'소프트웨어는 상품이 아니라 서비스입니다.' 라는 말을 많이 들어보셨을 겁니다. 이제 이 말을 '해킹은 상품이 아니라 서비스입니다.' 로 고쳐야 할 듯 합니다.
해외 보안 업체 SecureWorks 에서 Gozi 트로이목마를 분석, 추적하는 과정을 상세히 다루고 있는데 보안 전문가들이 흥미를 가질만한 부분이 많습니다.
Gozi 트로이목마는 다음과 같은 특징이 있다고 합니다.
1. SSL 데이터를 훔치기 위한 기법 사용
2. 대다수 백신 회사들이 몇 주~몇 달 간 발견 못함
3. 범죄 의뢰인을 위해 커스터마이징된 서비스
4. 범죄 의뢰인이 작업 현황을 간편하게 파악할 수 있는 관리
인터페이스 제공
5. 피해 규모 약 2백만 달러
( 의뢰인이 접속하기 위한 관리자 인증 화면 )
기존에 공격 툴, 취약점 자체를 판매하던 방식은 고객이 dirty 한 작업을 해야 한다는 점, 고객도 기술을 알아야 한다는 점에서 한계가 있었습니다.
이제 이쪽 사업에도 고객 서비스 정신의 바람이 불어닥친 건지, 원하는 작업을 해주고 고객은 사이트에 접속해서 얼마나 데이터를 수집했고, 비용은 얼마 지불해야 하는지 확인하는 수준으로 바뀌었군요. 고객층이 그만큼 넓어져다고 봐야겠죠. 컴맹도 돈만 있으면 얼마든지 원하는 대상의 계좌 정보, 아이디/패스워드를 입수할 수 있으니까요.
이 자료의 또다른 흥미로운 점은 해당 트로이목마를 분석하고 역추적하는 과정을 세세하게 기술하고 있다는 점입니다.
1. 트로이목마에 대한 Dynamic 분석 결과
2. 트로이목마에 대한 Static 분석 결과
3. 컨트롤 서버에 대한 스캐닝, 소스 분석 결과
를 제공하고 있을 뿐만 아니라,
4. 해킹 사업자를 파악하기 위해 IRC 비밀 채널에 가입하여 Trade 를 통해 사업 현황 분석
까지 하고 있다는 점입니다. 덕택에 이 업자가 어떤 식으로 사업을 하는지, 거래 가격, 서비스 위치 등에 대한 정보를 파악할 수 있었군요.
해킹 사업자들이 점점 웹 기반 기술을 적극적으로 활용해나가는 듯 합니다. 그에 비해 국내 보안 회사들 홈페이지는... 암울하군요. 백신 회사, 특히 안철수 연구소가 비즈니스 전략을 토대로 웹 사이트를 운영하는 듯 하고, 일반 보안 회사 홈페이지는 홍보용 전단지 수준에서 크게 벗어나지 못하고 있습니다. IT 기술을 비즈니스에 전략적으로 활용하는 방안에 대해 해킹 사업자들에게 한 수 배우셨으면 하는 생각이 듭니다.
--- 추가 ---
몇년 전부터 국내 보안 회사들이 '보안의 서비스화'를 표방하고 나섰는데 백신, 안티스파이웨어 업체를 빼고는 별 변화가 없는 모습입니다. 해커들이 보다 발빠르게 서비스화를 하는 모습을 보니 흥미롭군요.
--- 추가 2 ---
서비스 사이트 : http://76service.com
해외 보안 업체 SecureWorks 에서 Gozi 트로이목마를 분석, 추적하는 과정을 상세히 다루고 있는데 보안 전문가들이 흥미를 가질만한 부분이 많습니다.
Gozi 트로이목마는 다음과 같은 특징이 있다고 합니다.
1. SSL 데이터를 훔치기 위한 기법 사용
2. 대다수 백신 회사들이 몇 주~몇 달 간 발견 못함
3. 범죄 의뢰인을 위해 커스터마이징된 서비스
4. 범죄 의뢰인이 작업 현황을 간편하게 파악할 수 있는 관리
인터페이스 제공
5. 피해 규모 약 2백만 달러
( 의뢰인이 접속하기 위한 관리자 인증 화면 )
기존에 공격 툴, 취약점 자체를 판매하던 방식은 고객이 dirty 한 작업을 해야 한다는 점, 고객도 기술을 알아야 한다는 점에서 한계가 있었습니다.
이제 이쪽 사업에도 고객 서비스 정신의 바람이 불어닥친 건지, 원하는 작업을 해주고 고객은 사이트에 접속해서 얼마나 데이터를 수집했고, 비용은 얼마 지불해야 하는지 확인하는 수준으로 바뀌었군요. 고객층이 그만큼 넓어져다고 봐야겠죠. 컴맹도 돈만 있으면 얼마든지 원하는 대상의 계좌 정보, 아이디/패스워드를 입수할 수 있으니까요.
이 자료의 또다른 흥미로운 점은 해당 트로이목마를 분석하고 역추적하는 과정을 세세하게 기술하고 있다는 점입니다.
1. 트로이목마에 대한 Dynamic 분석 결과
2. 트로이목마에 대한 Static 분석 결과
3. 컨트롤 서버에 대한 스캐닝, 소스 분석 결과
를 제공하고 있을 뿐만 아니라,
4. 해킹 사업자를 파악하기 위해 IRC 비밀 채널에 가입하여 Trade 를 통해 사업 현황 분석
까지 하고 있다는 점입니다. 덕택에 이 업자가 어떤 식으로 사업을 하는지, 거래 가격, 서비스 위치 등에 대한 정보를 파악할 수 있었군요.
해킹 사업자들이 점점 웹 기반 기술을 적극적으로 활용해나가는 듯 합니다. 그에 비해 국내 보안 회사들 홈페이지는... 암울하군요. 백신 회사, 특히 안철수 연구소가 비즈니스 전략을 토대로 웹 사이트를 운영하는 듯 하고, 일반 보안 회사 홈페이지는 홍보용 전단지 수준에서 크게 벗어나지 못하고 있습니다. IT 기술을 비즈니스에 전략적으로 활용하는 방안에 대해 해킹 사업자들에게 한 수 배우셨으면 하는 생각이 듭니다.
--- 추가 ---
몇년 전부터 국내 보안 회사들이 '보안의 서비스화'를 표방하고 나섰는데 백신, 안티스파이웨어 업체를 빼고는 별 변화가 없는 모습입니다. 해커들이 보다 발빠르게 서비스화를 하는 모습을 보니 흥미롭군요.
--- 추가 2 ---
서비스 사이트 : http://76service.com
