토르피그

Torpig

토르피그(Torpig)는 안세린(Anserin) 또는 시노왈(Sinowal)이라고도 하며, 은행계좌나 신용카드 정보 등 민감한 개인 및 기업 데이터를 수집하기 위해 다양한 트로이 목마들에 의해 메브로트 루트킷에 의해 절충된 시스템을 통해 퍼지는 봇넷의 일종이다.마이크로소프트 윈도를 사용하는 컴퓨터를 대상으로, 봇넷용 좀비 네트워크를 모집한다.Torpig는 루트킷 기술을 사용하여 바이러스 백신 소프트웨어를 우회하고 감염된 시스템에서 자격 증명, 계정 및 암호를 검사하며 공격자가 컴퓨터에 완전히 액세스할 수 있도록 잠재적으로 허용한다.또한 컴퓨터의 데이터를 수정할 수 있으며 브라우저의 맨인 공격도 수행할 수 있다고 알려져 있다.

2008년 11월까지, 토르피그가 약 50만 개의 온라인 은행 계좌신용 카드와 직불 카드의 세부 정보를 도용한 것으로 추정되었고, "지금까지 만들어진 범죄 도구 중 가장 진보된 것 중 하나"라고 묘사되었다.[1]

역사

토르피그는 2005년부터 개발을 시작해 그 시점부터 호스트 시스템과 바이러스 백신 소프트웨어의 탐지를 보다 효과적으로 회피하는 방향으로 진화했다고 한다.[2]

2009년 초, 산타 바바라 캘리포니아 대학의 보안 연구팀이 열흘 동안 봇넷을 장악했다.그 기간 동안, 그들은 전례 없이 많은 양의 (70GB가 넘는) 도난 데이터를 추출하고 120만 개의 IP를 개인 명령어와 제어 서버로 리디렉션했다.그 보고서는[3] 봇넷이 어떻게 작동하는지 아주 상세하게 다루고 있다.During the UCSB research team's ten-day takeover of the botnet, Torpig was able to retrieve login information for 8,310 accounts at 410 different institutions, and 1,660 unique credit and debit card numbers from victims in the U.S. (49%), Italy (12%), Spain (8%), and 40 other countries, including cards from Visa (1,056), MasterCard (447), American Express(81), Maestro(36), Discover(24).[4]

작전

당초 토르피그의 확산은 사용자들을 속여 악성 소프트웨어를 설치하게 한 피싱 이메일에 기인했다.그 이후로 발전된 보다 정교한 전달 방법은 Java 또는 Adobe Acrobat Reader, Flash Player, Shockwave Player의 오래된 버전에서 발견된 공격의 이점을 이용하는 악의적인 배너 광고를 사용한다.Drive-by download의 일종으로, 이 방법은 일반적으로 사용자가 광고를 클릭할 필요가 없으며 악의적인 광고가 이전 소프트웨어 버전을 인식하고 브라우저를 Torpig 다운로드 사이트로 리디렉션한 후 눈에 보이는 징후 없이 다운로드가 시작될 수 있다.감염된 컴퓨터의 MBR(Master Boot Record)에 설치를 완료하기 위해 트로이 목마가 컴퓨터를 다시 시작한다.[2]

악성코드는 주요 감염 단계 동안 신용카드 번호와 은행계좌에 대한 자격증 등 금융 데이터와 이메일 계정, 윈도 비밀번호, FTP 자격 증명, POP/SMTP 계정 등 정보를 한 번에 20분씩 컴퓨터에서 업로드한다.[4]

참고 항목

참조

  1. ^ BBC 뉴스:트로이 목마 바이러스가 은행 정보를 훔치다
  2. ^ a b Carnegie Mellon University. "Torpig". Archived from the original on 19 May 2015. Retrieved 25 July 2015.
  3. ^ UCSB Torpig 보고서
  4. ^ a b Naraine, Ryan (4 May 2009). "Botnet hijack: Inside the Torpig malware operation". ZDNet. Archived from the original on 1 August 2015. Retrieved 1 August 2015.

추가 읽기

외부 링크