Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

두큐, 스턱스넷과 연관성 불명확

Jaikumar Vijayan | Computerworld 2011.10.28
델 시큐어웍스는 최근 두큐가 스턱스넷과 연관되어 있다는 실제 증거는 조금밖에 없다고 밝혔다. 
 
델 시큐어웍스에서 발표한 보고서에 따르면, 새로 발견된 두큐 트로이가 지난해 스턱스넷 악성코드와 관련이 있거나 같은 저작자에 의해 만들어진 것이라고 생각이 틀렸음을 드러냈다고 밝혔다. 
 
시큐어웍스 측은 두큐와 스턱스넷은 코드와 기능면에서 몇가지 유사한 점은 있지만, 그들은 조금도 연관되었다는 결정적인 증거는 없다고. "직접적인 관계 확인이 불충분하다는 점이 연관성이 없다는 최고의 증거를 지원하는 셈이다."   
 
두큐와 스턱스넷의 연계고리, '미약'
두큐 트로이 목마는 크립토그래피 & 시스템 시큐리티라 불리는 헝가리에 있는 연구소가 이번달 가장 먼저 발견했다. 지난 주 보고서에서 시만텍은 이 트로이 목마를 차세대 스턱스넷의 선도격이라고 불렀으며, 두큐는 스턱스넷과 많은 소스코드를 공유하며 같은 저작자에 의해 만들어진 것 같다고 말했다. 
 
시만텍은 스턱스넷과는 달리 두큐는 직접적으로 산업 제어 시스템을 타깃으로 하지 않는다고 지적했다. 주된 목적은 공격자가 산업 제어 시스템의 제조업체로부터 데이터를 훔친 다음 산업 제어 시스템에 대한 공격 술책을 사용할 수 있도록 도와주는 것이라고 말했다. 
 
그러나 델 시큐어웍스 CTO 존 램지는 두큐와 스턱스넷 사이에 나타나는 연계고리는 미약하게 나타난다고 반박했다. 
 
"두큐와 스턱스넷 모두는 여러 구성요소를 갖춘 정교한 악성코드 조각이다. 이런 구성 요소 가운데 단지 하나가 유사성을 갖고 있는 것이 전부"라고 설명했다.   
 
두큐와 스턱스넷 모두 커널 드라이브를 사용해 해독하며, 감염된 컴퓨터에서 특정 암호화된 파일을 로드(load)한다. 시큐어넷에 따르면, 이 커널 드라이브는 특정 프로세스에 파일을 로드하는 주입 엔진 역할을 한다. 스턱스넷과 두큐 모두 커널 드라이버가 파일을 숨기기 위한 루트 킷과 같은 암호화와 은폐 기술에서 많은 유사성을 가진다.
 
그러나 이 둘은 직접적인 연관성을 의미하는게 아니다. 렘지는 "커널 레벨의 루트 킷은 이전부터 사용하고 있었고, 스턱스넷이나 두큐만의 고유한 특성이 아니다. 이전에 발견된 블랙에너지(BlackEnergy) 2와 러스톡(Rustock)과 같은 악성코드 위협에서도 유사한 커널 레벨 루트깃이 사용됐다"고 말했다.   
     
그간 두큐의 커널 드라이브가 스턱스넷과 관련된 코드 서명 인증서를 사용해 서명했다는 것이 둘 간의 연관성이 있다는 표시로서 파악됐다. 렘지는 "여러 개의 소스를 얻을 수 있었던 두큐가 그 가운데 하나를 사용한 것만으로는 명확한 표시가 되지 못한다"며, "명확한 결론을 내리기 위해서는 누군가 두큐와 스턱스넷 모두의 증명서 소스가 같은 것임을 증명해야 한다"고 주장했다. 
 
스턱스넷과 두큐는 노는 수준이 다르다
두큐와 스턱스넷은 커널 드라이버의 유사성 이외에 거의 모든 면이 다르다고.  
 
두큐는 순수하게 데이터를 훔치기 위해 면역력이 없는 시스템에 원격 접속을 제공하도록 설계됐지만 스턱스넷은 산업 제어 시스템을 공격할 목적으로 만들어졌다. 두큐에는 산업 제어 시스템의 데이터를 훔치기 위해 설계됐다고 시사하는 바는 아무 것도 없다. 
 
스턱스넷은 네개의 제로데이 취약점을 악용하는데 반해 두큐는 그렇지 않다. 스턱스넷은 또한 P2P 기술을 사용하고 네트워크 공유를 통해 전파되는 반면에 두큐는 자체 번식을 위한 설계가 나타나지 않았다. 
 
또한 스턱스넷이 정보를 훔치기 위한 내장된 능력이 있지만, 두큐는 단지 추가적으로 데이터를 몰래 빼내오는 능력을 지녔을 뿐이다.   
 
스턱스넷과 두큐는 같은 레벨로 다룰만한 것이 못된다며, 5년전이었다면 두큐는 꽤 경이로웠을 것이지만 요즘은 이런 커널 레벨의 루트킷은 평범하다"고 말했다. editor@itworld.co.kr
 Tags 제로데이 스턱스넷 두큐 커널 드라이브

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.