[2001-03-16]
공격자들이 피해자의 컴퓨터를 마음대로 조종할 수 있게 해주는 백도어 프로그램 서브세븐(SubSeven)이 업데이트돼 사람들을 긴장시키고 있다.

정식 소프트웨어 벤더들과 마찬가지로 서브세븐 제작자들도 모듈식 아키텍처를 갖고 있는 SDK(Software Development Kit)를 내놓을 계획이다.

따라서 공격자의 침입을 탐지하는 것이 점점 더 어려워질 것이며 바이러스 백신 기업들이 해야 될 일도 늘어날 것이다.

ISS(Internet Security Services)가 발표한 경고문에 따르면, 서브세븐 2.2 버전은 프록시를 지원하며, 임의의 포트로 들어오는 요청을 청취할 수 있고, GUI 기반 패킷을 탐지하고, CGI(common gateway interface)를 통해 손상된 기기에 대한 정보를 웹사이트로 보내는 등의 새로운 기능이 추가됐다고 한다.

DDoS(Distributed Denial of Service) 공격 개시에 이용되는 원격 컴퓨터에 서브세븐의 기존 버전을 사용해 에이전트를 만드는 경우가 종종 있다.

공격자들은 CGI 요청이 온 것을 이용해 서브세븐이 에이전트에 대한 정보를 URL에 자동으로 게시할 수 있다. 이는 서브세븐에 감염될 수 있는 기기들의 목록이 작성돼 공격자들 사이에 배포될 수 있다는 것을 의미한다.

교활해진 서브세븐 기능
ISS 엑스포스(X-Force) 연구팀 이사 크리스 룰랜드는 서브세븐의 이같은 기능때문에 컴퓨터 보안에 새로운 차원의 위협이 시작됐다고 말했다.

룰랜드는 DDoS, 바이러스, 백도어 등이 한 프로그램에서 모두 나타나기 시작했다면서 GUI(Graphical User Interface)처럼 이용하기 쉬운 기능들이 나오고 있기 때문에 이같은 프로그램은 앞으로 광범위하게 이용될 것이며, 윈도우 기기에 맞선 최고의 공격 툴이 될 것이라고 지적했다.

일명 `백도어-G`라고도 알려진 서브세븐은 2년 전즈음에 처음 확인됐으며, 몹맨(Mobman)이라는 침입자가 제작한 것으로 전해지고 있다. 이것은 일반적으로 뉴스 그룹에 게시된 파일 이나 e-메일을 통해 발송된 파일에 숨어있다.

감염된 컴퓨터에 숨어있던 이 소프트웨어는 이를 작동시키던 파일의 원래 파일명을 유지하면서 윈도우 디렉토리로 자가 복제된다. 그 다음 DLL(dynamic link library)을 풀어 윈도우 시스템 디렉토리로 옮기고 윈도우 레지스트리를 수정하면 서브세븐은 윈도우 부팅 때마다 작동한다.

이런 식으로 공격에 성공하면 공격자는 패스워드 검색, 시스템 레지스트리 수정, 파일 변경/삭제 등 로컬 사용자가 실행할 수 있는 명령을 모두 실행할 수 있게 된다.

보안, 점점 더 힘들어 질 듯
새로운 버전은 훨씬 더 교활하다. 2.2 버전은 상기한 기능뿐 아니라 사용 내역을 특정 e-메일 주소로 보낼 수 있기 때문에 공격자는 패스워드와 그밖에 민감한 자료를 손쉽게 구할 수 있다.

ISS에 따르면 패킷 탐지기는 네트워크 트래픽을 수집해 그것을 기록한 후 공격자에게 보내도록 구성될 수 있다고 한다. 그렇게 되면 공격자는 그 정보를 이용해 피해자의 네트워크에 후속 공격을 가할 수 있다.

SOCKS4와 SOCK55 프록시를 지원하면 법정 보안 전문가들이나 법집행 공무원들은 공격자 추적이 어려워진다. 프록시는 피해자와 공격자 사이에 제 3의 기기를 개입시켜 공격자들의 정체를 숨겨준다.

업데이트된 서브세븐은 기존 버전에 있던 FTP 서버 공개, 기록된 패스워드 나열, 애플리케이션 작동, 다양한 설정 변경 등의 기능에 여러 가지 기능까지 추가됐다. @

Dennis Fisher (eWEEK)