Conficker 웜과 MSRT

Miyuki

Administratrix
Staff member
마이크로소프트에서 매월 MSRT (악성 소프트웨어 제거 도구, Malicious Software Removal Tool)라는 간단한 안티바이러스 툴을 자동 업데이트와 윈도우 업데이트로 배포하고 있습니다. 패치와 함께 다운로드되고 실행돼 시스템을 스캔해 악성 코드가 있으면 제거합니다. 그런데 일반적인 상용 안티바이러스 제품처럼 실시간 모니터하는 기능은 없으며, 악성 코드로 진단하는 대상도 아주 작습니다. 그 때 그 때 유행하고 있으며 위험도가 큰 100여개의 악성 코드와 그 변종만을 검색합니다. 아주 가볍게 만든 툴이지요.

매월 몇 개씩 진단 대상이 추가되기도 하고 줄어들기도 하는데, 이번 달에는 Banload와 Conficker가 새로 진단되도록 목록에 들어갔습니다. 최근 몇몇 기업에서 심각한 문제가 된 Conficker.B를 비롯해 1월 11일 이전에 나왔던 변종도 모두 포함합니다.

아래 그림에서 보시는 것처럼 Conficker는 다양한 감염 경로를 가집니다. 클릭하면 저희 악성 코드 대응팀(MMPC) 블로그로 갑니다.





윈도우의 서버 서비스 취약점을 공격하기 때문에 이를 해결하는 보안 패치 MS08-067을 반드시 설치해야 합니다. 이 MS08-067 보안 공지는 지난 10월에 예정에 없이 긴급하게 나왔던 것인데 웜 형태의 공격이 수차례 예견되고 작년에 실제 나타났던 일이 있습니다.

이 취약점 공격만큼 흔한 공격 경로가 네트워크 공유에 암호를 몇 백 가지 대입하는 brute force 공격입니다. Conficker.B 페이지의 두 번째 탭, Analysis를 열면 얘가 가지고 있는 암호 대입 사전이 보입니다. 중요 서버의 관리자 암호를 이 중 어떤 것으로 했다가 이번에 악성 코드에 감염되어 땀 좀 흘리신 분이 계실 겁니다.

또 USB 메모리 같은 이동식 디스크의 autorun을 통해서도 감염됩니다. 이를 막으려면 자동 실행 기능을 끄든지, 잘 잡는 안티바이러스 제품의 실시간 모니터링 기능을 반드시 켜 놓아야 합니다.

전하는 소식에 의하면, 이번 Conficker는 검색을 피하기 위해 자신을 변형시키는 polymorphism 기능이 약간 진화한 점이 있어 안티바이러스 업체에서는 약간의 추가 작업이 필요했다고 하네요.

윈 도우 취약점의 보안 패치 설치, 안티바이러스 제품 사용, 방화벽 사용, 이동식 디스크 사용 주의, … 온갖 예방 및 주의 방법이 동원되는 악성 코드이니 기업의 IT 관리자와 가정 사용자 모두 주의가 필요합니다. 이미 감염된 경우 MSRT를 다운로드 받아 실행해 보시기 바랍니다.

Published Wednesday, January 14, 2009 4:22 PM by hongseok
Filed under: 신종 악성 코드,
Conficker,
malware

Secure Korea
http://blogs.technet.com/securekorea/archive/2009/01/14/conficker-msrt.aspx
 

Princess

Ninja
W32.Downadup

시만텍 'W32.Downadup' 변종 웜 확산 경고

시만텍 보안연구소는 13일 신년 연휴기간 동안 MS 소프트웨어의 취약점에 기반을 둔 웜 ‘W32.Downadup’ 감염이 증가하고 있어 각별한 주의가 요구된다고 경고했다.

‘웜’은 PC 안에 숨어있다가 대량의 스팸 메일을 발송하거나 시스템에서 파일을 지우는 등 치명적인 악영향을 미치는 프로그램이다.

이는 특히 다른 실행 프로그램에 기생하는 바이러스와는 달리 스스로 복제가 가능하고, 네트워크나 USB 메모리를 통해서도 감염이 되는 등 전파력이 강해 피해가 일파만파로 확산될 수 있다.

이 번에 시만텍 보안연구소가 발견한 웜은 지난해 말 최초로 발견된 ‘W32.Downadup.B’로 W32.Downadup의 새로운 변종으로 MS Windows Server Service RPC Handling Remote Code Execution의 취약점을 기반으로 증식하고, USB 메모리 장치를 감염시키거나 보안이 취약한 패스워드를 공격해 기업 네트워크를 통해 확산된다.

이 는 특정 문자열을 포함하는 도메인에 대한 DNS 요청을 모니터링해 이들 도메인의 액세스를 차단, 네트워크 요청이 만료된 것처럼 보이게 해 보안 소프트웨어를 업데이트 받을 수 없게 만듬으로써 계속 발생하는 웜의 새로운 변형에 대응할 수 없도록 하는 것으로 전해졌다.

이에 시만텍 보안연구소는 “지난 9일 기준으로 약 300개의 W32.Downadup 또는 W32.Downadup.B 위협에 대한 보고를 수집했다â€며 “피해를 방지하기 위해서는 사전에 MS 자동 업데이트를 하고, USB 및 디지털 장치를 사용할 때 감염 여부를 확인하는 등 세심한 주의를 기울여야 한다â€고 당부했다.

http://www.etnews.co.kr/news/detail.html?id=200901130215
 

Princess

Ninja
Conficker/Downadup 감염 규모 추산법

지난 해 공개된 MS08-067 취약점에 대한 패치가 제대로 이루어지지 않아 지금까지 많은 피해를 일으키고 있습니다. 감염 규모를 계산하는 방법이 몇 가지가 있는데, 며칠 전에 F-Secure 사이트에 올라온 내용과 같이 설명해드리겠습니다.

웜이 퍼져나갈 때는 먼저 취약점을 익스플로잇하여 다운로더를 실행한 후, 실제 맬웨어 코드를 다운로드 하는 방식으로 동작합니다. 그런데 이 과정에서 고정된 주소를 이용하면 ISP 등에서 쉽게 차단할 수 있게 되므로, 악성 코드 제작자들은 시간의 흐름에 따라 도메인 주소를 생성하고 접속하는 기법을 사용합니다. Fast Flux 기법과 조합하면 IP 주소도 계속 달라지므로 차단하는 작업은 삽질이 됩니다. 웜이 사용하는 알고리즘을 그대로 사용해서 DNS 조회하고 자동으로 네트워크 장비에서 차단하도록 연동하는 방법도 생각할만 한데 아직 이런 자동화는 안 되는 모양입니다.

아무튼 재미있는 사실은, 도메인 주소를 계산한 다음 공격자보다 먼저 등록해버리면 새로 감염되는 호스트 혹은 제어 명령을 받는 호스트들이 접속하게 되므로 로그를 살펴보고 규모를 역산할 수 있게 된다는 것입니다.

F-Secure 자료에 따르면 Conficker의 경우 변종마다 다르긴 하지만, 하루에 250개의 도메인 주소를 생성한다고 합니다. 쿼리는 /search?q=29 형식으로 발생합니다. 1월 16일 기준으로도 유일한 IP가 하루에 35만개씩 발견되었다고 하는데, NAT 환경을 고려하면 훨씬 더 많은 수일 것이라는 점을 짐작할 수 있지요. 게다가 여기서 쿼리 문자열에 나타나는 q는 성공적으로 익스플로잇을 완료했을 때마다 1씩 증가한다고 합니다. 이런 식으로 계산했을 때 아버네트웍스 블로그에 올라온 최근 자료(Two Weeks of Conficker Data and 12 Million Nodes)에 따르면 대략 1200만에 이르는 어마어마한 규모의 호스트가 Conficker에 감염된 상태라고 합니다.

Conficker에 대한 대응 방안은 인터넷침해사고대응지원센터의 자료를 참조하시기 바랍니다. 국내 안티바이러스 회사들도 전용 제거 도구를 배포하고 있습니다.

2009-02-03

http://nchovy.kr/forum/2/article/396
 
Top