에이전트.BTZ

에이전트.btz
공용명	에이전트.btz
별칭	W32/Autorun.worm.dw(Mcafee); 웜:W32/에이전트.BTZ(F-Secure);
작성자	알 수 없는

Autorun으로도 불리는 에이전트.BTZ는 USB 플래시 드라이브를 스파이웨어로 감염시키는 컴퓨터 웜이다.^[1]^[2]바보의 변종FDC 웜,^[3] 2008년 미군에 대한 대규모 사이버 공격에 이용되었다.

기술 설명

에이전트.BTZ 웜은 조립기(x86-32비트)로 작성된 DLL 파일이다.^[4]자동 실행(AUTORUN)을 생성하여 확산된다.DLL 파일이 있는 각 드라이브의 루트에 INF 파일.^[5]"컴퓨터에서 데이터를 검색하고 백도어를 열고 백도어를 원격 명령어와 제어 서버로 전송할 수 있는 기능을 가지고 ^[3]있다." GitHub에서 악성 프로그램 샘플을 이용할 수 있다.

역사

2008년, 중동의 미군기지에서는 USB 플래시 드라이브가 에이전트에게 감염되었다.BTZ는 미국 중앙사령부에 부착된 노트북에 삽입되었다.거기서부터 그것은 탐지되지 않은 다른 시스템, 즉 분류되지 않은 다른 시스템으로 퍼졌다.^[6]미 국방부는 이 웜의 확산을 막기 위해 USB 드라이브와 이동식 미디어 장치를 금지했다.또한 컴퓨터에서 Windows 자동 실행 기능을 사용하지 않도록 설정했다.^[3]미 국방부는 거의 14개월 동안 군사 네트워크로부터 이 벌레를 청소했다.^[3]

귀인

중국 해커들은 에이전트와 같은 코드를 사용했기 때문에 공격의 배후로 생각되었다.이전 공격에서 BTZ.^[7]이코노미스트지에 실린 기사에 따르면, "에이전트.btz가 군사 네트워크를 목표로 특별히 고안된 것인지, 아니면 그것이 러시아나 중국에서 온 것인지 확실하지 않다"고 한다.^[8]미국 국방부 관리들은 이 악성 소프트웨어를 "군사 네트워크를 목표로 특별히 설계된 것으로 보인다"고 묘사했다고 로스앤젤레스 타임스의 한 기사가 보도했다.'파괴적인 프로그램이 개인 해커에 의해 만들어졌는지, 러시아 정부가 어느 정도 관여했을지는 명확하지 않지만, '러시아 내부에서 온 것으로 생각한다'는 것이다.^[9]

2010년 미국의 저널리스트 노아 샤흐트만은 이 지렁이가 한 명의 해커에 의해 쓰여졌다는 이론을 조사하기 위해 기사를 썼다.^[3]나중에 Kaspersky Lab에 의한 분석은 Red October, Turla, Flame을 포함한 다른 스파이웨어와의 관계를 발견했다.^[10]

2016년 12월 미국 연방수사국(FBI)과 DHS는 에이전트 귀속 내용이 포함된 공동 분석 보고서를 발표했다.BTZ를 하나 이상의 "러시아 민간 및 군사 정보국(RIS)"^[11]에 연결.

참조

^ Shevchenko, Sergei (30 November 2008). "Agent.btz - A Threat That Hit Pentagon". ThreatExpert Blog. Retrieved 14 December 2016.
^ "W32/Autorun.worm.dw - Malware". McAfee Labs Threat Center. 21 November 2008. Retrieved 14 December 2016.
^ ^a ^b ^c ^d ^e Shachtman, Noah (25 August 2010). "Insiders Doubt 2008 Pentagon Hack Was Foreign Spy Attack". Wired. Retrieved 14 December 2016.
^ "Agent.BTZ - Virus Information". Panda Security. Retrieved 14 December 2016.
^ "Worm:W32/Agent.BTZ Description". F-Secure Labs. Retrieved 14 December 2016.
^ William J. Lynn III. "Defending a New Domain". Foreign Affairs. Retrieved 2010-08-25.
^ Leyden, John (20 November 2008). "US Army bans USB devices to contain worm". The Register. Retrieved 14 December 2016.
^ "The worm turns". The Economist. 4 December 2008. Retrieved 14 December 2016.
^ Barnes, Julian E. (28 November 2008). "Pentagon computer networks attacked". Los Angeles Times. Retrieved 14 December 2016.
^ Gostev, Alexander (12 March 2014). "Agent.btz: a Source of Inspiration?". Securelist. Retrieved 19 May 2020.
^ "GRIZZLY STEPPE – Russian Malicious Cyber Activity" (PDF). US CERT. Retrieved 2 March 2017.

[1] Shevchenko, Sergei (30 November 2008). "Agent.btz - A Threat That Hit Pentagon". ThreatExpert Blog. Retrieved 14 December 2016.

[2] "W32/Autorun.worm.dw - Malware". McAfee Labs Threat Center. 21 November 2008. Retrieved 14 December 2016.

[Wired-3] Shachtman, Noah (25 August 2010). "Insiders Doubt 2008 Pentagon Hack Was Foreign Spy Attack". Wired. Retrieved 14 December 2016.

[4] "Agent.BTZ - Virus Information". Panda Security. Retrieved 14 December 2016.

[5] "Worm:W32/Agent.BTZ Description". F-Secure Labs. Retrieved 14 December 2016.

[affair-6] William J. Lynn III. "Defending a New Domain". Foreign Affairs. Retrieved 2010-08-25.

[7] Leyden, John (20 November 2008). "US Army bans USB devices to contain worm". The Register. Retrieved 14 December 2016.

[8] "The worm turns". The Economist. 4 December 2008. Retrieved 14 December 2016.

[9] Barnes, Julian E. (28 November 2008). "Pentagon computer networks attacked". Los Angeles Times. Retrieved 14 December 2016.

[10] Gostev, Alexander (12 March 2014). "Agent.btz: a Source of Inspiration?". Securelist. Retrieved 19 May 2020.

[11] "GRIZZLY STEPPE – Russian Malicious Cyber Activity" (PDF). US CERT. Retrieved 2 March 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

Search

에이전트.BTZ

네임스페이스

더

목차

기술 설명

역사

귀인

참조