최근 국내에서 악성 기능이 포함되도록 변조된 ‘Putty’툴이 발견됐다.
Putty툴은 원격 컴퓨터 접속 프로그램이다.
이번에 발견된 변조된 Putty툴에는 트로이목마(Trojan) 기능을 내장, 원격접속을 위해 사용된 인증 정보, 즉 서버의 로그인 명과 패스워드를 공격자에게 전송하는 것이 특징이다. 변조된 Putty를 통해 원격 시스템을 접속하는 과정을 패킷분석툴로 확인해봤다.
[그림 1]과 같이 특정 URL에 연결하기 위해 IP 주소를 확인하는 DNS 트래픽을 확인할 수 있다. 연결을 시도하는 ng***o-u*.ru는 C&C로 의심되며 현재는 IP 확인과 URL 접속은 되지 않는다.
버전 확인을 통한 변조된 Putty.exe 확인
A. 방법 : Putty.exe를 실행하여 [About] 클릭
B. 변조된 Putty.exe는 릴리즈 버전이 [Unidentified build]로 확인된다.
[그림 3] 정상 Putty(좌)/ 변조된 Putty(우)
사용자는 Putty 실행 시 주의가 필요하다.
안랩의 V3 제품군에서는 관련 악성코드를 Trojan/Win32.Modputty(2015.05.21.04)로 진단하고 있다.
'지난자료모음 > 보안솔루션' 카테고리의 다른 글
고정자산관리 솔루션 [유제이소프트 - 애니에셋] (0) | 2015.07.27 |
---|---|
보안 트렌드를 읽기 전, 꼭 알아야 할 용어들 (0) | 2015.06.11 |
'Putty'툴에 악성 기능 내장시켜 변조하는 악성코드 (0) | 2015.06.02 |
잔혹한 악의 화신, 랜섬웨어 Top 6 (0) | 2015.06.02 |
최신 보안 위협 및 대응책 점검 (0) | 2015.05.20 |
랜섬웨어 대응 PC장애 복구 솔루션 – 원더비즈 Reparo (0) | 2015.05.20 |
댓글을 달아 주세요