Offcanvas

보안

몇 년에 걸쳐 만들어진 두쿠...조용한 스턱스넷

2011.11.14 Gregg Keizer  |  Computerworld
지난 금요일 새로운 트로이 목마 분석에 따르면, 두쿠를 만든 해커 그룹이 공격 코드를 만드는데 아마 4년이 넘게 작업을 해왔는지 모른다고 밝혔다.  
 
모스코바에 위치한 카스퍼스키 연구소는 최근 수단의 연구원들이 제공한 두쿠 샘플을 통해 얻어낸 최근 루팅 기록에서 몇 가지 발견한 사실을 알렸다. 이는 하나의 드라이버에는 2007년 8월 범죄단체 일과 관련된 공격 페이로드를 포함하고 있다는 사실이다. 

두쿠, 4년 전 범죄단체 공격 페이로드 포함
카스퍼스키 수석 연구원 로엘 스코웬베르그는 "특정한 날짜를 100% 확신할 수 없지만, 공격하는데 불을 붙인 다른 파일들과 조합된 날짜일 것으로 추정된다"며, "그래서 정확한 날짜를 알아내려고 노력한다"라고 말했다. 
 
스코웬베르그는 "그 2007년 8월 드라이브는 기존에 있었던 다른 파일로 만든 것이 아니라 공격을 한 그 그룹이 두쿠를 위해 특별히 만들어진 것처럼 보인다. 이 드라이버는 다른 곳에서는 발견되지 않았다"라고 덧붙였다. 
 
다른 연구원들은 2008년 2월 날짜에 만들어져 두쿠에 사용된 파일을 발견했다. 그러나 실제 공격은 2011년 4월까지 거슬러 추적할 수 있었다.  
 
카스퍼스키에 따르면, 한달 전에 발견된 수단에서 제공된 샘플은 그 국가에서 불특정 타깃에 대한 공격으로 보여졌는데, 윈도우 PC들에 대한 악성코드를 심기 위해 4월 17일, 4월 21일 두 번의 시도가 있었다고 보고했다.  
 
첫번째 공격은 악의적인 워드문서를 옮기기 위한 이메일 메시지가 스팸 필터에 의해 차단됐기 때문에 실패했고, 두번째에 성공했다.  
 
마이크로소프트는 두쿠가 PC를 위태롭게 할 수 있는 권한을 얻기 위해 악성코드를 설치하기에 충분한, 윈도우 커널 모드 드라이버 내부, 특히 W32.sys와 트루타입 폰트 분석 엔진의 취약점을 이용한 것이라고 확인했다. 
 
그럼에도 불구하고 마이크로소프트는 그 버그에 대한 패치를 아직 내놓지 않고 있으며, 고객들은 그들 자신을 보호하기 위해 그 폰트 파서를 사용하지 말 것을 권고받았다. 
 
카스퍼스키의 주목할만한 다른 발견은 여러 개의 두쿠 각각은 악성코드가 특정 타깃에 겨냥하기 전에 즉각적으로 고객이 만들어낸 파일셋을 컴파일해 공격한다는 점이다. 
 
스코웬베르그는 "이와 같은 사실은 꽤 저급하지만, 그들은 각각의 운영을 위해 맞춰진 독특한 파일을 사용하고 있다"며, "각각의, 그리고 모든 공격은 그 파일이 들어가 있는 그 곳의 명령과 제어 서버를 갖는다"라고 설명했다.  
 
그것은 그들이 매우 비즈니스 중심적이라는 것을 알려주며, 매우 전문적이고 세련됐다고 말했다. 

시만텍, 차세대 스턱스넷 선도격... 카스, 스턱스넷 발전 형태
카스퍼스키의 새로운 분석은 또다른 보안 업체, 두쿠의 존재를 처음으로 알린 시만텍에 의해 만들어진 몇 가지 분석과는 다르다. 이는 스코웬베르그와 시만텍 책임자와의 이견에서 나타났다. 
 
스코웬베르그는 "각각의 보안업체들은 다른 고객과 다른 접점을 갖고 있으며, 샘플을 제한적으로 공유하고 있다. 우리는 단지 두쿠 코드를 가장 빨리 발견했을 뿐"이라고 피력했다. 
 
이에 대해 시만텍은 답변했다. 
시만텍의 보안 대응팀 기술 책임자 에릭 치엔은 이메일을 통해 "그것은 두쿠의 다양한 변종과 샘플에 비춰진 것들을 카스퍼스키연구소가 간단히 분석한 것"이라고 전했다.  
 
따라서 우리는 "시만텍의 분석과 카스퍼스키가 내놓은 분석 사이의 충돌이라고 믿기에는 이유가 되지 못한다. 그들의 분석은 좀더 빠른 날짜에 알려진 초기 버전을 기반으로 한 것"이라고 밝혔다. 
 
시만텍은 두쿠와 다른 것들은 지난해 이란의 핵 프로그램을 방해한 고도의 지능적인 웜 바이러스인 스턱스넷의 차세대 선도격이 될 것으로 규정했다. 
 
카스퍼스키는 확고하게 스턱스넷 진영과의 연결점에서 몇 가지에 대해 이의를 제기했다.  
 
스코웬베르그는 "새로운 분석은 두쿠가 스턱스넷 뒤에 있는 동일 인물에 의해 만들어진 것임을 더더욱 확신이 들게끔 했다"라고 주장했다. 
 
스턱스넷은 공격 툴이며, 두쿠는 지능적으로 운영을 획득하려는 일부로 설계됐다는 것은 확실히 다르지만, 스코웨베르그는 좀더 많은 유사점이 있다. 그 중 한 가지는 스턱스넷과 두쿠의 감염 프로세스인데, 스턱스넷의 저작자는 그들이 편지에 적용한다는 중요한 교훈을 보여줬다고 말했다. 
 
그들은 매우 시끄러운 스턱스넷으로부터 배웠다. 이란 핵 시설에 잠입하려는 시도에 방해가 된 것은 너무 열성적인 공격자로 인해 웜 바이러스가 폭넓게 감염됐기 때문이라는 점을 감안했다. 
 
두쿠는 조심스러운 접근 방법을 취했다. 단지 패치가 되지 않거나 윈도우 취약점 제로데이를 악용할 뿐이며, 네 개의 구성 요소는 스턱스넷에 의해 사용됐다. 
 
스코웬베르그는 "두쿠는 매우 지능적이었다. 몇 가지 실수는 스턱스 넷에서 만들어진 것이며, 그 실수들이 현재의 두쿠에 이르게 했다"라고 말했다. editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.