트로이목마를 내포한 OpenSSH패키지 배포
작성자 정보
- 김선달 작성
- 작성일
컨텐츠 정보
- 1,632 조회
- 0 추천
-
목록
본문
======================
KA-2002-76: Trojan Horse OpenSSH Distribution
----------------------
최초작성일 : 2002-08-03
갱 신 일 :
출 처 : CERT/CC
작 성 자 : 강준구(jgkang@certcc.or.kr)
-- 제목 --------------
트로이목마를 내포한 OpenSSH패키지 배포
-- 해당 시스템 --------
OpenSSH를 탑재하려는 모든 시스템
--영향-----------------
OpenSSH내의 트로이목마가 내포된 버전을 다운로드받아 컴파일하게 된다면
공격자는
원격으로 그 호스트에 대한 비인가 허가권한을 획득할 수 있다. 접근 수준은
트로이목마를
컴파일한 사용자의 접근수준으로 되므로 만약 운영자 권한일 경우 모든
시스템을 장악할 수
도 있다.
-- 설명---------------
아래와 같은 파일에 악성코드가 포함되어져 있다.
openssh-3.4p1.tar.gz
openssh-3.4.tgz
openssh-3.2.2p1.tar.gz
ftp.openssh.com와 ftp.openbsd.org 사이트들은 2002년 7월 30일 또는 31일에
발견된 악성코드
내포된 호스트들이다. 8월 1일 13:00 이후로 정상파일로 대체되어 별 문제가
없으나 7월 30일
또는 31일에 다운로드하고 컴파일한 사람들은 모두 트로이목마가 설치되어
있다. 또한 이 사이트를
Mirroring 한 사이트들 또한 감염되어져 있다.
OpenSSH에 내포된 트로이목마의 악성코드는 고정인 원격 서버의 6667/tcp로
연결한다.
그리고 트로이목마는 컴파일한 사용자의 권한의 쉘을 실행시키게 되는
것이다.
-- 해결책---------------
OpenSSH를 어디에서 다운받았는지 상관없이 배포를 하는데 있어서 검토 및
배포 허가작업을
할 수 있도록 해야한다. Timestamp와 파일 사이즈로서 트로이목마가 자신의
시스템에 내포되어져
있는지 아닌지 가늠하기 힘들므로 해킹 된 사이트에서 다운을 받은 모든
프로그램을 검사할 것을 권고한다.
OpenSSH를 다운로드 할 수 있는 주요 사이트:
http://www.openssh.com/
MD5 checksum을 이용하여 자신의 현재 OpenSSH코드 버전을 확인할 수 잇다.
정상버전
459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz
d5a956263287e7fd261528bb1962f24c openssh-3.4p1.tar.gz.sig
39659226ff5b0d16d0290b21f67c46f2 openssh-3.4.tgz
9d3e1e31e8d6cdbfa3036cb183aa4a01 openssh-3.2.2p1.tar.gz
be4f9ed8da1735efd770dc8fa2bb808a openssh-3.2.2p1.tar.gz.sig
트로이목마가 내포된 버전:
3ac9bc346d736b4a51d676faa2a08a57 openssh-3.4p1.tar.gz
------- 참조 사이트 --------------------------
http://www.openssh.com/txt/trojan.adv
http://www.cert.org/advisories/CA-2002-24.html
http://www.openssh.com/
--------------------------------------------
--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118) Email: cert@certcc.or.kr
==============================================================
--
-+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-
강 준 구(Jungu Kang)연구원
KISA(Korea Information Security Agency)
CERT(Computer Emergency Responce Team) * Coordination Center
E-Mail : jgkang@certcc.or.kr / [Phone] 02-405-5526 (+82-2-405-5526)
[PGP Public Key - http://www.certcc.or.kr/teampub.txt]
Web Site : http://www.certcc.or.kr, http://www.cyber118.or.kr
-+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-
관련자료
-
이전
-
다음
