선택했다는 것이였습니다. 어떠한 관련이 있는지 설명하였지만 이미 면접관들의 뜻은 완고하였습니다. 방향을 달리해서 면접을 이어가긴했지만 진행부터 좋지 않았던 일은 결과도 역시 좋지 않았습니다. 좌절하고 있을 때, 제 의견을 수긍해주는 곳을 찾게되었고 그 결과도 좋았습니다. 하지만, 저는 지금도 질문을 받습니다. 컴퓨터와 정보보안이 무슨 관계가 있는지 질문을 받습니다. 비전공자보다 전공자들이 이런 질문을 많이합니다. 저는 그 질문에 대답합니다. 이제는 정보를 지키기 위해 정보처리를 배우는 시대라고 말이죠.

 

Episode 2. 보안으로 변화하라

학생에서 어른이 되니 지금까지의 자신의 모습에서 조금이나마 변화하고 싶다는 생각이 들더군요. 물론 생각처럼 쉽지 않았습니다. 그러나 계속 고민해야 하는 것이였고, 저는 그 변화에 대한 답을 보안에서 찾아보기로 하였습니다. 그 결과로, 정보보안 개념에서 '위험 관리(Risk Management)'라는 부분을 찾을 수 있었습니다. 정량적 분석에 쓰이는 공식 중 '노출계수(EF)'라는 것이 있습니다. EF는 '자산가치'에 곱해져 '단일 손실 예상(SLE)'를 유도합니다. 학창시절 체중이 너무 높거나 낮은 학생과 순진한 학생들은 학교폭력의 표적이 되기 쉬웠습니다. 이걸 위험관리론 적으로 설명하면 해당 학생의 EF가 높은 상태라고 말할 수 있습니다. 결국 높아진 EF는 SLE를 높혀 그만큼의 정신적, 육체적 손실이 발생하게 됩니다. 이는 일반인에게도 적용되어 높아진 SLE에 대한 두려움 때문에 자신감을 잃고 소극적이 되기 쉽습니다. 우린 EF가 높아졌을 때 위험 평가, 분석, 거부, 수용, 감소, 전가할 방법을 통해 EF를 낮추는 노력을 해야합니다. 저도 EF를 조금이나마 낮추고 싶어서 집 근처 체육관에 등록했습니다. 평소 좋지 않았던 체력도 기르고, 다이어트도 하고, 운동을 통해 자신감을 얻어서 EF를 낮추기위한 제 노력입니다. 여러분도 평소 자신이 변화가 필요하다고 느낀다면 EF를 낮추기 위한 작은 활동이라도 해보시는게 좋을거라 생각합니다. 이 외에도 보안에 담긴 이야기는 좋은게 많이 있으니 공부하시면서 지식보다는 인생을 배운다는 느낌으로 하시면 더욱 의미있지 않을까 합니다.

 

Episode 3. 새로운 시작

전 지금은 정보보안 자격 시험을 준비하고 있습니다만, 자격 취득 후 바로 그 분야로 가는 것에는 회의적입니다. 실력이 부족한 것도 있고, 분야에는 매력을 느끼지만 현 상황에 대한 생각이 많이 부정적으로 바꼈습니다. 정보보호 인력 양성 이야기도 나오지만 글쎄요... 말만 번지르르 했을 뿐 한번도 제대로 한 적 없고 지금도 마찬가지입니다. 이렇게 말하는 저도 제대로 하고있진 않네요. 가끔 개발을 프리로 하는 시간 외에 공부한다고했지만 컴퓨터에 앉아 다른 작업에 끌려 딴짓을 하고 있으니까요. 공부를 하고 싶다면 컴퓨터에 있는것보단, 컴퓨터 공부라고 해도 도서관 같은데에서 잠깐이라도 시간 잡고 앉아서 하는게 필요한 것 같습니다. 이런 저런 핑계로 방학때도 딴 짓만 많이하다가 시간 다 가버렸네요. 학기 중에라도 틈틈히 열심히 해야겠습니다. 여러분들도 힘내셔서 멋진 보안인이 되시길 바랍니다.

'정보보안' 카테고리의 다른 글

블래스터 웜 10주년, 당신은 기억하고 있나요?  (0) 2013.08.18
내가 바라본 정보보안  (0) 2013.08.11
api.tistory.us 상세 분석  (2) 2013.07.05
by 광은통신 웃는하루 2013.08.11 04:32

최근 디X인사이드, 인X 등의 사이트를 검색을 통해 접속할 시 간혈적으로 api.tistory.us로 이동되는 사례가 다수 발생하고있습니다. 이미 이 내용에 대해 아시는 분들에 의해 검색 제공 업체에 신고가 들어간 상황이고, 저도 연락을 해보았습니다만 별다른 조치를 취할 수 없다는 답변을 받았습니다. 아직 이용자 PC에 악영향을 미치는 행동은 발견되지 않았지만, 이 방법이 어떤 유형에 해당하는지 살펴보도록 하겠습니다.

 

문제의 웹 페이지 화면

 

1. 웹 사이트 검색하기

해당 증상을 보이는 웹 페이지를 접속해야합니다. 해당 웹 페이지로 연결될만한 검색어를 입력하여 접속합니다.

포털사이트 검색 결과 화면

 

2. 페이지 이동(리다이렉트)의 원인

페이지를 확인해본 결과 리다이렉트를 발생시키는 스크립트는 발견되지 않았습니다.

그럼 무엇이 문제일까요? 접속 과정을 살펴보도록 하겠습니다.

"18071","857.959351000","192.168.10.16","121.125.60.xxx","HTTP","382","GET /list.php?id=exo&no=1331905 HTTP/1.1 "
"18072","857.959377000","121.125.60.xxx","192.168.10.16","TCP","58","http > nsdeepfreezectl [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460"
"18073","857.959525000","192.168.10.16","121.125.60.xxx","TCP","54","nsdeepfreezectl > http [ACK] Seq=1 Ack=1 Win=65535 Len=0"
"18074","857.967581000","121.125.60.xxx","192.168.10.16","TCP","54","http > nitrogen [ACK] Seq=1 Ack=1461 Win=8760 Len=0"
"18075","857.967631000","121.125.60.xxx","192.168.10.16","TCP","54","http > nitrogen [ACK] Seq=1 Ack=1789 Win=11680 Len=0"
"18076","857.967656000","121.125.60.xxx","192.168.10.16","HTTP","304","HTTP/1.1 302 Moved Temporarily "

 

접속 과정에 해당하는 네트워크 패킷 자료입니다.

맨 윗 줄에 GET으로 시작하는 부분이 검색 결과에서 디X인사이드로 연결되는 링크를 클릭했을 때를 나타냅니다.

 

그럼 121.125.60.xxx가 어디를 나타내는 것인지 확인해야겠죠? 확인해보도록 하죠.

Ping gall.d*inside.com [121.125.60.xxx] 32바이트 데이터 사용:
요청 시간이 만료되었습니다.
요청 시간이 만료되었습니다.
요청 시간이 만료되었습니다.
요청 시간이 만료되었습니다.

121.125.60.xxx에 대한 Ping 통계:
    패킷: 보냄 = 4, 받음 = 0, 손실 = 4 (100% 손실),

 

확인이 되었네요. 121.125.60.xxx는 디X인사이드의 갤러리 서버의 IP임이 확인되었습니다.

192.168.10.16은 사설아이피입니다.

공유기에 물려서 쓰기때문에 저렇게 나오는 것이죠. 이게 제가 있는 쪽의 IP입니다.

그럼 이제 위에 적힌 내용도 무슨 말을 하는 것인지 알 수 있습니다.

 

1. 192.168.10.16(나)는 121.125.60.xxx(상대방)에게 접속을 요청합니다.

2. 나와 상대방은 서로의 의사를 확인하는 과정을 거칩니다.

3. 상대방은 나를 원양어선에 팔아버립니다.

 

3번에 해당하는것이 마지막 줄에 굵게 표시된 내용이며, 해당 부분에는 api.tistory.us로 이동하라는 명령이 담겨있습니다.

이 부분은 '나'가 웹 페이지를 불러오기도 전에 내려진 명령이기 때문에, 적어도 사용자 PC의 문제라고는 할 수 없습니다.

 

3. 이전 사례 분석하기

문제되는 해당 도메인을 알아본 결과, 비슷한 문제를 일으켜 감지된 사례를 다수 발견할 수 있었습니다.

* 추가: 다른 주소로 ad.xssbox.com도 발견하였습니다.

 

변조했던 사례도 발견할 수 있었습니다.

 

4. 관련 웹 사이트들의 입장

디X인사이드에 문의를 넣었습니다만 담당자에게 전달하겠다는 말만 했을 뿐 해결되지 않았습니다.

네이버에는 같은 분석자료를 제출하여 문의를 남겼으나 어떤 조치도 취할 수 없다는 답변을 받았습니다.

api.tistory.us에는 접속자 수 체크용도로 쓰인 다음의 티스토리 블로그(one4me.tistory.com)를 아이프레임 형식으로 불러오는 부분이 있어 다음에도 문의를 하여 답장을 받았습니다. 허나, 다른 블로거 분들의 문의에도 정상적인 신고만 접수됬다는 말만 되풀이할 뿐 아무런 조치도 취하고 있지 않고있습니다.

 

카운터 용도로 쓰인 블로그 화면. 블로그 내용은 왼쪽과 같이 쓰레기 자료만 채워져있고, 방문자 수는 3백만을 넘어선 것으로 나온다.

 

KISA에도 해당 내용을 접수하였으나 분석해보겠다는 말 뿐이지 별다른 소식은 없습니다.

 

5. 결론

해당 서버에 리다이렉트 문제를 초래하는 파일이 심어져있거나 의도하지 않은 설정이 되어있을 가능성이 매우 높습니다.

이전에도, 해당 사이트는 여러 차례의 웹 페이지 변조 사례로 물의를 일으킨 적이 있습니다.

이번에는 장기간 해결이 안되고있는 부분인 만큼 이제라도 서버를 살펴봐서 조속히 해결하기를 바랍니다.

 

또한, 이 포스트에는 이 문제를 일으킨 사람들에 대한 내용은 기술하지 않았지만

중국 쪽의 해커가 사전 조사를 위해 이 같은 일을 벌이고있을 가능성이 매우 유력합니다.

몇개월 동안 지속되고있는 만큼 아직 별다른 피해가 없다고 그냥 넘어갈 사항은 아니라고 생각합니다.

 

* 추가: 똑같은 행위를 하는 mt-gox.info 라는 새로운 도메인이 등장했습니다.

* 추가: 2013년 8월 현재, wiseasset.co.kr 이라는 새로운 도메인을 발견했습니다. 이제부턴 티스토리 블로그를 접속자 수 확인 용도로 이용하지 않습니다.

* 추가: msinter.co.kr 추가 발견, wiseasset.co.kr과 동일하고 이 외 다른 도메인이 발견되었다는 제보 추가 입수했습니다. 보안이 약한 웹사이트를 해킹하여 파일을 심는 것으로 추정됩니다.

* 추가: 2013년 9월, 1. http://aspam01.daeli.ac.kr/w3c/popup_1.php , 2. http://www.aprilmusic.com/index/ (9/20) 감지. 관계 기관 및 업체 무대응 상태.

* 추가: 국내 보안 구인구직 사이트(http://boanlink.com)도 해당 공격자의 해킹에 이용된 것으로 확인됨.

 

해당 공격자에 대한 Whois 조회 내용 등은 다른 블로거분이 포스팅해주셨으며 링크해드리니 참고바랍니다.

http://tabblog.tistory.com/163

http://tabblog.tistory.com/151

 

'정보보안' 카테고리의 다른 글

블래스터 웜 10주년, 당신은 기억하고 있나요?  (0) 2013.08.18
내가 바라본 정보보안  (0) 2013.08.11
api.tistory.us 상세 분석  (2) 2013.07.05
by 광은통신 웃는하루 2013.07.05 15:41
  • Favicon of https://nosirum.tistory.com BlogIcon 시름없이 2013.07.05 17:04 신고 ADDR EDIT/DEL REPLY

    흐음.. 그럼 네이버 검색쪽에 원인이 있다기 보다는 사이트들 쪽에 문제 있을 확률이 높다는거네요..

    분석 결과 잘 봤고, 수고 하셨습니다..

    잘 해결되야 될텐데 말이죠.;

  • 지나가던이 2013.08.05 18:10 ADDR EDIT/DEL REPLY

    컴퓨터가 바이러스 걸린줄 알고 이거때문에 포맷까지 했는데..

    해당 웹사이트 문제였군요.
    이런 #$%@%^#..

avira event
가볍고 성능이 좋아서 6년째 쓰고있는 안티버가 한글판이 나온다고합니다.
한글화를 해보겠다면서 나선 적도 있던 제품이라 이번 한글판 출시가 더욱 반겨지네요.

Antivir 6 버전대 스크린샷

AntiVir 디자인 변경 초기



'정보보안 > 업계동향' 카테고리의 다른 글

Avira AntiVir 한글판 출시!  (0) 2011.01.19
by 광은통신 웃는하루 2011.01.19 16:16
| 1 |