Information Security/Abuse & Fraud

Information Security/Abuse & Fraud

악성 DDNS (Malicious DDNS)

1. 개요 2014년 2월 시스코 시큐리티 블로그에 악의적인 DDNS를 이용한 악성코드 유포에 관한 포스트를 보게 되었다. 해당 포스트를 보면서 알게된 정보로 피에스타 익스플로잇 팩(Fiesta Exploit Pack)이 DDNS를 이용한 드라이브-바이 다운로드 환경을 구축한다는 것이다. 또한, 앞서 포스팅한 도메인 쉐도잉(Domain Shadowing) 기법과 비슷하게 서브 도메인을 생성하여 악용한다는 점이다. 악의적인 DDNS를 이용한 악용에 대해 추가적으로 조사를 해 본 결과, 가장 흥미로웠던 정보는 2010년 어베스트(Avast) 보고서이다. 이 보고서에 따르면, 최종 악성코드 유포지까지 도달하는 과정에서 가장 길게 사용된 경우가 15개의 리다이렉션을 이용하였다고 보고한다. 이 트래픽은 3 개의 ..

Information Security/Abuse & Fraud

인스턴트 메시징(IM) 해킹 당하다.

1. 사건 개요 네이트온에 내가 아닌 다른 사람이 로그인을 했다. 최초 로그인 시간은 "2015-01-16 13:32:13"으로 공격자가 로그인 후 기존의 사용자의 로그인을 강제 로그아웃 시켰다. 이후 접근은 실시간으로 강제 로그아웃 했다. 2. 피싱 대화 내용 로그인 이후 가장 최근에 대화한 지인에게 말을 걸어 매우 자연스러운 한국어로 금전을 요구했다. 재미있게도 대화하고 있는 사람은 회사에서 바로 옆자리에 앉아 있는 사람이다. 그래서 실시간으로 회사직원들과 함께 자연스럽게 대화를 유도하여 공격자의 명확한 목적을 찾았다. 3. 사건 처리 절차 IM 피싱을 해결하기 위한 절차가 아닌 보편적인 사이버범죄 신고 절차이다. 접수 대상 - 사이버 상에서 일어나는 모든 범죄행위에 대해 신고가 가능하다.신고 방법 ..

Information Security/Abuse & Fraud

Mass SQLi의 흔적과 Domain Parking 서비스

1. Mass SQLi의 흔적 SQL Injection 기법 중 Mass SQL Injection기법이 있다. 이는 수많은 사이트에 무작위로 SQL Injection하는 기법으로 무작위 대입 기법과 비슷하다고 가정 할 경우 수작업 보단 자동화된 도구에 의존한다고 볼 수 있다. [칼럼] 웹서비스 보안의 불편한 진실,2010.08.05[KISA] [TR2008007] 자동화된 SQL Injection 공격을 통한 악성코드 대량 삽입 수법 분석 - PDF 현재 개인적으로 연구 겸 번역 작업을 하고 있는 "Investingating China's Online Underground Economy"의 3.3.2. 인터넷 리소스와 서비스 악용 가치 사슬의 역할 과 속어 파트의 두 번째 단락에서 다음과 같이 말하고 있..

Information Security/Abuse & Fraud

Poisoned adverts

제휴광고를 이용한 악성 소프트웨어의 유포를 정리하다가 "Poisoned adverts"라는 단어를 보았다. Poisoned adverts 혹은 Ads Poisoning은 "오염된 광고, 광고를 오염시키는 것"과 "주입된 광고, 광고를 주입하는것"으로 해석하여광고의 본래의 기능을 상실하고 다른 기능으로 바꿔치는 것을 의미한다. 광고는 XSS를 발생시키는 JavaScript코드와 Shockwave Flash 파일을 사용하기에 생겨난 단어로 추측하고 있다. 광고의 변질은 다음과 같은 효과를 가져다 준다.가장 view가 많은 시간에 Drive-By-Download 형태사용자 동의 없이 설치하는 소프트웨어 (PUAs)형태기존의 광고 대신 다른 광고를 삽입하여 수익을 발생피싱, 파밍에 사용

Information Security/Abuse & Fraud

NHBank 피싱사이트

악성코드 유포지를 검사하던 중 피싱사이트의 발견으로 간략하게 정리합니다. 이 유포지 서버는 공다팩을 이용하여 악성코드를 유포하는 유포지었습니다. 어느순간 악성코드 유포를 중단하고 IBK 기업은행 피싱사이트로 변신하고 있더군요. 그런데.. 다음날에는 NHBank(농협)피싱사이트로 또 한번 탈피하고 있었습니다. 하루만에 뚝딱뚝딱 만드는 것 같아요. [그림1. IE로 접속한 NHBank 정상사이트] [그림2. 크롬으로 접속한 NHBank 정상사이트] 저는 크롬으로 인터넷을 하기 때문에 피싱사이트와 크롬으로 접속한 사이트가 매칭이 안되서, "제작자가 잘못만들고 있나?" 싶었습니다. [그림3 NHBank 피싱사이트] 부분적으로 서버를 찾을 수 없다면서 보여지고 있는게 딱 보아도 피싱사이트임이 틀림없습니다. [그림..

Information Security/Abuse & Fraud

우리은행 피싱사이트

1. 판단 정상적으로 활용되고 있는 사이트는 아니지만, 최근에 만들고 있는 것으로 판단된다. 피싱사이트에서 보여지는 모든 링크는 정상적으로 동작되지 않는다.현재의 정상적인 우리은행 사이트와 매우 유사하다.중국에서 운영되고 있다. (링크를 클릭하면 중국어로 된 에러코드가 발생.) 2. 추측 과거에도 피싱사이트를 운영한 사람으로 추측된다. 점점 디테일이 좋아지고 있다. 아무래도 자주 만들어서 그런 것 같다.바로가기의 내용에 보면 "시행일 8월 ~ 9월예정" 으로 적혀 있는 문구가 있다. 3. 피싱사이트 전형적인 유형 악성코드로 인해 정상 사이트 접근 시도시 정상 사이트가 아닌 피싱사이트로 접근(host파일 변조 등) 로그인 시 아이디 비밀번호 갈취 본인 확인을 위한 주민번호 입력 유도 및 갈취 보안카드 전체..

hakawati
'Information Security/Abuse & Fraud' 카테고리의 글 목록