1. 개요 DIKW 파라미드 라는 개념이 있다. 데이터가 쌓이면 정보가 만들어지고, 정보가 쌓이면 지식이 만들어 지고 이러한 지식은 지혜로 발전되어 간다는 의미를 가지고 있다. 과거 먼 조상들이 해온 모든 행동들이 쌓여 지금의 우리가 있듯이 이 파라미드 구조는 시대는 데이터가 쌓이고 많이 쌓여 빅데이터 시대가 왔고, 이 안에서 양질의 정보를 빼내기 위해 다양한 연구와 개발이 이루어지고 있다. 추출한 정보는 다시 하나의 새로운 지식의 밑거름이 되고 있다.사이버 위협도 똑같다. 과거부터 지속되어 왔던 다양한 데이터들을 정리하고 분류하고 저장해두면 이는 새로운 위협에 대응할 수 있는 정보가 된다. 비록 아직은 각지에서 발생하는 데이터들이 하나로 취합하기엔 위협을 받은 기업의 소중한 데이터들이 공개될 수 있기에..
1. 개요 바이러스토탈을 통해 악성코드를 검사하고 그 결과를 확인하는 과정에서 Authentihash 라는 단어를 만나게 되었다. 해당 단어 옆 아이콘을 클릭하면 Authenticode에 대한 기술서를 볼 수 있고, 내용을 읽어보면 해당 인증 기술을 이용하여 해시값을 만들 수 있음을 알 수 있다. 2. 내용 Authenticode는 소프트웨어 바이너리의 출처 및 무결성을 확인하는데 사용되는 디지털 서명 형식이다. 공개 키 암호화 표준(PKCS) #7의 서명된 데이터로 소프트웨어 게시자의 신원을 확인하기 위해 X.509 v3 인증서를 사용하여 Authenticode 서명 파일을 결합한 것이다. 이 서명은 "특정 소프트웨어 게시자를 증명", "서명 된 이후 파일이 변경되지 않음" 을 의미하고 "소프트웨어의 ..
01. 사물인터넷 소개개요인터넷 1.0/2.0/3.0유비쿼터스와 사물인터넷각 회사, 지자체별 사물인터넷 정의As-Is / To-Be 에 따른 사물인터넷 구분수직적 / 수평적 통합에 따른 사물인터넷 구분 02. 사물인터넷 역사역사만물인터넷유비쿼터스 03. 사물인터넷 기술사물인터넷을 가능하게 만드는 3 요소사물인터넷 관련된 EBS 다큐멘터리 시청MS / Google / Samsung / Adobe 가 제시하는 사물인터넷 비전 시청사물인터넷 기술 동향 (스마트홈, 육아, 물리 보안, 생활, 의료, DIY) 04. 사물인터넷 동향DIKW 피라미드사물인터넷 경제 전략사물인터넷 가트너(Gartner) 동향사물인터넷 시장의 경제적 부가 가치사물인터넷 국가별(유럽연합, 미국, 중국, 일본, 한국) 정책 동향 05. 사..
1. 개요 2014년 2월 시스코 시큐리티 블로그에 악의적인 DDNS를 이용한 악성코드 유포에 관한 포스트를 보게 되었다. 해당 포스트를 보면서 알게된 정보로 피에스타 익스플로잇 팩(Fiesta Exploit Pack)이 DDNS를 이용한 드라이브-바이 다운로드 환경을 구축한다는 것이다. 또한, 앞서 포스팅한 도메인 쉐도잉(Domain Shadowing) 기법과 비슷하게 서브 도메인을 생성하여 악용한다는 점이다. 악의적인 DDNS를 이용한 악용에 대해 추가적으로 조사를 해 본 결과, 가장 흥미로웠던 정보는 2010년 어베스트(Avast) 보고서이다. 이 보고서에 따르면, 최종 악성코드 유포지까지 도달하는 과정에서 가장 길게 사용된 경우가 15개의 리다이렉션을 이용하였다고 보고한다. 이 트래픽은 3 개의 ..
1. 개요 도메인 쉐도잉(Domain Shadowing) 기술은 드라이브-바이 다운로드(Drive-By Download) 공격 도구인 앵글러 익스플로잇 도구(Angler Exploit Kit)에서 탐지 회피를 위해 사용하는 기술이다. 이 도구는 해외에서 상용으로 구입할 수 있는 공격 툴킷에서 가장 인기있는 블랙홀 2.0(BlacKHole Exploit Kit 2.0)을 제친 공격 툴킷이다. 도메인 쉐도잉 기술은 시스코 보안 연구원 Nick Biasini가 어도비 플래시 플레이어 취약점과 실버 라이드 취약점을 이용한 공격을 3개월 간 추적한 결과이다. 2. 기술 개요 도메인 쉐도잉 기술은 2014년 12월 부터 앵글러 익스플로잇 도구에서 사용되기 시작되었다고 보고되고 있으며, 아무래도 악성코드 제작자들이 ..
1. Behavior Search 행위 분석 결과에서 모든 문자들을 패턴매칭하여 원하는 결과를 찾을 수 있다. 2. Network Stream View TCP/UDP 스트림을 수집하고 헥사 덤프로 검사할 수 있는 몇가지 기능을 추가 구현되었다. 3. Comparative Analysis 악성코드의 유사성을 추정하기 위해 다른 악성코드와 비교할 수 있는 기능을 추가되었다. 상세한 비교 분석은까진 아니고 현재 실행되는 이벤트 기반을 통한 그래프 표현 방식만 묘사한다. 4. Changelog - baremetal 분석 지월 (물리 시스템 모듈)cuckoo sandbox 1.2-dev 버전 부터 설정 파일이 모여있는 conf 디렉터리에 physical.conf 파일이 생성되어 있었다. 고성능 허니클라이언트의 치..
1. 사건 개요 네이트온에 내가 아닌 다른 사람이 로그인을 했다. 최초 로그인 시간은 "2015-01-16 13:32:13"으로 공격자가 로그인 후 기존의 사용자의 로그인을 강제 로그아웃 시켰다. 이후 접근은 실시간으로 강제 로그아웃 했다. 2. 피싱 대화 내용 로그인 이후 가장 최근에 대화한 지인에게 말을 걸어 매우 자연스러운 한국어로 금전을 요구했다. 재미있게도 대화하고 있는 사람은 회사에서 바로 옆자리에 앉아 있는 사람이다. 그래서 실시간으로 회사직원들과 함께 자연스럽게 대화를 유도하여 공격자의 명확한 목적을 찾았다. 3. 사건 처리 절차 IM 피싱을 해결하기 위한 절차가 아닌 보편적인 사이버범죄 신고 절차이다. 접수 대상 - 사이버 상에서 일어나는 모든 범죄행위에 대해 신고가 가능하다.신고 방법 ..
