헐랭이와 IT보안 (opt9's IT Security)

swbae.egloos.com

애드센스4


중국 해커들의 티벳 단체에 대한 공격 보안 정보

중국 해커들이 티벳 옹호 단체에 대해 이메일 기반의 표적형 공격을 수행한 이야기.

http://www.f-secure.com/weblog/archives/00001406.html
http://isc.sans.org/diary.html?storyid=4177

공격 기법 정리:
1. 이메일 헤더를 조작하여 신뢰할만한 발송자를 가장해 티벳옹호단체에 흥미로운 제목의 이메일 발송
2. 첨부파일 내의 PDF 를 클릭하면 키로거 설치
3. 중국 사이트인 8800.org 로 입력 내용 자동 발송

중국의 사이버전 전략 중 하나인 표적형 공격 방식의 전형적인 패턴을 보여주고 있군요.

이 전략은 매우 효과적인데 비록 이메일 보안에 대한 교육을 받은 사용자라고 해도
1. 신뢰할만한 발송자가 보낸
2. 정적인 첨부파일(PDF, XLS, DOC, PPT 등)
을 열어보지 않을 수 없기 때문입니다.
전문기술자가 아닌 이상 일반 사용자로서는, 표적형 공격 이메일과 업무용 이메일을 구분할만한 판단 근거가 없습니다.

이런 표적형 공격에 대응하기 위해서는 
1. 바이러스 월이나 개인PC용 백신 + 벤더의 서비스
2. 개인PC용 방화벽
3. 엣지단의 네트워크 트래픽 모니터링 (IDS 등을 활용)
4. 이상 징후 발견 시 면밀한 검토를 통해 원인파악과 대책수립이 가능한 기술인력의 확보
가 필요하다고 하겠습니다.

포스트 메타 정보

퍼블리싱 및 추천

  • 내보내기
    • 밸리 : IT 2008/03/23 12:30
    • Daum View : IT·과학 2008/03/23 16:18
  • 추천
    • 이 글은 이오공감 에 추천되었습니다. 2008/03/28 16:01

같은 카테고리의 글

트랙백(1)핑백(1) 덧글(4)

트랙백

이 글과 관련된 글 쓰기 (트랙백 보내기)
TrackbackURL : http://swbae.egloos.com/tb/1730514 [도움말]

  • Free Tibet NOW! 티벳의 독립을 원한다! 2008/03/28 20:11 #

    Free Tibet NOW! 티벳의 독립을 원한다! 티벳학살의 주범, 중국의 올림픽 개최를 반대한다! 티벳(http://www.tibet.com/)의 분리독립을 요구한 평화시위와 시위대를 무력진압해 유혈사태를 일으킨 중국은 철저한 언론통제로 이번 사태의 진상이 드러나지 못하도록 감시, 통제하고 있습니다. 130명을 학살하고도 티벳인들의 붉은 피와 눈물이 마르지도 않았는데도, 파렴치한 중국은 한편으로 2008베이징올림픽 개최에 열을 올리고 있습니...... more

핑백

  • kabbala님의 글 - [2008년 3월 23일, 일요일] 2008-03-23 16:39:00 #

    ... 2008년 3월 1 2 3 4 5 6 8 9 10 11 12 13 14 15 16 17 19 20 21 22 23 23 Mar 2008 0 metoo 중국 해커들이 티벳 옹호 단체에 대해 이메일 기반의 표적형 공격을 수행 — 헐랭이 오후 4시 38분 댓글 (0) 1 metoo 공장짓는데 서류가 몇개인가를 따지기 전에 그들이 인터넷으로 접수시키면 오라가라 할 것 없 ... more

덧글

  • ww0jeff 2008/03/23 21:03 # 삭제 답글

    파일이름에도 신뢰기관의 명칭이 들어있어서 더 신뢰했다는..

    메일헤더의 경유지 서버들을 자동비교해도
    아마 요즘은 우회하는 기법들이 있겠죠?

  • 엔시스 2008/03/24 23:30 # 삭제 답글

    여기서 문제가 되는 것은 신뢰할만한 발송자가 보냈다는 것인데..요즘 비지니스 메일이 주된 것이다 보니 피해를 입을수 밖에 없겠군요...어떻게 대처 할까요? 아마도 헐랭이님이 메일을 보낸다면 열어 보겠죠...아무리 생각해도 묘수가 떠 오르지 않네요..가장 좋은 방법은 당사자에게 직접 확인 하는 방법밖에 생각이 안나네요..무식 한 방법일지라도...

  • 헐랭이 2008/03/25 01:15 # 답글

    말씀하신 바대로 http://www.dshield.org/diary.html?storyid=4177 의 자료에 잘 분석되어 있는데, 흥미로운 점은 해커가 NAT 내부 시스템에 대한 효율적인 정보 수집과 공격을 위해 DNS pinning 기법을 사용하는 게 아닌가 의심스럽군요.

  • ww0jeff 2008/03/25 01:16 # 삭제 답글

    (지웠다가 다시 올립니다.)
    /엔시스님 안녕하세요? 얼마전에 카페에 글 올렸었던 유호덕(닉)입니다.

    원래 기술적으로 대응이 안되는 것은 아닙니다. 잘 아시다시피
    발송자 메일주소의 메일서버와의 대응, 그다음의 경유서버의 도메인과 IP비교, 그다음순..
    이런순으로 자동비교해서 중간에 맞지 않는게 단 하나라도 있으면 자동스팸필터링 되도록
    하면 탐지할 순 있습니다만

    문제는 유사한 도메인명으로 만들어서 보내면 알수 없다는거죠. 시작부터 메일서버, 도메인등이 짝이 맞으니까요.

    저같으면 헐랭이님이 저에게 메일을 보냈다.
    일단 첨부파일이 ppt,xls,doc 이면 일단 열긴 엽니다. 흐흐. AV와, 소프트웨어방화벽을 2차적으로 믿고요.
    뭐 제로데이 취약점이면 뭐 어쩔수 없죠 뭐 당하는 수밖에 크흐흐흐흐흐
    사실 미친척하고 vmware 안에서 읽어도 됩니다만 .. 여간 불편 TT

    뭐 괜찮은 SANDBOX 어플리케이션 없나요?

    아니면 PGP 활용!

    괜히 블로그 어지럽히는 거 같아 죄송합니다. ^^;


    참, isc 에 이번 공격에 쓰인 코드와 파일이 더 올라왔습니다.
    단연, 공격에 쓰이고 있는 C&C 서버중에 South Korea 가 눈에 들어옵니다.
댓글 입력 영역

검색

블로그내 검색 영역

애드센스7

News

Exploits

트위터

드림위즈

Dataloss DB

swbae.egloos.com is powered by Egloos. Subscribe to RSS Skin design by 헐랭이.