최근 국내에서 악성 기능이 포함되도록 변조된 ‘Putty’툴이 발견됐다.
Putty툴은 원격 컴퓨터 접속 프로그램이다.
이번에 발견된 변조된 Putty툴에는 트로이목마(Trojan) 기능을 내장, 원격접속을 위해 사용된 인증 정보, 즉 서버의 로그인 명과 패스워드를 공격자에게 전송하는 것이 특징이다. 변조된 Putty를 통해 원격 시스템을 접속하는 과정을 패킷분석툴로 확인해봤다.
[그림 1]과 같이 특정 URL에 연결하기 위해 IP 주소를 확인하는 DNS 트래픽을 확인할 수 있다. 연결을 시도하는 ng***o-u*.ru는 C&C로 의심되며 현재는 IP 확인과 URL 접속은 되지 않는다.
[그림 1] C&C IP 확인 및 연결시도 실패
버전 확인을 통한 변조된 Putty.exe 확인
A. 방법 : Putty.exe를 실행하여 [About] 클릭
[그림 2] Putty 버전 확인
B. 변조된 Putty.exe는 릴리즈 버전이 [Unidentified build]로 확인된다.
[그림 3] 정상 Putty(좌)/ 변조된 Putty(우)
사용자는 Putty 실행 시 주의가 필요하다.
안랩의 V3 제품군에서는 관련 악성코드를 Trojan/Win32.Modputty(2015.05.21.04)로 진단하고 있다.
'etc' 카테고리의 다른 글
| Windows Server 2012 에디션 및 기능비교 표 (0) | 2015.06.02 |
|---|---|
| [긴급] 더욱 강력해진 CK VIP 익스플로잇 킷 공격 주의! (0) | 2015.06.02 |
| 잔혹한 악의 화신, 랜섬웨어 Top 6 (0) | 2015.06.02 |
| Symantec Encryption (0) | 2015.06.02 |
| SQL Express Edition 사용권 (License) (0) | 2015.06.02 |
댓글