20010년부터 금융 정보 탈취를 위한 목적으로 제작되어 유포 되었던 제우스 봇(Zeus Bot)은 2011년 5월 제우스 봇 제작을 위한 소스코드(Source Code)가 유출 된 이후로 그 변형들의 급격한 제작이 증가될 것으로 많은 보안 업체들을 우려를 하였다.
현지 시각으로 2011년 8월 24일 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 "Ice IX, the first crimeware based on the leaked ZeuS sources"를 통해 새롭게 발견된 아이스 IX 봇(Ice IX Bot)이 5월에 유출된 제우스 봇의 소스코드를 기반으로 제작된 것이라는 사실을 공개하였다.
이번에 발견된 아이스 IX 봇은 러시아인으로 추정되는 인물에 의해 제작이 되었으며, 아래 이미지와 같이 언더그라운드 포럼에 아래와 같이 자신이 제작한 아이스 IX 봇을 판매한다는 게시물을 공개하고 있다.
해당 게시물을 통해 아이스 IX 봇은 유출된 제우스 소스코드를 기반으로 제작된 것임을 밝히고 있으며, 아이스 IX 봇을 생성하기 위한 빌더(Builder)와 원격 제어가 가능한 웹 기반의 팬널(Panel)을 합쳐 600 달러(한화 약 660,000원)에 판매한다. 그리고 아이스 IX 봇의 제작 횟수 제한이 없는 빌더는 1800 달러(한화 약 1,980,000원)에 판매한다고 명시 해두었다.
해당 게시물을 통해 아이스 IX 봇은 유출된 제우스 소스코드를 기반으로 제작된 것임을 밝히고 있으며, 아이스 IX 봇을 생성하기 위한 빌더(Builder)와 원격 제어가 가능한 웹 기반의 팬널(Panel)을 합쳐 600 달러(한화 약 660,000원)에 판매한다. 그리고 아이스 IX 봇의 제작 횟수 제한이 없는 빌더는 1800 달러(한화 약 1,980,000원)에 판매한다고 명시 해두었다.
그리고 아이스 IX 봇 제작자 공개한 원격제어를 위한 웹 기반의 팬널은 아래와 같은 이미지 형태들을 가지고 있으며, 기존에 발견된 제우스 봇 또는 스파이아이 봇(Spyeye Bot)의 원격 제어 웹 기반 팬널들과 큰 차이 없이 유사한 형태를 띄고 있다.
아이스 IX 봇의 기본적인 동작은 기존에 알려진 제우스 봇과 유사한 동작을 하고 있으며, 감염된 시스템에 존재하는 정상 프로세스인 explorer.exe의 메모리 영역에 자신의 코드 전체를 삽입하도록 되어 있다.
정상 프로세스인 explorer.exe의 메모리 영역에 삽입된 아이스 IX 봇은 자신의 코드 전체를 아래 이미지와 같이 삽입하도록 되어 있으며, 해당 정상 프로세스를 이용하여 외부에 위치한 원격 제어를 위한 C&C(Command and Control) 서버에 접속을 시도한다.
원격 제어를 위한 C&C(Command and Control) 서버에 접속을 시도하여 성공하게 될 경우에는 아래 이미지와 같이 감염된 시스템에 대한 정보를 전송하고 악성코드 제작자가 지정한 특정 명령을 수신하게 된다.
이 번에 발견된 아이스 IX 봇의 기본적인 동작은 제작자가 밝히고 있는 바와 같이 제우스 봇 악성코드와 유사한 형태를 가지고 있으며 그 외에 제작자 의도한 원격 제어외에 다양한 기능들을 수행하도록 되어 있다.
아이스 IX 봇의 기본적인 동작은 기존에 알려진 제우스 봇과 유사한 동작을 하고 있으며, 감염된 시스템에 존재하는 정상 프로세스인 explorer.exe의 메모리 영역에 자신의 코드 전체를 삽입하도록 되어 있다.
정상 프로세스인 explorer.exe의 메모리 영역에 삽입된 아이스 IX 봇은 자신의 코드 전체를 아래 이미지와 같이 삽입하도록 되어 있으며, 해당 정상 프로세스를 이용하여 외부에 위치한 원격 제어를 위한 C&C(Command and Control) 서버에 접속을 시도한다.
원격 제어를 위한 C&C(Command and Control) 서버에 접속을 시도하여 성공하게 될 경우에는 아래 이미지와 같이 감염된 시스템에 대한 정보를 전송하고 악성코드 제작자가 지정한 특정 명령을 수신하게 된다.
이 번에 발견된 아이스 IX 봇의 기본적인 동작은 제작자가 밝히고 있는 바와 같이 제우스 봇 악성코드와 유사한 형태를 가지고 있으며 그 외에 제작자 의도한 원격 제어외에 다양한 기능들을 수행하도록 되어 있다.
제우스 봇의 유출된 소스코드를 기반으로 제작된 것으로 알려진 아이스 IX 봇은 V3 제품군에서 다음과 같이 진단하고 있다.
Win-Trojan/Zbot.99840.BC
다양한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
'악성코드 정보' 카테고리의 다른 글
| 윈도우 사용 인증으로 위장한 랜섬웨어 (0) | 2011.10.27 |
|---|---|
| 클라우드 백신으로 위장한 허위 백신 발견 (0) | 2011.10.27 |
| 다양한 조직을 대상으로한 오퍼레이션 Shady RAT 침해 사고 (0) | 2011.10.27 |
| 트위터로 신용카드 결제를 유도하는 스팸 메시지 유포 (0) | 2011.10.27 |
| 신용 카드 결제 오류 메일로 위장한 악성코드 유포 (0) | 2011.10.27 |
댓글