2014.05.27

괴물급 뱅킹 트로이목마 등장…제우스와 카버프 특장점 조합

Lucian Constantin | IDG News Service
전세계 450여 금융기관 사용자를 노리는 새로운 트로이목마 프로그램이 등장해 관심을 끌고 있다. 이번에 발견된 트로이목마는 특히 최악의 악성 코드로 평가되는 제우스(Zeus)와 카버프(Carberp)의 기능과 특징을 그대로 가져온 것으로 알려졌다.

IBM의 보안전문 자회사 트러스티어(Trusteer)의 연구원들이 ‘지버프(Zberp)’라 이름 붙인 새로운 트로이목마는 폭넓은 기능을 가지고 있는 것이 특징이다. 주요 기능은 감염된 컴퓨터로부터 IP주소에서 이름까지 다양한 정보를 모으고, 화면을 캡처해 이를 원격 서버로 업로드하고, FTP와 POP3 인증서를 훔치고, 웹 양식에 SSL 인증 및 정보를 입력하고, 브라우징 세션을 가로채 개방된 웹 사이트에 로그 콘텐츠를 삽입하고, VNC와 RDP 프로토콜을 사용해 로그 원격 데스크톱 연결을 개시하는 등이다.

트러스티어의 연구원들은 지버프를 최근 널리 사용되고 있는 제우스의 수정본 중 하나인 제우스VM의 변종으로 보고 있다. 제우스 트로이목마는 지난 2011년 다크웹 포럼에 소스코드가 유출되면서 수정본들이 대거 등장했다. 제우스VM은 지난 2월에 발견됐는데, 제작자가 이미지 내에 설정 데이터를 숨기는 스테가노그래피(Steganography) 기법을 사용하는 것으로 다른 제우스 기반 악성코드 중에서 특히 주목을 받았다.

지버퍼의 제작자도 동일한 기법을 사용하는데, 이를 통해 안티맬웨어 프로그램의 탐지를 피하고, 애플 로고 모양의 이미지에 내장된 설정 업데이트를 전송한다. 새로운 악성 코드는 여기에 카버프에서 빌려온 것을 보이는 유인 기법을 사용해 브라우저를 조정하는 기능도 갖추고 있다. 온라인 뱅킹 사기용으로 만들어진 카버프는 지난 해 소스코드가 유출됐다.

트러스티어의 연구원 마틴 코만과 탈 다르산은 블로그 포스트를 통해 “카버프의 소스코드가 웹에 유출됐기 때문에 해커들이 카버프와 제우스의 코드를 조합해 더 악독한 것을 만드는 데 오래 걸리지 않을 것이라고 예상했다”라며, “어디까지나 이론이지만, 조만간 합성 괴물을 다운로드하는 ‘안드로메다’ 봇넷의 샘플을 발견하게 될 것”이라고 덧붙였다.

지버프는 이외에도 지속성을 구현하고 탐지를 피하기 위해 제우스VM의 여러 기법을 가져 왔는데, 대표적인 예로 지버프는 구동 시에는 스스로의 기동 레지스트리 키를 삭제하고, 시스템 정지가 탐지되면 이를 다시 가져오는 기능을 가지고 있다.

트러스티어의 두 연구원은 “바이러스 토탈을 이용한 검색에 따르면, 지버프는 처음 탐지되었을 당시 대부분의 안티바이러스 솔루션을 회피할 수 있었다”라고 덧붙였다.  editor@itworld.co.kr


2014.05.27

괴물급 뱅킹 트로이목마 등장…제우스와 카버프 특장점 조합

Lucian Constantin | IDG News Service
전세계 450여 금융기관 사용자를 노리는 새로운 트로이목마 프로그램이 등장해 관심을 끌고 있다. 이번에 발견된 트로이목마는 특히 최악의 악성 코드로 평가되는 제우스(Zeus)와 카버프(Carberp)의 기능과 특징을 그대로 가져온 것으로 알려졌다.

IBM의 보안전문 자회사 트러스티어(Trusteer)의 연구원들이 ‘지버프(Zberp)’라 이름 붙인 새로운 트로이목마는 폭넓은 기능을 가지고 있는 것이 특징이다. 주요 기능은 감염된 컴퓨터로부터 IP주소에서 이름까지 다양한 정보를 모으고, 화면을 캡처해 이를 원격 서버로 업로드하고, FTP와 POP3 인증서를 훔치고, 웹 양식에 SSL 인증 및 정보를 입력하고, 브라우징 세션을 가로채 개방된 웹 사이트에 로그 콘텐츠를 삽입하고, VNC와 RDP 프로토콜을 사용해 로그 원격 데스크톱 연결을 개시하는 등이다.

트러스티어의 연구원들은 지버프를 최근 널리 사용되고 있는 제우스의 수정본 중 하나인 제우스VM의 변종으로 보고 있다. 제우스 트로이목마는 지난 2011년 다크웹 포럼에 소스코드가 유출되면서 수정본들이 대거 등장했다. 제우스VM은 지난 2월에 발견됐는데, 제작자가 이미지 내에 설정 데이터를 숨기는 스테가노그래피(Steganography) 기법을 사용하는 것으로 다른 제우스 기반 악성코드 중에서 특히 주목을 받았다.

지버퍼의 제작자도 동일한 기법을 사용하는데, 이를 통해 안티맬웨어 프로그램의 탐지를 피하고, 애플 로고 모양의 이미지에 내장된 설정 업데이트를 전송한다. 새로운 악성 코드는 여기에 카버프에서 빌려온 것을 보이는 유인 기법을 사용해 브라우저를 조정하는 기능도 갖추고 있다. 온라인 뱅킹 사기용으로 만들어진 카버프는 지난 해 소스코드가 유출됐다.

트러스티어의 연구원 마틴 코만과 탈 다르산은 블로그 포스트를 통해 “카버프의 소스코드가 웹에 유출됐기 때문에 해커들이 카버프와 제우스의 코드를 조합해 더 악독한 것을 만드는 데 오래 걸리지 않을 것이라고 예상했다”라며, “어디까지나 이론이지만, 조만간 합성 괴물을 다운로드하는 ‘안드로메다’ 봇넷의 샘플을 발견하게 될 것”이라고 덧붙였다.

지버프는 이외에도 지속성을 구현하고 탐지를 피하기 위해 제우스VM의 여러 기법을 가져 왔는데, 대표적인 예로 지버프는 구동 시에는 스스로의 기동 레지스트리 키를 삭제하고, 시스템 정지가 탐지되면 이를 다시 가져오는 기능을 가지고 있다.

트러스티어의 두 연구원은 “바이러스 토탈을 이용한 검색에 따르면, 지버프는 처음 탐지되었을 당시 대부분의 안티바이러스 솔루션을 회피할 수 있었다”라고 덧붙였다.  editor@itworld.co.kr


X