1. 개 요


최근 DDoS 공격명령 전달 등이 가능한 트위터 봇을 생성하는 툴킷이 보고되면서 사용자들의 각별한 주의가 요구되고 있다. 이러한 툴킷은 악성파일 제작 전문가가 아니더라도 해당 툴을 이용해 DDoS 공격명령 전달 등이 가능한 악성파일을 손쉽게 제작할 수 있어 많은 주의가 필요하며, 관련한 대책 마련이 시급한 상황이다.

[참고 : 백신 못 잡는 ‘트위터 좀비PC’, 누구든 완전범죄 공격자로 ]

http://www.boannews.com/media/view.asp?idx=24702&kind=1

2. 감염 경로 및 증상

해당 트위터 봇 생성 툴킷은 Google 등 검색 포털 사이트를 통해 쉽게 접할 수 있으며, 악성파일 제작자가 아니더라도 해당 생성 툴킷을 이용해 손쉽게 악성파일을 제작할 수 있다.

검색 포털 사이트 등을 통해 아래의 그림과 같은 툴킷을 다운로드할 수 있다.

해당 파일은 닷넷프레임워크 4.0 이상 버전이 설치되어 있어야 정상적인 실행이 가능하며, 설치되지 않았을 때에는 아래의 그림과 같은 오류 창을 보여줄 수 있다.


닷넷프레임워크 4.0 이상 버전 설치 후 다운로드된 툴킷 파일을 실행하면 아래와 같은 메인화면이 출력된다.


◆ 인터페이스

- Twitter Username : 사용자의 트위터 계정을 입력한다.
- File Name : 원하는 파일명을 입력한다. "파일명.exe" 형식으로 입력해야 한다.
  (참고로 툴킷의 메뉴얼에는 "Winlogon.exe"와 같은 정상파일명과 흡사한 파일명 사용을 권하고 있다.)
- Internal : 초 단위로 입력되며, 트위터 페이지에 대한 체크 주기를 설정할 수 있다.
- Build TweBot Server : 트위터 봇을 생성한다.

위 인터페이스와 같이 설정을 완료한 후 "Build TweBot Server" 버튼을 클릭하면 하기의 그림과 같이 트위터 봇 파일이 생성된다.


이러한 트위터 봇에 감염되면 해당 PC는 좀비 PC가 되며, 공격자가 트위터에 DDoS 공격명령 코드를 입력해 악의적 기능을 수행할 수 있게 하는 것으로 알려졌다. 트위터를 통해 공격명령을 전달하는 것은 이전의 DDoS 공격명령 전달과는 다른 방법으로, 공격자는 트위터의 특성을 악용해 자신에 대한 추적을 어렵게 한 것으로 추정된다.

3. 예방 조치 방법

트위터는 수많은 사람들이 글을 게재하고 읽어보며 정보를 획득한다. 공격자가 이러한 특성을 가지는 트위터에 공격명령 코드를 실시간으로 게재하게 되면 찾아내기 어려울 뿐만 아니라 3G나 와이파이(WiFi) 등의 무선 환경을 이용할 경우 공격자의 IP 등을 추적하기란 사실상 불가능할 수도 있다.

이러한 툴킷은 Google 등 검색 포털 사이트를 이용해 쉽게 접할 수 있어 악성파일에 대한 범법의식이 미약한 사용자들을 통해 악용이 가능할 것이다. 지속적인 변종이 출현하면 백신에서는 이러한 변종에 대해 사후예방이 가능하지만, 먼저 악성파일이 유포된 후 처리되는 이런 방식에는 그에 따른 사전피해가 있을 수 있고 지속적인 변종출현으로 인해 엄청나게 소모적인 진행방식 또한 따르게 된다. 이러한 종류의 악성파일에 대비하기 위한 가장 좋은 방법은 트위터에서 해당 악성파일에 의한 네트워크 통신 및 공격명령을 사전에 탐지하여 차단하는 방법, 또는 단축주소와 같은 변형주소를 사용하는 출처가 불분명한 링크 등을 사전탐지 하여 접근을 제한하는 방법 등이 있을 수 있으나 현재로선 해당 방법들에 한계가 있는 것이 사실이다.

이러한 악성파일로부터 안전하기 위해서는 사용자들 스스로의 관심이 필요하며, ▶윈도우와 같은 OS 및 각종 응용 프로그램에 대한 최신 보안패치의 생활화, ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 "ON" 상태로 유지해 사용, 또한 ▶출처가 불분명한 이메일에 대한 열람 자제 및 확인되지 않은 링크 등은 접근에 주의하는 등의 노력이 필요하다.

잉카인터넷 대응팀에서는 이번 설 연휴는 물론 매일 24시간 이러한 악성파일을 포함해 모든 보안위협에 대한 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1인 체제의 미디어와 커뮤니티를 형성하여 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 SNS(Social Network Service)가 전 세계의 수 많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 트위터(Twitter) 와 페이스북(Facebook) 등의 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다.

특히, 소셜 네트워크 서비스는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 SNS 활용 범위가 웹에서 모바일까지 점차 확대되어지고 있다. 이는 다양한 인맥채널를 통하여 새로운 정보가 신속하게 전파될 수 있는 기반이 충족되었다는 것을 의미한다.

이러한 이유로 소셜 네트워크 서비스는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있는 것이며, 주요 표적이 되는 조건이 충분히 성립되어 있다고 할 수 있다.

※ 소셜 네트워크 서비스가 사이버 범죄자들에게 표적이 되는 주요 이유는?

a. 세계적으로 많은 이용자가 사용 중
b. 신속하게 정보 전파 가능
c. 이용자들간에 신뢰도가 구축
d. Short URL 등 변형 주소 사용 가능
e. 사회 공학적 기법 사용 용이
f. 사진이나 동영상 파일의 링크 클릭 유도 

가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS 나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다. 그래서 수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되어지고 있다.

2010년 06월 15일에는 SNS의 대표적 서비스인 트위터(Twitter)와 페이스북(Facebook) 내용으로 위장한 형태가 국내에서 동시에 발견되기도 하였다.

먼저 트위터의 사용자 암호 변경 내용처럼 조작된 가짜 내용을 마치 트위터 팀(The Twitter Team)에서 공식적으로 발송한 이메일처럼 위장하여 악성 스크립트 코드(index.html)를 첨부하여 유포된 형태가 국내에 유입된 사례가 있었다.

 
트위터 위장 내용과 마찬가지로 페이스북 사용자의 암호 변경 내용처럼 조작된 형태도 함께 발견되었고, 첨부파일명을 index.html 에서 facebook_newpass.html 이라는 이름으로 변경하여 유포하였다.

첨부되어 있었던 html 파일들은 모두 악의적인 스크립트 코드로 구성되어 있고 일반 사용자가 보고 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)되어 있고, 첨부파일을 수신한 사용자가 아무런 의심없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되게 된다.

아래 화면은 스크립트 파일의 모습 중 하나이다. (일부 모자이크 처리)


2010년 06월 07일에는 메일 본문 등도 트위터 화면처럼 스킨을 조작한 형태가 국내에 유입되었는데, 첨부된 파일은 존재하지 않고 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해서 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태이다.

실제로 파일이 링크된 곳은 트위터쪽 주소가 아니라 악성코드가 존재하는 또 다른 사이트이다.


본문에 포함되어 있는 http://twitter.com/Twitter_security_model_setup.zip 주소는 실제 트위터 도메인으로 오인할 수 있지만 이것 역시 조작되어 위장된 것으로 링크를 클릭하게 되면 아래와 같이 구글 그룹 사이트로 연결되고 악성코드가 존재하는 또 다른 URL 링크를 클릭하도록 유도한다.

 
구글 그룹 사이트를 악용한 것 역시 사용자에게 조금이나마 링크된 주소를 신뢰할 수 있도록 하기 위한 악성코드 유포자의 수법 중에 하나이며, 링크된 주소를 클릭하면 다음과 같이 악성코드 파일이 다운로드 시도된다.


※ 구글 그룹 도메인을 악용한 악성코드 내용
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=87

2010년 06월 07일에는 미국의 유명 영화배우인 Angelina Jolie 로 부터 페이스북 초대 내용처럼 위장한 형태가 국내에 유입되었다.


본문에 포함되어 있는 페이스북 링크도 허위로 조작된 것이며, 또 다른 악성코드 유포 사이트로 연결이 되도록 만들어져 있다.

이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있어 각별한 주의가 필요하다. 

※ 피싱(Phishing)이란? 

금융기관, 공공기관, 국가기관이나 특정 웹사이트 등 신뢰할 수 있는 것처럼 위장된 내용을 악용하여 특정 개인의 암호, 인증번호나 신용카드 번호, 금융 계좌 정보 등을 탈취해서 이를 불법적으로 이용하는 사기 수법이다. 개인정보(Private Data)와 낚시(Fishing)을 합성한 용어로 "개인 정보를 훔쳐낸다."는 의미를 가진다. 


최근에도 트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로, 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다.

국내에 다수 전파되었던 사례중 트위터 쪽지에 포함되어 있던 특정 URL 주소를 클릭하면 다음과 같은 팝업창이 보여지며, Click to Play Now! 버튼 클릭을 유도하는 형태가 존재한다. 트위터 쪽지를 통해서 퍼지고 있는 URL 주소는 매우 다양하기 때문에 유사한 패턴을 미리 알고 있으면 도움이 된다.


버튼을 누르게 되면 트위터 로그인 화면으로 변경된다.


여기에 트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출되어 또 다른 Follower 들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로, 트위터 쪽지 등으로 상기와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달하여 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다.

지금까지 국내외에서 발견되고 있는 SNS 관련 악성코드들은 nProtect Anti-Virus/Spyware 제품에서 완벽하게 진단 및 치료가 가능하며, 계속해서 변형이 제작 유포되고 있는 상황이오니, 항시 최신 패턴으로 업데이트를 유지하도록 하여야 한다.




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect