<기사 요약>

 

  보안 업체인 시만텍은 지난 23일, 적어도 2008년부터 러시아, 사우디아라비아 등 10개 이상의 국가에 침입하여 정부 기관, 인터넷 사업자, 이동통신사 등을 대상으로 정보를 수집한 은닉형 악성코드 '레진(Regin)'을 발견했다고 한다.

 

  이 악성코드는 분석을 어렵게 하기 위해 안티 포렌식 기능과 함께 잘 사용되지 않는 RC5 암호, 암호화된 가상 파일 시스템(EVFS)를 사용하고 있다.

 

  현재 침투 경로나 방법은 밝혀지지 않았으나, 침투 후 마이크로소프트 이메일 서버와 주요 이통사의 휴대전화를 해킹하는 것으로 밝혀졌다.

 

  아주 정교한 코드를 사용하고 있어 발견이 어려웠으며, 지난 2010년 이란 핵시설을 타깃으로 하던 '스턱스넷(Stuxnet)'보다 뛰어난 기술을 사용하고 있어, 미국의 정보기관이 운영하고 있는게 아니냐는 의심을 받고 있다.

 

  뿐만 아니라 이 은닉 기능을 갖춘 악성코드 레진은 키보드, 마우스, 모니터 등의 입/출력 장치를 캡쳐하며, 비밀번호, 데이터와 함께 전송하며, 감염된 대상의 트래픽, 이메일을 분석하는 기능도 갖췄다고 알려지고 있다.

 

 

 

은닉기능 갖춘 최첨단 스파이웨어 ‘레긴’ 포착(보안뉴스) - http://www.boannews.com/media/view.asp?idx=44279

시만텍, 스텔스 기능 갖춘 정교한 악성코드 포착(전자신문) - http://www.etnews.com/20141125000189

 

-------------------------------

 

<RC5 암호 - http://en.wikipedia.org/wiki/RC5>

RC5 암호란 1994년도에 발표된 암호로 키의 길이는 0~2040 bit를 가지며, 블록의 크기는 32, 64, 128 bit를 사용한다.

Feistel 구조를 가지며 1~255까지의 라운드 연산을 한다.

초기에는 128bit의 키, 64bit의 블록 크기, 12라운드 연산을 제안했다.

12라운드(64bit 블록)에서는 차분공격의 방법으로 2^44의 평문이 필요하며, 18~20라운드에서는 충분한 안전성을 가지게 된다.

 

 

 

<Encrypted Volume and File System(EVFS) - http://ko.wikipedia.org/wiki/파일_시스템_암호화>

EVFS로 검색하면 HP의 문서밖에 없는 것으로 봐서, 볼륨 시스템 암호화와 파일 시스템을 암호화를 합쳐서 부르는 것으로 보여진다.

 

EFS는 파일 시스템 암호화이며 윈도 NTFS 버전 3.0에서 추가된 기능이다. 기본적으로는 비 암호화 상태이지만 사용자의 선택으로 쉽게 파일, 폴더, 드라이브 단위로 암호화 할 수 있다. 하지만 다른 것들과 호환되는 걸 싫어하는 MS의 배짱으로 인해 다른 시스템과는 호환되지 않는다.

NTFS만 지원한다는 문제 점이 있지만 공개 키 / 대칭 키 방식을 조합하여 암호화 하기 때문에 복호화가 매우 어렵지만 사실상 사용자 계정 비밀번호로 EFS 암호화 키를 보호하기 때문에 대부분의 공격에 취약하며, 반대로 이 말은 사용자 계정 비밀번호가 안전할 수록 강력해 질 수 있다.

 

※ 생각보다 한국 위키에도 설명이 자세히(많이) 되어 있어서 자세한 설명은 생략..

 

 

 

<스턱스넷(Stuxnet) - http://ko.wikipedia.org/wiki/스턱스넷>

2010년 6월 발견된 웜형의 바이러스이며 지멘스(Siemens)사의 소프트웨어 및 장비를 공격한다.

산업시설을 감시하고 파괴하는 최초의 악성코드이며, 윈도가 설치된 컴퓨터라면 모두 감염되지만 지멘스 사의 SCADA 시스템만을 대상으로 동작한다.

최종 목표는 이란의 우라늄 농축 시설인 것으로 추정되며, 감염된 컴퓨터 중 60%가 이란에 소재하고 있다고 한다.

굉장히 치밀하고 정교한 공격을 사용하기에, 이 공격은 국가 단위로 진행됐다고 볼 수 밖에 없으며 이스라엘과 미국이 참여한 것으로 추정하고 있다.

 







+ Recent posts

티스토리 툴바