P2P 버전 제우스 봇넷 출현!

최신 버전 발견...제우스의 변화무쌍한 전술

[보안뉴스 호애진] 제우스 멀웨어의 최신 버전이 출현했다. 이는 사소한 업그레이드가 아니라 대대적인 수정이 가해진 커스텀 버전이다.

기존 버전들에서 쓰이던 도메인 생성 알고리즘을 버리고 대신 IP 주소 목록을 내장해 P2P 방식으로 감염 PC에 신규 소프트웨어와 구성 파일을 전달한다.

과거의 방식으로 회귀한 것이지만 이전과 똑같지는 않다. 감염 컴퓨터가 업데이트를 얻기 위해 접촉할 마스터 URL이 더 이상 없는 것이다. 그렇게 되면 이 봇넷의 활동을 추적하기가 한층 어려워진다.

제우스는 지난 2~3년에 걸쳐 멀웨어 전문가들로부터 크나큰 관심을 끌어왔다. 그래서 전문가들이 이의 활동과 경향을 추적하는데 익숙해질 때쯤이면 전술을 바꾸곤 했다. 제우스에 대한 관심이 높다 보니 안티바이러스 업체뿐만 아니라 일부 유명한 커뮤니티들에서도 이 봇넷을 추적하는데 노력을 기울여왔다. 이러한 커뮤니티의 하나인 제우스 트래커(Zeus Tracker)가 이 P2P 기능을 갖춘 최신 버전을 발견했다.

지난 몇 년간 여러 봇넷에서 이와 유사한 기능이 추가되는 경향이 있었다. 전문가들이 봇 네트워크를 운영하는데 쓰이는 C&C 서버를 찾고 제거하는데 아주 능숙해졌기 때문이다.

P2P 기능을 이용해 감염 PC들을 매개로 업데이트된 소프트웨어와 명령을 다수의 좀비 PC에 유포하면 중앙의 C&C 서버를 이용하는 것보다 봇넷을 파괴하기가 한층 까다로워진다.

지금까지는 명령 및 업데이트 파일을 전송하는 하나 또는 그 이상의  C&C 서버를 차단(sinkhole)하면서 봇넷을 무력화시키는 게 보통이었다. 그런데 이러한 중앙의 표적이 없어진다면 대응이 어려워질 수밖에 없다.

제우스 트래커가 최근 발견한 이 버전에서는 새롭게 감염된 PC가 명령 및 업데이트된 구성 파일을 수신하기 위해 접촉할 IP 주소 목록을 포함시킴으로써 위의 전략을 실현한다. 새롭게 감염된 PC는 높은 숫자의 포트 상에서 UDP 패킷을 발송하면서 비슷한 피어를 찾는다. 봇넷 안의 다른 감염 PC의 반응이 있으면 그 PC에서 신규 IP 목록을 받는다.

제우스 트래커에 따르면 이 버전의 제우스는 상대방 PC에서 실행되는 제우스 버전이 무엇인지 원격으로 파악해 필요 시 업데이트 버전을 다운로드할 수 있다. 또한 이 봇넷을 제어하는 데 아직 1개의 C&C 도메인이 쓰이고 있지만 이는 고정된 도메인이 아니다. 시간의 흐름에 따라 제어 서버의 위치가 변한다.

제우스트래커는 “이 HTTP 프로토콜(POST)은 훔쳐낸 데이터를 드롭존(Dorpzone)에 전달하거나 봇넷 마스터의 명령을 수신하는 데만 사용되기 때문에 봇넷을 추적할 BinaryURL이나 ConfigURL이 더 이상 존재하지 않아 전문가들마저도 표적을 추적하기가 굉장히 어렵다”면서 “흥미로운 점은 유효하거나 활성화된 P2P 봇이 없고 주 C&C가 정지됐을 때, 즉 모든 것이 효과가 없을 경우 봇에서는 DGA를 예비 기제로 사용한다는 것”이라고 설명했다.

이어 “얼핏 보면 하나 같이 난감해 보이지만 좋은 점들도 있다. 예를 들자면, 한번에 하나의 제우스 C&C만 기능하기 때문에 이 도메인 명이 중단 내지 종결될 때마다 구성 파일을 새로 내보내야만 한다”고 덧붙였다.