블로그 보관함

2014년 2월 28일 금요일

[ZeusVM] 스테가노그라피 사용

Zeus 봇은 다양한 변종들이 만들어지고 있는 가운데 스테가노그라피를 사용하였습니다.
이미지 파일에 암호를 숨기는 기법은 오래전부터 있어 왔으며, Zeus 봇은 그 기법을 최근에 도입하여 사용하였습니다. 이 새로운 변종 Zeus 봇은 Xylitol 로 알려진 프랑스 보안 연구가가 최초로 소개했으며, ZeusVM이라고 불렀습니다.

ZeusVM은 이미지 파일에 암호화를 한 설정 데이터를 숨겼습니다. 설정 데이터에는 공격 대상인 인터넷 뱅킹 웹사이트 리스트가 포함됐습니다. 

그 설정 데이터는 Base64 인코딩과 RC4, XOR 인코딩 알고리즘을 사용하여 암호화되어 이미지 파일 끝부분에 추가되었습니다.

실제로 원본 파일은 구글 이미지 검색 서비스를 이용하면 구할 수 있으며, 암호화된 데이터가 추가되어 ZeusVM에 의해 생성된 이미지 파일를 원본 파일을 비교하면 훨씬 크기가 큰 것을 알 수 있습니다.

[그림 1] 이미지 파일에 추가된 암호화된 데이터(일부분)



















[그림 1]은 Security Affairs 블로그 에서 퍼온 것입니다.

ZeusVM에 대해서 자세히 원하면 하기 링크를 참조하면 도움이 됩니다:

댓글 없음:

댓글 쓰기