1. 개 요
또한, 제우스와 경쟁 관계다 보니 툴킷에 자연스럽게 "Kill Zeus" 기능 등이 탑재되어 있다. 그럼 이 스파이아이 툴킷을 통해 제작되는 악성파일로 인해 사용자들은 적어도 제우스 봇넷으로부터 안전할 수 있을까? 스파이아이의 기능엔 어떤 것들이 있을지 아래의 설명을 통해 간단하게 살펴보도록 하자.
2. 스파이아이(Spy Eye) 인터페이스
스파이아이 봇넷의 툴킷은 아래와 같은 메인화면과 인터페이스를 갖추고 있다.
위 그림을 살펴보면 제일 눈에 들어오는 기능이 "Kill Zeus"이다. 이 기능을 통해 제우스 봇넷에 대한 삭제 기능을 추가할 수 있지만, 어차피 스파이아이 툴킷을 통해 생성되는 봇넷 또한 제우스 봇넷과 동일한 기능을 가지며, 제우스 봇넷의 자리를 대체하는 것뿐이다. 물론 2010년 발표된 제우스의 최신 버전인 2.0 버전에서는 스파이아이의 "Kill Zeus"를 방어할 수 있는 기능을 제공하고 있다. 또 해당 툴킷을 이용해 봇넷을 생성 시 암호화 방식을 사용할 수 있도록 "Encryption key" 기능이 존재하며, 실행압축이 가능하도록 "UPX" 기능 또한 가지고 있다.
봇넷 생성을 위한 상기 인터페이스 설정을 모두 마친 후 만들어지는 악성파일은 제우스 봇넷과 그 기능이 다를 바 없으며, 해킹을 통해 변조된 웹사이트 및 이메일을 통한 첨부 파일의 형태로 유포될 수 있다. 또한, 스파이아이 툴킷을 통해 생성된 봇넷은 제우스에 감염된 PC에서 제우스 봇넷을 제거하거나 제우스 C&C 서버로 전송되는 데이터를 가로챌 수 있다고 한다.
◆ 유료형식으로 거래가 이루어지기 때문에 실행 시 시리얼넘버를 요구하는 창이 출력될 수 있다.
◆ 유료 형식으로 업그레이드 버전이 계속해서 제작되고 있으며, 지속적인 상위 버전이 출현할 것으로 추정된다.
3. 예방 조치 방법
경쟁 관계에 있는 두 가지 툴킷은 여전히 봇넷을 양성하고 있으며, 현재도 지속적인 버전 업그레이드 작업이 진행 중인 것으로 알려져있다. 때문에 향후 악의적인 기능 등이 추가될 수 있어 주의가 필요하다.
잉카인터넷 대응팀에서는 각종 매체로부터 보고 및 수집되는 이러한 봇넷에 대해 지속적인 패턴 업데이트를 진행하고 있으며, 다양한 보안위협에 대비하기 위해 24시간 대응체계를 유지하고 있다.
스파이아이는 2010년 하더만(Harderman)이 제우스 개발자 슬래빅(Slavik)으로부터 소스 코드를 공식 인수하면서 본격적인 활동이 시작되었으며, 현재도 스파이아이와 제우스의 소스코드를 통합하는 작업이 진행 중이라고 보고되었다.
또한, 제우스와 경쟁 관계다 보니 툴킷에 자연스럽게 "Kill Zeus" 기능 등이 탑재되어 있다. 그럼 이 스파이아이 툴킷을 통해 제작되는 악성파일로 인해 사용자들은 적어도 제우스 봇넷으로부터 안전할 수 있을까? 스파이아이의 기능엔 어떤 것들이 있을지 아래의 설명을 통해 간단하게 살펴보도록 하자.
2. 스파이아이(Spy Eye) 인터페이스
스파이아이 봇넷의 툴킷은 아래와 같은 메인화면과 인터페이스를 갖추고 있다.
위 그림을 살펴보면 제일 눈에 들어오는 기능이 "Kill Zeus"이다. 이 기능을 통해 제우스 봇넷에 대한 삭제 기능을 추가할 수 있지만, 어차피 스파이아이 툴킷을 통해 생성되는 봇넷 또한 제우스 봇넷과 동일한 기능을 가지며, 제우스 봇넷의 자리를 대체하는 것뿐이다. 물론 2010년 발표된 제우스의 최신 버전인 2.0 버전에서는 스파이아이의 "Kill Zeus"를 방어할 수 있는 기능을 제공하고 있다. 또 해당 툴킷을 이용해 봇넷을 생성 시 암호화 방식을 사용할 수 있도록 "Encryption key" 기능이 존재하며, 실행압축이 가능하도록 "UPX" 기능 또한 가지고 있다.
봇넷 생성을 위한 상기 인터페이스 설정을 모두 마친 후 만들어지는 악성파일은 제우스 봇넷과 그 기능이 다를 바 없으며, 해킹을 통해 변조된 웹사이트 및 이메일을 통한 첨부 파일의 형태로 유포될 수 있다. 또한, 스파이아이 툴킷을 통해 생성된 봇넷은 제우스에 감염된 PC에서 제우스 봇넷을 제거하거나 제우스 C&C 서버로 전송되는 데이터를 가로챌 수 있다고 한다.
◆ 유료형식으로 거래가 이루어지기 때문에 실행 시 시리얼넘버를 요구하는 창이 출력될 수 있다.
◆ 유료 형식으로 업그레이드 버전이 계속해서 제작되고 있으며, 지속적인 상위 버전이 출현할 것으로 추정된다.
3. 예방 조치 방법
경쟁 관계에 있는 두 가지 툴킷은 여전히 봇넷을 양성하고 있으며, 현재도 지속적인 버전 업그레이드 작업이 진행 중인 것으로 알려져있다. 때문에 향후 악의적인 기능 등이 추가될 수 있어 주의가 필요하다.
관련된 조직원들의 검거가 이루어지고 있지만 두 툴킷의 경쟁 관계로 인해 해당 악성파일은 더욱 활발히 유포되고 있으며, 결과적으로 일반 사용자만이 금전적인 부분 등의 큰 피해를 입을 수 있게 되었다. 물론 이번에 거론한 두 가지 툴킷 외에도 봇넷 생성에 사용되는 툴킷은 여러 종류가 있으며, 모두 조직적인 거래 및 제공이 활발히 이루어지고 있기 때문에 이러한 악성파일로부터 안전하기 위해서는 ▶윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 생활화, ▶출처가 불분명한 메일은 가급적 열람하지 않는 것을 비롯해 ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트 후 실시간 감시 기능을 "ON"으로 유지해 사용하는 등의 사용자 스스로 관심을 가지는 것이 중요하다.
잉카인터넷 대응팀에서는 각종 매체로부터 보고 및 수집되는 이러한 봇넷에 대해 지속적인 패턴 업데이트를 진행하고 있으며, 다양한 보안위협에 대비하기 위해 24시간 대응체계를 유지하고 있다.
'최신 보안 동향' 카테고리의 다른 글
| AVG로 위장한 허위백신 등장에 따른 주의필요 (0) | 2011.02.02 |
|---|---|
| DDoS 공격명령을 내릴 수 있는 트위터 봇에 대한 주의필요 (1) | 2011.02.01 |
| 웹 취약점을 겨냥하고 네이트온 쪽지로 전파된 악성 파일 주의 (0) | 2011.01.24 |
| 구글 단축주소를 이용해 유포중인 트위터 웜 해외 확산 주의 (0) | 2011.01.21 |
| 클라우드 기반의 Anti-Virus 동작을 방해하는 악성파일 출현 보고! (0) | 2011.01.19 |