안녕하세요
Quarry Systems 윤동한입니다.
휴가철인데 휴가 계획은 잘 세우셨는지요?
날씨가 많이 오락가락 하네요 ^^
오늘은 특별한 내용은 아니고,
항상 업데이트 해드리던 보안소식과 벤더소식 위주로
Mailing 보내드립니다.
1. Security News
기존 HP Tipping Point (Threat LinQ) 정보만 드렸는데
이번부터는 Symantec Threat Center와 Fortinet의 Forti Guard Center의
Security Report정보도 같이 정리해 드리겠습니다.
각 벤더 별로 장, 단점이 있어
제가 생각하는 벤더 별 장점이라고 생각되는 분석내용만
정리해서 보내드리겠습니다.
ü HP Tipping point: (Reputation:악성코드 배포IP, 도메인정보)
|
Domain name |
Score |
|
100 | |
|
100 | |
|
100 | |
|
100 | |
|
100 | |
|
100 | |
|
100 | |
|
100 | |
|
100 | |
|
100 |
|
IP |
country |
Score |
|
United States |
100 | |
|
Hungary |
100 | |
|
Brazil |
100 | |
|
Canada |
100 | |
|
Vietnam |
100 | |
|
China |
100 | |
|
Canada |
100 | |
|
United States |
100 | |
|
Brazil |
100 | |
|
United States |
100 |
ü Symantec (최근 유행하는 APT사례와 관련 공격정보)
RSA해킹할 때 사용한 Notable Zero-day attack,
duqu, skyipot Attcack 공격기법에 대한 정보가 담겨져 있습니다.
여기서 중요한 건 공격에 사용한 취약점(CVE)정보이고
운영중인 보안장비 (IPS,IDS,Anti-Virus)등에 관련 Pattern이
활성화 되어 있는지 점검해 보시면 운영에 도움이 되실 것 같습니다.
ü Fortiguard (Mobile관련 Threat research)
l How to decrypt encrypted files in an Android malware:
http://www.youtube.com/watch?v=DHZlFcMuZvI
l Controlling AndroidZitmo.E!tr.spy by SMS
http://www.youtube.com/watch?v=tjKMYwQYYLk
l Fortiguard threat Report * APAC botnet Incident List *
|
Name |
Incident% |
DB |
|
9.37 |
3.183 | |
|
7.81 |
3.166 | |
|
7.18 |
3.179 | |
|
6.25 |
3.183 | |
|
5.00 |
3.199 | |
|
2.81 |
3.157 | |
|
2.18 |
3.153 | |
|
1.87 |
3.173 | |
|
0.93 |
3.163 | |
|
0.62 |
3.173 |
APAC쪽 BotNet Incident List입니다.
소탕된 것으로 알려진 Mariposa botnet이 아직도 1위네요.
Mariposa에 대해서는 아래 분석 Report 첨부해 드렸습니다.
2. Technical Tip & Vendor News
ü CISCO
l Technical Tip for NX-OS *(Trouble shooting CISCO Nexus 7000 Series):
https://files.ucloud.com/pf/D942534_6010037_720565
l Technical tip for IPT (Trouble shooting in Remote Site)
https://files.ucloud.com/pf/D942534_6010037_720568
ü Symantec
l DLP 11.6 Release Note:
11.5와는 또 많이 변경되었습니다.
https://files.ucloud.com/pf/D942534_6010037_720577
l WGA 5.1 (Codename: Power) Beta TEST진행
Symantec Web Gateway 5.1 버전에 대한 Final TEST중입니다.
https://files.ucloud.com/pf/D942534_6010037_720559
중요한 변경사항은 DLP와의 연동부분입니다.
DLP NP에서 하지 못하는 HTTPS Inspect부분을
WGA를 통해 가능하게 된 것입니다.
(이 부분은 몇 달 전에 한번 언급해 드린 적이 있는 것 같은데
Daum이나 NAVER등 주요 Portal Mail이 HTTPS로 바뀔 예정이라
HTTPS에 대한 Audit이 매우 중요한 화두가 되었습니다.)
ü HP Arcsight
l SIEM구축 Success Story: SIEM구축 시 활용하면 좋을 것 같아 첨부해드립니다.
https://files.ucloud.com/pf/D942534_6010037_718559
ü Tech Tip1: Mariposa botnet 분석
l 침해사고 분석이나 악성코드 대응 시
어떤 식으로 악성코드를 분석하는지 물어보시는 분들이 많은데요
참고 자료로 보시면 좋을 것 같습니다.
https://files.ucloud.com/pf/D942534_6010037_720563
ü Tech Tip2: Fortigate FW Architecture
l 심심할 때 정리해 본 문서인데, 많은 시간을 할애해서 만든 문서가 아니라
아주 깊은 내용을 담고 있지는 않습니다.
https://files.ucloud.com/pf/D942534_6010037_720572
Flow처리 logic이나 HA, Trouble Shooting을 위한 내용을 담았으니
Fortigate장비를 운영하시는 분은 조금이라도 도움이 될 것 같습니다.
Fortinet은 올해 신규로 Partner Ship을 맺은 Vendor인데
UTM인 Fortigate외에 Forti DDoS(과거 Intru Guard), Forti WAF등에 대해
벤더와 TFT을 구성해 테스트 중에 있습니다.
TFT를 통해 공유할 수 있는 좋은 정보를 획득한다면
Mailing해드리도록 하겠습니다.
ü Tech Tip3: Symatec SEP(Anti-Virus)에서 P2P차단 방법
Ref: https://security.health.ufl.edu/p2p/p2p.shtml/
각종 P2P프로그램의 실행파일명이 나와 있습니다.
DLP, SEP등 End-point 차단솔루션에서 활용하시면 좋을 것 같습니다.
ü Tech Tip4: Symantec DLP주민번호 탐지 패턴
Symantec DLP의 주민번호 탐지 패턴을 그대로 사용하시면
오탐이 많습니다. (Regix가 너무 단순하죠 ^^)
이럴 때 사용자 정의 Script검사기를 사용하면 좋은데
주민번호의 가장 마지막 검증 값 공식을 활용하는 방식입니다.
주민번호 검증공식은 매우 간단한데
이걸 알려도 되는 건지 모르겠네요
(개인적으로 물어보시면 알려드리겠습니다.)
아래 Script는 제가 만든 건 아니고, 파트너SE가 만들어 공유를 했는데
Logic에 문제가 없는 것 같아 공유해 드립니다.
$k1 = getIntegerAt($normalizedMatch, 0x0, 1);
$k2 = getIntegerAt($normalizedMatch, 0x1, 1);
$k3 = getIntegerAt($normalizedMatch, 0x2, 1);
$k4 = getIntegerAt($normalizedMatch, 0x3, 1);
$k5 = getIntegerAt($normalizedMatch, 0x4, 1);
$k6 = getIntegerAt($normalizedMatch, 0x5, 1);
$k7 = getIntegerAt($normalizedMatch, 0x6, 1);
$k8 = getIntegerAt($normalizedMatch, 0x7, 1);
$k9 = getIntegerAt($normalizedMatch, 0x8, 1);
$k10 = getIntegerAt($normalizedMatch, 0x9, 1);
$k11 = getIntegerAt($normalizedMatch, 0xA, 1);
$k12 = getIntegerAt($normalizedMatch, 0xB, 1);
$c1 = getIntegerAt($normalizedMatch, 0xC, 1);
$kk1 = multiply($k1, 2);
$kk2 = multiply($k2, 3);
$kk3 = multiply($k3, 4);
$kk4 = multiply($k4, 5);
$kk5 = multiply($k5, 6);
$kk6 = multiply($k6, 7);
$kk7 = multiply($k7, 8);
$kk8 = multiply($k8, 9);
$kk9 = multiply($k9, 2);
$kk10 = multiply($k10, 3);
$kk11 = multiply($k11, 4);
$kk12 = multiply($k12, 5);
$kSum = add($kk1, $kk2, $kk3, $kk4, $kk5, $kk6, $kk7, $kk8, $kk9, $kk10, $kk11, $kk12);
$iCheck = mod($kSum, 11);
$iCheck2 = sub(11, $iCheck);
assertTrue($iCheck2 == $c1);
ü[출처] 내국인 및 외국인 주민등록번호 (사용자 정의 스크립트 검사기 활용) (비공개 카페)
마지막으로
매달 두 번째 주 화요일에 업데이트 되는 MS보안패치가 나옵니다.
7월10일도 어김없이 보안 업데이트가 나왔고
HP IPS 대응 Filter는 아래와 같습니다.
Bulletin # TippingPoint Filter #
*********************************************************
MS12-043 12395
MS12-044 12433, 12434
MS12-045 12432
MS12-046 12386, 12387
MS12-050 12436, 12431, 11532
*********************************************************
지난 주에는 빗길 고속도로를 달리다가
1차선에서 과속하던 택시가 가드레일을 받고 돌아서 멈추는 바람에
큰 사고를 당할 뻔 했는데, 비가 오는 날이면
차 조심, 운전 조심해야 할 것 같습니다.
빗길 운전 조심하시고
오늘도 좋은 하루 보내세요
감사합니다.
Symantec 보안분석 Report_7월1주차.docx'고객사 뉴스레터' 카테고리의 다른 글
| [2012년 8월]보안 관제뉴스/ 벤더별 신규업데이트 / Oracle CPU 업데이스 소식 (0) | 2012.08.09 |
|---|---|
| [2012년 7월]웹 해킹공격 분석보고서 및 Apache struts2 보안업데이트 (0) | 2012.07.27 |
| [2012년 6월]6월 보안관제현황/ 보안해킹 기술 외 (0) | 2012.07.27 |
| [2012년 6월]시만텍 SEP취약점 update권고,iPhone VPN on Fortigate, 관제서비스 변경내용 (0) | 2012.07.27 |
| [2012년 5월 CISCO UCS/NX Guide, Piolink L4 Trouble Shooting guide (0) | 2012.07.27 |
