지난자료모음/보안솔루션2015. 6. 2. 13:14

'Putty'툴에 악성 기능 내장시켜 변조하는 악성코드

최근 국내에서 악성 기능이 포함되도록 변조된 ‘Putty’툴이 발견됐다.

 

Putty툴은 원격 컴퓨터 접속 프로그램이다.

 

이번에 발견된 변조된 Putty툴에는 트로이목마(Trojan) 기능을 내장, 원격접속을 위해 사용된 인증 정보, 즉 서버의 로그인 명과 패스워드를 공격자에게 전송하는 것이 특징이다. 변조된 Putty를 통해 원격 시스템을 접속하는 과정을 패킷분석툴로 확인해봤다.

 

[그림 1]과 같이 특정 URL에 연결하기 위해 IP 주소를 확인하는 DNS 트래픽을 확인할 수 있다. 연결을 시도하는 ng***o-u*.ru는 C&C로 의심되며 현재는 IP 확인과 URL 접속은 되지 않는다.

 

 


[그림 1] C&C IP 확인 및 연결시도 실패

 

 

버전 확인을 통한 변조된 Putty.exe 확인

 


A. 방법 : Putty.exe를 실행하여 [About] 클릭

 


[그림 2] Putty  버전 확인

 

 

B. 변조된 Putty.exe는 릴리즈 버전이 [Unidentified build]로 확인된다.

 


[그림 3] 정상 Putty(좌)/ 변조된 Putty(우)


사용자는 Putty ​ 실행 시 주의가 필요하다.

안랩의 V3 제품군에서는 관련 악성코드를 Trojan/Win32.Modputty(2015.05.21.04)로 진단하고 있다.

 

출처: 안철수연구소 http://shop.ahnlab.com/jump/jsp/fp/main.jsp?1=1&NVKWD=%EC%95%88%EC%B2%A0%EC%88%98%EC%97%B0%EA%B5%AC%EC%86%8C&NVADKWD=%EC%95%88%EC%B2%A0%EC%88%98%EC%97%B0%EA%B5%AC%EC%86%8C&NVAR=PL&NVADID=52086196+0wu0002F%5FzLjEz0200jp

'지난자료모음 > 보안솔루션' 카테고리의 다른 글

고정자산관리 솔루션 [유제이소프트 - 애니에셋]  (0) 2015.07.27
보안 트렌드를 읽기 전, 꼭 알아야 할 용어들  (0) 2015.06.11
'Putty'툴에 악성 기능 내장시켜 변조하는 악성코드  (0) 2015.06.02
잔혹한 악의 화신, 랜섬웨어 Top 6  (0) 2015.06.02
최신 보안 위협 및 대응책 점검  (0) 2015.05.20
랜섬웨어 대응 PC장애 복구 솔루션 – 원더비즈 Reparo  (0) 2015.05.20
Posted by 엠플 (주)엠플
Trackback 0 Comment 0

댓글을 달아 주세요