1. 개 요


현재 가장 널리 알려진 봇넷은 제우스(Zeus)이다. 해당 악성파일은 사용자의 금융 계정 정보 등의 탈취를 주목적으로 하고 있으며, 악성파일의 제작에 사용되는 툴킷 등이 블랙마켓을 통해 조직적으로 거래되고 있다. 그런데 2010년경부터 스파이아이(SpyEye)라는 제우스 봇넷의 경쟁 툴킷이 등장했고 최근까지 버전이 업그레이드되며, 지속적인 거래가 이루어지고 있는 것으로 알려졌다. 

스파이아이는 2010년 하더만(Harderman)이 제우스 개발자 슬래빅(Slavik)으로부터 소스 코드를 공식 인수하면서 본격적인 활동이 시작되었으며, 현재도 스파이아이와 제우스의 소스코드를 통합하는 작업이 진행 중이라고 보고되었다.

또한, 제우스와 경쟁 관계다 보니 툴킷에 자연스럽게 "Kill Zeus" 기능 등이 탑재되어 있다. 그럼 이 스파이아이 툴킷을 통해 제작되는 악성파일로 인해 사용자들은 적어도 제우스 봇넷으로부터 안전할 수 있을까? 스파이아이의 기능엔 어떤 것들이 있을지 아래의 설명을 통해 간단하게 살펴보도록 하자.

2. 스파이아이(Spy Eye) 인터페이스

스파이아이 봇넷의 툴킷은 아래와 같은 메인화면과 인터페이스를 갖추고 있다.


위 그림을 살펴보면 제일 눈에 들어오는 기능이 "Kill Zeus"이다. 이 기능을 통해 제우스 봇넷에 대한 삭제 기능을 추가할 수 있지만, 어차피 스파이아이 툴킷을 통해 생성되는 봇넷 또한 제우스 봇넷과 동일한 기능을 가지며, 제우스 봇넷의 자리를 대체하는 것뿐이다. 물론 2010년 발표된 제우스의 최신 버전인 2.0 버전에서는 스파이아이의 "Kill Zeus"를 방어할 수 있는 기능을 제공하고 있다. 또 해당 툴킷을 이용해 봇넷을 생성 시 암호화 방식을 사용할 수 있도록 "Encryption key" 기능이 존재하며, 실행압축이 가능하도록 "UPX" 기능 또한 가지고 있다.

봇넷 생성을 위한 상기 인터페이스 설정을 모두 마친 후 만들어지는 악성파일은 제우스 봇넷과 그 기능이 다를 바 없으며, 해킹을 통해 변조된 웹사이트 및 이메일을 통한 첨부 파일의 형태로 유포될 수 있다. 또한, 스파이아이 툴킷을 통해 생성된 봇넷은 제우스에 감염된 PC에서 제우스 봇넷을 제거하거나 제우스 C&C 서버로 전송되는 데이터를 가로챌 수 있다고 한다.

◆ 유료형식으로 거래가 이루어지기 때문에 실행 시 시리얼넘버를 요구하는 창이 출력될 수 있다.


◆ 유료 형식으로 업그레이드 버전이 계속해서 제작되고 있으며, 지속적인 상위 버전이 출현할 것으로 추정된다.

그림을 클릭하시면 더 큰화면으로 보실 수 있습니다.

                                                                          < 다양한 버전 제공>

3. 예방 조치 방법

경쟁 관계에 있는 두 가지 툴킷은 여전히 봇넷을 양성하고 있으며, 현재도 지속적인 버전 업그레이드 작업이 진행 중인 것으로 알려져있다. 때문에 향후 악의적인 기능 등이 추가될 수 있어 주의가 필요하다. 

관련된 조직원들의 검거가 이루어지고 있지만 두 툴킷의 경쟁 관계로 인해 해당 악성파일은 더욱 활발히 유포되고 있으며, 결과적으로 일반 사용자만이 금전적인 부분 등의 큰 피해를 입을 수 있게 되었다. 물론 이번에 거론한 두 가지 툴킷 외에도 봇넷 생성에 사용되는 툴킷은 여러 종류가 있으며, 모두 조직적인 거래 및 제공이 활발히 이루어지고 있기 때문에 이러한 악성파일로부터 안전하기 위해서는 ▶윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 생활화, ▶출처가 불분명한 메일은 가급적 열람하지 않는 것을 비롯해 ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트 후 실시간 감시 기능을 "ON"으로 유지해 사용하는 등의 사용자 스스로 관심을 가지는 것이 중요하다.

잉카인터넷 대응팀에서는 각종 매체로부터 보고 및 수집되는 이러한 봇넷에 대해 지속적인 패턴 업데이트를 진행하고 있으며, 다양한 보안위협에 대비하기 위해 24시간 대응체계를 유지하고 있다.


저작자 표시
신고
Posted by nProtect
1. 개 요


최근 해외에서 발신처가 백악관으로 위장된 이메일 상의 링크를 통해 ZeuS 봇넷의 변종인 Kneber 봇넷을 다운로드 및 실행을 유도하여 유포하는 사례가 보고되었다. 크리스마스 카드나 새해를 맞아 신년 연하장 등의 이메일을 통해 수신자를 속이는 유형의 악성파일 유포 사례가 늘고 있는 만큼 해당 이메일 등을 수신한 사용자들의 주의가 요구되고 있다.


[ Old ZeuS Variant Returns for Christmas ]

참고 : http://blog.trendmicro.com/old-zeus-variant-returns-for-christmas/

2. 감염 경로 및 증상

Kneber 봇넷은 아래의 그림과 같이 백악관에서 보내진 것처럼 위장된 메일을 통해 유포된 것으로 알려졌다.

                                                                           < 참고 사이트 >

위 그림의 모자이크 처리된 파란 부분이 Kneber 봇넷 악성파일의 다운로드 주소이며, 메일 본문과 같이 클릭을 유도하고 있다. 또한, 아래의 그림과 같이 크리스마스를 이용해 악성파일 유포를 시도하는 사례도 있었다.

                                                                          < 참고 사이트 >

해당 악성파일에 감염될 경우 각종 금융 정보 및 계정 정보가 탈취당할 수 있다. 또한, 해당 내용에 대한 재발송이나 각종 악의적인 목적을 가지는 정보 전파를 위해 감염자 PC에서 수집된 사용자의 이메일, 인스턴트 메신저 계정을 도용해 스팸 메일 발송을 시도할 수 있다.

3. 예방 조치

작년에 이어 올해도 위와 같이 사회공학적 기법을 악용해 악성파일을 유포하는 사례가 지속적으로 보고되고 있다. 이는 각종 금전적 이득 등을 목적으로 하는 경우가 대부분이며, 이러한 유형의 악성파일에 대비하기 위해서는 아래와 같은 보안 관리 수칙을 준수하는 것이 무엇보다 중요하다.

[보안 관리 수칙]

1. 윈도우와 같은 OS, Adobe Flash Player 등과 같은 응용프로그램에 대한 최신 보안 패치의 생활화
2. 발신처가 불분명한 메일의 열람이나 첨부 파일 및 링크에 대한 접근을 지양
3. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 유지하여 사용
4. 사용 중인 백신은 항상 실시간 감시 기능을 "ON" 상태로 유지


저작자 표시
신고
Posted by nProtect