spartan horse 분석보고서

1. 개요

최근 인터넷상의 트로이잔 백도어 공격이 많이 성행하고 있으나, 대부분의 공격들이 사용자들의 부주의한 프로그램 실행으로 야기된다. 하지만 spartan horse라는 새로운 공격은 웹브라우져를 이용한 공격으로 운영체제 프로그램과 인터넷 소프트웨어간의 구별이 점점 어렵지는 점을 이용한 것이다. 본 고에서는 이 공격의 원리와 그 대책을 알아보도록 한다.

2. spartan horse의 기능 및 특징

spartan horse는 실행파일을 사용하지 않고 단지 표준 HTML과 브라우져의 기능을 이용하여 자신을 Windows 응용 프로그램처럼 흉내내어 사용자를 속인다. 여러 종류의 spartan horse가 있으며, 그 중 하나는 Windows 95 Dialup 화면을 흉내내어 사용자가 인터넷에 접속하는데 사용하는 사용자 ID, 패스워드, 전화번호를 입력하도록 한다. 그리고 사용자가 연결 버튼을 누르게 되면 이러한 정보를 공격자에게 메일로 전송하도록 한다.

이 공격은 초보 사용자를 대상으로 하지만 표준 HTML을 사용한다는 단순성 때문에 다양한 방법이 사용될 수 있고 따라서 취약성의 범위가 매우 크다는 특징을 가진다. 특히, 인터넷 브라우져 소프트웨어와 운영 시스템의 통합은 spartan horse를 구별할 수 없도록 하는 요인이 될 수 있다.

[표 1] spartan horse 공격에 이용될 수 있는 서비스의 예 서비스 공격방법 피해대상 웹 페이지 웹페이지에 spartan horse를 삽입 웹페이지의 방문자 게스트 리스트, 메시지 보드 공격자가 해당 사이트에 spartan horse를 삽입하여 등재 게스트 리스트, 메시지 보드의 해당문서에 접근한 사용자 전자메일, 뉴스 공격자가 partan horse를 삽입하여 포스트(기존의 전자메일 트로이잔 백도어와 달리 spartan horse는 실행가능한 파일을 첨부할 필요가 없음) 사용자 메시지를 보는 순간 spartan horse가 실행됨

[표 2] spartan horse 변형 공격예 속이는 내용 공격방법 피해대상 Windows NT

네트워크 인증 화면

Windows NT 네트워크 인증 화면을 흉내 NT 네트워크 접근자 전자메일 계정 인증 pop 계정 ID와 패스워드를 요구하는 인증 화면을 흉내 pop서버 사용자 웹 사이트 인증 웹 사이트 보안을 위하여 사용되는 인증 윈도우를 흉내 웹페이지의 방문자 에러 메시지 거짓의 에러 메시지를 흉내내어 중요한 정보를 입력하도록 함 주로 초보자

2. 대책

spartan horse는 특정 소프트웨어의 취약성을 이용하는 것이 아니므로 자동으로 공격을 탐지할 수 있는 방법이나 예방 대책을 마련하기 힘들다. 결국 사용자 자신이 무엇을 하고 있는지를 알아야 하고 항상 주의를 기울이는 방법외에는 뚜렷한 대책이 없다.

일반적으로 spartan horse는 윈도우의 프로그램 아이콘을 살펴봄으로서 구별할 수 있다. Windows 95/98/NT의 모든 응용 프로그램의 왼쪽 상단에는 조그마한 프로그램 아이콘이 존재하는 반면[첨부 1], spartan horse는 응용 프로그램을 흉내내기 위하여 브라우저 윈도우를 사용하기 때문에 브라우져 아이콘이 표시된다. [첨부 2] 따라서 항상 일반적으로 사용하는 프로그램의 아이콘을 인지하고 있어야 한다. 그리고 온라인을 이용할 때는 항상 팝업(pop up) 윈도우에 주의를 기울여야 한다.

[참고문헌]

http://www.thetopoftheworld.com/spartanhorse/

http://technews.netscape.com/computing/technews/newsitem/0,290,25274,00.html

---