최근에 사이트 변조가 굉장히 많이 발생하고 있습니다. 과거의 방문자수가 적고, 관리를 잘 하지 않는 개인홈페이지 위주로 변조가 되고 있지만, 최근에는 이용자 수가 굉장히 많은 메이저 사이트 마저도 변조를 당하고 있는 실정입니다. 

< 이제는 메이저 사이트도 위험하다! -스크린샷 보안뉴스->

과거에는 자동화된 프로그램을 이용하여 취약점이 발견된 일부 사이트만 변조하는 방식이였지만, 이제는 점차적으로 진화하여 프로그램이 아닌 한 사이트를 목표로 삼아 집중적으로 취약점을 찾아 변조하기 때문에 메이저급 사이트도 피해 갈 수 없었습니다. 

대부분은 중국에서 이루어지고, 악성코드 유포를 위한 것입니다. 실제로도 최근에는 이러한 변조 방식을 이용해서 대량으로 DDoS 좀비 PC를 모으는 행위가 가능하게 되었다고 해도 과언이 아닐 것입니다. 

IE(Internet Explorer) 을 사용하는 이용자에게는 변조된 페이지에 접속하는 것 만으로도 악성코드에 감염되기 때문에, 이제는 서핑을 할 때 백신의 실시간 검사를 반드시 켜주시는 것이 중요합니다.


< 크롬 유저라면 이제는 익숙할 만한 문구 >
 

 과거에 위에 문구를 보기 굉장히 힘들었을 것입니다. CVE-2011-0609 라고 하는 취약점을 이용한 공격방식이 대중화되기 이전에는 네이트온 악성코드 유포에만 이용했기 때문에, 그리 큰 비중을 차지하고 있지 않습니다.

브라우저와 백신에서는 감염 사이트의 접속을 사전 차단하기 위해 경고문구와 동시에 접속차단을 시행하게 됩니다. 하지만 취약점에 해당되지 않는 크롬에서도 차단하는데 반에 정작 취약점이 적용되는 IE에서는 차단 기능을 제공하고 있지 않아서 피해가 심각한 실정입니다 


   구글 크롬   인터넷 익스플로러
 취약점 적용 여부  X  O
 초기 증상  스크립트 경고  인터넷 창 꺼짐 등
 차단 여부  빠르게 자체 검사로 차단  보고된 사이트에서만 차단


크롬을 이용해 악성 웹페이지 방문 시 SWF 취약점을 이용했을 경우에는 "스크립트 실행이 지연되고 있다" 라는 문구와 함께 스크립트 동작을 취소할 수 있는 경고창이 뜨게 되고 취소를 할 경우에는 정상적인 웹 서핑이 가능합니다. 

IE의 경우에는 오류 창과 함께 인터넷 창이 모두 꺼지며 일부 컴퓨터에서는 시스템 파일이 변경되었다는 문구를 받으실 수 있습니다. 

< 트로이목마 악성코드가 다운받아진다 >

Q1 : 감염이 되면 어떻게 되나요?
A1: 이렇게 감염이 된 악성코드는 게임계정의 정보를 탈취하는 트로이목마로써 현재 국내백신에서는 OnlineGameHack 이라는 진단명으로 따로 분류하고 있으며, 해외백신은 PWS, Packed 등 다양한 진단명으로 감지하고 있습니다.
치료를 하지 않고 방치할 경우에는 후에 게임 접속시도를 할 경우 계정정보가 탈취되는 것 입니다.


Q2 : 해결책이 없을까요?
A2 : 보안업데이트가 나와있고 대부분의 백신에서는 사이트 사전차단기능 혹은 바이러스 치료 기능을 이용하여 사전에 예방하고 있습니다. 따라서 백신 사용과 보안업데이트를 반드시 필수적으로 해주셔야 합니다. 이미 감염이 된 경우에는 백신을 통해서 검사/치료 해주시면 됩니다. 

자신의 IE의 버젼과 운영체제가 무엇인지 파악하셔서 다운로드 페이지에서 찾아가시면 됩니다.

Microsoft MS10-018 보안패치 다운로드 
국내외 무료백신 다운로드


참고 자료 : http://hummingbird.tistory.com/2781 
http://www.boannews.com/media/view.asp?page=1&gpage=1&idx=26531&search=&find=&kind=0 
http://blog.ahnlab.com/asec/522

'잡다한 자료 (C:\) > C:\> 보안 칼럼' 카테고리의 다른 글

네이트 정보유출 소식. 허와 실  (0) 2011.07.28
중국 크래커에게 해킹 당했다? 어떻게 확신하지?  (0) 2011.07.11
3.4 바이러스 대란, 좀비PC 치료법은 없는 것일까?  (0) 2011.03.04
"보호나라, 악성코드 치료에 특효약인가?"  (2) 2011.01.25
oinve.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.01

현재 이 글을 포스팅 하는 이 시점에도 끊임없이 지식인을 통해서 DDoS 관련 질문이 쏟아지고 있어, 이렇게 블로그를 통해서 수많은 분들의 궁금증을 대신합니다. 

기존에 제 블로그에는 좀비PC에 관련해서 많은 글들을 포스팅 하였고, 이러한 글들이 유용하게 씌였으리라 생각합니다. 이 포스팅은 기존에 작성해 놓은 포스팅의 글을 대부분 빌려썼기 때문에 사실 상 "끌어올리기 성" 글로 이해하셔도 될 듯 싶습니다. 


많은 분들이 보호나라릉 이용해주시고 있습니다만, 현재 피해가 계속되어지고 있고, 아직 활동하지 않은 잠재적인 PC도 존재하는 만큼 보호나라의 악성 봇 페이지를 통해서 정상적인 진단을 받기란 매우 어렵습니다. (관련 글 : http://blog.bpscal.com/104)

또한 이번 계기로 다시 netstat 8080포트 니, svchost.exe 니 뭐니 해서 유언비어가 돌아다니고 있습니다. 유언비어에 따라 컴퓨터에 잘못된 처방을 내릴 수 있어서 매우 위험합니다. (관련 글 : http://blog.bpscal.com/30)

가장 추천드리는 해결방법은 백신을 이용하라는 것입니다. 세계적으로 정보가 수집되다 보니 국내백신보다는 아마도 해외백신을 선호하고 있습니다. 

Avast 사의 Avast Home Edtion ( http://www.avast.co.kr/ )
Avira 사의 Antivir Free 버젼 ( http://www.free-av.com/ )
AVG 사의 AVG ( http://www.avgkorea.com/ )
MIcrosoft 사의 MS Essentials ( http://www.microsoft.com/security_essentials/default.aspx ) 정품인증필요 !


'잡다한 자료 (C:\) > C:\> 보안 칼럼' 카테고리의 다른 글

중국 크래커에게 해킹 당했다? 어떻게 확신하지?  (0) 2011.07.11
계속되는 사이트 변조, 안심하고 서핑할 수 없다.  (0) 2011.06.19
"보호나라, 악성코드 치료에 특효약인가?"  (2) 2011.01.25
oinve.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.01
repari.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.26

오랜만에, 리뷰를 적는 것 같습니다. 오늘은 네이버 지식인 도중에 접하게 된 "보호나라" 에 대해서 리뷰해볼까 합니다.
"보호나라"는 한국인터넷진흥원에서 운영하고 있는 보안정보 사이트 입니다. 좀비PC을 즉석에서 진단 할 수 있는 서비스로써 DDOS 때 큰 인기를 받은 사이트 였습니다. DDOS 전용 백신을 제공해주는 것은 물론, 각종 보안 정보를 게재하고 있습니다.


악성 봇 감염 실시간 확인 서비스

1. 원리

  보호나라는 컴퓨터의 파일을 일일히 점검하여 해당 아이피는 악성 봇(좀비PC) 이다. 라고 진단 내리는 것이 아닙니다. 보호나라에서 이미 언급하였듯이 (http://www.boho.or.kr/pccheck/pcch_03_02.jsp?page_id=3) DDOS 공격이 일어나는 경우, DDOS 명령을 하달하는 악성코드를 분석하여, 명령을 하달하는 서버를 추적합니다. 악성코드는 명령을 받기 위해서 지속적으로 명령을 하달하는 서버에 접속요청을 합니다. 한국이용자의 접속을 관리하는 ISP에서 해당 서버로 지속적으로 접속요청을 하는 한국 PC의 아이피 리스트를 수집합니다. 이 아이피 리스트를 통해서 좀비PC다. 아니다를 가려내는 것입니다.

2, 문제점

  DDOS 악성코드는 날로 발전하고 있습니다. 또한 명령을 하달하는 서버가 차단당한다면 충분히 다른 서버를 이용할 수 있도록 악성코드를 개조하여 재배포 하고 있습니다. 이 시점에서, 신종 악성코드를 일일히 분석하여 명령을 하달하는 서버를 알아내고 추적하여 접속아이피 리스트를 뽑아내는 과정에 소요되는 시간이 너무나 길다는 것입니다. 열심히 분석하고 있는 사이에 신종 DDOS 악성코드에 감염된 이용자들은 실제로 DDOS 악성코드에 감염되었다 하더라도, "악성 봇 감염 실시간 서비스" 를 이용한다 하더라도 "정상아이피" 라는 진단결과를 받을 것입니다.

해결책이 나오지 않은 시점에서 공격이 이루어지는 것을 "제로데이" 공격이라고 합니다. 제로데이 공격은 모든 보안업체의 공동의 적인 것은 사실입니다. 여기서 과연 어떠한 업체가 먼저 "해결책"을 생각해 내느냐에 따라 백신의 등급이 결정이 될 수 있습니다. 보호나라는 이러한 "해결책"을 생각하는 것에 너무나 많은 시간이 소요되고 있습니다.

또한 맥어드레스와 같은 고유값을 수집하지 않고 아이피만 수집하여 리스트를 만들기 때문에 얼마든지 유동아이피에 의해 DDOS 감염이 되지 않았음에도, "감염의심" 이라는 아리송한 진단결과를 받을 수 있습니다.  이 부분은 이미 보호나라에서도 인정하는 부분입니다.

이러한 문제점을 본다면, 보호나라의 실시간 확인 서비스 진단결과를 보고 좀비PC 유무를 따지라는 것은 문제가 있습니다.


원격지원 서비스

1. 원리

  네이트온의 원격지원과 같이 서비스 신청을 할 경우에는 직접 전문가가 소프트웨어를 통해 신청자의 컴퓨터를 조종하여 악성코드를 진단/치료 해주는 서비스 입니다. 직접 전문가가 진단을 해주는 만큼, 악성 봇 감염 확인 서비스의 문제점을 보완할 수 있습니다.
 
2. 문제점
  
  무료로 지원하고 있는 원격지원 서비스는 국내 다른 어떠한 곳에서도 시행하지 않는 파격적인 서비스 입니다. 하지만 수동으로 이루어지고 있는 만큼, 서비스 신청시간이 정해져 있고, 서비스 대기자에 따라서 실제로 지원을 받을 수 있는 날이 미루어 질 수 밖에 없기 때문에 정작 필요할 때 바로바로 서비스를 받지 못합니다.

악성코드의 기능에 따라 다르겠지만, 우선 감염되었다는 것 자체가 위험할 수 있습니다. 특히 정보유출 기능을 가진 악성코드에 감염되어 원격지원 서비스를 신청했을 경우에는 서비스를 받기 전까지는 컴퓨터를 이용 할 수 없게 됩니다. 컴퓨터를 이용하여 인터넷 작업을 할 경우, 로그인시에 개인정보가 유출될 수 있고, 웹서핑만으로도 악성코드에 의해 정보유출이 가능하기 때문에, 제때제때 서비스를 받아야 합니다.

따라서 원격지원 서비스를 이용하여라. 라는 것은 치료전까지는 컴퓨터 이용을 하지 말라는 뜻과 같기 때문에, 감염이 되면 먼저 원격지원 서비스를 이용하라 라는 주장은 억지가 있습니다.

감염PC 맞춤형 전용백신

1. 원리

  백신엔진을 통해 수집된 "신종 DDOS 악성코드" 에 관하여 치료할 수 있는 전용백신을 개발, 배포하고 있습니다. 악성코드가 감염된 시점에서 진단할 필요가 없는 악성코드까지 진단하는 무거운 백신을 일일히 받을 필요 없이 특정 악성코드만 잡을 수 있는 전용백신을 이용함으로써 특정 악성코드에 대해서 빠르게 진단/치료가 가능합니다.
 
2. 문제점
  
  전용백신을 올려놓은 게시판을 실제로 봐도 그렇듯이, 실제 악성코드 갯수와 비교하였을 때 전용백신의 갯수가 상당히 적습니다. DDOS 악성코드의 갯수가 상당히 많은데 진단할 수 있는 진단백신이 적다면, 실제로 좀비PC가 되었다 하더라도 치료할 수 있는 백신을 찾지 못하는 사태가 발생할 수 밖에 없습니다. 

  업데이트 이루어지지 않는 것은, 결국 신종악성코드는 치료하지 못하는 "맞춤형 전용백신 게시판"의 이용률을 떨어뜨릴 것이고, 유명무실되는 결과를 초래할 수 있습니다.

  또한 전용백신 개발을 지나치게 "국내백신 업체"로 한정한 결과, 국내에 아직 보고되지 않은 DDOS 툴에 대해서는 분석이 필요한 "바이러스 샘플" 을 수집하기 어렵습니다. 막상 해외에서 개발된 악성코드가 국내에 피해를 줄 때는 소 잃고 외양간 고치는 격이 되는 경우가 많습니다. 

해외에서 이루어지고 있는 DDOS 관련 악성코드에 대해서는 샘플을 해외백신 업체로 부터 제공받아 분석하고 업데이트하여 항상 발 빠른 대처가 되어야 합니다.

'잡다한 자료 (C:\) > C:\> 보안 칼럼' 카테고리의 다른 글

계속되는 사이트 변조, 안심하고 서핑할 수 없다.  (0) 2011.06.19
3.4 바이러스 대란, 좀비PC 치료법은 없는 것일까?  (0) 2011.03.04
oinve.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.01
repari.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.26
ShellExt.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.05

1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 eMule Updater 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "NINI의 학교운동회 사진 www.yftyfjxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=c3ef80a1ef05d5992f17e37b00d9baae7d1e88f5e3befc3859ae0de9f2f2b7eb-1293889911


3. 치료법

현재 해당 바이러스는 Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.

'잡다한 자료 (C:\) > C:\> 보안 칼럼' 카테고리의 다른 글

3.4 바이러스 대란, 좀비PC 치료법은 없는 것일까?  (0) 2011.03.04
"보호나라, 악성코드 치료에 특효약인가?"  (2) 2011.01.25
repari.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.26
ShellExt.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.05
게임거래사이트에서 구매한 계정이 해킹을 당했다 (?)  (0) 2010.09.20

1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.

실행시 자동으로 네이트온 사용자에게 "2010년 조회수가 가장 높은 코미디 이미지 탄생! www.gfhjvxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=ef3fc224286b077e9e88b6c99e7164718e833188c2b1daf3d74c45707fe2b2bc-1293353432


3. 치료법

현재 해당 바이러스는 Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.

'잡다한 자료 (C:\) > C:\> 보안 칼럼' 카테고리의 다른 글

"보호나라, 악성코드 치료에 특효약인가?"  (2) 2011.01.25
oinve.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.01
ShellExt.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.05
게임거래사이트에서 구매한 계정이 해킹을 당했다 (?)  (0) 2010.09.20
좀비PC, 유언비어에 속지 마세요.  (5) 2010.09.02

1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.

실행시 자동으로 네이트온 사용자에게 "세상에서 최고 가짜 레슬링 www.gfhhxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=8648f2000ee5229b2fb163da422bc3771e4aeee6edc6bafe595eba069369a55a-1291557004

3. 치료법

현재 해당 바이러스는 Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) , 알약 (http://www.alyac.com) V3 (http://www.ahnlab.com) 에서 치료 및 삭제가 가능하다.

'잡다한 자료 (C:\) > C:\> 보안 칼럼' 카테고리의 다른 글

"보호나라, 악성코드 치료에 특효약인가?"  (2) 2011.01.25
oinve.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.01
repari.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.26
게임거래사이트에서 구매한 계정이 해킹을 당했다 (?)  (0) 2010.09.20
좀비PC, 유언비어에 속지 마세요.  (5) 2010.09.02

네이버 지식인을 활동하다가 간간히 눈이 띄는 "샀던 계정이 해킹당했다" 라는 질문.


저는 이러한 질문의 의구심을 갖게 되었습니다. 이러한 질문은 모두 "해킹" 카테고리에 올라온다는 것인데, 과연 이것을 크래킹으로 볼 수 있냐는 것입니다.

< 크래킹의 의미와는 조금 다른? >

하루에도 게임거래사이트에서 거래되는 물량이 어마어마 합니다. 이 중에서 계정거래 또한 많은 비율을 차지하고 있을 것입니다.

그러나 법적으로 보호받을 수 없는 것이 게임거래 입니다. 사유재산 인정이 되지 않기 때문에, 보호를 받지 못하는 것이지요.
늘어나는 계정거래에 자연스럽게 "비양심" 이 나타나게 됩니다. 아이디를 판매한, 혹은 해당 아이디의 명의자가 판매한 아이디를 회수하는 것입니다. 어쩌면 당연한 현상일지도 모릅니다. 판매자 입장에서도 분명 아이디를 찾아가는 것은 자신이 이득을 취할 수 있는 방법이기 때문입니다.

하지만 우리는 이러한 비양심을 막자는 취지에서 이 글을 포스팅 한 것이 아닙니다. 과연 위와 같은 행각을 크래킹으로 생각하는 것이 올바른 것인가 라는 주제가 우리 목표입니다. 엄연히 피의자와 피해자가 있는 다른 범죄와 다를 것이 없습니다. 단지, 법적으로 처벌이 불가능 하다는 것을 제외한다면 말이지요.

크래킹이란 ? 특정 혹은 불특정 컴퓨터의 정보를 파괴 도용 공격을 하는 행위, ( <-> 해킹 )
사기란 ? 사람을 속여 착오를 일으키게 함으로써, 일정한 의사표시나 처분행위를 하게 하는 일.


우리는 위에 2가지 용어를 정확하게 알아야 할 필요가 있습니다. 어쩌면 벌써 대충 이 글이 어떠한 방식으로 나아갈지 미리 알려주는 것이기도 합니다.

                 < 수많은 게임거래는 수많은 피해를 동반 한다 >

수많은 계정거래 피해자들이 입에 달고다니는 것이 "계정을 크래킹당했다" 라고 합니다. 그러나 계정을 구매하였어도, 대부분의 게임은 계정구매후에도 명의까지 자신것으로 이전시킬 수 없고, 여전히 그 계정의 원래 주인의 명의를 가진 계정을 플레이 해야 합니다. 여기서 주인이 찾아간다면 단순히 찾아간 것이지 구매자의 컴퓨터에 바이러스를 심었다거나 조종한 것이 아니고, 서류등 절차를 밟아 정상적으로 찾아간 것입니다.

여기서 크래킹이 아닌 단순 사기로 분류 되어야 한다는 것을 알 수 있습니다. 물론 법적으로는 자신의 명의 계정을 자기가 찾아간 것이기 때문에 절대로 위법이 되지 않지만, 크래킹으로써 인정되지도 않는 것입니다. 자신이 계정을 샀다면 이 계정은 자기것이고, 이 계정이 피해를 입으면 무조껀 크래킹이라고 분류하는 것은 무리가 있는 것입니다.


 

 

'잡다한 자료 (C:\) > C:\> 보안 칼럼' 카테고리의 다른 글

"보호나라, 악성코드 치료에 특효약인가?"  (2) 2011.01.25
oinve.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.01
repari.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.26
ShellExt.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.05
좀비PC, 유언비어에 속지 마세요.  (5) 2010.09.02
스펀지 좀비PC편이 재방송이 되면서 다시 지식인과 네이버검색이 뜨겁게 달구어 졌습니다.
이에 따라 유언비어들도 같이 만들어지는 것 같습니다. 자신의 PC를 올바르게 보호하는 것이 중요하지 않을까요

해결책 제시를 얼버무린 채 과장된 내용으로 방송해주신 덕분에, 많은 분들이 좀비PC란 용어에 대해 관심을 갖게 해주신 스펀지측에 감사드립니다. 덕분에 모든 온통 지식인이 좀비PC 질문밖에 보이지 않아요. !!

따라서 기왕 관심 갖으신거 왜곡된 정보보다는 올바른 정보로 자신의 PC를 보호하시라고 이 글을 포스팅 합니다.
( 어쩌면 수많은 좀비PC 지식글에 일일히 길게 답변하기 싫어서 간단하게 이 포스트의 링크를 남김으로써 노동력을 절약하려는 목적일지도 모르겠습니다 )

1. 정의 및 증상

좀비PC란? "크래킹 툴에 의하여 언제든지 크래커 마음대로 조종이 가능한 PC" 를 일컬어 좀비 PC라 합니다.

이전까지는 단순히 "트로이잔 걸린 PC" 로 일컬어 지다가, 7.7 DDOS 사이버대란 이후에 DDOS 에 사용된 감염PC를 좀비PC라 하게 되었습니다.

사이버대란 당시에는 DDOS 명령을 받아들이고 수행하며, 하드디스크를 논리적으로 파괴시켜 부팅이 되지 못하도록 하는 정도에 그쳤으나, 요즘 좀비툴은 개인정보유출까지 함께 병행하고, 원격제어까지 하기 때문에 피해가 더욱 커지고 있습니다.

최근에 백신들의 활약 덕분에 7.7 대란당시 이용되었던 좀비PC들은 물론이고, 이후에 감염자들도 대부분 치료가 되었습니다. 하지만 아직까지도 감염자가 있고, 새로운 변종이 나타난다는 점으로 미루어, 스펀지 처럼 "도청과 도촬" 까지는 아니지만 개인정보유출의 피해가 상당히 있습니다.



2. 해결책
< 시시각각 변하는 민감한 netstat로 좀비PC 진단을 할 수 있을까?  >

좀비PC 예방책이라 하여 지식인에 답변하시고, 블로그에 글을 게재하시는 분들 보면 90%는 netstat 를 이용하라 인 것 같습니다. 그런데 netstat는 현재 실행중인 프로그램과 컴퓨터 개개인의 환경에 따라 결과가 달라질 수 있기 때문에 그리 신빙성 있는 방법이 아닙니다.

Q1 : 8080 , 8000 포트가 잡히면 좀비PC다 ?
A1 : 7.7 사이버대란 당시 "넷봇" 이라는 DDOS 툴(좀비툴)을 이용하였습니다. 넷봇은 8080포트를 이용하여 DDOS 명령을 내리고 PC를 제어하였습니다. 하지만 이미 넷봇은 백신을 통하여 대부분 잡히게 되고, 크래커들은 다시 백신에 잡히지 않는 좀비툴을 양산해 내기 시작합니다. 크래커들은 바보가 아닙니다. 어쩌면 우리들보다 천재일지도 모릅니다.  크래커들이 바보같이 또 8080 포트를 이용하지 않습니다. 이미 많은 사람들이 8080포트에 대하여 예민하게 반응하기 때문이지요. 다른 포트를 이용하여 친숙하게 다가가는 것을 이용하는 것이 요즘의 크래킹 툴입니다. 또한, 포트는 모든 프로그램에 너그럽습니다. 정상프로그램도 해당 포트를 사용 할 수 있습니다. 실제로 8080포트를 사용하는 정상 프로그램도 많이 존재한다는 것. 포트를 통하여 좀비PC를 구분하다는 것은 말도 안되는 것입니다.


굳이 믿을 수 없는 netstat를 활용하고 싶다면, 현재 실행중인 프로그램 및 인터넷창을 모두 꺼주시고, netstat -na 명령어를 이용하여 검색된 아이피를 일일히 아이피조회해 보시기 바랍니다. 해당 아이피의 지역은 상관 없습니다. ( 어차피 지역도 인터넷 회사가 나오겠지요 ) 중요한 것은 해당 아이피의 국가 입니다. 한국이 아닌 해외아이피가 내 netstat 에 잡혔다면, 의심해 보는 것도 좋을 것 같습니다. ( 하지만 대부분 정상아이피 입니다 )

Q2 : 내 컴퓨터를 좀비PC 만든 크래커를 잡을 수 있을까요?
A2 : 이 부분을 과연 포스팅 해도 될지 걱정입니다. 논란의 여지가 있을 수 있겠군요. 저의 대답은 어렵다 입니다. 자신의 좀비PC임에 확실해지자, 이성을 잃고 크래커 잡겠다고 하는 분들이 많습니다. 하지만, 좀비PC를 시도하는 대부분의 크래커는 해외지역 ( 중국, 미국, 대만 ) 등지에서 활동하는 경우가 많고, 아이피세탁이라 하여 아이피를 계속 바꾸거나, 정상서버를 거쳐 명령을 내리는 등, 추적을 피하기 위하여 다양한 방법을 사용합니다. 사이버수사대에 고소장을 제출하여도 아이피추적 결과 해외라면 "수사종결" 되어버립니다. 대기업 혹은 나라 전체가 피해를 입을 정도가 아니면 잡을 수는 없습니다.


< 유명 게임핵이라 속여, 트로이잔 유포하는 한 카페 >

하지만, 위와 같이 한국분들이 친히 좀비툴을 유포하는 경우가 있습니다. 위 스크린샷의 카페는 게임핵이라며 상대방에게 트로이잔 다운로드를 유도하여 좀비PC를 늘리는 수법을 사용하고 있습니다.
대부분 스크립트 키드 라고하는 "법" 무서운줄 모르고 바이러스를 유포하는 초보크래커들 입니다. 만약 이러한 카페에서 다운받은 파일에서 나중에 문제가 생겨서 개인정보 유출등의 피해가 발생하였다면 사이버수사대에 신고만 하시면 빠르게 검거가 가능하니, "법" 에 대하여 제대로 가르쳐주셨으면 합니다.

Q3 : 국내에서 현존하는 백신들로 치료할 수 있을까요.
A3 : 흔히들 국내백신 하면 Ahnlab의 V3 시리즈와 이스트소프트의 알약(Alyac)과 NHN의 PC그린을 꼽을 수 있습니다. 각자 백신은 사람마다 느끼는 차이는 있지만, 자신들만의 색깔들로 장단점이 있어 무엇이 좋다고 판단할 수는 없습니다. 하지만, 최근 트로이잔의 종류중의 AV-Killer 라는것이 있습니다. AV는 AntiVirus의 준말로써 바이러스를 탐지하는.. 즉, 백신을 일컬어 부르는 말입니다. AV-Killer 류의 트로이잔은 자신을 감지하는 백신을 먹통으로 만드는 기능이 있습니다. 백신의 중요한 파일을 삭제 및 강제변경하여 백신이 실행되지 못하도록 방해하게 됩니다. 요즘은 대부분의 트로이잔에 해당 기능이 첨부되어 있습니다. ( 예로 OnlineHack 류의 게임트로이잔 ) 국내백신을 사용중인데도, 계정이 크래킹 당하는 등의 문제가 잇따르고, 백신의 실시간 감시가 자꾸 꺼지는 등의 전형적은 AV-Killer 증상이 최근에도 자주 일어남에 따라 AV-Killer 기능을 가진 좀비툴에는 국내백신이 무리가 있지 않나 생각합니다.

그러면 어떻게 하여야 할까요? netstat도 안되고, 백신으로도 치료가 어렵다면 답이 없지 않나요? 하고 물을 수 있습니다. 하지만 답은 가까운 곳에 있습니다.
국내백신이 아닌 해외백신을 사용하는 것입니다. ( 어쩌면 이 포스팅글은 국내백신 회사들로 부터 삭제요청이 빗발칠 수도 있을 것입니다. 하지만 분명 현실을 고려한 포스팅 입니다. )
AV-Killer 류의 트로이잔도 소화할 수 있고, 신종바이러스에 대해서도 업데이트가 빨라 전세계적으로 사용되어지고 있는 유명 해외백신을 이용하면 삭제가 가능합니다. ( 전세계적으로 수많은 신종바이러스 샘플이 수집되니, 업데이트가 빠를 수 밖에 없겠지요 ) 아래는 대표적인 해외무료백신 리스트 입니다. 이 중 한개를 설치하셔서 트로이잔의 사슬로 부터 벗어나시길 바랍니다.

Avast 사의 Avast Home Edtion ( http://www.avast.co.kr/ )
Avira 사의 Antivir Free 버젼 ( http://www.free-av.com/ )
AVG 사의 AVG ( http://www.avgkorea.com/ )
MIcrosoft 사의 MS Essentials ( http://www.microsoft.com/security_essentials/default.aspx ) 정품인증필요 !


'잡다한 자료 (C:\) > C:\> 보안 칼럼' 카테고리의 다른 글

"보호나라, 악성코드 치료에 특효약인가?"  (2) 2011.01.25
oinve.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.01
repari.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.26
ShellExt.exe NateOn 바이러스 증상 및 치료법  (0) 2010.12.05
게임거래사이트에서 구매한 계정이 해킹을 당했다 (?)  (0) 2010.09.20

+ Recent posts

티스토리툴바