Offcanvas

보안

"두큐 작성 툴은?" 카스퍼스키 랩, 커뮤니티에 도움 요청

2012.03.12 Lucian Constantin  |  IDG News Service
카스퍼스키랩의 악성 프로그램 전문가들이 프로그래밍 커뮤니티에 도움을 요청했다. 두큐 트로이목마 바이러스의 핵심부를 작성하는 데 사용된 프로그래밍 언어와 컴파일러 또는 프레임워크를 밝혀 달라는 것. 카스퍼스키랩은 이를 통해 두큐를 누가 왜 만들었는가를 알아낼 수 있을 것으로 보고 있다.
 
카스퍼스키의 최고 맬웨어 전문가인 비탈리 캄룩은 “두큐를 검사했을 때 전혀 알 수 없는 것으로 보였고, 이런 매우 맞춤형으로 만들어진 것이 개발되고 사용되는 이유가 불분명하다는 점에서 매우 흥미로웠다”라고 설명했다.
 
악성 프로그램이 어떻게 만들어졌는지를 이해하는 것은 다음에는 어떤 식으로 변화할 것인지, 개발에 얼마나 많은 자원이 투여됐는지 등의 파악하는 결정적인 단서가 된다.
 
두큐의 일부인 실행 DLL은 표준 C++로 작성됐지만, 나머지 대부분은 다른 언어로 개발된 것이다. 카스퍼스키의 전문가 이고르 수멘코프는 이 낯선 코드의 특징에 대해 “이 부분은 C++ 소스로 컴파일하지 않았다. 표준 C++은 물론 다른 사용자 작성 C++ 함수에 대한 어떤 참고도 포함하지 않고 있다. 분명한 것은 객체 지향 언어라는 점 뿐”이라고 설명했다.
 
카스퍼스키의 연구원들은 이 부분을 “두큐 프레임워크”라고 부르며, 전혀 다른 프로그래밍 팀이 만들었을 것으로 보고 있다. 다른 부분은 스턱스넷에서 직접 가져와 사용했음에도 불구하고, 이 부분만은 스턱스넷에도 존재하지 않는다. 
 
수멘코프는 “이 알 수 없는 프로그래밍 언어는 분명히 C++, 오브젝티브C, 자바, 파이썬, 아다, 루아 등 우리가 이미 점검한 언어가 아니다”라며, 카스퍼스키의 연구팀이 이 코드 분석에 무수한 시간을 투여했다고 강조했다. 
 
카스퍼스키 연구원들은 이 코드에 대해 외부 업체의 전문가들과도 논의를 했지만, 수수께기를 푸는데 근접하지도 못했다. 캄룩은 “완전히 외계언어같다”고 덧붙였다.
 
마지막 수단으로 카스퍼스키 랩은 프로그램이 커뮤니티 전체에 도움을 호소하고 나선 것이다. 누군가 코드 구조를 알고 있어서 어떤 프레임워크와 툴킷, 언어가 사용됐는지 알아낼 수도 있다는 것이다.
 
카스퍼스키는 현재 다양한 의견을 접수하고 있는데, 여기에는 F, D, 아이언 파이썬, 하이레벨 어셈블리, 커먼 LISP, 발라, 심지어 정부 보안 프로젝트에 사용되는 RoseRT라는 의견까지 포함되어 있다.
 
캄푹은 “일반적으로 사용하는 프로그래밍 언어와 다양한 컴파일러를 확인하는 데 수주가 걸렸는데, 새로운 의견들을 확인하느 데도 상당한 시간이 걸릴 것 같다”고 덧붙였다.  editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.