일기장 (47) 썸네일형 리스트형 악성코드 공격 -2 (SRP - 소프트웨어 제한 정책) 1. 증상 DLL 로드시 '응용 프로그램을 제대로 시작하지 못했습니다. 응용프로그램을 닫으시려면 [확인]을 클릭하십시오' 등의 OS마다 조금씩 다른 에러 내용으로 프로그램 강제 종료 2. 원인&공격 방식 분석 기본적으로 위와같이 로컬 보안정책에 설정되는 값인데 윈도우 home의 경우 로컬보안정책 조차 설치되어있지 않아 추가 설치를 해야 한다 공격자의 경우 이 설정값이 레지스터에 등록되는것을 파악하여 바로 레지스터에 값을 등록하는형식으로 공격하였다 3. 해결방법 regedit를 실행해보면 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\path 이 경로에 uuid로 보이는 폴더가 있고 그 경로마다 하나씩의 프로그램.. 악성코드 공격 -1 (윈도우 방화벽 설정) 처음 당했던 공격은 상당히 단순했지만 3개의 공격 방식을 동시에 당했고 전혀 준비되어있지 않던 상황이라 어떻게 배포되었는지 파악할 수 없었고 증상 확인과 해결만 하였습니다 1. 증상 - exe 프로그램 실행 안됨(일부 PC는 Windows Defender에서 에러 표시), DLL파일은 로드 가능하나 특정 통신 불가로 정상적인 동작 못함 2. 원인&공격 방식 분석 단순히 앤드 유저의 PC에서 사용될 exe파일이나 특정 통신 포트를 차단하는 공격 방식 위 사진과 같이 인바운드, 아웃바운드 규칙에 특정 프로그램을 아예 사용하지 못하게 하거나 특정 프로그램(exe or dll) 등에서 사용하는 통신 포트를 차단 규칙으로 넣음 3. 해결방법 - 증상 해결을 위한 별도의 exe파일을 제작하여 고객사에 배포하여 모든.. 악성코드와 한판 붙은 썰 -4 (끝) 이전 글 2021.05.10 - [일기장/개발자 일기] - 악성코드와 한판 붙은 썰 -3 여느 날처럼 출근하여 밤새 자동 수집된 로그를 분석하며 특이점은 없는지 신규 악성코드는 없는지 살피고 있던 중 개발이사님이 밝은 표정으로 오시면서 '현 시간부로 압수수색 시작했단다!!!' 사실 경찰한테도 큰 기대를 하고 있지 않았다 정확히 누구다 라고 지목할 명백한 정보가 없었고 이 상황을 이해한들 어떻게 추적할 것인가 때문이었는데 TV에서만 보던 압.수.수.색 이라니.. (회사가 압수수색 당해본 지인 피셜로는 경찰이 와서 갑자기 다 하던 거 멈추고 일어서서 나가라고 한다고...) 바로 증거 노트북이 수집되었고 범죄자는 그대로 잡혀가서 취조에 자백하였다 다만 최초 잡아 간 후 몇십 시간만 데리고 있을 수 있어서 모든.. 악성코드와 한판 붙은 썰 -3 이전 글 2021.05.06 - [일기장/개발자 일기] - 악성코드와 한판 붙은 썰 -2 악성코드와 한판 붙은 썰 -2 이전 글 2021.05.06 - [일기장/개발자 일기] - 악성코드와 한판 붙은 썰 -1 악성코드와 한판 붙은 썰 -1 현 직장에서 작년 실제 겪은 일입니다 특정 기업명은 공개하지 않습니다 우리 회사는 작년 여름 singo112ok.tistory.com 옆팀 과장님까지도 얼떨결에 합류하여 악성코드 분석을 진행하였고 악성코드 최초 설치 파일을 찾아내었는데 경쟁사의 프로그램 설치 파일이었다 이렇게 대놓고 자기들 설치 프로그램으로 경쟁사를 공격하는 악성코드를 넣어 배포할 일도 없고 인증서 서명도 안되어있는 점이 누군가 경쟁사 쪽으로 의심을 돌리려고 해 놓은 거로 보였고 여기서 괜히 섣불리 신.. 악성코드와 한판 붙은 썰 -2 이전 글 2021.05.06 - [일기장/개발자 일기] - 악성코드와 한판 붙은 썰 -1 악성코드와 한판 붙은 썰 -1 현 직장에서 작년 실제 겪은 일입니다 특정 기업명은 공개하지 않습니다 우리 회사는 작년 여름부터 가을까지 악성코드 공격을 당했다 우선 우리 회사는 BtoB 방식으로 특정 기능을 하는 모듈을 singo112ok.tistory.com 이후 보안&포랜식 추적 전문 업체들과 컨텍하였고 몇 차례 회의, 진행하며 서로 필요한 정보를 주고받았고 몇 주나 걸려 나온 결과는 문제 해결을 직접 해주진 못했다 공격자는 악성코드 전문 업체로 보이며 일반 개발자 수준에서 할 수 있는 기법이 아니다, 중국 스타일의 악성코드를 사용한다, 어떻게 일반인들 PC에 배포되었는지 알기 힘들다, 과거 동작했던 악성코드 설.. 악성코드와 한판 붙은 썰 -1 현 직장에서 작년 실제 겪은 일입니다 특정 기업명은 공개하지 않습니다 우리 회사는 작년 여름부터 가을까지 악성코드 공격을 당했다 우선 우리 회사는 BtoB 방식으로 특정 기능을 하는 모듈을 고객사에게 제공하고 고객사들은 그 모듈을 활용하여 앤드 유저들이 사용하는 프로그램을 제공하는 방식이다 어느 날 고객사로부터 연락을 받았다 '몇몇 고객들 문의가 와서 원격으로 확인했는데 우리 모듈이 정상적으로 동작하지 않는다' 해당 모듈은 안정성이 높으며 근래에 업데이트를 진행한 적도 없기에 윈도 쪽이나 외부적인 요인이겠거니 하고 확인해 본 결과 실제로 우리 모듈이 돌아가고 있지 않았다 (공격 방식과 분석했던방법 분석 결과 등은 추후 새 글에서 모두 소개하겠습니다) 우리 모듈을 공격하는 악성코드를 일반 유저들의 PC에 .. 약 한달간의 개발블로그를 진행해 보며.. 초심 버프 기간이라 한 달간은 상당히 열심히 했던 것 같습니다 1. 목표 주로 개발자들이 특정 이슈나 기술을 구글링을 하여 들어와서 가볍게 복붙으로 써먹거나 배워갈 수 있는 "가볍게 들려 꼭 필요한 정보를 쉽게 주는 블로그"를 목표로 하였었습니다 내가 알고있는 기술들 중에 기왕이면 실무에서 직접 부딪혔던 문제, 배워야 했던 내용들을 쓰려고 했고 너무 간단하고 흔한 내용들은 쓰지 않으려고 했습니다 그리고 개인적인 이야기를 조금씩 쓰며 혹여나 저라는 개발자를 궁금해 하거나 가볍게 이 사람은 이런 일이 있었구나 같은 것들을 흥미 삼아 읽을 수 있게 작성했습니다 어느 순간부터 개인적으로 알고리즘 공부를 하고 있는 해커 랭크 풀이를 추가하였고 마지막으로 흥미있는 IT 뉴스들을 공유하고 있습니다 처음엔 기사내용에 .. 내 세번째 회사이야기.. 2021/02/08 - [일기장/개발자 일기] - 내 첫번째 회사이야기.. 2021.02.10 - [일기장/개발자 일기] - 내 두번째 회사이야기.. * 주니어 개발자들이 이 글을읽고 나같은 일을 겪지 않았았으면 혹은 이런쪽은 괜찮으니 가봤으면 하는 마음으로 작성합니다 특정업체에 대한 비판이 목적은 아닙니다 * 매우 주관적일 수 있습니다 참고만 하시길 바랍니다 ● 소개 차량 번호판 인식 모듈을 기반으로 주차관련 시스템을 구성하며 PC, 서버, 번호인식 모듈, 차단기, 전광판, 공사비(하청업체)등등 HW의 매출이 높고 SW는 PC가격에 소액 책정되는방식으로 운영되었다 BtoC로 회사이며 150여명의 직원으로 구성되어있고 개발자는 약 15명정도였다 ● 입사계기 학부시절 하던 영상처리를 다시 해볼 수 있을꺼같.. 이전 1 2 3 4 5 6 다음
