$ sudo vi /usr/local/lib/python2.7/dist-packages/sphinx/writers/html.py

Line 200~

    # overwritten
    def visit_reference(self, node):
        atts = {'class': 'reference'}
   +    isExternal = False
        if node.get('internal') or 'refuri' not in node:
            atts['class'] += ' internal'
        else:
            atts['class'] += ' external'
   +        isExternal = True
        if 'refuri' in node:
            atts['href'] = node['refuri']
   +        if isExternal:
   +            atts['target'] = '"_blank"'
            if self.settings.cloak_email_addresses and \
               atts['href'].startswith('mailto:'):
                atts['href'] = self.cloak_mailto(atts['href'])
                self.in_mailto = 1

맥북 프로에 들어있던 메모리 판매합니다.

맥북 구입일은 2011년 6월이구요.

2GB / DDR3 입니다. :)

--------

안 팔려서 나눔했습니다.ㅋ

2013.07.13.

[원문] Dark South Korea and Discovered PuTTY Tools Behaviours by Zemanta

ERIC ROMANG BLOG에 공개된 글에서 Dark South Korea라는 표현을 쓰고 있습니다. 이 말이 무슨 의미인지 몰라서 검색을 해 봤는데 이와 관련된 글은 없더라구요. 제가 생각하기로는 이번 2013년 3월 20일 사태를 표현하여 어두운 한국이라는 표현을 쓰지 않았나...라는 추측을 해 봅니다. 아무튼 3.20 사태에 사용된 드롭퍼(Dropper) 중 하나를 분석한 내용인 듯 합니다. 자세한 내용을 보기 전에 간단하게 관련 정보를 살펴보면 좋을 것 같습니다.

alg.exe (Application Layer Gateway Service)

윈도우 작업관리자를 실행하면 볼 수 있는 정체모를 프로세스입니다. 이 프로세스는 인터넷 연결 공유 및 윈도우 방화벽에 대한 타사의 프로토콜 플러그인을 지원할 수 있도록 하는 윈도우 서비스입니다[1]. alg.exe는 대부분 보안과 관련된 프로세스입니다. FTP나 RTSP와 같은 응용프로그램들이 클라이언트 컴퓨터에서 서버의 알려진 포트와 통신을 할 때, 수동 TCP/UDP 포트를 동적으로 사용가능 하도록 도와주는 역할을 합니다. 그리고 한 컴퓨터의 소프트웨어가 방화벽이 존재할 수도 있는 다른 컴퓨터에 존재하는 응용프로그램에 접근할 수 있도록 해줍니다.

만일 어떤 이유로 alg.exe 프로세스가 동작하지 않는다면, 보안 프로토콜은 통신 포트를 막아버리거나 네트워크 상에서 고의적으로 방화벽을 해꼬지 할 수 있어, 잠재적인 보안 상의 문제를 야기시킬 수 있습니다. 윈도우 방화벽을 사용하지 않도록 설정한다면 alg.exe 프로세스는 실행되지 않을 것입니다. 하지만 보안상 alg.exe는 활성화 되어있는 것이 좋으며, 의도적으로 끄지 않는 것을 권장합니다[2].

conime.exe (Console Input Method Editor)

conime.exe는 콘솔에서 입력할 때 사용되는 프로세스입니다. 마이크로소프트 윈도우 운영체제의 한 부분으로서 주로 아시아 계열의 언어를 콘솔에 입력할 때 사용됩니다. 윈도우에서 cmd.exe를 실행시키고 한글을 입력하면 conime.exe 프로세스가 실행하게 되는 것을 볼 수 있습니다. 문제는 콘솔 입력 창을 종료하여도 conime.exe가 실행된 채로 존재하는 경우가 있다는 것입니다. 즉, 쓸모 없는 프로세스가 지속적으로 실행이 되고, 이로 인해 보안 상의 문제가 발생할 수도 있다는 것입니다. 물론 큰 문제가 발생하는 경우는 드물지만, 불필요하게 실행되어 있는 conime.exe 프로세스는 종료해 주는 것이 좋습니다[3].

------------------------------

Dark South Korea 드롭퍼(Dropper) 중 하나를 분석하던 중 “%TMP%” 윈도우 폴더에 설치된 PuTTY 바이너리와 관련된 흥미로운 행위를 발견하였다. 이러한 행위들은 예상으로써 여겨질 수도 있지만, 나중에는 보다 효율적으로 사용될 수 있다.

설치된 두 개의 바이너리는 “alg.exe”와 “conime.exe”이고, mRemote와 SecureCRT의 설정파일에서 발견된 *NIX를 대상으로 “~pr1.tmp” 배쉬(bash) 파일을 업로드 하는데 사용된다.

“alg.exe”는 PuTTY 백엔드(back-end)에서 커맨드라인 인터페이스로써 동작하는 PuTTY 도구인 “plink.exe”이고, "conime.exe"는 커맨드라인의 안전한 파일 복사를 위한 SCP 클라이언트로써 동작하는 PuTTY 도구인 "pscp.exe"이다. 이 두 개의 바이너리는 정상으로서 악성코드와 관계된 그 어떠한 것도 포함하지 않으며, 단지 악성코드를 돕는 도구로 사용된다.

만약 mRemote가 설치되었다면, 드롭퍼는 “confCons.xml” 설정 파일에서 모든 필요한 정보(자격 증명, 포트, IP/도메인)를 추출하고, 저장된 패스워드를 복호화하기 위해 mRemote의 암호화 취약점을 이용한다. 취약점 공격 이후에 “conime.exe”는 대상 서버에 배쉬 파일을 드롭하는데 사용된다.

또한 만약 최신 SecureCRT 버전이 설치되었다면, 드롭퍼는 “*.ini” 설정 파일에 존재하는 모든 필요한 정보(자격 증명, 포트, IP/도메인)를 추출한다. SecureCRT에 저장된 각각의 커넥션은 “*.ini”를 사용한다. 이는 저장된 패스워드를 복호화하기 위해 알려지지 않은 취약점이 이전 SecureCRT 버전에 존재했던 것 같다. 그러나 최신 SecureCRT 버전에는 해당 취약점이 존재하지 않는 것 같다. 따라서 “conime.exe”가 대상 서버에 접속을 시도할 때 잘못된 암호로 인해 인증에 실패하게 된다.

SecureCRT의 잠재적인 취약점을 연구하는 동안, PuTTY 소프트웨어의 “HKCU\Software\SimonTatham\PuTTY\Sessions”와 “HKCU\Software\SimonTatham\PuTTY\SshHostKeys“ 레지스트리 키에 접근하는 ”conime.exe“에 관심을 가졌다.

대부분의 시스템 관리자와 같이 PuTTY를 설치하고, 또한 SecureCRT 소프트웨어에 기록된 잠재적인 서버에 해당하는 엔트리를 생성하였다.

그리고 드롭퍼를 한 번 더 실행하였다. “conim.exe”는 예상대로 대상 서버와 관련된 “HKCU\Software\SimonTatham\PuTTY\Sessions\192.168.178.54“ PuTTY 레지스트리 키에 접근하는 것을 확인할 수 있었다. 그리고 드롭퍼 인증 시험은 잘못된 패스워드 때문에 여전히 실패하였다.

그러나 “conime.exe”가 PuTTY의 또 다른 레지스트리 키인 “HKCU\Software\SimonTatham\PuTTY\SshHostKeys\rsa2@22:192.168.178.54“에 접근하는 것을 발견하였다. 

그래서 개인키와 공개 SSH 키를 생성하고, 이 SSH 개인키 인증을 지원하기 위해 putty 세션을 다시 설정하였다. 그리고 이 개인키는 암호에 의해 보호되지 않는다.

드롭퍼를 한 번 더 실행하자 대상 서버에서 성공적으로 인증한 것을 볼 수 있었다. 즉, “conime.exe”는 PuTTY 레지스트리 키에 존재하는 개인키를 사용한 것이다.

마지막 테스트로는 PuTTY 설정에서 개인키를 제거하고, PuTTY에 대한 SSH 인증 에이전트인 “pagent.exe”와 PSCP, PSFTP, Plink를 사용하였다. “pagent.exe”에서 개인키를 로드하고, 드롭퍼를 한 번 더 실행하였다. 그 결과 이전과 동일하게 대상 서버에서 성공적으로 인증되는 결과를 얻을 수 있었다.

결론(Conclusions)

1. mRemote와 SecureCRT에 관련된 취약점으로 Dark South Korea 드롭퍼 중 하나를 분석함으로써, “나쁜X”들이 *NIX 서버를 감염시키기 위해 오래된 소프트웨어의 기존 취약점을 이용한다는 것을 알 수 있었다. 이 기존 취약점을 사용하는 이유는 개인키가 사용된 경우에 단순히 PuTTY를 대상으로 수행 할 수 있기 때문이다.
   
   
2. 암호없이 개인키를 생성할 수 없다.
   
   
3. PuTTY Pagent는 개인키를 이용하여 실행하지 말자!

아담 그랜트(Adam Grant, 31)는 와튼 경영대학원의 최연소 정교수입니다. 그는 자신의 전공 분야인 조직심리학에서 가장 많은 연구를 쏟아내는 학자 중 한 명이기도 합니다. 3년만에 박사를 마치고 와튼에서 7년째 가르치고 있는 그의 일과는 마라톤과 같습니다. 4시간 반이 넘는 학생 면담 시간(Office Hour)를 통해 학생들의 고민을 듣고 진로에 관한 조언을 해주며 하루 수백 통씩 쏟아지는 이메일에 답을 하고 동료들의 논문을 꼼꼼하게 읽고 피드백을 줍니다. 교수들에게 주어지는 상이 있으면 항상 동료들을 추천하고 매년 100개가 넘은 추천서를 씁니다. 많은 사람들은 그랜트가 이렇게 많은 사람들을 도우면서도 어떻게 그 많은 논문들을 출판하는지, 어떻게 효율적이고 생산적으로 자신의 커리어를 관리하는지에 놀라움을 표합니다.

그랜트 교수에게 “도움이 되는 것(Helpfulness)”은 신조입니다. 그는 다른 사람을 돕는 것을 비생산적이라고 생각하지 않습니다. 오히려 다른 사람을 도와주는 것이 생산성과 창의력을 높일 수 있다고 믿습니다. 그는 동기부여의 잘 알려지지 않은 원천이 바로 다른 사람을 돕고 있다는 기분이라는 점을 강조합니다. 그는 300개 이메일에 답을 하면서 자신의 답장이 이 사람에게 어떻게 도움을 줄 것인지에 대해 생각합니다. 따라서 이메일에 답장을 쓰는 건 내가 원래 해야 할 일을 못하게 방해하는 시간낭비가 아닙니다. 오히려 내가 다른 사람들에게 도움을 주고 있다고 생각하는 것은 지금 하고 있는 일에 대해서 만족감을 높이고, 다른 사람들로부터 받는 감사 인사는 훌륭한 동기 부여가 됩니다.

그를 유명하게 만든 실험 결과 중 하나는 병원에서 손을 씻는 장소에 두 가지 다른 간판을 걸어두고 의사와 간호사들이 어떻게 반응하는지 살펴본 것이었습니다. 하나는 “손을 깨끗이 씻는 것은 당신이 질병에 걸리는 것을 예방합니다 (Hand hygiene prevents you from catching desease)”였고 다른 하나는 “손을 깨끗이 씻는 것은 환자들이 질병에 걸리는 것을 예방합니다 (Hand hygiene prevents patients from catching desease)”였습니다. 그랜트 교수는 두 세면대에서 비누가 사용되는 양을 측정했습니다. 환자를 언급한 간판이 걸린 곳에서 비누 사용량이 45%나 높았습니다.

최근 출간된 그의 책 ‘주고 받기(Give and Take)’에서 그는 세상을 세 분류의 사람으로 분류하고 있습니다: 주는 사람(giver), 상황에 따라 주고 받는 사람(matchers), 받는 사람(takers). 주는 사람은 당장의 이득을 기대하지 않습니다. 늘 다른 사람을 도우려고 하고 다른 사람과 성과를 나누려고 합니다. 상황에 따라 주고 받는 사람은 이득이 된다고 느낄 때만 다른 사람을 돕습니다. 그리고 받는 사람은 주로 도움을 받으려고만 하는 사람들입니다. 그랜트 교수는 책에서 주는 사람을 두 종류로 나눕니다. 다른 사람들에게 이용만 당하는 타입과 성공적인 성취를 이루는 타입으로 나눈 뒤 가장 성공적인 주는 사람 타입은 도움을 줄 때 전략적으로 주는 사람들임을 강조합니다. 즉 도움을 받기만 하는 사람에게 도움을 주기 보다는 자신과 비슷한 ‘주는 사람’ 타입이나 상황에 따라 ‘주고 받는 사람’에게 도움을 줘서 자신들의 도움이 갖는 효용을 극대화합니다. 또 이들은 도움을 줌으로써 자신들의 사회적 관계를 강화시키고, 도움을 줄 때 확실히 줍니다. 확실한 도움이 도움을 주는 것의 효과를 훨씬 높이기 때문입니다. 그는 이 이론을 자신의 삶에도 적용하고 있습니다. 학생들을 만나는 면담 시간을 짧은 시간 여러 번으로 나눠놓지 않고 한 번에 4시간 반으로 해 둔 것은 이 때문입니다. (NYT)

원문보기

출처: http://newspeppermint.com/2013/03/31/giving-the-secret-to-getting-ahead/

가장 잘 알려진 익스플로잇(exploit) 데이터베이스 웹사이트 중 하나인 Inj3ct0r(1337day.com)가 어떤 해커 그룹에 의해 해킹 당했습니다. 해커는 해당 페이지에서 자신들을 SQL_Master와 Z0mbi3_Ma라고 밝혔습니다. Inj3ct0r의 원래 웹사이트인 http://1337day.com에서는 잘 동작하지만, http://www.1337day.com과 같은 www 하위 도메인에서는 DNS 포이즈닝 공격으로 인해 몇 시간동안 해커에 의해 훼손되었습니다. 프랑스어로 작성된 메시지와 번역된 텍스트는 다음과 같이 작성되어 있습니다.

"Hello all! Today 1337day hacked! not just for fun or laughing, sombody goal from ur team thinks he's the best hacker in the world. u are safe :) security of ur?? and u Believes no one can hack ur primary domain (1337day.com) and somebody thinks u are the hero :) beens now u are fucked by us, so please do not say bullshit again ;).“

“모두들 안녕하세요! 오늘 1337day가 해킹되었습니다. 이것은 단지 재미나 웃음을 위해서가 아닙니다. 누군가는 세계 최고의 해커라고 생각하는 당신의 팀이 목표입니다. 당신은 안전해요. :) 당신의 보안?? 당신은 어느 누구도 메인 도메인(1337dady.com)을 해킹할 수 없을 거라고 믿고 있습니다. 그리고 누군가는 당신이 영웅이라고 생각해요. 그러나 당신은 지금 우리들한테 X을 먹었지요. 그래서 앞으로 다시는 헛소리하지 말기를 부탁합니다. ;)”

지금 웹 사이트는 복구되었지만, 위의 그림과 같이 훼손된 페이지에 대한 스크린샷은 남아있습니다.

출처: http://news.thehackernews.com/exploit-database-website-inj3ct0r-defaced