ESET사의 Aleksandr Matrosov가 7월 24일 공개한 “The Rise of TOR-based Botnets”을 참고해 정리한 보고서를 HNS가 공개했다.
 
ESET사는 Win32/Atrax.A에 대한 분석을 통해 최근 C&C 서버와 스텔스 통신을 위해 Tor 프로토콜을 사용하는 악성코드의 매커니즘을 분석하고 있으며, 아직 완벽한 분석과 기술적 내용을 제시하지는 않고 있다.
 
HNS 관계자는 “우리가 관심을 가지는 이유는 TOR 프로토콜을 이용한 사이버 공격이 6,25 사이버 공격에서 DNS DDoS 공격에서도 사용된 바 있으며, 앞으로도 TOR 프로토콜을 이용한 공격이 늘어날 것으로 예상되기 때문”이라고 밝혔다.
 
Tor 프로토콜은 악성코드에 감염된 시스템으로부터 대량의 데이터를 탈취하기에는 속도가 느리다는 문제점이 있다. 또 Tor 트로토콜을 악의적인 목적으로 사용하는 가장 유용한 방법은 C&C 서버와 통신을 하면서 설정 정보를 업데이트하고 추가로 악성코드의 모듈을 다운로드해 공격자의 익명성을 유지하는데 사용하는 것이다.
 
Win32/Atrax.A의 경우 TOR 클라이언트 코드를 웹 브라우저의 프로세스에 인젝트시켜 정보를 탈취하는 특징이 있다.
 
ESET 측은 TOR 기반의 봇넷을 2013년 이미 탐지했으며, 최근 들어 그 수가 증가하고 있다고 전한다.
 
보다 상세한 내용은 데일리시큐 자료실에서 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com