악성코드/악성코드 소식

미 펜타곤 공격 악성코드의 진화 ?!

쿨캣7 2011. 6. 17. 22:01
728x90
반응형

연합뉴스에 흥미로운 기사가 떴습니다.


- 펜타곤 공격 악성코드 '멸종은 커녕 진화'
http://www.yonhapnews.co.kr/international/2011/06/17/0608000000AKR20110617088900009.HTML 



익명을 요구한 미 국토안보부 관계자는 지난 2008년 미 중앙사령부 컴퓨터 시스템을 뚫고 들어온 악성코드 Agent.BTZ가 현재도 퍼지고 있으며 형태는 더욱 다양하게 변형되었다고 16일 밝혔다고 합니다.


어떤 악성코드 인지 검색해 봤습니다.

USB 메모리로 전파되는 Autorun 웜이네요.


- US Army bans USB devices to contain worm (The Register)
http://www.theregister.co.uk/2008/11/20/us_army_usb_ban/

- Agent.btz - A Threat That Hit Pentagon
http://blog.threatexpert.com/2008/11/agentbtz-threat-that-hit-pentagon.html

- Worm:W32/Agent.BTZ (F-Secure)
http://www.f-secure.com/v-descs/worm_w32_agent_btz.shtml

맥아피 자료에 따르면 러시아를 의심할 만하네요.

Agent.btz 감염 분포(맥아피)

맥아피에 따르면 Agent.btz는 러시아와 미국에 가장 널리 전파되어 있음



이 웜은 USB 메모리를 통해서 전파됩니다.

다음과 같은 사항을 알 수 있습니다.

1. 미국 정부쪽도 USB 메모리 반입을 완벽하게 막지는 못하고 있음

바보가 아니라면 미국방부 컴퓨터가 외부 인터넷과 연결되어 있지는 않겠죠.
당연히 내부망이 있을 텐데 Stuxnet 처럼 외부망과 분리된 망에서는 USB 메모리를 통한 전파가 최고 인 듯 합니다.

USB 메모리 반입을 차단하지 않고 있다면 생각보다 보안이 철저하지 않고 금지했는데 들고 왔다면 역시 다른나라 사람들도 말 안듣네요.
- 매번 느끼지만 최고의 취약점은 인간취약점입니다.


2. 타겟 공격 ?!

제 생각에는 러시아, 미국 감염 비율이 높은데 타겟 공격이라기 보다는 그냥 러시아에서 제작된(추정) 악성코드가 미국으로 흘러 들어간게 아닐까 싶네요.

분석 결과를 봐도 시스템 정보 유출형은 없어 보입니다.
보통 타겟공격의 경우 저렇게 널리 퍼지지는 않습니다.


3. 새로운 변형 ?!

이런 내용이 있네요.

'새로운 코드를 다운로드받아 고유의 특징을 계속 바꾸면서 중앙 네트워크의 백신(Anti-virus)프로그램을 회피하고 있다'

이 악성코드는 패킹 되어 있지도 않습니다. 웹사이트를 통해서 다운로드 하는 형태로 자신을 업데이트 할 수 있겠죠.

이점은 미국방부도 외부 인터넷과 완전히 분리되지 않았다고 생각할 수 있고 (인터넷은 할 테니까)
하지만, 그렇게 생각하기에는 미국방부가 너무 보안에 취약하다고 볼 수 있고요.

다른 변형이 계속 유입되는게 아닐까 싶네요.

ThreatExpert 결과를 보면 변형이 참 많이 있네요.
(주소 : http://www.threatexpert.com/reports.aspx?find=update/img0008)



결국...



미국국방부도 악성코드에 감염된 USB 메모리를 들고 들어가는 인간 취약점을 막지는 못하고 있다 정도로 봐야겠네요. 그리고, 미 국방부에 이 악성코드만 있을거라고 생각하지 않습니다.

어차피 그곳에서 보안에 신경쓰지 않거나 잘 모르는 사람들이 컴퓨터를 사용하는 곳일테니까요 ^^
일부 사람들은 망분리되면 안전하다고 생각하고 미국인데라고 생각하겠지만...
보안 앞에서는 그런 환상을 버리는게 좋을 듯 합니다.



참고로 V3 진단명은 Win-Trojan/Autorun.184320 (2008.11.24.01 이후 엔진에서 진단)입니다.
 
728x90
반응형