악성코드를 분석하는 방법 1. 초기분석 (기초 정적 분석) - 실행하지 않고 분석 -직관적이며 신속히 수행 2. 동적분석 - 프로그램을 실행하고 분석 3. 정적분석 - 리버스 엔지니어링 1. 초기분석(초기 정적분석) 악성코드를 실행하지 않고 분석하는 방법 📌 분석 방법 1. 안티 바이러스 스캔 이용 ✔ 사용 도구 : virustotal[.]com, malwares[.]com 사이트 1) 바이러스 토탈 Virus Total (www.virustotal.com) 이곳에서는 다양한 안티바이러스 엔진을 사용해서 파일을 분석해 준다. 여러 개의 안티바이러스 엔진으로 스캐닝 가능. 또한 악성코드에 대한 추가 정보 제공 바이러스 걸린 파일을 업로드하면 아래처럼 전 세계의 안티 바이러스 엔진이 바이러스 여부를 알려준다..
[윈도우] 컴퓨터 맥 주소(MAC address) 변경하기 * 임시적으로 바꾸는 것이고 설정을 풀면 원래대로 돌아옵니다. 1. 제어판 > 장치 관리자 > 네트워크 어댑터 > 원하는 네트워크 어댑터 선택 * 네트워크 어댑터의 종류 다양하니 잘 선택 2. 해당 어댑터 오른쪽 클릭 > [속성] 클릭 3. [고급] 탭 선택 4. "네트워크 주소(Network Address)" 또는 "로컬 관리 주소(Locally Administerekd Address)" 선택 5. 값(Value)에 변경하고 싶은 MAC 주소 입력 6. 컴퓨터 재부팅 * WIFI 등 무선네트워크도 동일한 방법으로 변경 가능 * MAC 주소 확인하는 방법 : CMD > ipconfig /all 에서 물리적 주소(Physical Address) 확인
[KISA] 사이버 위협 동향 보고서(2023년 하반기) - 한국인터넷진흥원(KISA)에서 발간한 보고서 Part.1 사이버 위협 동향 1-1. 침해사고 현황 1-2. IoT 봇넷 위협 동향 - IP 카메라용 DKR(Digital Video Recorder) 제품으로 미라이(Mirai) 악성코드 전파 및 DDoS 공격 시도가 탐지되고 있음. - 9월부터 퍼이고 새로운 DDoS 네트워크가 발견, 일일 감연단말 IP 수는 일 평균 22개씩 누적되어 최대 1천 8백여 개 - 대부분의 CPU 아키텍처에 영향을 미치고, 악성코드가 설치되도록 스크립트 파일 형태로 배포 * 네트워크 공격방식 : 킬러 모듈을 이용해 SSH, HTTP 등 같은 서비스 종료시켜 IoT 기기를 사용할 수 없게 만들고, 감염여부를 숨기기 위..
[KISA] 사이버 위협 동향 보고서(2023년 상반기) - 한국인터넷진흥원(KISA)에서 발간한 보고서 Part.1 사이버 위협 동향 1-1. 침해사고 현황 1-2. 피싱사이트 위협 동향 - 텔레그램 사칭 : 1치 계정 탈취 후 등록된 연락처 지인을 대상으로 2차 계정 탈취 공격까지 수행 - 공격방식 : 1차 공격으로 탈취한 계정과 연락처 목록 수집, 2차 계정 탈취를 위해 메시지 발송하는 자동화된 피싱 도구 존재 추정. 세션 가로채기(session hijacking) 기법 보다 정교한 공격으로 진화 가능 1-3. 보안 취약점 및 신고 포상제 동향 1-4. 주요 공격 기법의 변화 - 기업의 Active Directory와 같은 중앙 관리 솔루션을 작악한 이후 악성코드를 내부로 유포하는 기법에서 보안 소..
기사요약 :생성형 인공지능 챗GPT를 통해 가짜 정보를 생성하려는 특성을 활용하여 챗GPT가 추천할 만한 패키지를 실제로 만든 후에 기다리다 챗GPT의 추천을 받은 개발자가 해당 패키지를 이용하면서 멀웨어 개발에 이용될 수 있다. - 챗GPT 알고리즘을 훈련 떄 사용했던 데이터가 오래되거나 부정확한 정보 섞일 시 → 부정확한 정보 파악어려움 문가용 기자, 챗GPT의 가짜 정보 생성 기능, 멀웨어 개발에 악용된다, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=6&tab_type=&idx=118958 챗GPT의 가짜 정보 생성 기능, 멀웨어 개발에 악용된다보안 외신 핵리드에 의하면 생성형 인공지능 모델인 챗GPT를 활용해 악성 코드를 개발하는 방법이 새롭게 발..
기사 요약 :그동안 해커들이 사용하는 MS 윈도우 취약점인 Win32k 커널 모드 드러이버를 이용해 권한상승을 하는 취약점이 정기패치로 패치되었지만 아직 정확한 피해 규모는 집계되지 않았다고 한다. - 취약점 번호 : CVE-2023-29336 - CVSS 점수 : 7.8 (고위험군) - 패치 적용 : 지난달 정기 패치일 * Win32k를 이용한 취약점이 종종 나오고, 공격자글 또한 자주 노린다고 한다. - 해당 취약점은 Winows11에는 작동하지 않음문가용 기자, 해커들이 익스플로잇 하고 있던 윈도 취약점, 세부 내용 공개돼, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=6&tab_type=&idx=118957 해커들이 익스플로잇 하고 있던 윈도 취약점..
기사요약 :큐봇(QBot)이라는 멀웨어의 C2서버들 중 1/4은 하루 동안만 유지되고, 하루 이상 유지되는 서버들 중에서도 50%는 일주일 넘게 비활성화 된 상태라고 한다. 큐봇이 유명해지고 탐지율이 늘어남에 따라 탐지와 추적이 어렵게 하는 전략을 채택하면서 그렇다고 한다. - 큐봇 : 칵봇(QakBot)이라고도 불리며 뱅킹 트로이목마 형태로 처음 등장. 현재는 다운로더로 많이 활용. - 해당 악성코드는 스피어 피싱 이메일을 통해서 전달.문가용 기자, 하루살이 전략으로 선회하고 있는 큐봇, 잠자는 시간도 늘려, 보안뉴스, https://www.boannews.com/media/view.asp?idx=118749&page=1&kind=1 하루살이 전략으로 선회하고 있는 큐봇, 잠자는 시간도 늘려보안 외신 ..
기사 요약 : 경찰청에 따르면 2월 경기도교육청 학력평가시스템 서버에 불법 침입하여 지난해 11월 실시한 전국연합학력평가에서 고등학교 2학년 성적정보 27만여 건을 탈취 후 텔레그램 채널 관리자에게 전달한 해커가 지난달 26일 검거 및 구속했으며, 해킹 관련자 총 9명 전원이 검거되었다. - 우회를 위해 해외 IP 사용. - 탈취 정보를 텔레그램 관리자에게 전달 후 탈퇴 - 유출경로 분석하여 해커 특정 - 서버 취약점을 우연히 발결 후 실력 과시용으로 전달 김영명 기자, ‘전국연합학력평가’ 성적 유출 해킹범 추적 끝 총 9명 검거... 2명은 구속, 보안뉴스, https://www.boannews.com/media/view.asp?idx=118714 ‘전국연합학력평가’ 성적 유출 해킹범 추적 끝 총 9명..
기사 요약 :기가바이트(Gigabyte)에서 만든 시스템에서 백도어와 비슷한 기능이 발견되어서 사용자들의 보안조치가 필요하다. 해당 기가바이트 제품이 탑재된 펌웨어 장비가 부팅시에 최신의 윈도 파일을 심고, 이 파일이 추가적인 페이로드를 다운하고 실행하는 기능이 심겨져 있음. 이로 인해 사용자들 모르게 악성코드가 심겨질수 있으며 해당 윈도우 파일은 닷넷 기반이며 아직 모든 PC에 펌웨어 업데이트가 개발되지 않았다고 한다. - 해당 취약점 위험이 있는 장비 : 기가바이트의 271개의 마더보드(인텔, AMD 칩셋 포함) - 가장 큰 문제 : 마더보드 펌웨어에 업데이트 프로그램이 있기 때문에 소비자는 쉽제 지울 수 없음. 문가용 기자, 기가바이트의 PC 일부에서 백도어와 비슷한 기능 발견돼, 보안뉴스, htt..
기사 요약 :1년 이상 정상적으로 유통 및 사용되던 안드로이드 앱 '아이리코더(iRecorder Screen Recorder)'가 갑자기 오디오와 화면 정보를 수집하는 스파이웨어로 변했다. 가장 먼저 발견한 업체는 이셋(ESET)이며, 현재 구글 앱 스토어에서는 삭제 되었다. 이셋에서는 1년동안 정상적으로 작동했던 이유는 충분한 사용자 수를 확보한 후에 악성 기능을 추가하려고 했던 것으로 보인다고 했다. - 앱 이름 :iRecorder - Screen Recorder - 앱 출시 : 2021년 9월 19일 Google Play 스토어 - 앱 다운로드 횟수 : 50,000회 이상 - 해당 앱 개발자 : Coffeeholic Dev - 해당 앱이 악성 행위 시작 : 11개월 후 악성 기능이 추가 - 악성 기..
기사 요약 : SK쉴더스는 보안 세미나에서' 웹셸(Webshell)'을 활용한 공격 비중이 2배로 증가하였다고 발표했다. 웹셸은 공격자가 웹서버를 원격으로 제어할 수 있는 악성코드를 의미하며 이런 전통적인 해킹 기법이 성행하는 이유로 '초기 침투'에만 집중하는 경향때문이라고 한다. 이를 개선하기 위해서는 초기 침투뿐만이 아니라 거점확보부터 지속실행단계까지 모든 단계에 주의를 기울여야 한다고 당부했다. 또한 신규 취약점과 랜섬웨어 공격에 대한 주의도 필요하며, 최근에는 랜섬웨어가 보다 치밀한 수법으로 개발되고 있다고 경고했다. -일반적으로APT(지능형 지속위협) 공격은 △초기 침투 △거점 확보 △권한 상승 △내부 정찰 △내부 이동 △지속 실행 △목표 달성 순으로 흐름 - 웹셸 공격 예시 :2021년 서울대..
기사 요약 : BEC 공격자들이 MS의 보안 기능 '불가능한 이동(impossible travel)' 경고 신호가 뜨지 않게 하는 공격 전술을 개발하였다. '불가능한 이동' 경고는 현재 접속위치와 마지막 접속 위치간의 물리적인 거리와 시간을 계산해서 정상적인 접속인지를 판단해주는 보안 기능이지만 공격자는 근처 지역에서 생성되는 IP주소를 구매하여 자신들의 로그인 시도를 감추는 방식을 이용하여 우회하고 있다. - 공격자들이 이용하는 기술 : 불릿프로프트링크(BulletProftLink)와 같은 플렛폼 + 피해자 지역 내 IP서비스 혼합 이용 - BEC 공격 대상 : 기업 임원진, 관리자급 직업(주로 재무 담당자, HR 직원 - 금융/개인정보), 신규직원(실수가 많음) - 대응방법 : 메일 보안 솔루션 디마..
"참조된 계정이 현재 잠겨 있으므로 그 계정으로 로그온할 수 없습니다." 해결방법 The referenced account is currently locked out and may not be logged on to. ✔ 원인 로컬 보안 정책이 설정되어 있기때문. ※ 로컬보안정책 여는 방법 : 시작 > 제어판 > 관리 도구 > 로컬 보안 정책 OR 윈도우키 + R키 누르고 secpol.msc > 로컬 보안 정책 ☞ 예를 들면, 위 사진처럼 설정하면 3번 로그인 실패하면, 30분 동안 잠기도록 설정 됨. * 이렇게 설정되어 있으면, 3번 틀린 이후 올바르게 비밀번호를 입력해도 로그온이 되지 않고, "참조된 계정이 현재 잠겨 있으므로 그 계정으로 로그온할 수 없습니다." 라는 오류가 뜸. ✔ 해결방법 해결방..
[오류] 원격 데스크톱 연결이 안될 때 해결방법 1. 오류 내용 : 다른 PC에서는 원격접속이 잘되는데, 일부 컴퓨터에서 "다음 이유 중 하나로 인해 원격 데스크톱에서 원격 컴퓨터에 연결할 수 없습니다."라는 창이 뜨면서 접속이 안될 때 2. 오류 화면 : 오류 원인1 : 원격 접속하려는 컴퓨터/서버에서 차단을 한 경우 해결방법 : 보안 때문에 원격 접속을 하려는 컴퓨터/서버에서 허용된 IP만 접속할 수 있도록 설정하였을 수도 있기 때문에 해당 원격 접속 컴퓨터나 서버 담당자를 통해 확인해야 한다. 오류 원인2 : 원격 연결 허용이 되어 있지 않은 경우 해결방법 : "윈도우키 + Pause키"를 눌러 [시스템] 창을 열기 → [원격 설정] 클릭해서 [시스템 속성] 창 열기 → [원격] 탭으로 이동 → 원..
컴퓨터 2차 윈도우 비밀번호 잊어버렸을 때 찾는 방법 ( 부팅 CD 또는 USB 이용 ) - 윈도우10 목표 : Utilman.exe을 CMD.exe로 만들어서 비밀번호 해제하기 위처럼 윈도우10에서 비밀번호 모를 때 해제하는 방법입니다. 1. 컴퓨터를 킬 때 [DEL] 또는 [F2] 버튼을 눌러서 BIOS 창을 엽니다. 2. 부팅 우선순위를 CD-ROM으로 바꿔줍니다. (USB인 경우 USB로 바꾸기) 3. 이후 아래와 같은 [Windows 설치] 화면이 나옵니다. 4. [다음] 을 누른 후에 [컴퓨터 복구]를 클릭합니다. 5. 그 후 뜬 화면에서 [문제해결] 버튼을 누르고 → 시스템 복구 옵션에서 [명령 프롬프트]를 누릅니다. 6. DOS 화면 창이 나오면, 부팅되면서 디스크 이름이 바뀌었을 수도 있..
컴퓨터 1차 비밀번호 잊어버렸을 때 CMOS 초기화 해서 비밀번호 없애는 방법 컴퓨터에 1차 비밀번호를 설정했는데 잊어버렸던가, 부팅 시 F1/F2/Del키를 눌러서 BIOS 설정을 하려고 할 때 비밀번호를 입력하라고 하는데 비밀번호를 모를 경우가 발생할 수 있다. 이런 경우 CMOS를 초기화 해서 비밀번호를 없애는 방법이 있다. 하지만 다른 설정 값들도 초기화되서 필요한 것들은 다시 설정해 주어야한다는 점을 잊지 말자!! #1. 우선, 컴퓨터와 메인보드에 Reset 버튼이 있는 제품이 있다. 컴퓨터 제조사별로 있을 수도 있고 없을수도 있으며, 위치가 다양하니 확인 후에 시도해보자. #2. 배터리(수은 건전지) 분리 후 재장착하기 CMOS는 휘발성 메모리이다. 그래서 이 수은건전지(배터리)의 역할은 컴퓨..
윈도우 서비스 등록 후 서비스 시작 오류시 해결 방법 - 오류 1053 : 서비스가 시작이나 제어 요청에 빠르게 응담하지 않았습니다. 수동으로 윈도우 서비스 등록하고 나서 아래와 같이 오류가 발생하였을 때 해결하는 방법입니다. 1. sc 명령어로 등록 sc create [service_name] start= auto binPath= "C:\sw\startup.bat" DisplayName= "SW service" type= own - 프로그램에 따라 "다음 오류 때문에 [service_name] 서비스를 시작하지 못했습니다: 서비스가 시작이나 제어 요청에 시기 적절하게 응답하지 않았습니다." 라는 오류가 나는 경우 instsrv 를 통해 해결하는 방법입니다. 2. srvany.exe, instsrv.ex..
키보드가 컴퓨터와 연결되어 있는데 안될 때 조치방법 3가지 키보드 자체 문제는 안닐 때! 컴퓨터 부팅을 한뒤에 암호를 입력을 하려고 하는데, 분명히 키보드에 불은 들어오는데 입력이 안먹을 때 조치 방법입니다. 1. 일시적 오류일 때 조치방법 - 키보드 뽑았다가 다시 꼽아보기 - 컴퓨터 재부팅하기 - 노트북일 때 : Fn 키 + NumLock 키 동시에 누르기 또는 Fn 키 + F11 키 동시에 누르기 2. 그래도 잘 안될 때... 우선, 키보드만 완전 먹통일 때, 가상 키보드로 로그인을 먼저한 후에 조치를 해봅시다. 우측에서 기상 키보드를 고른다 > 비밀번호를 입력 > 로그온하기 이렇게 키보드 사용만 불가할 때 컴퓨터 바탕화면까지 접근한 다음 아래의 3. 키보드 오류 조치방법 3가지를 전부 실행해 봅니다..
