너무나도 바쁜 일정을 마치고.. 일요일을 한가롭게 보내었지만..

알고보면 12시가 넘어서 월요일임..

코드게이트 2008 행사도 끝나고 와우해커 관련된 일들도 대충 마무리가 되고

또다시 해야할것들이 매우 많지만,,,

이것또한 행복한 일이 아닌가..

그리고, 최근 계속 맥이 좀 땡겼는데, 맥관련된 정보들을 입수하며

맥 공부를 좀 하고있음.. 체스터님께서 맥북프로 급조해주심!! 땡큐 감사!!

리눅스와 비슷한 유닉스 기반이라 그런가.. 정확하게는 BSD기반이라 그런가

내가 쓰기에 너무나도 편하다. 쓸대없는 군더더기도 없고..

처음 맥을 접할때.. 키사용도 어설펐는데...

하루만에.. 기존 PC 사용하듯.. 편안하게 사용을 한다.

첫 도큐먼트도 작성해보고..

사실 맥을 쓰다보니 마우스의 사용이 별로 필요가 없어진듯싶다.

키보드와 터치패드의 약간사용으로 펑션키로만 자유자재로 사용이 가능하니

이또한 얼마나 편하던가..

화려한 화면처리...

손쉬운 연구 모드로의 전환

바로 콘솔을 사용할수도 있고

안정된 환경

대기모드에서의 아주 빠른 부팅

다양한 미디어들

멀티 테스킹의 최고봉

거기다 일명 : 간지까지..

맥에어 생길때까지 열심히.. 학습과 나의 맥모드화로 전환을.....

이번 이소연씨를 계기로 ISS와 통신을 시도해보려고 합니다.

천천히 장비도 구입해서 셋팅하고,,

인공위성 및 국제우주정거장과 통신을 시도하는

아주 어렸을때의 꿈을 실현해보려고 합니다.

천천히.. 천천히.. 실행에 옮겨봐야지요..

SAMPLE VHF/UHF HT CHANNEL SET-UP

NOTE- This list is just to show one possible way to set up your Ham HT in a logical way that will make sense while you are scrolling in the dark, looking for a frequency. The local and area repeaters are grouped, so are the receive only public safety freqencies, then the packet frequencies, space frequencies and Simplex Channels. Your needs will vary, and number of channels used,etc. I will try to keep this up to date, and updating as necessary. Good luck on your HT frequncy set-up. Greg, WB6FZH

WB6FZH- Yaesu FT-51R - 8/10/03

CHANNEL - FREQUENCY

"CALL" - 146.49 Simplex (S)

REPEATERS- MISC

Trinity Repeaters/Local/Favorites

1- 146.73R 85.4
2- 146.925R 85.4
3- 146.29R 88.5
4- 146.35R
5- 146.45R 88.5

NORTHSTATE REPEATERS

Northstate Repeaters/Redding/Eureka/etc.

6- 146.64R 88.5
7- 147.210R 103.5
8- 147.00R 103.5
9- 443.050R 110.9
10- 443.050S 110.9

PUBLIC SAFETY

Receive Only- "PS Scanner"

11- 155.115 Trinity Control
12- 154.86 TCSO
13- 154.43 WVL Fire/State
14- 151.16 CDF- WVL
15- 151.295 CDF-AIR
16- 154.92 CLEMARS
17- 171.575 USFS
18- 164.825 LOOKOUTS
19- 164.125 FIRE NET
20- USFS AIR
21- 162.55 24HR WX
22- 122.7 AIRCRAFT
23- 154.57 MURS
24- 154.60 MURS
25- 154.116 OES/state

PACKET

Digital Communications- TNC required

26- 145.050 Packet AREA RDG/EKA wb6fzh-1 PACKET
27- 144.39 APRS WIDE AREA N6RZR
28- 145.825 PacSat W3ADO-1

SPACE- International Space Station

29- ISS voice spl split 145-8 RX 144.49 TX - NA1SS
30- ISS packet spl split 145.8 RX 145.99 - RS0ISS

SIMPLEX

31- 146.49S
32- 146.52S
33- 146.55S
34- 146.73S 85.4
35- 146.925S 85.4 note-

this is first draft.. . WB6FZH 8/10/03

First Draft: August 10 , 2003

Last Updated: August 10, 2003

http://wobzip.filetap.com/

웹기반의 압축해제 서비스

별것이 다나오내..

나는 불쾌한 "해보고광고" 라는 프로그램(애드웨어)

오늘 우연히 발견한 내컴퓨터에 설치된 해보고 광고 라는 프로그램

네이버 옆에 갑자기 안보이던 광고가 보이는데, 해보고 광고 라고 글씨가 써있었다

난 저런거 설치한적이 없는데... 갑자기 보인다.

클릭을 하니

http://www.hebogo.com/slink/loc.asp?site=http://weddingline.co.kr/event/event1/index.php?code=1199<클릭금지 걍 광고임>

로 갔다가

http://weddingline.co.kr/event/event1/index.php?code=1199<클릭금지 걍 광고임>

여기로 이동이 된다.

웨딩라인이라는 해당업체에서 광고의뢰를 해서 해보고 광고라는 것으로 해서
네이버 메인에 노출이 되었다. 마치 네이버에서 광고를 하는 것 처럼 말이다.

기분이 몹시 나쁘다.

네이버와 협력제휴를 한건 아닌것 같은데....

해당 사이트는 http://www.hebogo.com/ <클릭은 안하셔도됨> 이다.

홈페이지를 보니, 플레티늄 광고 라는 메뉴에 저 내용이 있더라

"포털사이트에서 광고하는것 처럼 색다른 광고" 라고 이야기를 하고 있다.

하지만, 매우 몹시 기분이 불쾌하다. 나는 원하지 않는데.. 왜 저것이 갑자기 보이는건가

프로세스 정보를 보니


평상시 보이지 않던 부분이 보이더라

물론 나는 설치한적이 없다. 설치할 일도 없을뿐더러

역시 기분이 몹시 나쁘다.

물론 새싹에 패턴으로 Adware로 등록을 하겠지만

해당 파일의 이미지 정보를 보니

C:\Program Files\Micronames\MicronamesP.exe

여기에 설치가 되어져있다.

파일이 총 3개가 있고, 언인스톨러를 포함한다. 법적인 규제를 회피하기 위해서

언인스톨러는 넣어둔것 같다.


프로세스상에 올라온 파일을 디버거로 잠시 보니

Text strings referenced in Micronam:.text, item 1504
 Address=004162ED
 Disassembly=MOV EDX,Micronam.00407504
 Text string=UNICODE "http://www.naver.com"
등과 같이 웹주소가 naver.com 일때 이용하기 위한 naver.com 주소가 있고

대략 어떠한 내용인지 한눈에 좀 보기 쉽도록, 디버거로 스트링관련된 내용만좀
살펴보니, 역시 이놈이 내가 웹브라우저를 사용할때 웹주소 url이
naver.com나 MS와 같은 포털 사이트 일경우, 자신들의 광고로 메인페이지 옆에
교묘하게 위치하게한다.


디버거로 본 해당 프로그램의 string 값들

그리고 보다보니

포털사이트에 대한 광고 프로그램으로 동작하기 위한 내용들이 있다.
UNICODE "/config/formactive.asp?u_id="
UNICODE "&url="
UNICODE "&keyword="
UNICODE "&keyno="
UNICODE "&admin="
UNICODE "&Click=N"
UNICODE "&user_id="
UNICODE "&gubun=PORTAL"

같은 사이트로 이동이 되지만, www.goldentech.co.kr 이라는 주소도 눈에 띤다

또한, 메세지후킹에 대한 부분도 있는데, 사용하는 메세지 플래그는

WH_MSGFILTER, WH_MOUSE, WH_KEYBOARD 3가지로

각각의 내용들은 아래와 같다.
1. WH_MSGFILTER는
특정 어플리케이션에서 만들어낸것들에 대해서 메뉴, 스크롤 바, 메시지 박스, 대화상자 등에 의해 처리되는 메시지와 사용자의 Alt+Tab키, Alt+Esc키 입력에 의한 포커스 이동도 감시하는 것

2. WH_MOUSE는
마우스 메시지를 감시하는 것

3. WH_KEYBOARD는
WM_KEYDOWN, WM_KEYUP 등의 키보드 메시지를 감시하는 것

참고로, 사용자의 아이디와 패스워드등도 가로채가는 일반적인 단순 키로거들에서도
사용되는 메세지플래그들이다.

하는 내용을 대충 일반 사용자가 알기 쉽게 표현한다면,

컴퓨터 주인인 사용자가 키보드로 입력하는 내용을 이놈의 프로그램 중간에서 가로채
가서 그 내용을 변조하고, 마우스 포인트 이동등에 대한 부분도 이놈의 프로그램이
맘대로 하면서, 현재 어디에 위치해있는가 정보도 알고 클릭같은것도 맘대로 하며
윈도우에서 사용되는 메뉴나 메세지 상자 및 각종 메뉴등에서 발생하는 모든 내용(사용자에 의해서 입력된 이벤트등)을 포함하여 지맘대로 변조가 가능한 것이다.

참고로 일부 보안 프로그램등에서도 위와 같은 메시지 후킹 플래그들도 사용하지만
게임아이디나 패스워드등을 가로채가는 키로깅 프로그램에서 특히 많이 보인다.

대략적으로 간단히 정리를 한다면

이 프로그램이 설치되고 사용자가 네이버주소를 치고 들어가면 해당 웹 페이지의
html 을 미리 분석해놓은 데이터를 기반으로 네이버 사이드에 위치한 광고부분에
자신들의 광고를 위치하고, 또는 메인 한가운데에 위치하는 광고등을 내보내는
방식이다. 아이디어는 상당히 좋아보인다 ㅎㅎ 나름 사용자를 배려한다고 한것이
알트탭으로 다른 창으로 전환시에는 해당 광고는 사라짐 ~
네이버에 광고비를 지불하지 않고 좀더 저렴한 비용으로 네이버에 광고하는 효과를
낼수있으니 광고주들의 입장으로썬 많이 이용할법도 하다.

하지만, 내가 어떤 경로로 설치가 되었는지 모르겠지만, 난 상당히 불편하며
프로그램을 삭제할 예정이지만 이런 프로그램을 사용자가 원해서 일부러 설치
할 이유는 없어보이며(툴바와 같이 도움이되는 부분이라면 모를까) 순수 광고모듈
이라면 일부러 애써 리소스를 잡아가며 설치 할 이유는 없다

어쨋든 어떤경로로든 설치가 강제로 되었던 것이고, 내가 웹서핑을 할 때 눈에
상당히 거슬렸다는 것이 다른 사람들에게도 문제가 되지 않았을까 싶다.

광고 방식이나 아이디어는 상당히 좋아보인다. 하지만 먼가 다른 방식으로 동의를
받고 설치를 했었으면 어떠했을가 싶다.

참고로 "해보고광고"를 하고있는 "마이크로네임즈" 라는 회사에 대한 악감정은 전혀 없으며, 의도적으로 비방할 생각은 없다. 광고와 마켓팅을 하는 회사로서 수단과 방법을 안가리고, 자신들의 마케팅 방법으로 광고하는건 자유이지만, 나는 원하지 않고 불편하므로 매우 불쾌하여 이런 포스팅을 남겨 봅니다.

통합 엔진 검사 사이트인 바이러스 스캔을 통해서 해당 파일을 알아 본 결과는

구체적으론 아니지만, 나름 의심들은 하고있는 파일인가 보다
국내에서 많이 사용하는 엔진들은 진단을 하지 못하고 있다.

자랑은 아니고 당연한 이야기 이지만 새싹 안티바이러스는 진단을 당연히 하겠지요?
왜냐하면 포스팅하기 하루전인 어제 패턴을 등록을 하였기 때문, 현재 사용자 업데이트는
서버 이전 관계로 아직 안함, 진단명은 Win32-Adware.hebogo 해보고

업데이트 서버 이전 완료 후 적용될 예정임, 혹은 마지막 베타인 Beta3 때부터 들어갈수도
있고

윽, 잠시 포스팅중 메일을 보기위해서 네이버 접속을 했건만..

가운데 보이는 해당프로그램을 통한 광고..ㅜㅜ


네이버에서 저런 광고를 하던가? 물론 아니다. 난 저 광고 대신 뉴스 요약을 보고싶다.
물론 위 광고는 계속 나오는 것이 아니고 우측 상단에 나오는 광고가 안 나올때 가운데
부분이 나오며, 약 5초간 노출이 되고 사라지더라

아직, 삭제를 하지 않았지만, 어느 순간부터 컴퓨터 종료시 멈춤 현상이 있었는데,
이것을 삭제하고 만약 멈춤 현상이 없어지면 그 내용을 업데이트 하도록 하겠다.

두통때문에 잠이 안와서 새벽에 컴퓨터 하다가 어쩌다보니 이렇게 포스팅을 하였는데
포스팅을 하고 나니 두통이 없어져서 너무나 좋군요, 에헤라디히야~

프로세스상에서 해보고광고를 지운 후로 아주 깔끔한 네이버를 즐길수 있으며
편안한 나의 웹브라우져!!

저옆에 보라색 카메라는 원래 네이버에서 광고하는 것임 ㅎㅎ

참고) 해보고에서 제공하는 삭제 프로그램

혹은 프로그램 추가/삭제 메뉴에서도 볼수있음 <삭제를 원한다면>

MS08-014 취약점 관련된 내용

개인적으로 관심이있는 부분이므로 기록겸해서 남겨놓음.

해당 내용은 정식버전을 사용하면서 최신패치를 유지하고 쓴다면 현재로써
큰 영향은 없겠지만, 앞으로도 이러한 취약점은 계속 나올것이다.

왜냐하면, 이미 예전부터 오피스관련 코드실행 취약점은 계속나오고있으니까

굳이 길게 설명하지 않고,

엑셀 최신버전은 엑셀 2007로 확인을 해보도록 하겠다.

개인 블로그 이므로, 상세한 기술 내용 서술은 삼가하도록 하겠다.




exploit 으로 계산기 프로그램(실행가능한 exe 파일 대체용)을 엑셀 파일에 심고선
실행을 한다.

실행하면, 엑셀파일을 열면서 심어져있던 계산기 프로그램을 시작함


대략 이런 스토리 이다.

얼마전 3월 12일 긴급패치가 필요한 정보로 나온적이 있으며,

MS 제품군으로

MS08-014 엑셀
MS08-015 아웃룩
MS08-016 MS오피스군
MS08-017 MS오피스 웹 컴퍼넌트
위에 대한 취약점들이 모두 원격코드실행이므로 최신버전의 MS오피스군으로
유지하고 있어야한다.

가상시나리오)
어떤 악의적인 사용자가 excel 파일에 사람들이 보길원하는 중요한 데이터를 담아서
공유사이트에 오픈을 한다. excel 파일은 모 대기업의 연봉제공 정보와 채용시 가산점을
보여하는 정도의 내용들이라고 한다. 그럼 사람들은 그 파일을 다운받아서 내용을
보려고 실행할 것이다. 이때, 그것을 본사람들은 DDoS 에이전트와 파일 다운로더 및 루트킷 역할을 하는 파일들이 설치가 되도록 하는 downloader 프로그램을 하나 심어놓은것
이다. 엑셀파일을 오픈하면서 자신의 컴퓨터에는 이상한 프로그램들이 마구 깔리는것
방화벽이 있는 회사의 내부 시스템이라 할지라도, 익스플로러를 통한 outbound는 신뢰하는
통신으로 인지하여 안심하고 파일을 다운로드되어 사내에 정보들이 외부로 유출이 되는
사태가 발생까지 되었다.

위 내용은 가상 시나리오이지만 충분히 가능한 이야기다.

여기서 다루는 MS08-014 취약점의 경우
엑셀 2000, 2002, 2003, 2007 까지 영향을 받는 취약점이므로 반드시 패치하길 권장한다

흥미로운 해킹대회 스타일의 컨셉?

제로데이 취약점을 찾는자에게 20000달러의 상금을 주는 스타일의 해킹대회가
있다.

Cansec 컨퍼런스라는 컨퍼런스에서 하는것으로

첫번째, 순수 OS에 모든 패치를 다하고 그 시스템에 대한 취약점을 찾으면 20000달러
두번째, 첫번째 단계에 + 자체내장된 어플리케이션을 포함한 내용의 취약점을 찾으면
           10000달러 , 이때 외부의 서버등에 접속시켜서 실행되는 코드등의 취약점도
           포함이됨
세번째, 두번째까지에다가 다른 어플리케이션을 설치해서 취약점을 찾으면 5000달러
     
위와 같은 내용으로 해킹대회를 진행한다.

우리 와우해커에서도 위와 같은 스타일의 대회를 이벤트 옵션으로 개최를 해봐야겠다
하지만, 국내에서 개최했을때 과연 제로데이가 얼마나 많이 나올런지는 예측불가

해당 대회는 벤더에게 먼저 취약점과 그 해결책을 제시해야야하고, 그때까지
대외적으로 공개는 할수가 없다. 그리고 해당 시스템은 대회를 하고 수상자에게
준다고 한다.

올해는 특히 맥북에어를 이용한 사파리 자체 취약점으로 원격코드가 실행되도록
한 내용등으로 2분만에 했다라는 내용이 있는데, 이 부분은 미리 알고있는 취약점
을 들고가서 한듯싶은 생각이 없지않다.

국내 그룹에서 출전한다면, 사실 미리준비하지 않은 이상 1단계(순수 OS 자체에 최신 패치에 최신업그레이드)에서 취약점을 당일날가서 바로하기는 좀 어려울듯싶고

2단계부터는 매우 많은 취약점들을 찾아낼것같다. 추후 와우해커에서 cansec 2009에
한번 나가서 stage2~ stage3를 공략해보는 기회를 마련하는 것도 좋은 그림이
될 것 같다.

위 대회를 위해서는 사전에 준비도 물론 필요하고, 제로데이 취약점을 찾는 부분이므로
상당한 집중과 노력이 필요할듯..

지금 하는 워게임스타일의 해킹대회도 어렵고, 데프콘에서도 워게임스타일로 진행을
한다. 하지만 cansec 과 같은 대회도 신선한 소재가 되며 즐거움을 선사하지 않을까
싶다.

cansec 2008 , 한국에서도 기필코 저런 스타일의 해킹 이벤트를 만드리라.


관련기사 :

http://www.hankyung.com/news/app/newsview.php?aid=2008033057891

항상.. 소잃고 외양간 고친다 라는 말을 자주 듣는데

나에게도 저말이 적용되는 날이 어제 오늘이 아닌가 싶다.

리눅스 시스템,, 리눅스 서버..

그냥 관리만하고 잘돌아간다고 해서 방치해두고, 신경을 쓰지 않았다.

하드디스크 파티션이 깨져서,, 더이상 사용이 불가능하다.

이런저런 방법으로 복구를 시도해보고 했지만, 문제가 발생하고 이미 하루를

지나가고 있다.

좀더 멋잇고, 좀더 낳은 신규 사이트를 구축해서 저번달까지 데이터 백업을

받아놓은 자료를 이용해서 어느정도 복구만 하고 다시 사이트를 운영해야겠다.

아... 매주 매주 라도 백업을 받도록.. 체계를 구축해야할듯..

어느날 갑자기 설치된 nonfm.exe

파일을 좀 살펴보니

uid와 partner 값으로 제휴된 쇼핑사이트에 대한 파트너 ID를 통하여
수익을 얻는 리워드프로그램이다.
정상적으로 보이는 툴바와 달리 후킹 프로그램 하나로 돌아가는 것으로
보인다.

count_80/active.php 로 활성화되어져있는 시스템들을 얼마나 되는지
알도록 한번씩 돌아가는 것이다.

사용자가 입력한 정보를 바탕으로

select * fro SEARCHSITE where SITE='%s' 로 자신들의 DB에 있는 정보를
검색 후 사용자 브라우저로 결과를 자신들 위주로해서 뿌려준다.

해당 배포 회사의 주소는 www.savere.co.kr

해당 프로그램의 메인 제휴사는
clickstory, interich, ilikeclick, linkprice 로 파악이 된다. 파일 내부 참조

키워드 관련된 내용은
http://www.savere.co.kr/keyword/keyword_list_20071212.php 로 받아와서

아래 주소를 사용한다.
http://search.daum.net/cgi-bin/nsp/search.cgi?auth_code=102199&q=
라는 결과 값을 받아와서 다음의 검색 결과를 보여준다.

auth_code가 아마 저 회사의 제휴 파트너 코드일 듯 싶고, q=는 검색어 쿼리 변수
로 생각이 된다. 포털사이트의 검색 결과로 무엇을 하는듯..

해당 프로그램 파일은 nonfm.exe 이며, 프로세스상에서 삭제를 하면 다시 살아나서
올라온다.

제거는 시작->제어판->프로그램추가제거->savere Uninstall 이라는거 제거하시면
제거가 된다고 되어져있음


졸려서 가볍게 정리.. ㅜㅜ

새싹에 DB로 업데이트 할 예정임