스파이웨어, 내안에 "웜" 있다.
스파이웨어를 포함한 악성코드의 진화는 시간이 갈수록 더욱 지능적으로 변화되고 악성코드 보안 업체와의 줄다리기는 지금도 끊임없이 계속되고 있다. 스파이웨어들이 자신을 은폐할 목적으로 루트킷(RootKit)을 사용하고 있으며, 최근에는 자신을 전파할 목적으로 웜(Worm)의 기능이 추가되는 경향이 있다. 온라인 게임계정 유출목적의 스파이웨어가 윈도우 취약점을 공격하여, 이를 이용하여 확산을시도하는 웜 기능이 추가된 악성코드가 발견되어 주의가 요망된다. 웜을 이용하여 다른 악성코드를 다운로드 하거나 스팸메일을 발송하는 사례는 다수 발견되었으나, 사용자의 중요 정보를 유출하기 위한 스파이웨어가 자체적으로 다른 시스템으로 확산, 감염시키기 위한 목적으로 웜 기능을 추가한 것은 복합 공격이 증가할 것이라는 예상을 반영하는 사실로 생각할 수 있다.
[그림 2-1] Win-Downloader/PWS.KorGame.48019 의 공격 개요
[그림 2-1]은 MS06-040 취약점을 이용하여 원격 PC의 실행권한을 얻어 특정서버에서 파일을 다운로드하고 다운로드 받은 파일을 실행하는 흐름을 그림으로 표현한 것이다. 온라인 게임계정 유출을 목적으로 하는 스파이웨어를 설치하고 실행하는 다운로더 코게임(Win-Downloader/PWS.KorGame.48019)은 IE 취약점을 이용하여 중국발 해킹에 의해 변조된 웹사이트를 통하여 사용자 시스템에 감염되는데 여기서 그치지 않고 다른 시스템으로 확산하기 위하여 MS06-040 취약점 공격코드를 이용하는 웜의 특징을 가지고 있다. 이전에는 IE 취약점 패치가 적용되지 않은 사용자가 공격코드가 포함된 웹 페이지를 방문하여야만 감염되었지만, 웜 기능이 추가 되면서 더욱 능동적인 확산을 노리고 있다. 목적은 다른 온라인게임 계정 유출 스파이웨어와 마찬가지로 중요 사용자 정보의 획득이며, 이를 통한 금전적인 이익을 노리고 있다.
MS06-040 취약점은 윈도우 시스템에서 RPC 지원과 네트워크를 통한 파일 인쇄 및 명명된 파이프 공유를 제공하는 윈도우 기본 서비스인 서버 서비스(srvsvc.dll)에서 RCP Call 요청시 특정 서비스에서 버퍼를 올바르게 체크하지 않아 버퍼 오버플러우 취약점이 존재한다. 공격자는 이 취약점을 이용하여 시스템의 관리자 권한을 획득할 수 있다.
MS06-040 취약점은 윈도우 시스템에서 RPC 지원과 네트워크를 통한 파일 인쇄 및 명명된 파이프 공유를 제공하는 윈도우 기본 서비스인 서버 서비스(srvsvc.dll)에서 RCP Call 요청시 특정 서비스에서 버퍼를 올바르게 체크하지 않아 버퍼 오버플러우 취약점이 존재한다. 공격자는 이 취약점을 이용하여 시스템의 관리자 권한을 획득할 수 있다.
[그림2-2] MS06-040 취약점 코드
[그림 2-2]는 다운로더 코게임의 MS06-040 취약점을 이용한 쉘코드(Shell-Code) 부분을 바이너리 덤프한 화면으로, 오른쪽 부분의 ASCII 문자열을 살펴보면 쉘코드 중간에 쓰레기 값이 들어 있어 기계적으로 쉽게 찾아내거나 판단할 수 없도록 하였는데, 이는 안티 바이러스 또는 안티 스파이웨어 제품들이 문자열 패턴 진단법을 사용하는 경우 진단을 회피하기 위한 방법을 사용한 것이고, 쉘코드를 호출하는 페이로드(PayLoad)는 암호화하는 등 다양한 기법이 사용되었다.
복합공격의 증가와 함께 검증되지 않은 프로그램에 의하여 바이러스나 트로이목마와 같은 악성코드에 감염되는 사례가 증가하고 있다. 특히 스파이웨어의 경우 그 자체가 위협적이기도 하지만 바이러스에 감염된 채로 배포되는 경우 예상치 못한 시스템 감염을 일으킬 수 있으므로 주의가 필요하다. 허위 안티-스파이웨어 프로그램인 닥터제로(Win-Ad ware/Rogue.DrZero )의 경우 인터넷 게시판이나 블로그 등의 불특정 웹사이트에서 ActiveX 형태로 사용자 동의없이 설치되고 실행된다. 허위 안티-스파이웨어 프로그램은 무료 악성코드 치료, 컴퓨터 최적화 등의 문구를 ActiveX 보안 경고창에 삽입하고 설치를 유도하는 것이 일반적이며, 일반 사용자의 경우 무심코 설치하는 것이 일반적이다. 문제는 닥터제로의 구성요소가 이미 바이럿(Win32.Virut )에 감염되어 배포되었기 때문에 다른 정상 실행파일까지 바이럿에 감염되는 피해를 입을 수 있다. 2007년 2월에 발견된 스파이웨어 네마리(Win-Spyware/Nemari)의 경우에도 ActiveX로 설치되는 스파이웨어이며, 바이럿에 감염된 상태로 배포되었다. 스파이웨어나 애드웨어뿐만 아니라 신뢰할 수 없는 프로그램으로 인하여 바이러스와 같은 악성코드에 감염될 위협은 항상 존재하며 이에 대한 각별한 주의가 요망된다.
복합공격의 증가와 함께 검증되지 않은 프로그램에 의하여 바이러스나 트로이목마와 같은 악성코드에 감염되는 사례가 증가하고 있다. 특히 스파이웨어의 경우 그 자체가 위협적이기도 하지만 바이러스에 감염된 채로 배포되는 경우 예상치 못한 시스템 감염을 일으킬 수 있으므로 주의가 필요하다. 허위 안티-스파이웨어 프로그램인 닥터제로(Win-Ad ware/Rogue.DrZero )의 경우 인터넷 게시판이나 블로그 등의 불특정 웹사이트에서 ActiveX 형태로 사용자 동의없이 설치되고 실행된다. 허위 안티-스파이웨어 프로그램은 무료 악성코드 치료, 컴퓨터 최적화 등의 문구를 ActiveX 보안 경고창에 삽입하고 설치를 유도하는 것이 일반적이며, 일반 사용자의 경우 무심코 설치하는 것이 일반적이다. 문제는 닥터제로의 구성요소가 이미 바이럿(Win32.Virut )에 감염되어 배포되었기 때문에 다른 정상 실행파일까지 바이럿에 감염되는 피해를 입을 수 있다. 2007년 2월에 발견된 스파이웨어 네마리(Win-Spyware/Nemari)의 경우에도 ActiveX로 설치되는 스파이웨어이며, 바이럿에 감염된 상태로 배포되었다. 스파이웨어나 애드웨어뿐만 아니라 신뢰할 수 없는 프로그램으로 인하여 바이러스와 같은 악성코드에 감염될 위협은 항상 존재하며 이에 대한 각별한 주의가 요망된다.
발췌 : 안철수연구소 (2007/04/27)
댓글 없음:
댓글 쓰기