신종 악성코드 ‘가우스(Gauss)’ 분석했더니...

포괄적 금융정보 포함한 다양한 정보 수집이 목적

[보안뉴스 김태형] 현지 시각으로 2012년 8월 9일 해외 보안 업체 카스퍼스키(Kaspersky)에서 블로그 ‘Gauss:Nation-state cyber-surveillance meets banking Trojan’와 함께 분석 보고서인 ‘Gauss:Abnormal Distribution’를 공개했다.

안랩 시큐리티대응센터(이하 ASEC)는 이번 카스퍼스키에서 공개한 분석 보고서에서는 ‘Gauss’로 명명된 악성코드가 발견되었으며 해당 악성코드들이 기존에 발견되었던 Duqu와 Stuxnet 변형으로 알려진 Flame과 유사도가 높은 것으로 밝히고 있다고 설명했다.

해당 Gauss 악성코드의 전체적인 구조는 아래 카스퍼스키에서 공개한 이미지와 동일한 형태로 Duqu, Stuxnet 그리고 Flame과 유사한 모듈화된 형태를 가지고 있다.

이번에 발견된 해당 Gauss 악성코드들의 특징은 다음과 같으며 Flame에서 발견되었던 특징들이 유사하게 발견되었다.

1) 2011년 9월에서 10월 사이에 제작 및 유포된 것으로 추정, 제작 이후 수 차례 모듈 업데이트 및 C&C 서버 주소가 변경됨

2) 웹 브라우저 인젝션 이후 사용자 세션을 가로채는 기법으로 사용자 암호, 브라우저 쿠키 및 히스토리 수집

3) 감염된 PC에서 네트워크 정보, 프로세스, 폴더, BIOS와 CMOS 정보들 수집

4) USB를 이용 다른 PC로 전파되며 사용된 취약점은 Stuxnet에서 최초 악용되었던 ‘MS10-046:Windows 셸의 취약성으로 인한 원격 코드 실행 문제’ 사용

5) Palida Narrow 폰트 설치

6) C&C 서버와 통신 후 수집한 정보들 모두 전송하고 다른 모듈들을 다운로드

그리고 해당 악성코드들이 수집하는 정보들은 다음과 같으며 Stuxnet과 같이 시스템 파괴 등의 목적보다는 정보 수집을 주된 목적으로 하고 있다.

1) 컴퓨터 명, 윈도우 버전, 실행 중인 프로세스 리스트

2) Program Files 폴더의 디렉토리 리스트

3) 감염된 PC의 인터넷 익스플로러 버전

4) 네트워크 및 DNS 정보

5) 쿠키를 검색해서 쿠키 중 다음 문자열이 있는지 검색 후 웹 페이지 접속시에 사용자 암호 추출

paypal, mastercard, eurocard, visa, americanexpress, bankofbeirut, eblf, blombank, byblosbank, citibank, fransabank, yahoo, creditlibanais, amazon, facebook, gmail, hotmail, ebay, maktoob

이 번에 발견된 Gauss 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

·Trojan/Win32.Mediyes

·JS/Gauss

·Win-Trojan/Gauss.1310208

·Win-Trojan/Gauss.270336

·Win-Trojan/Gauss.194560

·Win-Trojan/Gauss.172032

·Win-Trojan/Gauss.397312

·Win-Trojan/Gauss.430080

ASEC는 이번 카스퍼스키의 분석 보고서를 참고로 할 때 Gauss 악성코드들은 특정 금융정보나 개인정보 탈취 목적이라기보다 Flame 악성코드와 유사하게 특정 조직에 대한 포괄적인 금융정보를 포함한 다양한 정보들을 수집하기 위해 제작된 것으로 분석된다고 밝혔다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)