| ‘불사조 봇넷?’ 등장...3개월만에 450만대 PC 감염시켜 | 2011.07.03 | |
안티바이러스 소프트웨어로도 감지 되지 않아
[보안뉴스 호애진] 세계에서 감지하기가 가장 까다롭다고 알려진 한 멀웨어가 단 3개월에 걸쳐 무려 450만 대 이상의 PC를 감염시킨 것으로 나타났다. 이 TDSS 루트킷 멀웨어에 일단 감염되면 언제든지 감염된 PC에 키로거나 애드웨어 같은 악성 프로그램을 설치할 수 있다. 안티바이러스 소프트웨어로는 사실상 감지가 되지 않고 로우-레벨 명령어(low-level instructions)를 사용하므로 전문가들조차 찾아내기가 극히 어렵다. 또 빌트-인 암호 체계(built-in encryption scheme)여서 네트워크 감시 툴이 제어 서버와 감염 PC 사이에 전송되는 정보를 가로챌 수도 없다. 카스퍼스키 랩은 29일 발행한 상세 기술 분석 보고서에서 다른 멀웨어를 설치하는 상시적 백도어 역할을 하는 이 루트킷의 최신 버전인 TDL-4가 올해 1사분기 동안 450만 대의 PC를 감염시켰다고 밝혔다.
공격자들은 이를 이용, 소액결제 방식으로 수수료를 취해 총 25만 달러를 벌여 들인 것으로 조사됐다. TDL-4는 일명 알루레온이나 단순히 TLD이라고도 하는 TDL-3와 그 이전 버전에 비해 진화된 일련의 기능들을 갖췄다. 이는 64비트 윈도우 OS의 커널 모드 코드 서명 정책(kernel mode code signing, KMSC)을 우회함으로써 64 비트 윈도우를 감염시킬 수 있다. KMSC는 신뢰할 수 있는 소스의 디지털 서명이 있어야만 드라이버를 설치할 수 있도록 하는 보안 체계다. 또한 임시적인 DHCP 서버를 네트워크 상에서 생성할 수 있어 새롭게 증식력마저 갖췄으며, 안티바이러스 기능까지 추가돼 이 루트킷과 경쟁하는 ZeuS, Gbot, Optima 등 20 종의 멀웨어를 TDSS에 감염된 PC로부터 제거해버린다. 이 외에도 경쟁 멜웨어가 사용하는 명령 제어 서버의 주소를 블랙리스트에 올려 이의 정상적인 작용을 방해한다. Popureb 트로이 목마, Torpig 봇넷(일명 Sinowal 내지 Anserin)과 같이 하드 드라이브의 마스터 부트 레코드를 감염시키므로 심지어 윈도우가 로드되기 전에도 이를 실행할 수 있다. 카스퍼스키는 보고서에서 “TDL-4에 이뤄진 변경 사항들에 의해 이의 모든 컴포넌트와 작용이 어떤 식으로든 영향을 받았다”면서 “기본적으로 각종 공격과 경쟁자 및 안티바이러스 업체의 접근을 불허하는 ‘파괴 불능’의 봇넷을 만들려는 의도인 듯하다”고 분석했다. [호애진 기자(boan5@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
