연합뉴스에 흥미로운 기사가 떴습니다.


- 펜타곤 공격 악성코드 '멸종은 커녕 진화'
http://www.yonhapnews.co.kr/international/2011/06/17/0608000000AKR20110617088900009.HTML 



익명을 요구한 미 국토안보부 관계자는 지난 2008년 미 중앙사령부 컴퓨터 시스템을 뚫고 들어온 악성코드 Agent.BTZ가 현재도 퍼지고 있으며 형태는 더욱 다양하게 변형되었다고 16일 밝혔다고 합니다.


어떤 악성코드 인지 검색해 봤습니다.

USB 메모리로 전파되는 Autorun 웜이네요.


- US Army bans USB devices to contain worm (The Register)
http://www.theregister.co.uk/2008/11/20/us_army_usb_ban/

- Agent.btz - A Threat That Hit Pentagon
http://blog.threatexpert.com/2008/11/agentbtz-threat-that-hit-pentagon.html

- Worm:W32/Agent.BTZ (F-Secure)
http://www.f-secure.com/v-descs/worm_w32_agent_btz.shtml

맥아피 자료에 따르면 러시아를 의심할 만하네요.

Agent.btz 감염 분포(맥아피)

맥아피에 따르면 Agent.btz는 러시아와 미국에 가장 널리 전파되어 있음



이 웜은 USB 메모리를 통해서 전파됩니다.

다음과 같은 사항을 알 수 있습니다.

1. 미국 정부쪽도 USB 메모리 반입을 완벽하게 막지는 못하고 있음

바보가 아니라면 미국방부 컴퓨터가 외부 인터넷과 연결되어 있지는 않겠죠.
당연히 내부망이 있을 텐데 Stuxnet 처럼 외부망과 분리된 망에서는 USB 메모리를 통한 전파가 최고 인 듯 합니다.

USB 메모리 반입을 차단하지 않고 있다면 생각보다 보안이 철저하지 않고 금지했는데 들고 왔다면 역시 다른나라 사람들도 말 안듣네요.
- 매번 느끼지만 최고의 취약점은 인간취약점입니다.


2. 타겟 공격 ?!

제 생각에는 러시아, 미국 감염 비율이 높은데 타겟 공격이라기 보다는 그냥 러시아에서 제작된(추정) 악성코드가 미국으로 흘러 들어간게 아닐까 싶네요.

분석 결과를 봐도 시스템 정보 유출형은 없어 보입니다.
보통 타겟공격의 경우 저렇게 널리 퍼지지는 않습니다.


3. 새로운 변형 ?!

이런 내용이 있네요.

'새로운 코드를 다운로드받아 고유의 특징을 계속 바꾸면서 중앙 네트워크의 백신(Anti-virus)프로그램을 회피하고 있다'

이 악성코드는 패킹 되어 있지도 않습니다. 웹사이트를 통해서 다운로드 하는 형태로 자신을 업데이트 할 수 있겠죠.

이점은 미국방부도 외부 인터넷과 완전히 분리되지 않았다고 생각할 수 있고 (인터넷은 할 테니까)
하지만, 그렇게 생각하기에는 미국방부가 너무 보안에 취약하다고 볼 수 있고요.

다른 변형이 계속 유입되는게 아닐까 싶네요.

ThreatExpert 결과를 보면 변형이 참 많이 있네요.
(주소 : http://www.threatexpert.com/reports.aspx?find=update/img0008)



결국...



미국국방부도 악성코드에 감염된 USB 메모리를 들고 들어가는 인간 취약점을 막지는 못하고 있다 정도로 봐야겠네요. 그리고, 미 국방부에 이 악성코드만 있을거라고 생각하지 않습니다.

어차피 그곳에서 보안에 신경쓰지 않거나 잘 모르는 사람들이 컴퓨터를 사용하는 곳일테니까요 ^^
일부 사람들은 망분리되면 안전하다고 생각하고 미국인데라고 생각하겠지만...
보안 앞에서는 그런 환상을 버리는게 좋을 듯 합니다.



참고로 V3 진단명은 Win-Trojan/Autorun.184320 (2008.11.24.01 이후 엔진에서 진단)입니다.
 
신고
Posted by mstoned7

댓글을 달아 주세요

  1. 철이 2011.06.17 23:08 신고  댓글주소  수정/삭제  댓글쓰기

    오..계속 변형하며 탐지를 회피한다하여 궁금했는데..좋은글 감사합니다.ㅋ
    그런데 주요기능은 같으면서 바뀌는거라면 ASD&DNA진단 같은것이 잡을 확률이 높겠군요?
    그리고 위에 변형들에 관해서는 v3가 모두 진단하는지요^^

    • mstoned7 2011.06.18 00:37 신고  댓글주소  수정/삭제

      일반적인 악성코드라면 generic detection으로 다수 변형에 대해 진단 가능합니다. 하지만, 악성코드 제작자가 백신 프로그램을 테스트하고 만든다면 쉽지 않습니다. 실제로 V3의 경우 Winsoft에 대해 포괄진단 기능을 넣고 있지만 제작자도 알고 계속 변형해 50개 이상의 포괄진단이 있을 정도니까요.

      모든 변형을 진단하는지는 확인하지 못했습니다. 아마 하겠죠 (라고 말하고 싶네요 ㅎㅎ)

  2. 하나뿐인지구 2011.06.20 10:28 신고  댓글주소  수정/삭제  댓글쓰기

    미국서...트러스트가드 같은 거나...백신,방화벽 사용 및...
    usb 차단 같은 건...안 하나요?...
    ...
    아니면...
    농협처럼...노트북 해킹인지...
    현o ooo처럼...내부자 짓인지...

  3. imonsoft 2016.12.08 10:48 신고  댓글주소  수정/삭제  댓글쓰기

    악성코드 예방법 소개
    http://gytni.com/new_gytni/license.php?document_srl=23698&mode=malware&mode2=view&mode3=



티스토리 툴바