음.. Anonymous는 핵티비즘 성격이 강한 해커들인데 이번에는 너무 지나친 것 같다는 생각이 드네요.

물론 결과를 보면 기부한다고 하지만... 그 과정이 너무 불법적이어서 결과마저 나쁘게 보이는 것 같군요.

더군다나 이번에는 Teampoison 이라는 언더팀과 연합으로 한다는데, 벌써 공격 대상 은행들과 취약점들은 파악된 듯 하네요.

우리나라 은행들은 포함이 안되겠지만.. 만약에 포함되면 우리나라 은행들은 큰일납니다. 정말 진짜로!!!!

일단 우리나라 은행들은 Active X를 너무 쓰고 있다는 것부터 문제이며, 너무 보안프로그램과 암호화에 의존하는 경향이 크죠.

제일 큰 점은 보안에 대한 투자가 미흡하다는 건데 저렇게 연합으로 밀고들어오면 속수무책일 겁니다....

지금이라도 열심히 대책을 마련해주세요!!!!(제발 내돈 날라가지 않게 ㅠㅠ..)

요점인 즉슨, 127개 공공기관 중에서 111개 기관이 암호기준을 지키지 않고 있다는 통계가 나왔습니다.

어이가 없네요... 먼저 앞장서야 할 정부가 이러고 있으니 말이죠.

이러니 KISA에서 개인정보보호가이드 같은걸 내놔도 국민들은 거들떠 보지도 않죠.

보안은 지나쳐서 나쁠거 하나도 없는데 안타깝네요.

관련기사 : http://www.dailysecu.com/news_view.php?article_id=1183

  1. 알 수 없는 사용자 2011.12.06 17:25

    큰 일이 터지고 언론에서 여럿 언급을 하면 "보안에 대폭 투자하겠다" 라고 말할것 같지만 이것도 한 순간...
    꾸준한 보안의식이 중요한것같은데 말이죠 ㅠㅠ

음.. 전 메이플 스토리를 안해서 피해는 없겠지만 2차 피해가 예상되고 주 서버의 보안과 넥슨 메인서버의 보안도 심히 걱정이 되는군여 ㅠㅠ

얼마전 데일리시큐에 넥슨 보안팀장님이 인터뷰 하신것을 봤는데 지금 엄청나게 고생하고 계실 듯 하네요.

처음에는 중국발 해킹으로 보고 조사를 했다가 악성코드 2종을 발견해서 현재 분석중이라고 하더군요.

중국발 해킹은 아니라고 하니.... 이번에도 APT 일까요?

요즘에는 주기적으로 이런 큰 사건들이 터져서 재밌기도 하고 걱정이 되기도 합니다.

개인정보 유출사건은 해당 서버나 개인정보가 유출된것이 문제라기 보다 그 후에 있을 2차 피해가 제일 크나큰 문제인데요.

이걸 어떻게 대처할지 궁금하네요.

정말 이정도이면 주민번호를 폐기 하고, 다른 제도(I-PIN 말고)를 강구해서 적용해야 할텐데 말이죠.

시간이 많이 걸리더라도 꼭 조치를 취해야 할 문제인데 왜 안하는지 이해가 안가네요.

이번 사건은 어떻게 마무리가 될지 계속 지켜 보겠습니다.

오랜만에 네이버 스팸필터에 걸리지 않는 메일이 나에게 도착했다.

메일 내용은 아래와 같다.

그는 해외 문제에 있사령관으로 임명향으로 돌아갈 의 건국과 혁명에 있는 자신의 기갈기 찢겨진 현 국가를 만들고자  해에, 그는 영

인 덕목을 주제로 하는 기본 입문서와 인적인 삶을 영했으며, 이에 따라 에 체결된 제이 조그는 세계에서 가추진하는 과정에서 대통령 중 하나로 여에 체결된 제이 조 경고와 공화주의도 하였다. 그의그는 세계에서 가하여 필라델피아 적인 중립 선언으적인 중립 선언으도 하였다. 그의

<fORM f action=//so.ee/OQ1>
<INpUT g tYPe="SUbmiT" vALue="잠시후에 만날래요 뭐든지 다해드려요"       style="font-size:18pt;>


딱 봐도 스팸인데 왜 필터가 안되었는지는 폼 코드를 보면 알 수 있다. 네이버는 아직 저런 코드는 필터하지 못하는 모양이다.

아니면 script만 차단하는걸지도..

무튼 저 버튼을 클릭하면 so.ee/OQ1 주소로 이동하게 된다. 해당 주소를 wget으로 긁어오면 아래와 같은 소스의 페이지가 생성된다.

<html>

    <head>

        <title>로딩중입니다.</title>

    </head>

<script language="JavaScript">

window.onload = maxWindow;


function maxWindow()

{

window.moveTo(0,0);



if (document.all)

{

  top.window.resizeTo(screen.availWidth,screen.availHeight);

}


else if (document.layers||document.getElementById)

{

  if (top.window.outerHeight<screen.availHeight||top.window.outerWidth<screen.availWidth)

  {

    top.window.outerHeight = screen.availHeight;

    top.window.outerWidth = screen.availWidth;

  }

}

}

</script>

잠시만 기다려주시면 연결될것입니다.

    <body>

        <p>

        <meta content="0;URL=http://ssb102.com/ad/m/b1/" http-equiv="Refresh" /></p>

</a> 

<script src=http://oncgi.com?TVRJNU5ERTBPREkzTUE9PQ==> </script>

</body>

</html>


페이지를 실행해보지는 않았지만 뭔가를 연결하는 듯한 모습이다.

 의심스러운 URL이 두개가 보인다. 하나하나 조사를 해보자.

[http://ssb102.com/ad/m/b1/ URL을 wget으로 긁어온 결과]

<HTML>

<HEAD>

<TITLE>XX파트너 미팅 전문사이트</TITLE>

<META NAME="Generator" CONTENT="EditPlus">

<META NAME="Author" CONTENT="">

<META NAME="Keywords" CONTENT="">

<META NAME="Description" CONTENT="">

<meta http-equiv='content-type' content='text/html; charset=euc-kr'> 

</HEAD>


<BODY>

<table><tr><td>

<p><a target="_blank" href="http://ssb102.com">

<img alt="" width="615" height="762" src="http://ssb102.com/ad/m/b1/aaa.jpg" /></a>

</p>

<!-- <center><font size=15> <U><A HREF="http://ssb102.com"><b>사이트 바로 입장하기</A></U> </font></center>

 -->

</td></tr></table>


</BODY>

</HTML> 


결국은 성인사이트였다..

[http://oncgi.com?TVRJNU5ERTBPREkzTUE9PQ== URL을 wget으로 긁어온 결과]

document.write("<a href=http://lvskr2.oncgi.com/counter_html/user.php?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 target=_blank>");

document.write("<img alt=oncgi.com src=http://lvskr2.oncgi.com/counter_html/jin.php?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 border=0></a>"); 


무언가 링크를 걸고 있다. 다시 한번 긁어와 보자(두번째 URL은 방문자수 카운터 이미지를 불러오는 링크라 특별히 포스팅 하지 않도록 하겠다.)

[http://lvskr2.oncgi.com/counter_html/user.php?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 URL을 wget으로 긁어온 결과]

<script>location.replace('http://oncgi.com/counter_html/review_daily.html?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0');</script>


뭔가 또 URL을 걸어놨다... 끝까지 한번 가보자.
 

[http://oncgi.com/counter_html/review_daily.html?VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 URL을 wget으로 긁어온 결과]

<SCRIPT LANGUAGE=JavaScript>

<!--//

location.replace('http://oncgi.com/counter_html/click.html?hun=VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0');

//-->

</SCRIPT>

</head>

<a href=http://oncgi.com/counter_html/click.html?hun=VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0>Click Me</a>

 
 똑같은 URL이다. 클릭해달라는 URL을 나는 wget으로 긁어왔다.

[http://oncgi.com/counter_html/click.html?hun=VFZSSk5VNUVSVEJQUkVrelRVRTlQUT09LjExOS4yMDUuMjQuMTY0 URL을 wget으로 긁어온 결과 중 일부]

<!------------------------------------------------------------------------------

--

 *                                                                              

 *

 *     하나비 무료 도메인 V2006                                                 

 *

 *                                                                              

 *

 *                              (Update: 2005.08.06/ 2005.07.29/ 1996.07.04)    

 *

 *                                                                              

 *

 *      Official distribution site : http://hanaB.com/                          

 *

 *                                                                              

 *

 *                                                                              

 *

 *               Technical contact : webmaster@timeserver.co.kr                 

 *

 *                                                                              

 *

 *                                                                              

 *

 *                      Programmer : zeno bark                                  

 *

 *                                                                              

 *

 *     Copyright(c) 1996-2011. hanaB.com(zeno bark). all rights reserved.       

 *

 *                                                                              

 *


 

결국 해당 메일은 성인사이트, 도메인 광고...

악성코드에 관련된 스팸메일이었으면 좀 더 심도있는 분석이 되었을텐데, 그런 스팸이 아니어서 조금은 실망이었다. 
데일리시큐에 올라온 기사를 토대로 개인적으로 구글독을 해봤더니 아직도 상당히 많은 사이트들이 감염되어있는 것을 보았습니다.

하루빨리 조치되길 바랍니다. ㅠㅠ

특이한 점은 중복링크를 걸어놨네요....

 
관련기사 : http://www.dailysecu.com/news_view.php?article_id=1086 


[추가]

해당 배포사이트를 알아본 결과, ur.php는 삭제된 상태이며, 서버소유는 루마니아로 되어있네요.

해당 서버가 해킹당해 1차 유포지로 사용된 듯 합니다.

 

 

+ Recent posts