트로이목마 Putty를 통한 정보유출 위험, 보안동향 업데이트

2015년 05월 21일 Symantec으로부터 한 통의 메일을 받았다.

내용인 즉, 우리가 많이 사용하는 'Putty'의 변종 파일이 발견되었다는 내용.

나의 회사 PC에도 설치되어 있는데, 보안은 꾸준한 관심을 가지지 않으면 언제 어떻게될지 모르니...

아래는 Symantec에서 받은 메일의 전문이다.

안녕하세요. Symantec BCS, Korea 입니다.

공격자가 악의적인 트로이목마 Putty 를 사용하여 시스템에 접근하기 위한 정보를 수집하고 있습니다.

Symantec Security Response 팀은 정보수집을 목적으로하는 Putty의 변종파일이 배포되는 것을 탐지하였습니다. 트로이목마와 동일한 악성행위를 보이는 이 Putty 파일은 공격자에 의해 생성되었으며 취약한 3rd Party 다운로드 웹페이지를 사용하여 자신의 웹페이지로 사용자를 유인하여 Putty파일을 다운로드 하게 합니다.

공격자가 사용자를 유인하는 방법은 아래와 같습니다.

1. 사용자가 검색엔진을 사용하여 Putty 검색

2. 검색엔진 결과에서 사용자가 공식홈페이지가 아닌 취약한 웹페이지로 접근하는것을 기다림

3. 사용자가 취약한 웹페이지를 통해 다운로드를 진행하는경우 아랍에미레이트에 위치한 서버로 이동시켜 트로이목마 Putty를 다운로드 하도록 함

Open source software 모델은 많은 사람들이 함께 Software를 발전시키는 프로젝트입니다. 이 프로젝트는 유용하고 무료입니다. 하지만 이러한 점이 때때로 스스로의 위험을 만들기도 합니다. 공격자는 오픈소스 프로젝트의 코드를 사용하여 트로이목마의 기능을 추가한 소프트웨어를 만들 수 있습니다. 이번 트로이목마 Putty는 공격자가 이러한 점을 악용하여 트로이목마 기능을 추가한 것입니다.

Putty는 SSH/Telnet/Serial Console 접속을 위한 툴로 매우 잘 알려진 프로그램이며 많은 시스템 관리자와 웹개발자, 그리고 데이터베이스 관리자들까지 전세계적으로 사용되고있습니다.

문제는 이러한 사용자가 시스템 접속에 사용하는 데이터가 접근 시스템에 대한 명확한 정보를 담고있다는 것이며 이는 시스템의 모든권한을 컨트롤 할 수 있는 슈퍼계정, root, 와 같은 계정정보를 포함한다는 것입니다.

또한 Putty는 관리자툴로 분류되어 Antivirus Scan에서 예외처리 되는 일이 많기 때문에 보이지 않는 위협요소로 대두될 수 있습니다.

트로이목마 Putty는 2013년부터 보고되고있었지만 아주 적은 수준이었고 최근 1년동안 휴면기간을 거쳤습니다. 그리고 현재 2015년 대대적으로 배포되고있어 주의가 필요합니다. 특정 국가와 지역을 구분하지 않고 배포되고 있으므로 아래의 사항을 숙지하여 Putty 다운로드를 진행하시기 바랍니다.

Putty사용시, 공식 홈페이지에서 다운로드 합니다.

Putty 의 다운로드 경로와 버전을 확인하십시오. 트로이목마 Putty는 빌드버전이 누락되어있습니다.

Symantec은 이 트로이목마 Putty를Hacktool, WS.Reputation.1, 그리고 Suspicious.Cloud.9 이름으로 탐지하고 있습니다.

보안레벨: 주의단계 (Security Level 1.)

탐지명: Hacktool, WS.Reputation.1, 그리고 Suspicious.Cloud.9

최초 발생일: 2013년

최신 바이러스 탐지 패턴정보: 2015년 5월 19일 r5

System Affect: Linux, Mac OS X, Solaris, Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

종류: 트로이목마

증상: 통신데이터 가로채기, 정보수집

피해, 영향: 시스템접근 정보와 사용자이름, 비밀번호 유출

유입경로: 3rd Party 유틸리티 공유사이트 등 취약한 웹사이트에서 경로 리다이렉팅

조치사항:

유입경로가 불분명한 Putty 삭제 및 공식사이트에서 다운로드하여 사용.

Putty 버전 확인 후, 빌드버전이 없으면 해당 파일 삭제

시스템 Full Scan 진행

Symantec은 Antivirus를 통해서 트로이목마 Putty를 탐지하고 있습니다. 더 자세한 사항은 아래 링크를 참고하시기 바랍니다.

Antivirus:

Hacktool

WS.Reputation.1

Suspicious.Cloud.9

보안 동향과 공격방법에 대한 더 많은 정보는 아래 Symantec 공식 블로그를 참고하시기 바랍니다.

Check your sources! Trojanized open source SSH software used to steal information:

http://www.symantec.com/connect/blogs/check-your-sources-trojanized-open-source-ssh-software-used-steal-information

감사합니다.

Symantec BCS, Korea 드림