2012.04.23

"플래시백 감염 맥 줄지 않았다"···통계를 둘러싼 논란

Gregg Keizer | Computerworld
여러 보안 기업들의 보고서와는 반대로, 플래시백(Flashback) 봇넷은 3주전에 러시아의 안티바이러스 업체가 처음으로 보고한 대규모 감염보다 줄어들지 않고 있는 것으로 나타났다.

이달 초에 애플의 OS X에 대한 최대 규모의 악성 코드 공격을 가장 먼저 보고한 닥터 웹(Dr. Web)은 플래시백에 감염된 맥은 여전히 65만 대 정도가 되고, 감염은 계속되고 있다고 밝혔다.

금요일, 시만텍 보안 응답 센터의 책임자인 리암 오 머추는 닥터 웹이 내놓은 숫자가 정확하다는 것을 재차 확인했다.

반박에 직면한 낙관론
닥터 웹과 다른 안티바이러스 업체들 모두 감염의 진행중이라는 의견을 내놓고 있다. 캐스퍼스카이 랩(Kaspersky Lab)과 시만텍은 ‘sinkholed’ 선택 도메인을 가지고 악성 코드의 C&C(command-and-control) 센터와 통신하려고 맥을 집계해, 그 도메인을 사용하고 있다.
 
이번주 초에 시만텍은 플래시백 봇넷이 60% 감소하고, 14만 2,000대 이하로 떨어졌다고 밝혔다. 카스퍼스키는 3만 대의 감염된 맥이 등록됐다고 주장했다.

닥터 웹은 블로그를 통해 비슷하지도 않다며, 감염 기기수가 여전히 65만개 정도라고 밝혔다.

4월 16일 닥터 웹은 59만 5,000대의 맥이 봇넷에 감염됐다고 말했고, 다음날인 4월 17일에는 58만 2,000대로 집계했다.  

시만텍의 오 머추는 닥터 웹이 맞다고 말했다. 오 머추는 “우리는 시만텍의 숫자와 닥터 웹의 숫자가 일치하지 않는 것에 대해 이야기를 했다”며, “우리는 이제 그들의 분석이 정확하고 그것이 불일치되는 것에 대해 설명한 것을 믿는다”고 말했다.

설명을 요청했을 때, 카스퍼스카이 랩은 현재 조사를 진행 중이라고 답했다.

모니터보다 더 똑똑한 맬웨어
닥터 웹에 따르면, 다른 업체에 의해 집계한 것은 악성 프로그램이  C&C 서버의 위치를 파악하고, 커뮤니케이션하는 방법 때문에 정확하지 않다. 
 
닥터웹에 따르면, 플래시백의 C&C 서버는 봇과 통신하지만, TCP 연결을 닫지 않는다. 결과적으로 봇은 대기 모드로 전환해 서버의 회신을 기다렸고, 더 이상 추가 명령에 반응이 없는 것이다. 이들은 다른 C&C 서버와 통신을 하지 않는데, 이들 다른 서버의 많은 수가 보안 전문가들이 등록한 것이다. 닥터웹은 "이 때문에 통계에 대한 논란이 발행한 것"이라고 설명했다.

업체들은 플래시백의 봇넷이 감소하게 된 것은 애플이 4월 3일에 배포한 자바 업데이트, 4월 12일에 배포한 감지 및 삭제 도구와 유사한 도구 등 일부 안티바이러스 업체와 강렬한 언론의 관심 덕분이라고 보고했다. 하지만 닥터웹의 통계는 이런 수치가 모두 헛된 것임을 암시했다.

플래시백의 주 공격 벡터는 오라클이 2월에 패치한 자바 취약점이었지만, 애플은 7주 후에나 수정했다. 애플은 맥 OS X용 자바 버전을 자체 유지하고 있다.

프랑스 보안 업체인 인티고(Intego)는 먼저 3월 후반에 당시 패치 자바 버그를 악용하고, 플래시백의 변종을 발견했다고 밝혔다. editor@itworld.co.kr


2012.04.23

"플래시백 감염 맥 줄지 않았다"···통계를 둘러싼 논란

Gregg Keizer | Computerworld
여러 보안 기업들의 보고서와는 반대로, 플래시백(Flashback) 봇넷은 3주전에 러시아의 안티바이러스 업체가 처음으로 보고한 대규모 감염보다 줄어들지 않고 있는 것으로 나타났다.

이달 초에 애플의 OS X에 대한 최대 규모의 악성 코드 공격을 가장 먼저 보고한 닥터 웹(Dr. Web)은 플래시백에 감염된 맥은 여전히 65만 대 정도가 되고, 감염은 계속되고 있다고 밝혔다.

금요일, 시만텍 보안 응답 센터의 책임자인 리암 오 머추는 닥터 웹이 내놓은 숫자가 정확하다는 것을 재차 확인했다.

반박에 직면한 낙관론
닥터 웹과 다른 안티바이러스 업체들 모두 감염의 진행중이라는 의견을 내놓고 있다. 캐스퍼스카이 랩(Kaspersky Lab)과 시만텍은 ‘sinkholed’ 선택 도메인을 가지고 악성 코드의 C&C(command-and-control) 센터와 통신하려고 맥을 집계해, 그 도메인을 사용하고 있다.
 
이번주 초에 시만텍은 플래시백 봇넷이 60% 감소하고, 14만 2,000대 이하로 떨어졌다고 밝혔다. 카스퍼스키는 3만 대의 감염된 맥이 등록됐다고 주장했다.

닥터 웹은 블로그를 통해 비슷하지도 않다며, 감염 기기수가 여전히 65만개 정도라고 밝혔다.

4월 16일 닥터 웹은 59만 5,000대의 맥이 봇넷에 감염됐다고 말했고, 다음날인 4월 17일에는 58만 2,000대로 집계했다.  

시만텍의 오 머추는 닥터 웹이 맞다고 말했다. 오 머추는 “우리는 시만텍의 숫자와 닥터 웹의 숫자가 일치하지 않는 것에 대해 이야기를 했다”며, “우리는 이제 그들의 분석이 정확하고 그것이 불일치되는 것에 대해 설명한 것을 믿는다”고 말했다.

설명을 요청했을 때, 카스퍼스카이 랩은 현재 조사를 진행 중이라고 답했다.

모니터보다 더 똑똑한 맬웨어
닥터 웹에 따르면, 다른 업체에 의해 집계한 것은 악성 프로그램이  C&C 서버의 위치를 파악하고, 커뮤니케이션하는 방법 때문에 정확하지 않다. 
 
닥터웹에 따르면, 플래시백의 C&C 서버는 봇과 통신하지만, TCP 연결을 닫지 않는다. 결과적으로 봇은 대기 모드로 전환해 서버의 회신을 기다렸고, 더 이상 추가 명령에 반응이 없는 것이다. 이들은 다른 C&C 서버와 통신을 하지 않는데, 이들 다른 서버의 많은 수가 보안 전문가들이 등록한 것이다. 닥터웹은 "이 때문에 통계에 대한 논란이 발행한 것"이라고 설명했다.

업체들은 플래시백의 봇넷이 감소하게 된 것은 애플이 4월 3일에 배포한 자바 업데이트, 4월 12일에 배포한 감지 및 삭제 도구와 유사한 도구 등 일부 안티바이러스 업체와 강렬한 언론의 관심 덕분이라고 보고했다. 하지만 닥터웹의 통계는 이런 수치가 모두 헛된 것임을 암시했다.

플래시백의 주 공격 벡터는 오라클이 2월에 패치한 자바 취약점이었지만, 애플은 7주 후에나 수정했다. 애플은 맥 OS X용 자바 버전을 자체 유지하고 있다.

프랑스 보안 업체인 인티고(Intego)는 먼저 3월 후반에 당시 패치 자바 버그를 악용하고, 플래시백의 변종을 발견했다고 밝혔다. editor@itworld.co.kr


X