Duqu에 대해 분석에 나선 카스퍼스키 연구원들은 어느정도의 행동 패턴에 대해 파악했으며 이는 Stuxnet과 유사하다는 것을 알게 되었다. 하지만 스턱스넷과는 좀 더 정밀하고 소수의 목표를 갖고 만들어졌다고 합니다.
그 중 가장 핵심은 ""Duqu Trojan developed in unknown programming language" 즉 알수 없는 언어로 개발되었다는 얘기인데 일반적인 프레임웍이 아닌 자체적으로 만든 언어일 가능성이 있다는 카스퍼스키 연구진들의 얘기.. 정말 흥미진진하네요.
생각해보니 뛰어난 개발자라면 못만들 것도 없다는 생각이 듭니다.
자세한 히스토리는 아래 링크에 있습니다.
(추가기사-12/03/20)
카스퍼스키 연구진이 드디어 풀었네요.. 스탠다드 C++ 과 C인듯 하다는..ㄷㄷㄷ -_-;;
자기들끼리.."OO C"로 명명했다는데.. 흠흠.. 어떻게 읽어야 할까요?
오늘은 OWASP의 플젝 활동 중 하나를 소개할까 합니다. (정식 비용을 지불한 회원 중 일인 -ㅅ-;;)
프로젝트 목적
"WHID(Web Hacking Incident Database)는웹해킹사고를데이터베이스화하여 보안사고를 줄이고관련된웹 애플리케이션 사고 목록을 유지하기 위한 보안컨소시엄프로젝트입니다.WHID의 목표는웹 응용 프로그램보안문제의인식을 고취하기 위해 사회적인 역할 및 웹응용 프로그램보안사고의통계 분석 정보를제공하는 것입니다. "
요즘 보이스 피싱 뉴스가 자주 나오는데 더불어 피싱 사이트로 유도하는 경우가 많죠.
사회공학적 툴도 나오고 정말 정신 바짝차려야 겠습니다.;;
아래는 외국에서 일반인을 대상으로 Rabobank와 ING의 피싱 공격을 예로 설명하고 있습니다.
더보기 Increase in Dutch banking phishing
The last few months there was an increase in a phishing campaign targeted on customers from Rabobank and ING, two major banks in The Netherlands and Belgium. Some examples of a phishing mail:
Phishing email for ING with the subject “Account Verificatie” (or in English: “Account Verification”)
Phishing email for Rabobank with the subject “Customer Services Update”.
If you speak the Dutch language, you notice the content of the emails are actually more different than most phishing mails. In fact there’s a bigger variety, and in the first version there is almost no grammatical or spelling error. The second email - for Rabobank- however, is clearly a Google Translate copy/paste job.
All emails seem to be originating from valid email addresses, domains are pointing to @rabobank.nl and @ing.nl , which are in fact legitimate addresses from the two banks.
However, if we check the message headers we can see IP’s originating from Nigeria:
This means the email-addresses are spoofed to trick users into believing the email is valid.
Now, what happens if you click on the link included in the message? You will be redirected to any of these pages:
Phishing website for ING. The user needs to login with his/her username and password. You can also opt to login with the ‘calculator’. The calculator is in fact a card reader which you can use to login.
Phishing website for Rabobank. You can login using your account number, access code, and PIN code. You can also use your card reader.
The intention of these emails is of course to steal user credentials and empty the account of the duped user. These attacks are pretty well orchestrated. If you click on any of the links on the phishing page, it will redirect you to the real ING website which provides extra information on the topic you clicked on.
The following tips do not only apply to the above story, but apply to any other (suspicious) email you receive:
Do not click on any of the links (or anything for that matter) in the email you have received.
Do not reply to the email.
Delete the email immediately, certainly if you are not a customer of the aforementioned bank or did not order anything, changed your password, and so on.
If you really need to access or check your bank account, visit the website directly by typing the address in your browser’s address bar. Also verify the URL starts with https instead of http.
Another useful trick is to hover over the link in the email. In the bottom left corner you should be able to see the real address behind the URL displayed.
올해 3월. RSA가 해킹된 사건은 이미 많이 알려진 사실이다.
이 사건과 연관된 것으로 추정되는 Lockheed-Martin 와 Northrop-Grumman등은 세계적인 군수 기밀 자료가 누출 되었으며 글로벌 기업을 상대로 계속적인 공격을 펼치고 있다고 한다.
이에 F-Secure.com에서 RSA 해킹과 관련하여 지난 4월 EMC를 공격하려는 메일을 통해 공격을 재구성하고 있는 간단한 동영상을 공개했다.
해외 자료를 매번 찾다가 국내에도 좋은 자료를 매달 내고 있는 안철수 연구소 "월간 安" 을 소개 할까 한다.
가끔 자세할 정도로 디테일한 기술을 선보일 때가 있는데..그때마다 흡짓 놀라곤 했다.
국내에서 정기적으로 볼만(?)한 보안 매거진을 배포하는 국내 기업은 아직까지 안랩밖에 없는 것 같다.
(IBM과 시만텍도 있긴 하지만.. 좀 보기 어렵고 국내 기업이 아니다. ㅎ 개취 -0-;)