현지 시각으로 2012년 8월 9일 해외 보안 업체 캐스퍼스키(Kaspersky)에서 블로그 "Gauss: Nation-state cyber-surveillance meets banking Trojan"와 함께 분석 보고서인 "Gauss:Abnormal Distribution"를 공개하였다.
이 번 캐스퍼스키에서 공개한 분석 보고서에서는 Gauss로 명명된 악성코드가 발견되었으며, 해당 악성코드들이 기존에 발견되었던 Duqu와 Stuxnet 변형으로 알려진 Flame과 유사도가 높은 것으로 밝히고 있다.
해당 Gauss 악성코드의 전체적인 구조는 아래 캐스퍼스키에서 공개한 이미지와 동일한 형태로 Duqu, Stuxnet 그리고 Flame과 유사한 모듈화된 형태를 가지고 있다.
이 번에 발견된 해당 Gauss 악성코드들의 특징은 다음과 같으며, Flame에서 발견되었던 특징들이 유사하게 발견되었다.
1) 2011년 9월에서 10월사이에 제작 및 유포된 것으로 추정, 제작 이후 수 차례 모듈 업데이트 및 C&C 서버 주소가 변경됨
2) 웹 브라우저 인젝션 이후 사용자 세션을 가로채는 기법으로 사용자 암호, 브라우저 쿠키 및 히스토리 수집
3) 감염된 PC에서 네트워크 정보, 프로세스, 폴더, BIOS와 CMOS 정보들 수집
4) USB를 이용 다른 PC로 전파되며 사용된 취약점은 Stuxnet에서 최초 악용되었던 "MS10-046: Windows 셸의 취약성으로 인한 원격 코드 실행 문제" 사용
5) Palida Narrow 폰트 설치
6) C&C 서버와 통신 후 수집한 정보들 모두 전송하고 다른 모듈들을 다운로드
그리고 해당 악성코드들이 수집하는 정보들은 다음과 같으며, Stuxnet과 같이 시스템 파괴 등의 목적보다는 정보 수집을 주된 목적으로 하고 있다.
1) 컴퓨터 명, 윈도우 버전, 실행 중인 프로세스 리스트
2) Program Files 폴더의 디렉토리 리스트
3) 감염된 PC의 인터넷 익스플로러 버전
4) 네트워크 및 DNS 정보
5) 쿠키를 검색해서 쿠키 중 다음 문자열이 있는지 검색 후 웹 페이지 접속시에 사용자 암호 추출
paypal, mastercard, eurocard, visa, americanexpress, bankofbeirut, eblf, blombank, byblosbank, citibank, fransabank, yahoo, creditlibanais, amazon, facebook, gmail, hotmail, ebay, maktoob
'악성코드 정보' 카테고리의 다른 글
| YSZZ 스크립트 악성코드의 지속 발견 (0) | 2012.08.14 |
|---|---|
| 다시 발견된 한글 취약점을 악용한 취약한 한글 파일 (0) | 2012.08.14 |
| SMS를 유출하는 ZitMo 안드로이드 악성코드 변형 발견 (0) | 2012.08.10 |
| 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 (0) | 2012.08.07 |
| ASEC 보안 위협 동향 리포트 2012 Vol.30 발간 (0) | 2012.08.06 |
댓글