본문 바로가기
악성코드 정보

트위터를 이용한 악의적인 봇넷 구성과 조정

by 알 수 없는 사용자 2011. 10. 27.
2010년 5월 13일 미국 보안 업체 썬벨트(Sunbelt)에서 해당 업체 블로그 "The DIY Twitter Botnet Creator"를 통해 유명 SNS(Social Network Service)인 트위터(Twitter)를 이용하여 봇넷(BotNet)을 구성하고 악의적인 명령을 수행 할 수 있는 트위터 봇넷 생성기가 발견된 것이 알려졌다.

트위터를 이용한 악의적인 봇넷 구성과 조정은 이 번에 발견된 것이 처음은 아니며
2009년 8월 베이스64(Base64)으로 인코딩한 트위터 메시지를 통해 봇넷을 조정한 사례가 발견되었으며 이와 유사하게 2009년 9월 구글(Google) 그룹스(Groups) 서비스를 이용한 봇넷 조정 사례도 발견되었다.

이번에 알려진 트위터 봇넷 생성기는 최초 썬벨트에서는 하나의 종류만 발견된 것으로 알려졌으나 ASEC에서 추가적인 조사와 분석을 진행하는 과정에서 다수의 악의적인 봇넷 생성기가 존재하는 것이 발견되었다.

이번에 발견된 트위터 봇넷 생성기는 썬벨트에서 공개한 것과 같이 아래 이미지처럼 간단하게 공격자가 임의로 생성한 허위 트위터 계정만을 입력 받아 생성되는 형태가 존재한다.



그러나 아래 이미지에서와 같이 허위 트위터 계정을 받고 공격자가 어떠한 공격 형태를 이용할 것에 대한 구체적인 정보와 설정이 존재하는 형태도 존재하였다.



이러한 트위터 봇넷 생성기를 통해 생성되는 악성코드들은 모두 비주얼 C#을 이용하여 제작되었으며 아래 이미지에서와 같이 내부에 실행시에 접속할 공격자에 의해 생성된 허위 트위터 계정의 주소를 가지고 있다.


그리고 트위터 봇넷 생성기를 통해 생성된 악성코드들은 크게 다음과 같은 악의적인 명령들을 수행하게 된다.

1. 파일 다운로드 및 실행
2. UDP 프로토콜을 이용한 분산 서비스 거부 공격(DDoS)을 수행
3. 지정한 웹 사이트에 강제 접속 시도
4. 텍스트 메시지를 음성 신호 전송
5. 실행 종료 및 악성코드 본체 삭제

이외에도 언더그라운드에서는 아래 이미지와 같이 허위 트위터 계정을 통해 스팸(Spam) 메시지를 전송하는 형태의 툴들도 다수 개발되어 공유 되고 있었다.



이러한 트위터 봇넷 생성기를 통해 생성된 악성코드들은 타켓(Targeted) 공격 또는 취약한 웹 사이트들을 통해 유포 될 것으로 추정된다.

현재 트위터 내부에서 삭제된 터위터 봇넷 생성기와 관련된 허위 트위터 계정들이 다수 존재하고 있는 것으로 미루어 해당 트위터 봇넷 생성기들을 이용한 악의적인 공격들이 있을 것으로 추정된다.


이번에 발견된 트위터 봇넷 생성기들을 통해 생성된 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Twitbot.179712
Win-Trojan/Twitbot.179200
Win-Trojan/Twitbot.88576

이러한 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저 또는 웹 사이트 링크를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글