꿈 꾸는 사람

제목 : 바보빅터

지은이 : 호아킴 데 포사다 레이먼드조

출판사 : 한국경제신문

reading note

아무리 뛰어난 재능을 지닌 사람도 자신을 과소평가하면 재능을 펼치지 못합니다. '남의 재능을 부러워하지 말고, 자기가 가진 재능을 발견하라. 당신의 가치는 당신 자신이 만드는 틀에 결정된다.' 해보지도 않고 절대 자신의 능력을 재단하지 마십시오. 자신을 믿으십시오. 스스로를 위대한 존재라고 생각하십시오. 그러면 행동도 위대하게 변할 것입니다.

아무리 소박한 상상이라도 그걸 현실로 만들면 세상을 다 가진 것 같은 기분이 들어. 그런 경험이 많아지면 더 큰 상상도 실현할 수 있다고 믿게 돼. 커다란 상상을 현실로 만들기 위해 노력하다보면 어느 순간 자신이 발전했다는게 느껴져. 나는 그게 즐겁고 행복해.

마시멜로 이야기 작가인 분이 쓰신 글로 어렵지 않게 이야기를 풀어갔다. 2016년 11월 현재, 32살인 나는 내 자신을 믿지 못하는 바보 빅터와 같이 살아가고 있음을 알게 되었고, 로라와 같은 삶을 살아가고 있다는 것을 깨닫게 되었다. 항상 나는 내 스스로를 과소평가하고, 자신감이 부족한 생활을 계속하고 있다. 이 책을 통해 지난 내 삶을 잠시 돌아보게 되었고, 자신을 믿는 나를 꿈꾸게 해주었다.

오랜만에 malwr.com에서 1.exe, 악성코드가 흔히 사용할 것으로 추정되는 파일을 다운 받아 단순 실행만 해본 결과 파밍 서버의 DNS로 www.naver.com.kio를 사용하는 것으로 확인되었다. 아마 이건 변종일테고, www.naver.com.[임의의 숫자 혹은 공격자 의도에 따른 문자열] 형태가 되지 않을까 생각이 들었다.

snort : alert tcp any any -> any 80 (msg:"Possible Malicious Pharming Host"; flow:to_server; content:"Host: www.naver.com.kio"; sid:0;)

md5 : 746267eb8efade353b0c82e6d62e5d4b

출처 : malwr.com

교육 중 심심해서 악성 코드 유포 중 특이한 것이 있나 한 번 살펴보았다.

45.32.40.87 (JP)를 통한 악성 코드 유포가 8월 중순 경부터 유포가 되는 것으로 확인이 되고 있나보다.

관련 도메인으로는 딱봐도 악성으로 보이는 dd0s3r.zapto.org이다. zapto.org는 무료 DDNS 서비를 운영하는 사이트로 악성 코드 제작자, 특히 백도어 악성 코드가 주로 사용하는 웹 사이트이다. 또한 도메인 이름을 딱 보면, dd0s... ddos?를 떠올릴 수 있는 영문자가 도메인 이름에 포함되어 있다.

[virustotal 참고]

해당 악성코드 자체 특징으로는 음, 특이한 섹션 이름이 존재한다는 것 (1H8CPPWK)

하나의 악성코드의 섹션 이름만으로 특정 악성 코드 그룹을 찾거나 추측하는 것은 어려울 수 있으나 이것이 쌓이고 쌓이다보면 쓸만한 데이터가 될 수가 있다.

[virustotal 참고]

파일 자체 속성 값을 봐보자, 한국어 및 KaKao 회사를 확실하게 입력하여 파일을 제작하여 의심을 없앨 수 있도록 한 것을 확인할 수 있다.

[Virsutotal 참고]

Skype는 영문으로 제작되어 있다고 되어 있음.

실제로 분석 및 확인하고 싶으나 분석 환경이 되지 못해 아쉽다.

일반 사용자들이 많이 사용하는 특정 업체에서 제작된 파일로 위장한 악성 코드이니 만큼 정보 탈취 및 모니터링/제어 등의 행위를 하지 않을까 우려된다.

KaKaoTalk.zip

보안 관리자로서 할 수 있는 것은 우선 45.32.40.87 유포지가 8월 중순부터 9월 초까지 지속적으로 이용되고 있는 바, 블랙리스트로 관리할 수 있는 방안을 고려해봐야할 듯 하며, zapto.org 등 무료 DDNS 서비스와 주기적인 통신을 맺는 호스트 관리가 필요할 것으로 보인다. 또한, kakaotalk.exe, skype.exe 등 정상 서비스로 알려진 인기 있는 프로그램들은 가능한한 정상 경로로 다운로드 받는 경우를 제외하고는 차단 혹은 알람을 할 수 있는 건 어떨까 생각이 된다. (snort라든지..)