2사분기에서 가장 놀랄만한 사건은 6월 말경에 나타난 PDF 스팸의 출현입니다. 이 PDF 스팸은 스팸 메일의 새로운 지평을 여는 것으로 악평을 받고 있으며 이 보고서를 통해 스팸 기술, 봇넷의 성장 및 복합 위협 등을 좀더 자세하게 언급할 것입니다.

PDF 스팸

기존 이미지 기반의 스팸의 대를 이은 차세대 스팸 기술로 인정받은 PDF 스팸은 Adobe사가 개발한 아크로뱃의 저장 방식(PDF)을 이용한 것으로 현재까지의 안티 스팸 기술을 손쉽게 뚫고 들어 옵니다. 지난 주 CommTouch 진단 센터에서는 24시간 동안 스팸 중 약 10-15%의 스팸이 PDF 스팸인 것으로 분류하였습니다. 하지만 그보다는 일반적인 스팸 메시지보다 대략 4배 이상 그 크기가 크기 때문에 스팸 트래픽을 기준으로 볼 때에는 약 30-40% 정도를 차지합니다.
PDF 문서는 널리 이용되므로 PDF 스팸에서 첨부 파일로 저장된 PDF 문서를 아무런 어려움 없이 열어 볼 수 있습니다. 첨부파일에는 PDF 문서뿐만 아니라 .exe 파일도 포함시켜 복합적인 위협이 될 수 있습니다.

PDF 스팸의 주요 특징은 다음과 같습니다.

  • 이미지 기반의 스팸과 마찬가지로 랜덤화한 컨텐트를 보여 줍니다. 즉, 글자와 배경색들을 랜덤하게 변경하여 CAPCHA와 같은 글자 인식 기술(OCR)을 속입니다

  • 전문가의 손길이 느껴지는 디자인을 가지고 있어 인터넷 사업에 적합합니다. 하지만, 메시지는 정력 제품과 주식에 관련된 내용이 주류입니다.


  • 메시지의 첨부 파일에 PDF 파일과 바이러스를 넣어 복합적인 위협을 줍니다. 메시지에 포함된 링크는 악성 프로그램을 포함하는 사이트를 방문하도록 유도합니다.

 


봇넷의 성장 및 복합 위협

지난 해부터 대규모의 봇넷이 생겨나면서 2007년도 2사분기까지도 꾸준이 증가하고 있습니다. 이러한 예 중 하나가 바로 PDF 스팸입니다. 봇넷에 감염된 봇 PC에서 PDF 스팸을 보내는 것으로 확인되었습니다. 봇넷은 이제 공공의 적(!)으로 간주되고 있고 이러한 봇넷과 싸우기 위해 다양한 효과적인 도구 및 방법을 연구 제시되고 있습니다. 하지만, 기존의 방법 대표적인 방법으로는 RBL(Real-time Black List)과 같은 기본의 방법으로는 이러한 봇넷에 효과적인 대응을 할 수 없습니다. 즉, 일반 사용자들도 모두 인터넷을 사용하기 때문에 사설 또는 공인 IP를 가지게 되지만 이 IP들은 대부분 유동적입니다. 따라서, 유동적인 IP를 데이터베이스화한다는 것은 거의 쓸모가 없다게 됩니다. 봇넷을 관리하는 운영자들은 이러한 약점을 이용하여 개인 PC로 꾸준히 악성코드를 배포하여 봇넷의 일원으로 동작하게 유도합니다. 조사에 따르면 2007년도 2사분기에는 하루에 약 343,000 대의 PC가 사용자도 모르게 봇넷의 일원으로 등록되는 것으로 나타났습니다.

2007년 중반쯤에는 모든 인터넷 위협 중에서 봇넷의 위협이 가장 많아 질 것으로 예상되고 있습니다. 봇넷은 2006년 하반기에 기본적인 발판을 구축하였으며 스팸 이메일을 발송하여 이를 통해 개인 PC를 봇에 감염시키면서 봇넷을 더욱 더 확장시켜 오고 있습니다. 이제 봇넷은 충분한 위력을 발휘하고 있으며 이메일을 통해 스팸과 바이러스를 함께 발송하는 복합적 이메일 공격을 취하고 있습니다. 사실 이메일은 악성 프로그램을 전파하는데 가장 효과적이면서도 대중적인 방법입니다. 최근 연구 결과에 따르면 악성 프로그램의 감염 경로 중에 약 23% 정도가 이메일을 통해 감염된다고 합니다. 또한 스팸을 발송하는 봇 또한 60%정도 차지합니다.

 

봇넷에서 보내는 이메일에 감염된 PC에서는 비밀번호, 개인 신용, 은행 정보와 같은 정보를 훔치거나, 이메일 주소 수집, 분산 서비스 거부 공격(DDos Attack) 등 다양한 위협적인 활동을 수행하게 됩니다. 봇넷은 모든 유형의 위협 활동을 지휘할 수 있는 만큼 강력해 졌지만, 이를 막기 위한 노력은 더욱더 힘들어 집니다. 전통적인 대응 방법으로는 이러한 봇넷 전략에 발빠르게 대응할 수 없기 때문에 보다 복합적인 보안 방법이 요구되고 있습니다.

결론 – 이메일 위협은 새로운 대응방안으로는 완벽한 보안 솔류션이 필수적

거대한 봇넷은 이제 인터넷을 스팸으로 넘쳐나게 하는 원이이 되고 있으며 스팸을 통해 더욱더 성장하고 있습니다. 현실적으로는 스팸, 이메일 내부에 숨겨져서 감염되는 악성 프로그램, 봇에 감염된 PC의 IP에서 연결하는 SMTP 세션 차단 등의 완벽한 이메일 보호가 필요합니다. 하론 SX 장비에서 제공하는 UTM 기능을 통해 이러한 이메일 위협을 차단할 수 있습니다.

감사합니다.

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

Microsoft IIS, Microsoft Windows Firewall, Microsoft .NET 프레임워크를 사용하는 호스트에 영향을 주는 취약성이 발견되었습니다.

세부내용 :

Microsoft 보안 게시판 MS07-041:
Microsoft 인터넷 정보 서비스(IIS)에 취약성이 있는 코드를 공격자가 실행하도록 하는 프로그램 오류가 포함되어 있습니다. 이 문제는 URL 처리시에 발생하며 잘못된 형식의 요청이 Null 포인터를 발생시키는 원인이 되어 사용자가 운영하는 서비스의 문맥에서 어떤 코드를 실행시키도록 할 수 있습니다.

이외에 MS07-40(.NET 프레임워크)과 MS07-038(윈도우 방화벽) 취약성 정보가 포함되어 있습니다.

권고:

저세한 사항은 스놋트 홈페이지 http://www.snort.org/vrt/advisories/vrt-rules-2007-07-10.html 에서 확인해 볼 수 있으며 스놋트 규칙은 2007년 7월 9일자 http://www.snort.org/pub-bin/downloads.cgi  에서 다운로드 받아 업데이트하시기 바랍니다.

하론 방화벽의 침탐에서 역시 스놋트 규칙을 사용하기 때문에 이 규칙을 하론 장비에서 업데이트하시기 바랍니다.

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

SX-50 UTM 스팸차단 솔루션으로 스팸메일 차단하기

사용자 삽입 이미지
SX-50의 UTM(통합위협관리) 기능을 통해 스팸메일 차단 솔루션을 도입하면 시스템으로 침투하는 1)스팸메일은 물론 2)바이러스 메일, 3)피싱메일을 일거에 차단할 수 있습니다.

SX-50 UTM 장비는 본래 통합방화벽으로서 방화벽과 VPN, 침입탐지(스노트) 기능을 수행하지만 스팸이나 바이러스 메일을 차단하기 위한 스팸메일 차단 솔루션으로서의 UTM 어플라이언스 장비로 한번에 보안기능을 모두 사용할 수 있어 그 효과가 사뭇 기대됩니다.

시스템 구성

SX-50 UTM 장비의 설치는 메일서버 앞단에 설치하여 랜케이블을 WAN에 바로 접속하고 여기서 메일서버 쪽으로 크로스케이블을 연결하여 메일서버 보호 역할을 하도록 설치하거나 중간에 스위치를 통해 사설IP로 메일서버를 방화벽 내부단으로 구성하여 설치할 수 있습니다.

DNS서버에서 MX레코드를 UTM 장비의 고정IP로 등록하고 SX-50 장비에서 메일서버를 지정하는 형태로 설정하면 간단하게 스팸차단 솔루션으로 바로 사용할 수 있습니다. 또한 침입탐지 기능을 통해 최근 폭발적으로 발생하는 해킹을 방지할 수 있도록 사용할 수 있어 시스템 운영의 가용성을 최대한 높일 수 있게 됩니다.

SX-50 장비는 하드웨어 어플라이언스 방화벽 장비이기 때문에 윈도우나 리눅스 서버에 설치하는 다른 스팸차단 솔루션보다도 보안성과 성능에서 더욱 우수할 뿐아니라 사용자가 쉽게 도입할 수 있는 매우 합리적인 가격으로 제공됩니다.


화면 샘플 및 리포트

사용자 삽입 이미지
좌측의 이미지는 UTM 장비로 얼마만큼의 메일이 수신되었고 얼마만큼이 스팸메일로 분류되었는지를 나타내 줍니다.

한눈에 볼 수 있는 직관적인 분석결과를 보여주므로서 효용성을 바로 쉽게 확인할 수 있습니다.

다만 아쉬운 점이 있다면 다른 고가의 스팸차단 솔루션이 갖고 있는 보고서 기능이 따로 준비되어 있지 않다는 것입니다. 하지만 syslog를 통해 보고서의 기본이 되는 로그를 실시간으로 저장시킬 수 있습니다.

사용자 삽입 이미지
우측 그림은 그래프로 스팸검출 현황을 모니터링 할 수 있는 실시간 그래프입니다.


사용자 삽입 이미지

좌측 이미지는 UTM 장비에서 스팸을 분류하고 이에 대한 결과를 리포트 메일로 보내주기 위한 화면입니다.











스팸메일 차단 결과

사용자 삽입 이미지


본 화면은 스팸으로 분류한 결과에 대해 일정간격으로 담당자 메일로 보고서 메일을 보내준 화면입니다. 메일을 보낸사람과 시각, 분류상태, 결과를 담고있습니다.


사용자 삽입 이미지

좌측 이미지는 위의 그림을 확대한 것으로 메일 발송자와 UTM의 어떤 프로세스를 통해 스켄되었는지를 보여줍니다.













사용자 삽입 이미지
이 이미지 역시 위의 이미지와 함께 표시되는 것으로 해당 메일이 스팸인지 아닌지의 결과를 보여줍니다.




















SX-50 스팸차단 UTM 장비는 스팸을 검출해 내면 UTM 장비단에서 스팸을 차단하는 방식을 사용하지 않고 메일의 헤더에 커스텀헤더를 추가하고 제목에 스팸여부인지만을 태그로 붙여 메일서버로 라우팅하도록 하는 태그방식의 스팸차단 솔루션입니다.

따라서 실제 메일서버단에서 제목에 특정 태그가 붙여 들어온 메일에 대해 스팸폴더로 저장하거나 차단하도록 설정하여야 합니다. 이런 기능이 없는 메일서버라면 사용자가 자신의 메일 클라이언트, 즉 아웃룩 등에서 메일규칙을 만들어 스팸편지함 등에 저장하도록 간단히 설정하면 됩니다.

저희가 운영해본 결과로는 스팸인식율 자체가 다른 솔루션에 비해 낮지 않으며 스팸으로 잘못분류하는 오인율이 극히 작다는 것이 큰 장점일 것입니다.

우리회사에 맞는 UTM 장비의 모델은?

스팸메일 차단을 고려하고 계시다면 메일서버와 상관없이 SX-50을 고려해 보십시오. SX UTM 장비는 SX-50, SX-101, SX-200으로 구분되며 UTM장비로 사용할 경우 사용자수와는 관계없지만 직원이 100명 정도라면 SX-50을 2~300명인 경우는 SX-101을, 그이상의 대기업이라면 SX-200 장비를 사용하시면 됩니다.

SX 스팸차단 장비의 판매형태는 판매와 임대로 나뉠 수 있지만 현재는 판매방식만 사용하고 1년 이후에는 업데이트 구매를 하셔야 합니다. 1년이 지나면 장비자체의 업데이트, UTM 업데이트를 위해 갱신구매가 필요합니다. 갱신구매를 하지 않는 경우 UTM 기능이 중지됩니다.


가격문의 및 구매상담

SX-50이나 SX-101 스팸차단솔루션 도입에 관한 문의는 아래 연락처를 통해 문의하여 주십시오.
기존 고객사의 경우 데모 장비를 통해 충분히 테스트해 볼 수 있도록 넉넉한 기간을 드립니다. 따라서 성능과 효과를 테스트해 보시고 구매를 결정하시기 바랍니다.
제품의 견적은 별도로 요청하여 주십시오.

  • 연락처 : 02)3486-9220
  • 제품소개 : http://www.halonsecurity.co.kr



블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

UTM를 사용하여 스팸메일을 걸러내기


UTM
메일 시스템은 모든 메일에 Halon-UTM-Scan 태그를 붙여 메일의 헤더를 추가하고 이 헤더는 메일을 분류한 정보를 담고 있습니다. Scan-Prefix를 설정하면 메일 서버나 메일 클라이언트에서 사용자 규칙(필터)을 만들어야 합니다. 아래 예제에는 POP3 필터링을 위한 특정 헤더를 표시하였습니다. SMTP 프록시 서버를 사용하여 메일을 검사하려고 하면, 필터에 포함되는 서비스 대신에 반드시 끝에 “/SMTP”를 사용하여야 합니다.


어떻게 해서든지 "Passed" 로 표시된 메일들은 일단은 가능한 빨리 메일을 읽어보셔야 합니다. 이들은 귀하의 메일박스로 바로 디렉션되어집니다. “Not-Scanned”라는 하위 분류는 어떤 이유로 일부 메일이 검사되지 못할 때 사용됩니다. 예를들면, 메일이 너무 크거나 연결문제나 라이센스 만료 때문에 스팸 분류 서버에 접속하지 못하는 경우에 발생합니다.

Halon-UTM-Scan: prefix-Passed/POP3
Halon-UTM-Scan: prefix-Passed:Not-Scanned/POP3
Halon-UTM-Scan: prefix-Passed:Whitelist/POP3


아래처럼 스팸 폴더로 이동시키거나, 때때로 재검토를 하기 위하여 예제와 같이 특별한 처리를 위해서 메일을 표시하는 것은 좋은 방법이 될 것입니다.


Halon-UTM-Scan: prefix-Phishing/POP3
Halon-UTM-Scan: prefix-Virus/POP3
Halon-UTM-Scan: prefix-Spam/POP3
Halon-UTM-Scan: prefix-Bulk/POP3
Halon-UTM-Scan: prefix-Suspect/POP3


아래 예제처럼 여러 개의 태그를 자주 표시하는 것은 피하는 것이 좋습니다. 그러나 복수 태그 사용은 가능합니다.


Halon-UTM-Scan: prefix-Virus,prefix-Bulk/POP3


그러나 이를 처리할 수 있도록 필터를 만들어야 합니다. 따라서 나중에 문제가 되지 않기 위해서는 미리 클라이언트를 설정해서 사용할 필요가 있습니다.


 

화이트리스트(White listing)


메일 주소와 발송자의 IP 주소(SMTP에만 해당)를 화이트리스트에 등록할 수 있어 스팸성 여부를 검사하지 않도록 우회시킬 수 있습니다. 화이트리스트는 “pop3-whitelist.txt”“smtp-whitelist.txt” 파일로 저장되며 하론 장비에 ftp로 접속하면 utm/ 폴더에 저장되어 있습니다. 이 파일에서 화이트리스트를 등록하고자 하면 한줄에 하나씩 입력하면 됩니다. 웹 인터페이스에서 화이트리스트를 수정할 수 있습니다. 웹 인터페이스는 utm/setting에 있습니다. 화이트리스트에 등록된 메일들은 다음처럼 표시됩니다:


Halon-UTM-Scan: prefix-Passed:Whitelist/POP3

 

제목: 태그 및 접두사


메일의 제목에 선택적으로 태그를 붙일 수 있습니다. Halon-UTM-Scan 헤더와 같이 데이터 및 조합과 동일하게 사용할 수 있지만 서비스는 제목에 추가되지 않습니다. “Passed” 또는 “Passed:Whitelist”로 표시된 메일은 제목이 바뀌지 않습니다.  CLI를 사용할 때 POP3를 위한 이 명령어를 사용하여 제목 라인을 커스터마이징해야 하고 도메인마다 SMTP 서비스 제목을 커스터마이징해야 합니다.


halon(office1)# mail option set pop3_subject "[UTM: %REASON%]"


접두사(prefix)의 목적은 헤더에 대해 필터를 지원하지 못하는 메일 클라이언트를 위해 필터링하기 위한 독립키를  만들어 줍니다. 접두사는 pop3_prefix smtp_prefix 변수를 바꾸어 세팅하여야 합니다.

halon(office1)# mail option set pop3_prefix "Halon-"

 

halon(office1)# mail option set smtp_prefix "Halon-"

 


로깅


스팸으로 표시된 메일은 발신자, 수신자, 위에서 스팸으로 표시된 이유를 로그로 기록합니다. 어떤 하위-분류가 없는 “Passed”로 표시된 메일은 로그에 기록되지 않습니다. 이 정보는 쓰래스홀드 레벨 3을 사용하여 보고서 시스템에 의해 메일로 발송됩니다. 하론 원격관리자를 사용하여 실시간으로 이 정보를 조회할 수 있습니다.

 

블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요