보안

신종 제우스 봇넷, C&C 서버 필요없다 : 시만텍

Lucian Constantin | IDG News Service 2012.02.23
사이버 범죄자들이 C&C 서버가 필요없는 제우스 변형판을 사용하고 있는 것으로 나타났다. 
 
제우스는 사이버 범죄계에서는 큰 인기를 얻고 있는데, 문서에서부터 로그인 정보까지 감염된 시스템에서 다양한 정보를 훔쳐낼 수 있다는 것이 장점이다. 이 때문에 수년 동안 온라인 뱅킹 시스템을 노린 대부분의 사기범들이 제우수 봇넷을 이용해 왔다.
 
더구나 작년에는 인터넷 비밀 포럼에 소스 코드가 공개되어 수많은 서드파티 수정판과 개선판이 출현할 수 있는 길이 열렸다. 그리고 2011년 11월 보안 연구원들은 P2P 방식으로 한 곳의 감염된 호스트에서 다른 호스트로 공격자의 명령을 이어주는 기능을 가진 제우스 봇넷의 대대적인 변형 버전을 발견했다.
 
이 제우스 변형 버전도 훔친 데이터를 가져오거나 명령을 받기 위해서는 여전히 C&C 서버가 필요했지만, 서버가 다운됐을 때 P2P 시스템이 보완 메커니즘으로 작동하는 것이다.
 
하지만 이번에 시만텍이 발견한 새로운 변형판은 C&C 서버가 전혀 필요없는 것으로, 시만텍의 보안연구원 안드레아 렐리는 블로그 포스트를 통해 “진짜 서버가 한 대도 없는 경우에도 봇넷 상의 모든 피어가 C&C 서버처럼 동작할 수 있다”고 강조했다. 
 
렐리는 “봇들은 이제 다른 봇으로부터 명령이나 설정 파일, 실행 파일 등을 다운로드 할 수 있다. 모든 감염된 컴퓨터가 다른 봇에 데이터를 제공할 수 있다”고 설명했다.
 
이런 기능을 구현하기 위해 이번 제우스 변형판의 제작자는 ngnix 웹 서버를 제우스에 통합해 감염된 컴퓨터가 HTTP 프로토콜을 이용해 데이터를 주고받을 수 있도록 했다. 이로써 해당 봇넷은 외부의 공격에 대한 대응력이 한층 높아지는데, 이제 보안 연구원들이 공격해야 할 하나의 핵심 대상이 없어졌기 때문이다. 
 
또한 제우스트래커와 같은 봇넷 추적 시스템도 효과적으로 방어할 수 있다. 제우스트래커는 전세계의 제우스 C&C 서버를 추적해 IP 차단 목록을 제공하면서 상당한 성공을 거둔 것으로 평가되고 있는데, 이제 정확한 제우스 C&C IP 차단 목록을 만들어내기 어려워진 것이다. 
 
시만텍의 연구원들은 새로운 제우스 변형판이 악성 프로그램을 가짜 안티바이러스 프로그램처럼 배포하고 있는 것을 확인했다. 하지만 아직까지 C&C 서버가 없을 때 훔친 정보를 어떻게 공격자에게 전달하는지에 대해서는 밝혀지지 않았다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.