국내 악성코드 정보2015. 10. 27. 13:22

외국 보안업체인 시만텍에서 공개한 내용인데 사실 대한민국(South Korea)을 겨냥한 사이버 공격으로 밝혔기에 카테고리를 '국내 악성코드 정보'로 언급.


시만텍에서 명명한 악성코드명 BackDoor.Duzzer는 시스템 및 드라이브 정보 수집, 원격 제어 접근, 파일 업로드 및 다운로드, 특정 명령어 수행, 가치 있는(귀중한) 데이터 훔치는 등의 기능을 수행한다고 밝혔다.


그리고 기능 아래 Duzzer 분석 내용의 경우 딱히 자세한 내용은 없고... 보아하니 시작프로그램 항목 정보(RUN)가 담긴 레지스트리를 쿼리 한 뒤에 추가적으로 특정 유저 계정의 특정한 프로그램으로 위장하여 동일 폴더가 아닌 다른 위치에 폴더를 생성하여 악성 행위를 수행한다. 원래 시만텍 블로그에 글에는 PNPSecure의 'DBSAFER AGENT'이 존재하였으나 의견 조정 뒤, 모자이크 처리 되었다고 한다. 쉽게 말하자면, 특정 프로그램에 대한 공격이 아닌, 랜덤한 확률로 뽑힌 프로그램을 흉내^^


* 영어를 잘못 해석하여 잘못 올렸는데 해당 회사의 고객지원팀에서 덧글로 남겨주셔서 오해의 여지가 있는 말을 정정합니다. 이 부분에 대해서는 죄송합니다.


그 외 내용, BramBul, Joanap, 시만텍에서 밝힌 MD5는 시만텍 블로그를 참조


http://www.symantec.com/connect/blogs/duuzer-back-door-trojan-targets-south-korea-take-over-computers

Posted by Ec0nomist

댓글을 달아 주세요

  1. 안녕하세요. 피앤피시큐어 고객지원팀입니다.

    http://intumyself.tistory.com에 공유해 주신 유용한 정보 잘 보고 있습니다. 감사합니다.
    당사의 DBSAFER 관련 메시지가 있어서, 추가 설명글을 댓글로 올립니다.

    말씀하신 시만텍 보고의 Duzzer 백도어 트로이목마 관련하여 지난 10월 시만텍으로부터 연락을 받아,
    당사에서도 조사를 하였고, 시만텍에 의견을 보내어 오해의 소지가 있는 부분은 조정이 된 것으로 알고 있습니다.
    http://www.symantec.com/connect/blogs/duuzer-back-door-trojan-targets-south-korea-take-over-computers
    의 원글에도 당사의 제품명은 삭제되었습니다.

    시만텍에서 보고한 듀저(Duzzer) 백도어 트로이목마는
    공격 대상의 PC에 이미 합법적으로 레지시트리에 등록된 소프트웨어 중 하나를 선택하여
    마치 기존에 PC에 설치되었던 소프트웨어인 것처럼 위장하여 동작하는 변종 악성코드로 보고 있습니다.
    http://www.symantec.com/connect/blogs/duuzer-back-door-trojan-targets-south-korea-take-over-computers
    http://www.dailysecu.com/news_view.php?article_id=11449
    따라서 당사의 소프트웨어와는 관련이 없음 알려 드립니다.

    DBSAFER AGENT 프로그램은 피앤피시큐어에서 제공하고 있는 접근제어용 PC AGENT로서
    배포시 디지털서명과 무결성 검사를 통하여 악성코드가 배포되지 않도록 유의하고 있으며,
    시만텍에서 제공하는 감염 지표 리스트와 저희가 배포한 모든 버전에 대하여 전수 검사도 실시한 바 있습니다.

    이와 함께 앞으로는 혹시라도 있을 수 있는 본 건과 같은 위장 동작을 방지하기 위한 방안을 연구중에 있습니다.
    경청하는 자세로 의견을 수렴하고, 더 좋은 서비스를 제공하기 위해서 앞으로 더 노력하겠습니다.
    감사합니다.

    피앤피시큐어 고객지원팀 드림

    2015.11.02 15:26 [ ADDR : EDIT/ DEL : REPLY ]
    • 아... 확인해보니 해석을 잘못하여 오해를 하였고.... 지금 수업인지라 갔다와서 정정하겠습니다.

      누추한 본 블로그에 관심 가져주셔서 감사합니다.

      2015.11.02 16:26 신고 [ ADDR : EDIT/ DEL ]