Sality 악성코드의 확산 경로 및 공격 방법

Sality 악성코드의 확산 경로 및 공격 방법

개요 러시아 안티바이러스 회사 Dr. Web 연구진은 최근 Sality 바이러스가 WIFI 라우터를 해킹하는 트로이목마에 의하여 확산되는 사례가 있다고 발표(’14.3월) Sality(Win32.Sector) : 실행 파일을 감염시켜서 P2P 봇넷을 생성하고 추가로 다운로드 할 파일의 URL을 수신하는 등의 행위를 하며, 보안소프트웨어를 실행 중지시키는 악성코드 주요내용 Sality의 특징 Sality는 감염된 시스템에서 P2P를 이용한 원격 접속을 허용하여, 스팸, 프록시 통신, 민감정보 탈취 등의 행위를 가능하게 함 자체 전파 기능이 없으므로 Rbrute 등 다른 악성코드를 이용하여 다양한 경로로 확산됨 보안소프트웨어를 실행 중지시키는 기능이 있으므로, 일반 백신으로 제거하기 어려움 Sality 공격 방법 <Sality 공격 방법> WIFI 라우터 해킹을 통한 Sality 확산 경로 ① 공격 대상 컴퓨터 Windows에 설치된 Rbrute는 공격자의 원격 서버에 접속 ② 공격자는 Rbrute를 이용하여 공격 대상 WIFI 라우터에 사전공격을 시도 ③ 사전공격에 성공한 Rbrute는 공격 대상 WIFI 라우터의 DNS주소를 변경하기 위한 설정 정보를  공격자에게 전송 ④ 공격자는 라우터의 DNS 주소를 변경하여, 사용자가 웹사이트를 방문할 때 Sality를 다운로드 하는  사이트로 리다이렉션 수행 ⑤ Sality는 Rbrute를 다운받아서 공격 사이클이 계속됨 Rbrute :  WIFI 라우터를 해킹하는 트로이목마 사전공격 : 사전에 나와 있는 단어를 차례대로 대입하여 암호키를 찾아내는 공격 [출처] 1. http://www.net-security.org/malware_news.php?id=2731 2. http://en.wikipedia.org/wiki/Sality 3. http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99