트위터를 기반으로 한 봇넷 조정 발견

미국 시각 2009년 8월 13일 미국의 네트워크 보안 업체인 아르보(Arbor)에서 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)를 이용하여 악성코드에 감염된 좀비(Zombie) 시스템들의 네트워크인 봇넷(Botnet)으로 조정 명령들을 송신하는 것이 발견되었다고 한다.


아르보에서 발견한 트위터를 이용한 봇넷 명령한 위 이미지에서와 같이
봇넷을 조정할 수 있는 명령어들을 베이스64(Base64)로 인코딩 한 후 이를 다시 아래 이미지와 같이 RSS(Really Simple Syndication)로 악성코드에 감염된 좀비 시스템들에게 명령을 송신하도록 되어 있었다.


ASEC에서 분석 당시 송신한 명령으로는 특정 도메인에서 다수의 특정 파일을 다운로드 하는 명령이 존재하였다. 해당 파일들을 다운로드 하여 확인 한 결과 아래 이미지와 같은 베이스64로 인코딩되어 있는 ZIP 압축 파일이었다.


해당 파일들을 디코딩해서 압축을 풀면 UPX로 실행 압축되어 있는 gbpm.exe 파일이 생성된다.

생성된 실행 파일들은 모두 악성코드들로 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Banc.104960
Win-Trojan/Banc.103936
Win-Trojan/Banc.33792
Win-Trojan/Banc.34304
Win-Trojan/Banc.71680
Win-Trojan/Banc.104448

해당 악성코드가 실행되면 DLL 파일 1개를 생성해서 웹 브라우저인
인터넷 익스플로러(Internet Explorer)와 파이어폭스(Firefox)가 특정 금융 관련 웹 사이트에 접속이 이루어지면 사용자가 입력하는 키보드 입력 값을 후킹하는 기능을 수행한다.

ASEC에서 현재까지 분석한 사항들을 종합 해보면 해당 악성코드 제작자는 트위터의 RSS 기능을 이용해 좀비 시스템에 다른 악성코드를 다운로드 하도록 하여 감염을 시도한 것으로 분석 된다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments