마이크로소프트는 수많은 민간단체와 미국 FBI 사이의 협공 덕분으로, 1462개의 시타델(Citadel) 봇넷(botnet)을 성공적으로 붕괴시켰다고 발표하였습니다.
정확하게 1462개 봇넷입니다.
→ 봇넷(botnet)은 봇(bots)이나 좀비(zombies)로 알려진 맬웨어에 감염된 컴퓨터들의 집합입니다. 봇넷안의 좀비들은 봇트마스터로 알려진 사이버범죄자들에 의해 나쁜 짓, 즉 스팸메일을 보내거나, 패스워드를 훔치기 위해 입력되는 모든 것을 로그로 남기거나 다른 사람들의 웹사이트를 공격하도록 원격으로 동시에 명령을 받을 수 있습니다.
1462개 컴퓨터의 봇넷이 아니라 1462개의 독립된 봇넷입니다.
하나의 맬웨어 계열인 시타델(Citadel)이 그렇게 많은 독특한 사이버범죄 운영에 대해 결국 책임을 질 수 밖에 없는 이유는 시타델(Citadel)이 단순한 맬웨어가 아니기 때문입니다.
Citadel은 크라임웨어 키트(crimeware kit)라 불리는 것인데, 여러분은 사이버범죄 지하세계에서 자신만의 부정직한 도시를 건설하기 위해 리스를 하거나 구매를 할 수 있습니다.
사이버사기꾼들은 다른 신진 사기꾼들에게 맬웨어 서비스(Malware-as-a-Service)를 제공하는 클라우드 서비스의 예민한 제안자들이기 때문에 여러분은 여러분의 맬웨어를 어떻게 제작하는지 또는 어떻게 그것을 호스팅하는 지에 대해 알 필요가 없습니다.
무력화(Takedown)
어떻게 봇넷이 매수되었나라는 마이크로소프트의 자료는 이것이 특히 사기꾼들에 대한 역습의 시초였기 때문에, 당연히 상세함이 부족합니다.
하지만 일반적으로, 봇넷은 다음에 무엇을 할지에 대한 지시를 내려 받은 감염된 컴퓨터에서 하나 또는 그 이상의 명령 및 제어(command-and-control) 서버에 의존합니다.
그래서 봇넷 운영이 되는 명령 및 제어(C&C)서버의 일부나 전체를 확인하고 그것들을 강제로 액션을 취하지 못하게 하면 사이버범죄 운영을 진지하게 막을 수 있습니다.
만약 사기꾼들이 그들의 봇넷에 있는 좀비PC들에게 그들 “메뉴”상의 다음 코스로 퍼트리지 못하게 한다면, 그 봇넷은 근본적으로 무력화될 것입니다.
그리고, 그런 일이 일어났는데, 바로 뉴저지와 펜실바니아에 있는 2군데 호스팅 회사의 명령 및 제어(C&C) 서버의 통합된 붕괴입니다.
물론 이것이 미국 밖의 명령 및 제어(C&C) 서버를 다루는 것은 아닙니다.
그것들을 중단시키는데 도움을 주기 위해, 마이크로소프트는 다른 나라에 있는 컴퓨터침해사고대응팀(Computer Emergency Response Teams, CERTs)에게 정보를 나눠주었습니다.
컴퓨터침해사고대응팀(CERTs)이 각국의 사법권내에 있는 시타델(Citadel) 명령 및 제어(C&C) 서버에 대한 조치를 취할 수 있기를 바랍니다.
다음은 무엇인가요?
여러분이 시타델에 대한 소포스랩의 분석 자료에서 볼 수 있듯이, 그 특징 중 하나는 프로그래밍이 가능한 DNS 리다이렉션입니다.
이것은 감염된 컴퓨터가 인터넷의 잘못된 지도를 제공할 수 있다는 의미입니다.
여러분은 실제 은행사이트 대신에 가짜 은행 사이트로 리다이렉트 되는 것뿐만 아니라, 보안 업데이트가 되지 않도록 우회될지도 모릅니다.
이것은 여러분의 감염된 PC를 깨끗이 하는 것을 더욱 더 어렵게 하고, 그래서 사기꾼들이 여러분의 PC를 더욱 오랫동안 은밀하게 제어하도록 합니다.
그래서, 우리들이 사이버범죄들을 다루는 마이크로소프트와 마이크로소프트의 많은 민간분야 파트너들, 그리고 FBI를 축하하는 반면에, 우리 나머지 사람들이 여기서 할 수 있는 역할을 잊어서는 안됩니다.
결국, 봇넷을 해체하는 데는 2가지 측면이 있습니다. 즉, 여러분은 “넷(net)” 부분을 제거할 수 있고(다시 말해, 명령 및 제어서버를 해체시키는 것), “봇(bot)” 부분을 제거할 수 있습니다.(다시 말해, 감염된 컴퓨터들을 치료하는 것)
만약 우선적으로 우리 스스로가 봇넷으로 끌어들여짐으로써 사기꾼들을 돕지 않도록 확실히 하기 위해 우리 모두가 우리의 몫을 다한다면, 우리는 그들이 부정하게 획득하는 이익을 자르게 될 것입니다.
'security > 보안 뉴스' 카테고리의 다른 글
| [Sophos] “지금 바로 비밀번호를 바꾸세요”라고 권고하는 유비소프트(Ubisoft) (0) | 2013.07.11 |
|---|---|
| [Sophos] 페이스북이 말하는 것 보다 훨씬 더 많이 유출된 페이스북 유출사건 (0) | 2013.07.03 |
| [Sophos] 미국 정부에 의해 폐쇄된 디지털 환전업체 리버티 리저브(Liberty Reserve) (0) | 2013.06.08 |
| [Sophos] 티파니에서의 아침 맬웨어? 널리 퍼진 트로이목마 (0) | 2013.06.08 |
| [Sophos] 수백만 달러의 서브웨이 해킹사건의 우두머리, 유죄 인정 (0) | 2013.05.30 |