리눅스 분류
Sony BMG 음악CD의 루트킷 문제
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 5,356 조회
- 0 추천
-
목록
본문
KrCERT-AR-2005-115 http://www.krcert.or.kr
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 1 -
Sony BMG 음악CD의 루트킷 문제
2005. 11. 17
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다.
KrCERT-AR-2005-115 http://www.krcert.or.kr
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 2 -
□ 개요
o 복제방지 기능을 제공하는 Sony
BMG의 음악CD를 PC에서 실행
하면 컨텐츠 보호 소프트웨어가
설치되며, 이 소프트웨어에는
루트킷 기능이 포함됨. Sony
BMG 음악CD의 루트킷을 이용
하면 자신의 존재를 숨길 수
있어 악성코드 제작자들이 악용
할 수 있으므로 Sony는 세간의 이목을 끌고 법률소송에 휘말림
※ Sony BMG Music Entertainment : Sony Music과 BMG Records가 합병
※ 루트킷 : 피해 시스템의 관리자 권한을 획득한 후 설치되며, 트래픽과 키스트로크 모니터링,
백도어 생성, 로그 파일 변경, 시스템 침입 흔적 제거 등에 사용되는 프로그램
o 경과[5]
- 2005.10.31 Mark Russinovich는 Sony BMG의 음악CD를 PC에서 실행할 때
루트킷이 설치됨을 공개함.[1] 보안전문가들은 이것이 바이러스
제작자에게 악용될 수 있음을 경고함
- 2005.11. 2 Sony에 XCP(Extended Copy Protection) 컨텐츠 보호 소프트웨어
를 제공한 First 4 Internet에서 패치 및 제거 소프트웨어를 발표
- 2005.11. 9 EFF(Electronic Frontier Foundation)에서 문제가 되는 음악CD 19개의
타이틀을 발표함[2]
※ Sony도 해당 CD 52개의 타이틀을 발표함[7]
- 2005.11.10 이메일 첨부파일을 통해 감염된 후 Sony의 루트킷을 이용해 자신의
존재를 숨기는 기능이 추가된 악성봇 변종(Ryknos.B 또는
Breplibot.b) 출현
- 2005.11.11 Sony는 해당 복제방지 기능이 있는 음악CD의 생산 중단을 발표
- 2005.11.12 Microsoft, Symantec, Computer Associates, Kaspersky Lab에서
Sony의 루트킷 탐지/제거 기능 제공 결정
- 2005.11.11 Sony는 해당 복제방지 기능이 있는 음악CD의 리콜 발표
※ 해당 음악CD는 지난 8개월간 470만장이 제작되고 이중 210만장이 팔림. 이중
50만개의 PC에 설치되었을 것으로 추정[3]
- 2005.11.16 Sony가 발표한 ActiveX 형태의 루트킷 제거 프로그램
CodeSupport에 보안 취약점이 존재하며 이를 악용하는 악의적인
웹사이트가 발견됨
KrCERT-AR-2005-115 http://www.krcert.or.kr
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 3 -
□ 영향받는 소프트웨어
o Windows 운영체체에서 실행되는 Sony BMG 음악CD
- 컨텐츠 보호 소프트웨어로 XCP를 사용하는 Sony BMG 음악CD만 영향받음
- Sunncomm 등 다른 컨텐츠 보호 소프트웨어를 사용하는 CD는 영향받지 않음
o Macintosh, Linux 운영체제는 영향받지 않음
□ 영향력분석 및 해결방안
o Sony BMG 음악CD의 루트킷은 DRM(Digital Right Management) 소프트웨어와
사용자 보호 사이의 문제점이 부각된 이슈이나, 루트킷을 이용하는 악성봇 변종
Ryknos.B 자체의 위협도는 낮은 편임
o 해결방안
- 해당 음악CD를 PC에서 실행시킨 사용자는 http://cp.sonybmg.com/xcp/을
방문하여 XCP 소프트웨어를 패치하거나 제거
- CodeSupport를 사용하여 XCP를 제거하였다면, 아래 명령어를 실행하여
CodeSupport ActiveX를 삭제
․ 작업표시줄의 시작버튼 클릭 → 실행(R) 클릭
→ cmd /k del ”%windir%downloaded program filescodesupport.*“ 입력 → 확인버튼 클릭
□ 추가설명
1. XCP 컨텐트 보호 소프트웨어[1]
o 해당 음악CD를 넣고 설치 합의문에 동의하면 XCP 컨텐트 보호 소프트웨어가
설치됨
- 이 소프트웨어는 Windows 시스템 폴더 아래 $sys$filesystem 이라는 폴더를 생성함
※ Windows 시스템 폴더 : Windows 95,98,ME ☞ WindowsSystem,
Windows NT, 2000 ☞ WinNTsystem32, Windows XP/2003 ☞ Windowssystem32
KrCERT-AR-2005-115 http://www.krcert.or.kr
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 4 -
- aries.sys 드라이버가 로드되면 $sys$로 시작되는 파일, 디렉토리, 레지스트리 키,
프로세스를 은폐하는 루트킷의 기능을 수행함
o XCP 소프트웨어는 “Plug and Play Device Manager"라는 서비스 이름으로
되어있어 사용자에게 혼란을 줄 수 있으며, 제거하는 방법 설명 및 도구가
제공되지 않음
- 레지스트리 키를 편집하여 aries.sys 드라이버가 로드되지 못 하게 만들자
Windows Explorer에서 CD 드라이브를 인식하지 못 함
2. Ryknos.B 또는 Breplibot.b[4]
o 이메일 첨부파일 실행 등을 통해 감염
o Sony의 루트킷이 $sys$로 시작되는 파일, 디렉토리, 레지스트리 키, 프로세스를
은폐한다는 점을 이용해 자신의 존재를 숨기는 기능이 추가
- Windows 시스템 폴더에 파일이름 $sys$drv.exe로 저장
- 레지스트리 키 생성 및 시작프로그램에 등록
HKEY_CURRENT_USER₩WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj₩"$sys$drv" = "$sys$drv.exe"
HKEY_CURRENT_USER₩WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj₩"$sys$drv" = "$sys$drv.exe"
o TCP/8080 포트를 이용하여 지정된 IP 주소에 알림 메시지를 전송하려고 시도
o IRC 채널에 접속하여 명령을 기다리며 백도어 기능을 제공
3. CodeSupport의 보안 취약점[6]
o Sony는 문제가 된 XCP 컨텐트 보호 소프트웨어를 제거할 수 있는 ActiveX
형태의 CodeSupport를 제공함
- CodeSupport는 파라메터로 넘어온 URL을 검증하지 않아 Sony 또는
First4Internet인 아닌 임의의 URL로부터 코드를 다운로드 받고 인스톨함
- 따라서 CodeSupport ActiveX를 이용해서 악성코드를 다운로드 한 후 인스톨
할 수 있어 악의적인 웹사이트에서 이용될 수 있음
KrCERT-AR-2005-115 http://www.krcert.or.kr
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 5 -
[참고문헌]
[1] http://www.sysinternals.com/blog/
[2] http://www.eff.org/deeplinks/
[3] http://news.com.com/Sony recalls risky rootkit CDs/2100-7349_3-5954154.html
[4] http://www.krcert.or.kr, KCVE, KMC-052010
[5] http://news.com.com
[6] http://www.freedom-to-tinker.com/?p=927
[7] http://cp.sonybmg.com/xcp/english/titles.html
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 1 -
Sony BMG 음악CD의 루트킷 문제
2005. 11. 17
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다.
KrCERT-AR-2005-115 http://www.krcert.or.kr
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 2 -
□ 개요
o 복제방지 기능을 제공하는 Sony
BMG의 음악CD를 PC에서 실행
하면 컨텐츠 보호 소프트웨어가
설치되며, 이 소프트웨어에는
루트킷 기능이 포함됨. Sony
BMG 음악CD의 루트킷을 이용
하면 자신의 존재를 숨길 수
있어 악성코드 제작자들이 악용
할 수 있으므로 Sony는 세간의 이목을 끌고 법률소송에 휘말림
※ Sony BMG Music Entertainment : Sony Music과 BMG Records가 합병
※ 루트킷 : 피해 시스템의 관리자 권한을 획득한 후 설치되며, 트래픽과 키스트로크 모니터링,
백도어 생성, 로그 파일 변경, 시스템 침입 흔적 제거 등에 사용되는 프로그램
o 경과[5]
- 2005.10.31 Mark Russinovich는 Sony BMG의 음악CD를 PC에서 실행할 때
루트킷이 설치됨을 공개함.[1] 보안전문가들은 이것이 바이러스
제작자에게 악용될 수 있음을 경고함
- 2005.11. 2 Sony에 XCP(Extended Copy Protection) 컨텐츠 보호 소프트웨어
를 제공한 First 4 Internet에서 패치 및 제거 소프트웨어를 발표
- 2005.11. 9 EFF(Electronic Frontier Foundation)에서 문제가 되는 음악CD 19개의
타이틀을 발표함[2]
※ Sony도 해당 CD 52개의 타이틀을 발표함[7]
- 2005.11.10 이메일 첨부파일을 통해 감염된 후 Sony의 루트킷을 이용해 자신의
존재를 숨기는 기능이 추가된 악성봇 변종(Ryknos.B 또는
Breplibot.b) 출현
- 2005.11.11 Sony는 해당 복제방지 기능이 있는 음악CD의 생산 중단을 발표
- 2005.11.12 Microsoft, Symantec, Computer Associates, Kaspersky Lab에서
Sony의 루트킷 탐지/제거 기능 제공 결정
- 2005.11.11 Sony는 해당 복제방지 기능이 있는 음악CD의 리콜 발표
※ 해당 음악CD는 지난 8개월간 470만장이 제작되고 이중 210만장이 팔림. 이중
50만개의 PC에 설치되었을 것으로 추정[3]
- 2005.11.16 Sony가 발표한 ActiveX 형태의 루트킷 제거 프로그램
CodeSupport에 보안 취약점이 존재하며 이를 악용하는 악의적인
웹사이트가 발견됨
KrCERT-AR-2005-115 http://www.krcert.or.kr
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 3 -
□ 영향받는 소프트웨어
o Windows 운영체체에서 실행되는 Sony BMG 음악CD
- 컨텐츠 보호 소프트웨어로 XCP를 사용하는 Sony BMG 음악CD만 영향받음
- Sunncomm 등 다른 컨텐츠 보호 소프트웨어를 사용하는 CD는 영향받지 않음
o Macintosh, Linux 운영체제는 영향받지 않음
□ 영향력분석 및 해결방안
o Sony BMG 음악CD의 루트킷은 DRM(Digital Right Management) 소프트웨어와
사용자 보호 사이의 문제점이 부각된 이슈이나, 루트킷을 이용하는 악성봇 변종
Ryknos.B 자체의 위협도는 낮은 편임
o 해결방안
- 해당 음악CD를 PC에서 실행시킨 사용자는 http://cp.sonybmg.com/xcp/을
방문하여 XCP 소프트웨어를 패치하거나 제거
- CodeSupport를 사용하여 XCP를 제거하였다면, 아래 명령어를 실행하여
CodeSupport ActiveX를 삭제
․ 작업표시줄의 시작버튼 클릭 → 실행(R) 클릭
→ cmd /k del ”%windir%downloaded program filescodesupport.*“ 입력 → 확인버튼 클릭
□ 추가설명
1. XCP 컨텐트 보호 소프트웨어[1]
o 해당 음악CD를 넣고 설치 합의문에 동의하면 XCP 컨텐트 보호 소프트웨어가
설치됨
- 이 소프트웨어는 Windows 시스템 폴더 아래 $sys$filesystem 이라는 폴더를 생성함
※ Windows 시스템 폴더 : Windows 95,98,ME ☞ WindowsSystem,
Windows NT, 2000 ☞ WinNTsystem32, Windows XP/2003 ☞ Windowssystem32
KrCERT-AR-2005-115 http://www.krcert.or.kr
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 4 -
- aries.sys 드라이버가 로드되면 $sys$로 시작되는 파일, 디렉토리, 레지스트리 키,
프로세스를 은폐하는 루트킷의 기능을 수행함
o XCP 소프트웨어는 “Plug and Play Device Manager"라는 서비스 이름으로
되어있어 사용자에게 혼란을 줄 수 있으며, 제거하는 방법 설명 및 도구가
제공되지 않음
- 레지스트리 키를 편집하여 aries.sys 드라이버가 로드되지 못 하게 만들자
Windows Explorer에서 CD 드라이브를 인식하지 못 함
2. Ryknos.B 또는 Breplibot.b[4]
o 이메일 첨부파일 실행 등을 통해 감염
o Sony의 루트킷이 $sys$로 시작되는 파일, 디렉토리, 레지스트리 키, 프로세스를
은폐한다는 점을 이용해 자신의 존재를 숨기는 기능이 추가
- Windows 시스템 폴더에 파일이름 $sys$drv.exe로 저장
- 레지스트리 키 생성 및 시작프로그램에 등록
HKEY_CURRENT_USER₩WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj₩"$sys$drv" = "$sys$drv.exe"
HKEY_CURRENT_USER₩WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj₩"$sys$drv" = "$sys$drv.exe"
o TCP/8080 포트를 이용하여 지정된 IP 주소에 알림 메시지를 전송하려고 시도
o IRC 채널에 접속하여 명령을 기다리며 백도어 기능을 제공
3. CodeSupport의 보안 취약점[6]
o Sony는 문제가 된 XCP 컨텐트 보호 소프트웨어를 제거할 수 있는 ActiveX
형태의 CodeSupport를 제공함
- CodeSupport는 파라메터로 넘어온 URL을 검증하지 않아 Sony 또는
First4Internet인 아닌 임의의 URL로부터 코드를 다운로드 받고 인스톨함
- 따라서 CodeSupport ActiveX를 이용해서 악성코드를 다운로드 한 후 인스톨
할 수 있어 악의적인 웹사이트에서 이용될 수 있음
KrCERT-AR-2005-115 http://www.krcert.or.kr
Sony BMG 음악CD의 루트킷 문제 cert@certcc.or.kr
__________________________________________________________________________________________
__________________________________________________________________________________________
- 5 -
[참고문헌]
[1] http://www.sysinternals.com/blog/
[2] http://www.eff.org/deeplinks/
[3] http://news.com.com/Sony recalls risky rootkit CDs/2100-7349_3-5954154.html
[4] http://www.krcert.or.kr, KCVE, KMC-052010
[5] http://news.com.com
[6] http://www.freedom-to-tinker.com/?p=927
[7] http://cp.sonybmg.com/xcp/english/titles.html
"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
