1600,

1/80

twinz

- [보안노트] 봇

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=839 [복사]

"봇"은 원격 제어 프로그램을 의미한다. 해커들은 원격으로 특정 시스템을 제어할 목적으로 "봇"을 제작한다. 사용자의 PC에 몰래 심어넣고 감염된 PC를 자기 마음대로 주무른다. "봇"은 이미 알려진 보안 취약점을 파고들어 시스템을 감염시킨다. 이 때문에 e메일이 아니라 패킷 형태로 유입, 감염된다. 보안 패치가 안된 시스템의 경우 감염될 가능성이 높다는 것이다. 유입된 "봇"은 시스템에 몰래 상주하며, 해커의 명령에 따라 움직이게 된다. 이런 시스템을 "좀비 컴퓨터"라고 부른다.

해커들은 "봇" 프로그램에 간단한 명령만 내리면 감염된 모든 컴퓨터를 원격으로 조종, 개인 정보를 빼내갈 수 있다. 또 감염된 시스템이 취약 시스템을 지속적으로 찾아내도록 지시할수도 있다. 특정 웹사이트를 공격하도록 하는 명령을 내릴수도 있다. 나도 모르는 사이 내 PC가 해커의 공격무기로 사용될 수 있다는 얘기다. 실제로 해커가 원격으로 조종하는 수천대의 좀비 컴퓨터를 사용, 좀비 네트워크를 형성할 경우 분산 서비스 거부 공격 등 심각한 문제로 이어질 수 있다.

불법 스팸메일 제작자가 "봇"을 유포시킬 경우 감염된 시스템은 가짜 이름으로 메일을 발송하는 매개체로 전락 할 수도 있다.

이를 감안하면 "봇"은 그 위력에 있어 그냥 정보를 빼내가는 트로이목마를 압도한다고 할 수 있다. 일부 "봇"은 자신을 숨기는 은닉 기능과 백신 프로그램을 종료시키고 업데이트도 차단하는 기능을 갖고 있다. 이때문에 감시가 부실할 경우 대형 사고로 이어질 수 있다.

최근에는 봇 네트워크(bot network)를 유료로 서비스하는 사례를 발견하기도 했다. 이 프로그램은, 전자상거래 사이트에 DoS(denial of service) 공격을 협박하고 금전을 갈취하는 등의 불법적인 목적으로 활용될 가능성이 높다.

2005년 7월 한 보안업체에서 모니터링 중이던 IRC 채팅 채널을 통해, 한 개발자가 자신이 해킹한 봇 네트워크의 규모, 용량, 가격을 홍보하는 현장이 확인되었다. 봇의 바이너리 코드 역시 미화 200 달러에서 300 달러의 가격에 판매되고 있었다. 이러한 증거로 미루어 볼 때, 봇 네트워크의 통제권을 소유한 해커들이 시스템의 전체 또는 일부분을 유료로 제공하는 경우가 일반화되고 있다는 추정이 가능해졌다.

2005년 상반기 동안, 하루 평균 10,352개의 봇(bot)이 발견됐다. (2004년 12월의 일일 평균 봇 활동 회수는 5000개 이하였다.) 이러한 봇 활동의 증가가 최근 DoS 공격 사례 증가의 주된 요인으로 작용한 것으로 추정되고 있다. 또 금전 갈취를 목적으로 한 DoS 공격 사례가 발견된 바 있듯, 봇 역시 금전적인 동기와 관련되었을 가능성이 높다.

최근 1년 동안 봇(bot) 관련 악성 코드는 Top 50 보고서의 14%를 차지하는 등 2005년 상반기 동안 봇 변종(bot variant)이 급격하게 증가하고 있음도 확인되었다.

2005년 1월 1일에서 6월 30일까지의 기간 동안, 기밀 정보 유출을 목적으로 하는 악성 코드는 Top 50 악성 코드 샘플 중 74%를 차지했다. 이것은 2004년 하반기(54%) 및 상반기(44%)에 비해 크게 증가한 결과다.

이처럼 기밀 정보의 노출 위험이 증가하게 된 배경에는 봇(bot)이 있다.

2005년 상반기 동안, 10,866 개의 새로운 Win32 바이러스 및 웜 변종을 확인되었다. 이는 2004년 하반기에 발견된 숫자(7,360)보다 48% 증가한 결과이다. 또 2004년 상반기의 4,496개와 비교했을 때에는 142% 증가한 것이다. 2005년 6월 30일을 기준으로, Win32 변종의 수는 모두 28,000 개를 넘어 섰다.

지난 6개월간 Win32 변종이 이처럼 증가한 것은, 금전적인 이익을 목적으로 봇 기능(IRC 채널을 이용한 원격 액세스, DoS 공격 등)을 구현한 Win32 악성 코드 사례가 늘고 있기 때문이다. 예를 들어, Spybot,10 Gaobot11, Randex12 등의 봇 프로그램의 경우 소스 코드가 공개된 이후로 그 변종의 수가 급격하게 증가하고 있다. 악성 코드군(family)의 수 자체는 지난 2년 동안 크게 증가하지 않고 있다는 사실을 감안할 때, 이처럼 변종의 수가 급증하는 현상은 특별히 주목할 필요가 있다.

Mytob 웜의 경우, 6월 한 달 동안에만 97가지의 변종이 새로 발견되었으며, 이 웜 역시 봇 기능을 포함하고 있다

-출저 시큐어리티님의 블로그

Hit : 8233 Date : 2007/08/28 10:34