신종 악성코드 ‘가우스(Gauss)’ 분석했더니...

포괄적 금융정보 포함한 다양한 정보 수집이 목적

[보안뉴스 김태형] 현지 시각으로 2012년 8월 9일 해외 보안 업체 카스퍼스키(Kaspersky)에서 블로그 ‘Gauss:Nation-state cyber-surveillance meets banking Trojan’와 함께 분석 보고서인 ‘Gauss:Abnormal Distribution’를 공개했다.

안랩 시큐리티대응센터(이하 ASEC)는 이번 카스퍼스키에서 공개한 분석 보고서에서는 ‘Gauss’로 명명된 악성코드가 발견되었으며 해당 악성코드들이 기존에 발견되었던 Duqu와 Stuxnet 변형으로 알려진 Flame과 유사도가 높은 것으로 밝히고 있다고 설명했다.

해당 Gauss 악성코드의 전체적인 구조는 아래 카스퍼스키에서 공개한 이미지와 동일한 형태로 Duqu, Stuxnet 그리고 Flame과 유사한 모듈화된 형태를 가지고 있다.

이번에 발견된 해당 Gauss 악성코드들의 특징은 다음과 같으며 Flame에서 발견되었던 특징들이 유사하게 발견되었다.

1) 2011년 9월에서 10월 사이에 제작 및 유포된 것으로 추정, 제작 이후 수 차례 모듈 업데이트 및 C&C 서버 주소가 변경됨

2) 웹 브라우저 인젝션 이후 사용자 세션을 가로채는 기법으로 사용자 암호, 브라우저 쿠키 및 히스토리 수집

3) 감염된 PC에서 네트워크 정보, 프로세스, 폴더, BIOS와 CMOS 정보들 수집

4) USB를 이용 다른 PC로 전파되며 사용된 취약점은 Stuxnet에서 최초 악용되었던 ‘MS10-046:Windows 셸의 취약성으로 인한 원격 코드 실행 문제’ 사용

5) Palida Narrow 폰트 설치

6) C&C 서버와 통신 후 수집한 정보들 모두 전송하고 다른 모듈들을 다운로드

그리고 해당 악성코드들이 수집하는 정보들은 다음과 같으며 Stuxnet과 같이 시스템 파괴 등의 목적보다는 정보 수집을 주된 목적으로 하고 있다.

1) 컴퓨터 명, 윈도우 버전, 실행 중인 프로세스 리스트

2) Program Files 폴더의 디렉토리 리스트

3) 감염된 PC의 인터넷 익스플로러 버전

4) 네트워크 및 DNS 정보

5) 쿠키를 검색해서 쿠키 중 다음 문자열이 있는지 검색 후 웹 페이지 접속시에 사용자 암호 추출

paypal, mastercard, eurocard, visa, americanexpress, bankofbeirut, eblf, blombank, byblosbank, citibank, fransabank, yahoo, creditlibanais, amazon, facebook, gmail, hotmail, ebay, maktoob

이 번에 발견된 Gauss 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

·Trojan/Win32.Mediyes

·JS/Gauss

·Win-Trojan/Gauss.1310208

·Win-Trojan/Gauss.270336

·Win-Trojan/Gauss.194560

·Win-Trojan/Gauss.172032

·Win-Trojan/Gauss.397312

·Win-Trojan/Gauss.430080

ASEC는 이번 카스퍼스키의 분석 보고서를 참고로 할 때 Gauss 악성코드들은 특정 금융정보나 개인정보 탈취 목적이라기보다 Flame 악성코드와 유사하게 특정 조직에 대한 포괄적인 금융정보를 포함한 다양한 정보들을 수집하기 위해 제작된 것으로 분석된다고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [속보] 내 가족 목소리까지 흉내낸 AI 신...

• 2

  [속보] 보건복지부, SNS X 관리자 계정...

• 3

  이비인후과학회, 회원 개인정보 유출... 이...

• 4

  개인정보 유출사건 관련 중요 알림? KISA...

• 5

  [오늘의 보안 영어] head off

• 1

  순천향대 SCH사이버보안연구센터-누리랩, 최...

• 2

  [RSAC 2024 결산] 어디서든 AI 외...

• 3

  일본 호텔 예약사이트 ‘료칸클럽’... 네이...

• 4

  [보안 상장기업 주간 주가동향] 美 고용지표...

• 5

  유럽의 클라우드 업체들, 브로드컴에 불만을 ...

• 1

  와이파이 표준의 설계 결함 때문에 전혀 다른...

• 2

  개인정보 유출 사고 발생시 기업에서는 어떤 ...

• 3

  국내 SW 그누보드와 보안 솔루션 2종에서 ...

• 4

  아직 갈 길 먼 클라우드 보안의 현실

• 5

  사법부, 법원 전산망 해킹 관련 입장 밝혀....