3.20 악성코드 최신 변종 시리즈 유포 확산 '주의'

2014-07-08 17:27
  • 글자크기 설정
아주경제 장윤정 기자 =  3.20 사이버테러를 일으켰던 악성코드 변종이 급속 유포되고 있어 주의가 시급하다.

우리(대표 김희천)는 7월 7일 월요일 오후 1시경부터 다수의 국내 웹사이트를 통해 국내 온라인 결제모듈 엑티브 X 업데이트 파일 변조 취약점 및 국내 DRM 제품모듈 엑티브 X 취약점 등을 이용, 3.20 악성코드의 최신 변종 시리즈가 유포되고 있다고 8일 밝혔다.

해당 악성코드에 감염되면 감염 정보를 1차 C&C 서버로 전송하며 추가적인 명령을 수신해 악성행위를 수행하게 된다.

1차 C&C 서버는 대부분 제로보드, 케이보드 등 국내 게시판을 사용하는 웹사이트로써  국내 게시판의 취약점을 이용하여 C&C 서버를 확보한 것으로 추정된다.

특히 해당 악성코드가 접속하는 C&C 서버 중 일부는 2013년 3.20 방송/금융 사이버테러의 악성코드가 사용한 C&C 서버와 일치한다.

또한 명령을 수신, 복호화하고 정보를 C&C 서버로 전송하는 암호화 로직이 3.20 악성코드와 동일한 로직을 사용하고 있다.

특히 1차 C&C 서버로부터 명령을 수신 받아 추가적으로 다운로드하여 실행하는 악성코드는 TOR C&C 서버를 2차 C&C 서버로 사용한다.
TOR C&C는 작년 6월 25일에 정부 DNS 서버를 대상으로 디도스 공격을 수행한 악성코드가 사용했으며 TOR C&C 서버를 통해서 추가적인 명령을 수신, 악성행위를 수행하도록 되어 있다.

 

1차 C&C서버로부터 수신한 암호화된 명령어[사진 = 하우리 ]



최상명 차세대보안연구센터장은 작년과는 다르게 관제를 강화한 결과 3.20 악성코드의 최신 변종 시리즈를 조기에 발견하게 되었다라며,
“1차 C&C 서버와 2차 TOR C&C 서버를 통해 추가로 수신하는 암호화된 명령을 해독하며 예의주시 중"이라고 밝혔다

 

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기