악성코드가 오라클에서 배포한 패치를 이용해 Windows, Mac OS X, Linux PC를 감염시킴

작년 이맘때 Java는 출시 이후 가장 중요한 시기를 맞이했습니다. 해커들은 당시 ‘제로 데이 익스플로잇’이라고 불리는 취약점을 이용해 Java 기반 소프트웨어를 해킹했습니다. 이러한 익스플로잇은 매우 강력하여 지하 웹사이트와 포럼에서 익스플로잇당 $5000의 가격을 요구했습니다. 결과적으로 오라클은 이 취약점을 수정하기 위해 일련의 패치를 발표했습니다. 그러나 오라클이 2013년 6월에 발표한 CVE-2013-2465라는 패치는 이 중요한 취약점을 수정하기 위해 발표되었지만, 그 자체로도 익스플로잇이 있는 것 같습니다!!!

연구자들은 봇넷 악성코드가 이 익스플로잇을 사용하여 오라클의 Java 소프트웨어 프레임워크가 설치되고 실행되는 모든 주요 운영 체제인 Windows, Mac OS X 및 Linux에서 실행되는 컴퓨터를 감염시키는 것을 발견했습니다. Java 프레임워크는 거의 모든 곳에서 사용되기 때문에 이 감염은 주요한 것으로 설명되었습니다. 둘째로, 이 악성코드는 크로스 플랫폼 버전으로, 화이트햇 및 경쟁 블랙햇 해커들이 리버스 엔지니어링하는 것을 방지하기 위해 Zelix Klassmaster 난독화기를 사용합니다. 이 악성코드의 이름은 Heur:Backdoor.Java.Agent.a.입니다. Zelix는 바이트코드를 난독화하는 것 외에도 악성코드의 내부 작동 일부를 암호화하여 탐지, 치료 또는 리버스 엔지니어링이 불가능하게 만듭니다.

Java 버전 7 u21 및 이전 버전을 가진 모든 기계는 이 봇넷에 감염될 가능성이 높습니다. 봇이 컴퓨터를 감염시키면, 감염된 플랫폼의 자동 시작 디렉토리에 자신을 복사하여 감염된 기계가 부팅될 때마다 실행되도록 합니다. 부팅되면, 악성코드는 손상된 컴퓨터가 명령 및 제어 서버 역할을 하는 인터넷 릴레이 채널에 보고하도록 만듭니다. 해커는 이 IRC 채널을 사용하여 해킹된/손상된 컴퓨터를 원격으로 제어할 수 있습니다. 위에서 언급했듯이, 이 악성코드는 크로스 플랫폼 기능으로 인해 두 배로 위험하다고 할 수 있습니다.

해커들은 이 봇넷을 사용하여 특정 목표에 대해 D istributed Denial of Service (DDoS) 공격을 수행합니다. 이는 해커들이 IRC 채널을 통해 필요한 명령을 발행하여 수행됩니다. 지정된 IRC 채널을 통해 해커는 공격의 IP 주소, 포트 번호, 강도 및 지속 시간을 지정할 수 있습니다. 이 악성코드는 전적으로 Java로 작성되어 Windows OS X 및 Linux 기계에서 실행될 수 있습니다. 해커에게 추가적인 유연성과 기동성을 제공하기 위해, 이 봇은 Java 기반의 IRC 프로그래밍 인터페이스인 PircBot과 통합되었습니다.

*이 봇넷 악성코드의 작동 방식은 DDoS 공격의 피해자와 공격자(손상된 PC) 모두 실제 범인을 인식하지 못하도록 설계되었습니다. 이는 웹마스터, 보안 분석가 및 피해자가 고용한 화이트 해커들이 웹사이트를 모니터링하고 실제 공격자의 출처에 도달하기 어렵게 만듭니다.