2024-03-30 00:10 (토)
악성코드 ‘제우스’ 64비트 버전 등장… 그 의미는?
상태바
악성코드 ‘제우스’ 64비트 버전 등장… 그 의미는?
  • 호애진
  • 승인 2013.12.13 02:17
이 기사를 공유합니다

익명 네트워크인 토르 기반의 C&C 서버와 통신 가능하도록 설계돼
악성코드의 진화, 새로운 전기 맞아
악명높은 금융정보 탈취형 악성코드인 제우스(Zeus)의 64비트 버전이 등장했다. 기능은 기본적으로 32비트 버전과 동일하나 새로운 버전은 익명 네트워크인 토르(Tor) 기반의 C&C 서버와 통신이 가능하도록 설계됐다.
 
그렇다면, 64비트 버전의 제우스는 왜 제작된 것일까? IE 사용자들 중 1% 미만이 64비트 버전을 이용하고 있고, 심지어 64비트 운영체제에서도 32비트 브라우저가 구동되고 있는 점을 고려한다면 이 악성코드의 등장에 대해 의문이 제기될 수 밖에 없다.

 
해당 악성코드를 처음 발견한 보안업체 카스퍼스키랩의 연구원인 드미트리 타라카노프(Dmitry Tarakanov)는 이를 제작자의 ‘마케팅 술책’일 수 있다고 밝혔다. 64비트 브라우저를 지원한다는 것은 제품을 홍보하고 구매자를 설득하기 위한 하나의 좋은 방법일 수 있기 때문이다. 토르 기반의 C&C 서버와 통신이 가능하도록 설계된 점도 강점으로 작용한다.
 
물론 사전 준비작업일 가능성도 배제할 수 없다. 분명한 사실은 제작자의 의도가 무엇이든 간에 64비트 버전의 제우스가 등장한 것은 제우스가 진화하는 과정에 있어 새로운 전기를 맞이하게 됐다는 점을 의미한다.
 
제우스의 소스코드는 2011년 공개된 이후 지하경제에서 누구나 쉽게 구매할 수 있다. 이를 활용한 변종도 수없이 발견되고 있으며, P2P 기능이 추가되기도 했다. 이를 토르에서 이용한다면, 탐지가 더욱 어려울 것으로 보고 있다.
 
타라카노프에 따르면, 64비트 버전의 제우스는 간접적으로 Tor.exe를 실행시킨다. 우선 서스펜디드 모드(suspended mode)에서 svchost 애플리케이션을 시작시키고, 그 과정에서 토르 코드를 삽입한다. 이어 svchost 하에서 토르를 실행시킨다. 이 악성코드는 TCP 포트 9050을 통해 통신하도록 브라우저에게 명령하고, 탈취한 데이터는 결국 오니언 도메인(egzh3ktnywjwabxb[.]onion)으로 가도록 한다.
 
또한 이 악성코드는 100개 이상의 프로그램 목록을 가지고 있어 특정 프로그램이 해당 PC에 있으면 이를 실행시킨다. 이들 프로그램은 서로 다른 유형이지만, 각각 계정정보나 인증서 등의 귀중한 개인정보를 가지고 있으며, 제우스는 키로깅을 통해 이러한 개인정보를 가로채 봇넷 제작자에게 전달한다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★