2024-03-29 20:45 (금)
유사 스턱스넷 ‘듀큐’ 감염탐지 툴 나왔다
상태바
유사 스턱스넷 ‘듀큐’ 감염탐지 툴 나왔다
  • 길민권
  • 승인 2011.11.15 04:37
이 기사를 공유합니다

헝가리 연구소, 시그니쳐와 휴리스틱 기반 오픈소스 툴 발표
MS, 임시 대응책은 내 놨지만 근본적 패치는 아직…
헝가리 연구실에서 듀큐 트로이목마를 감지할 수 있는 오픈소스 툴킷을 개발했다고 발표했다. 이 툴은 컴퓨터나 전체 네트워크에 존재하는 트로이목마의 흔적을 찾아주는데 도움을 주는 방어 시스템을 제공한다.
 
암호화 연구소와 시스템 시큐리티(CrySyS)는 듀큐 탐지 툴킷 1.0버전 패키지는 시그니쳐와 휴리스틱 방법을 기반으로 악성코드가 시스템에서 제거된 곳이 어딘지 감염 흔적을 발견할 수 있도록 해준다고 밝혔다.
 
또 해당 툴은 단순하고 쉽게 소스코드를 분석할 수 있고 분석된 컴퓨터에서 듀큐가 존재하는지도 지표로 알려준다.
 
중요 인프라는 이 툴킷을 사용해 검사를 할 수 있다. 2010년 6월 지멘스 산업 소프트웨어를 타깃으로 이란의 원자력 발전소에 큰 타격을 준 컴퓨터 웜인 스턱스넷과 유사한 듀큐를 분석할 수 있는 중요한 툴킷이라고 소개한다.
 
시만텍 연구원들은 두개의 변형된 듀큐를 조사했다. 하나는 컴퓨터의 통제권을 가질 수 있는 맬웨어를 포함하고 있고 C&C 허브와 통신을 가능케 하는 원격접근 툴을 다운로드한다. 또 한 경우는 키입력값과 네트워크 맵을 알아 내기 위한 트로이목마를 인스톨시키는 것으로 드러났다.
 
맥아피 연구원은 듀큐 공격코드는 그것의 암호화키와 드라버에서 스턱스넷을 모방하고 있다고 말한다. 스턱스넷처럼 위협이 합법적으로 디지털 인증된 드라이브 파일을 사용한다는 점이다. 타이완의 C-미디어 전자 제품에서 이런 이슈가 있었다.
 
듀큐 분석에 있어, 이 툴은 MS 제로데이 커널 내부 익스플로잇과 드로퍼 파일을 감지한다. 만약 이메일을 통해 웜에 감염된 MS워드 파일을 잘못해서 열어봤다면 해당 컴퓨터는 듀큐에 감염될 수 있다. 이 결함은 윈도우 Win32k 트루타입 글꼴 파싱 엔진 문제 때문이다.  
 
그후 MS는 듀큐를 확산하는데 악용되는 윈도우 커널 취약점에 대한 임시 수정사항을 발표한 바 있다. 하지만 아직까지 MS는 듀큐에 완벽히 대응할 수 있는 패치를 내놓지 못하고 있다
 
<원문>
- www.scmagazine.com.au/News.   
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★