'Putty'툴에 악성 기능 내장시켜 변조하는 악성코드

최근 국내에서 악성 기능이 포함되도록 변조된 ‘Putty’툴이 발견됐다.

 

Putty툴은 원격 컴퓨터 접속 프로그램이다.

 

이번에 발견된 변조된 Putty툴에는 트로이목마(Trojan) 기능을 내장, 원격접속을 위해 사용된 인증 정보, 즉 서버의 로그인 명과 패스워드를 공격자에게 전송하는 것이 특징이다. 변조된 Putty를 통해 원격 시스템을 접속하는 과정을 패킷분석툴로 확인해봤다.

 

[그림 1]과 같이 특정 URL에 연결하기 위해 IP 주소를 확인하는 DNS 트래픽을 확인할 수 있다. 연결을 시도하는 ng***o-u*.ru는 C&C로 의심되며 현재는 IP 확인과 URL 접속은 되지 않는다.

 

 

[그림 1] C&C IP 확인 및 연결시도 실패

 

 

버전 확인을 통한 변조된 Putty.exe 확인

 

A. 방법 : Putty.exe를 실행하여 [About] 클릭

 

[그림 2] Putty  버전 확인

 

 

B. 변조된 Putty.exe는 릴리즈 버전이 [Unidentified build]로 확인된다.

 

[그림 3] 정상 Putty(좌)/ 변조된 Putty(우)

사용자는 Putty ​ 실행 시 주의가 필요하다.

안랩의 V3 제품군에서는 관련 악성코드를 Trojan/Win32.Modputty(2015.05.21.04)로 진단하고 있다.

 

출처: 안철수연구소 http://shop.ahnlab.com/jump/jsp/fp/main.jsp?1=1&NVKWD=%EC%95%88%EC%B2%A0%EC%88%98%EC%97%B0%EA%B5%AC%EC%86%8C&NVADKWD=%EC%95%88%EC%B2%A0%EC%88%98%EC%97%B0%EA%B5%AC%EC%86%8C&NVAR=PL&NVADID=52086196+0wu0002F%5FzLjEz0200jp