봇넷(Botnet) 을 이용한 스팸 메일 발송, 분산형 서비스 방해 공격(DDoS) 사업이 안정 궤도에 들어선지 2~3년 정도 된 것 같습니다. 그러나 돈 벌리는 사업에는 언제나 경쟁자가 있기 마련~
최근 유명세를 떨친 스톰웜(Storm Worm)은 봇넷 제작자 간의 사업 경쟁이 얼마나 치열한지를 잘 보여주고 있습니다. 해외 보안 회사 SecureWorks 사의 Joe Stewart 의 분석 자료에 따르면 Storm Worm 은 자신만의 봇넷을 형성하면서, 경쟁 봇넷인 Warezov Worm을 공격하는 기능을 내장하고 있다고 합니다.
먼저 Storm Worm 의 주요 기능을 살펴보면...
( Storm Worm 의 주요 기능 )
이와 같이 Storm worm 은 스팸 메일 발송 및 DDoS 사업에 걸맞게, 스팸 메일 발송 기능, 백도어 기능, 바이러스 전파 기능 및 DDoS 기능을 갖추고 있습니다.
이 웜의 제작자는 기존 웜들의 실패로부터 좋은 교훈을 배운 듯 합니다. Storm Worm 은 eDonkey P2P 프로토콜을 이용해 봇넷간의 교신을 수행함으로써 기존 웜이 가진 한계를 극복하고 있습니다.
첫째로, eDoneky 프로토콜은 인터넷 트래픽의 상당량을 차지하는 프로토콜이기 때문에 트래픽이 증가해도 네트워크 관리자나 보안 담당자가 눈치 채기 어렵습니다. 일종의 Stealth 기능이죠. 모래 사장에서 바늘 찾기...
둘째로, 혹 관리자가 트래픽 증가를 눈치챘다고 하더라도 웜에 감염되었다고 생각하기 보다는 누군가 당나귀(eDonkey)를 사용하는가보다 라고 생각하고 넘어갈 수 있습니다. 역시 Stealth 기능.
셋째로, 당나귀를 아예 막아버리기 전에는 웜이 교신하는 포트를 막을 수 없어 안정적으로 봇넷을 유지할 수 있습니다. 회사야 정책적으로 P2P를 막는 경우가 많지만 개인은 P2P 포트를 열어두는 경우가 많죠.
( eDonkey P2P 프로토콜을 가장 )
Storm Worm 은 스팸 메일 발송 사업에 방해가 되는 안티 스팸 사이트에 대한 DDoS 공격 기능과 함께, 경쟁 봇넷인 Warezov Worm 에 대한 DDoS 기능을 갖추고 있습니다. 아래 그림은 Storm Worm 의 DDoS 공격 대상 사이트 목록 입니다.
( DDoS 공격 대상 사이트 목록 )
경쟁자와 방해꾼을 제거하고 스팸 메일 발송 사업을 독점하려는 Storm Worm. 이제 바야흐로 봇넷 사업도 무한 경쟁의 시대에 접어들었음을 간접적으로 보여주는 사례라 하겠습니다. 예전에 비해 수익률이 떨어진 탓일 수도 있겠구요.
참고 자료 : http://www.secureworks.com/research/threats/storm-worm
최근 유명세를 떨친 스톰웜(Storm Worm)은 봇넷 제작자 간의 사업 경쟁이 얼마나 치열한지를 잘 보여주고 있습니다. 해외 보안 회사 SecureWorks 사의 Joe Stewart 의 분석 자료에 따르면 Storm Worm 은 자신만의 봇넷을 형성하면서, 경쟁 봇넷인 Warezov Worm을 공격하는 기능을 내장하고 있다고 합니다.
먼저 Storm Worm 의 주요 기능을 살펴보면...
( Storm Worm 의 주요 기능 )
이와 같이 Storm worm 은 스팸 메일 발송 및 DDoS 사업에 걸맞게, 스팸 메일 발송 기능, 백도어 기능, 바이러스 전파 기능 및 DDoS 기능을 갖추고 있습니다.
이 웜의 제작자는 기존 웜들의 실패로부터 좋은 교훈을 배운 듯 합니다. Storm Worm 은 eDonkey P2P 프로토콜을 이용해 봇넷간의 교신을 수행함으로써 기존 웜이 가진 한계를 극복하고 있습니다.
첫째로, eDoneky 프로토콜은 인터넷 트래픽의 상당량을 차지하는 프로토콜이기 때문에 트래픽이 증가해도 네트워크 관리자나 보안 담당자가 눈치 채기 어렵습니다. 일종의 Stealth 기능이죠. 모래 사장에서 바늘 찾기...
둘째로, 혹 관리자가 트래픽 증가를 눈치챘다고 하더라도 웜에 감염되었다고 생각하기 보다는 누군가 당나귀(eDonkey)를 사용하는가보다 라고 생각하고 넘어갈 수 있습니다. 역시 Stealth 기능.
셋째로, 당나귀를 아예 막아버리기 전에는 웜이 교신하는 포트를 막을 수 없어 안정적으로 봇넷을 유지할 수 있습니다. 회사야 정책적으로 P2P를 막는 경우가 많지만 개인은 P2P 포트를 열어두는 경우가 많죠.
( eDonkey P2P 프로토콜을 가장 )
Storm Worm 은 스팸 메일 발송 사업에 방해가 되는 안티 스팸 사이트에 대한 DDoS 공격 기능과 함께, 경쟁 봇넷인 Warezov Worm 에 대한 DDoS 기능을 갖추고 있습니다. 아래 그림은 Storm Worm 의 DDoS 공격 대상 사이트 목록 입니다.
( DDoS 공격 대상 사이트 목록 )
경쟁자와 방해꾼을 제거하고 스팸 메일 발송 사업을 독점하려는 Storm Worm. 이제 바야흐로 봇넷 사업도 무한 경쟁의 시대에 접어들었음을 간접적으로 보여주는 사례라 하겠습니다. 예전에 비해 수익률이 떨어진 탓일 수도 있겠구요.
참고 자료 : http://www.secureworks.com/research/threats/storm-worm
덧글
나루터 2007/02/15 23:21 # 삭제 답글
기존에 많이 사용하는 다른 프로토콜을 이용한다. 매우 좋은(?) 아이디어네요...뭔가를 꾸밀 수 있는 좋은 네트워크라 생각은 하고 있었지만 이런식으로 이용하는 방법도 있군요.
헐랭이님의 글을 보면 결코 헐렁하지가 않아요. 꽉 잡힌 균형이 있어요. 핵심을 찌르는.
헐랭이 2007/02/16 00:27 # 답글
나루터 // 칭찬을 들으니 기분이 좋네요 *^^* 감사합니다. 나루터님 블로그는 항상 신선하고 재미있는 정보가 많아서 자주 들르고 있어요. 즐거운 블로그 생활 되시길~
fullc0de 2007/02/16 15:17 # 답글
좋은 글 입니다. 저두 헐랭이님 사이트 팬 입니다. 넘 좋은 정보 알고 가는거 같아서 항상 죄송스럽네요~즐거운 명절 보내세요~
헐랭이 2007/02/16 15:58 # 답글
fullc0de// 저도 fullc0de님 블로그에 자주 들르는 걸요. 제 블로그에 들러주시는 분들이 많을수록 기쁨이 늘어나는 거 같아요. 그러니 죄송스럽다는 표현은 마시길~ fullc0de 님도 간만의 연휴 즐겁게 보내시고 즐거운 블로그 생활 되세요~