• Home>홍보 > 보도자료
새로운 봇넷 `Kneber`의 정체란?
작성자 : 관리자
날짜 : 16-08-22 17:19     Hit : 1535    
새로운 봇넷 `Kneber`의 정체란?
- 봇넷 `Zeus`의 일종으로, 어둠 속에서 활동 -

2010년 2월 말 이후, 봇넷 `Kneber`는 순식간에 이름을 날렸다. 떠오르는 이 멀웨어의 정체를 밝히기 위해 수많은 정보와 추측이 난무했다. 그러나 Kneber는 새로운 봇넷이 아니라 봇넷 `Zeus`의 아종 중 하나로, 특정한 어떤 Zeus를 단순히 개조한 것으로 밝혀졌다. 즉 Kneber는 이미 용이주도하게 준비되어 있던 것으로, 이미 활발히 활동하고 있는 Zeus의 일종에 지나지 않는 것이다.






어떤 위협인가

■ 여러 얼굴을 지닌 봇넷 Zeus



그림1 전형적인 Zbot의 감염경로


이 위협은 `Zbot` `Wsnpoem` `Prg` `Troj_Agent` 등의 이름으로 알려져 있으며, 최신 이름이 `Kneber`다. 결국 Zeus가 오늘날 가장 악질적인 봇넷인 것에는 변함이 없다. Zeus는 2005년부터 세상에 떠돌기 시작해 피싱 페이지 작성용 툴킷 판매로 악명높은 사이버 범죄조직 `Rock Phish`에 이용되면서 2008년 처음으로 주목을 받게 되었다. 그리고 이와 함께 Zeus의 책략에도 변화가 나타났다. 사이버 범죄자는 사용자의 컴퓨터에 정보수집형 멀웨어를 주입한다는 수법을 이용해 간단히 정보수집을 가능하게 한 것이다. 이렇게 봇넷 Zeus의 본격적인 활동이 시작되었다.

트렌드 마이크로에서는 2007년 이래 봇넷 Zeus 및 Zbot군을 계속해서 감시하고 있다. 현 시점에서 2,000개 이상의 Zbot이 탐지되고 있으며, 지금도 그 수는 날마다 늘어나고 있다. 트로이목마형 멀웨어 Zbot은 은행 관련 데이터를 수집하는 것으로 알려져 있다. 그 중 몇 개는 `Avalanche`로도 알려진 Fast-flux형 봇넷을 이용해 활동을 확대하는 것이 확인되고 있다. 초기의 Zbot 아종은 표적으로 하는 특정한 기업이 없었고, 보통 합법적인 기업을 가장한 스팸메일을 경유해 배포되었다. `디지털 증명서` `가짜 지불기록 검색툴` `가짜 Facebook 로그인 페이지`라는 다양한 함정을 이용하고 있었으나 Zbot의 최대 목적은 단 하나, 온라인뱅킹 계좌정보를 수집하는 것이었다. 이러한 무차별적인 수법은 범죄자들의 범죄 활동에 공을 세우고 있으나 범죄자들은 현재 결과에 만족하지 않고 날마다 더 성공적인 수법을 고안해내고 있다.


■ 계속해서 진화하는 Zbot

2005년 Zbot이 확인된 이래 범죄자들은 항상 Zbot의 기능 강화를 강구해왔다. 이는 Zbot이 세상에 떠돌면서 실시된 수많은 업그레이드를 보면 확실히 알 수 있다. Kneber가 순식간에 75,000대의 컴퓨터에 감염되었다는 사실은 그들이 이 봇넷의 진화를 멈출 생각이 없다는 것을 말해준다.

Zbot의 아종은 보통 압축파일 형태로 컴퓨터에 침입한다. 이로인해 코드 해석 및 검증이 어려워진다. 최근에는 더 복잡해진 압축툴을 이용해 압축을 시도하고 있다. 표적으로 하는 단체 및 감시 사이트 리스트도 계속해서 증가하고 있다. 과거에는 대부분 은행 사이트가 감시 리스트에 올랐으나 요즘에는 `Facebook` `Myspace` `Orkut` 같은 소셜 네트워크 사이트(SNS)도 `eBay`라는 전자상거래 사이트와 함께 리스트의 상당한 부분을 차지하고 있다. 이러한 경향의 멀웨어는 트렌드 마이크로에서 `TSPY_ZBOT.ILA` `TSPY_ZBOT_ILB` `TSPY_ZBOT.ILC`라는 이름으로 탐지된다.

스팸 전송자는 갈수록 대담한 활동을 펼치고 있으며, 멀웨어 상위 리스트 대열에 합류하기 위해 새로운 수법을 적극적으로 찾아내고 있다. 그 중 하나는 기업 IT 관리자가 보낸 것으로 가장한 스팸메일 활동이다(그림2). 이 스팸메일의 발신자, 수신자 모두 실제 기업 도메인명이 이용되었다. 또 하나는 미국 대통령 자문기관인 `National Intelligence Council(국가정보회의)`가 보낸 것으로 가장한 스팸메일 사례다. 이 스팸 활동에서는 우선 행정기관을 나타내는 탑 레벨 도메인 `gov`나 미 국방부 전용 탑 레벨 도메인 `mil`이 포함된 이메일 주소를 이용하는 조직 및 사람들을 표적으로 했다. 이처럼 Zbot은 자신들의 사냥감을 선택할 수 있을 정도로 진화하고 있다.



그림2 실제 기업 도메인명을 이용한 오더메이드(Order-maid) 스팸메일



■ 잠깐의 명성으로 끝난 Kneber

`Kneber`라는 이름은 Kneber 관련 Zbot의 활동에 이용되는 이메일 주소 `HilaryKneber[at]yahoo.com`에서 유래되었다. 여기에서 주목해야 할 점은 이 주소가 `머니뮬(Money-mule)`(해외에 있는 범죄자에게 자금을 송금하는 자금운반책)을 이용한 피싱사기에 사용되고 있으며, 또 멀웨어 감염경로로서 이용되는 여러 도메인과 관련이 있다는 점이다. 즉, 이는 Kneber가 Zeus의 장기적인 활동에 있어서 새로운 존재가 아니라는 것을 나타낸다. 그러나 이 Kneber가 각광을 받음으로써 우리는 정보수집형 멀웨어가 계속해서 건재하다는 심각한 사실을 바로 눈앞에서 확인하게 되고 말았다.

트렌드 마이크로가 2009년 12월에 발표한 보안백서 `The Future of Threats and Threat Technologies: How the landspace is Changing`에서는 지하경제가 번성해 더욱 많은 범죄자를 끌어당기는 한, 적어도 당장은 봇의 활동을 막을 수는 없다고 말하고 있다.






어떤 위험에 노출되는가

앞서 말한 것처럼 사이버 범죄자는 은행이나 금융기관, SNS, 전자상거래 사이트의 리스트를 만들어 ID-비밀번호 같은 온라인뱅킹 관련 정보를 수집하고자 한다. Zbot군은 윈도우 타이틀이나 주소표시줄의 URL과 같은 정보를 기록하고, HTTP든 HTTPS든 사용자의 인터넷 열람 활동을 감시한다. 이로인해 사용자의 계정정보는 위험하게 노출되고 악용될 우려가 생긴다. 또한 머니뮬을 이용한 수법에 수집된 정보가 이용될 가능성도 있다. 때문에 사용자는 Zbot의 위협을 인지하고 `정보는 곧 돈`이라는 사실을 잊지 말아야 한다.






트렌드 마이크로의 솔루션과 어드바이스

■ 다층적 종합 방어 보안기술 `트렌드 마이크로 스마트 프로텍션 네트워크`

Trend Micro Smart Protection Network(SPN)은 기존의 어프로치보다 더욱 앞선 보안대책을 제공하고 있다. SPN은 트렌드 마이크로의 다양한 솔루션 및 서비스에서 이용되고 있으며, 트렌드의 독자적인 클라우드형 기술과 경량의 클라이언트 아키텍처를 조합해 사용자가 어디에 접속해 있든 그 개인정보를 즉석에서 자동으로 보호한다. SPN은 웹 레퓨테이션 기술, 이메일 레퓨테이션 기술 및 파일 레퓨테이션 기술을 통해 필요한 보안대책을 식별하고 이를 상관분석함으로써 종합적인 방어를 가능하게 하는 보안기술이다.

이번 공격은 SPN의 이메일 레퓨테이션 기술을 통해 공격과 관련된 모든 스팸메일을 차단한다. 또 웹 레퓨테이션 기술을 통해 사용자가 접속하기 전에 악성 도메인 및 서브 도메인으로 확인된 웹사이트를 차단한다. 차단되는 웹사이트에는 Zbot 카피의 업데이트판 바이너리 파일, 페이로드 및 환경설정 파일을 다운로드하는 2개의 웹사이트도 포함된다. 또한 파일 레퓨테이션 기술을 통해 Zbot에 관련된 모든 악성 파일을 탐지해 제거한다.


■ 봇넷 전용 솔루션 트렌드 마이크로 `좀비PC 탐지 및 치료솔루션`

기업의 경우, 봇넷 전용 솔루션을 사용하는 것이 좋다. 트렌드 마이크로의 `좀비PC 탐지 및 치료솔루션(Threat Management Solution, TMS)`은 SPN과 연계해 봇을 탐지하고 자동으로 치료하는 데 특화된 장비다. 감염PC(좀비PC)에 침입한 봇은 기존의 바이러스와는 달리 네트워크 통신을 통해 활동하거나 다른 프로그램이 구동할 때 편승해 활동하기 때문에 일반적인 바이러스 스캔 방식으로는 탐지가 어렵다. 또한 탐지를 하더라도 많은 사용자의 PC를 일일이 대응하기가 어려워 봇의 치료 또한 어려운 과제였다.

트렌드 마이크로 솔루션은 사용자 PC에 설치된 에이전트 프로그램을 통해 중앙에서 자동으로 봇을 제거하는 특징을 갖고 있다. 특히 사용자 PC에 설치되는 치료 솔루션은 시스템 리소스를 거의 차지하지 않으며, 타 백신 프로그램들과 충돌사례가 없음은 물론 오진의 경우에도 일선 관리자들이 조치를 취할 수 있도록 설계되어 있다.





Unknown column `125l` in `where clause`


번호 제목 작성자 등록일 조회수
13 정보 탈취 악성코드가 관리자 정보까지 노린다. 관리자 08-22 1425
12 엑스게이트 뉴스레터 제 10호 관리자 08-22 1357
11 제4회 사이버 침해 대응에 따른 Security Fair 관리자 08-22 1419
10 트렌드마이크로 - 625 DDoS 분석 보고서 관리자 08-22 1220
9 2011 대경 정보보호 세미나_06 관리자 08-22 1349
8 2011 대경 정보보호 세미나_05 관리자 08-22 1317
7 2011 대경 정보보호 세미나_04 관리자 08-22 1335
6 2011 대경 정보보호 세미나_03 관리자 08-22 1321
5 2011 대경 정보보호 세미나_02 관리자 08-22 1250
4 2011 대경 정보보호 세미나_01 관리자 08-22 1334
3 새로운 봇넷 `Kneber`의 정체란? 관리자 08-22 1536
2 좀비폰, DDoS 공격에 나서다... 관리자 08-22 1363
1 치명적인 봇넷의 위험, 알고 계시나요? 관리자 08-22 1440
1 2 3 4 5 6 7
and or