ASEC® Advisory SA-2002-081
안철수 연구소에서 가져옴
◈ 제목
트로이목마가 포함된 OpenSSH의 배포
◈ 개요
OpenSSH의 소스코드에 트로이목마 코드가 삽입된 패키지가 배포되었다. 트로이목마가 포함되어있는 패키지를 설치하여 사용할 경우, 시스템의 쉘 명령어를 실행할 수 있게 된다.
◈ 공격유형
백도어
◈ 해당시스템
OpenSSH 3.2.2p1
OpenSSH 3.4p1
OpenSSH 3.4
◈ 영향
OpenSSH의 소스 코드에 트로이목마 코드가 삽입되어, FTP 서버에서 공식적으로 배포되었다. 이 트로이목마 OpenSSH가 설치된 호스트의 경우, 원격에서 허용되지 않은 엑세스 권한을 얻을 수 있다. 접근 수준은 트로이목마를 컴파일한 사용자 권한을 얻을 수 있으므로, 만약 루트의 권한일 경우 커다란 피해를 줄 수도 있다.
◈ 설명
OpenSSH 패키지가 악의적인 트로이목마 코드를 포함하여 다음의 파일을 ftp.openssh.com 와 ftp.openbsd.org 사이트를 통하여 배포하였다.
Openssh-3.4p1.tar.gz
Openssh-3.4.tgz
Openssh-3.2.2p1.tar.gz
이 트로이목마가 포함된 버전은 2002년 7월 30일 또는 31일에 등록되어 있었으며, 8월 1일 13:00 이후에는 정상파일로 대체되었다. 또한, 이 시간대에 OpenSSH의 사이트를 미러링한 사이트들 또한 감염된 버전을 내포하고 있다.
bf-test.c 파일에 트로이목마 코드가 존재하며, 이 코드가 실행될 경우 오스트레일리아에 위치하는 어느 특정 컴퓨터의 6667 TCP 포트에 접속하게 된다. 6667 포트번호는 일반적으로 IRC 프로토콜에 의해 사용되며, 'D', 'M', 'A'라는 세가지 명령어를 포함하고 있다. 한 시간에 한번 접속을 시도하게 되며, 접속이 성공하면 'D' 명령어에 의해 쉘 실행이 가능하게 된다.
◈ 해결책
다운 받은 OpenSSH의 소스가 트로이목마를 포함하고 있는 버전인지 확인해 보아야 한다. 컴파일 및 인스톨을 하기 전에 다음과 같이 MD5 checksums 을 통해 파일의 무결성 여부를 확인해 본다.
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8
MD5 (openssh-3.4p1.tar.gz.sig) = d5a956263287e7fd261528bb1962f24c
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
MD5 (openssh-3.2.2p1.tar.gz) = 9d3e1e31e8d6cdbfa3036cb183aa4a01
MD5 (openssh-3.2.2p1.tar.gz.sig) = be4f9ed8da1735efd770dc8fa2bb808a
예) $ md5 openssh-3.4.tgz
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
◈ 추가정보 / 참고사이트
http://www.cert.org/advisories/CA-2002-24.html
http://www.openssh.com/txt/trojan.adv
안철수 연구소에서 가져옴
◈ 제목
트로이목마가 포함된 OpenSSH의 배포
◈ 개요
OpenSSH의 소스코드에 트로이목마 코드가 삽입된 패키지가 배포되었다. 트로이목마가 포함되어있는 패키지를 설치하여 사용할 경우, 시스템의 쉘 명령어를 실행할 수 있게 된다.
◈ 공격유형
백도어
◈ 해당시스템
OpenSSH 3.2.2p1
OpenSSH 3.4p1
OpenSSH 3.4
◈ 영향
OpenSSH의 소스 코드에 트로이목마 코드가 삽입되어, FTP 서버에서 공식적으로 배포되었다. 이 트로이목마 OpenSSH가 설치된 호스트의 경우, 원격에서 허용되지 않은 엑세스 권한을 얻을 수 있다. 접근 수준은 트로이목마를 컴파일한 사용자 권한을 얻을 수 있으므로, 만약 루트의 권한일 경우 커다란 피해를 줄 수도 있다.
◈ 설명
OpenSSH 패키지가 악의적인 트로이목마 코드를 포함하여 다음의 파일을 ftp.openssh.com 와 ftp.openbsd.org 사이트를 통하여 배포하였다.
Openssh-3.4p1.tar.gz
Openssh-3.4.tgz
Openssh-3.2.2p1.tar.gz
이 트로이목마가 포함된 버전은 2002년 7월 30일 또는 31일에 등록되어 있었으며, 8월 1일 13:00 이후에는 정상파일로 대체되었다. 또한, 이 시간대에 OpenSSH의 사이트를 미러링한 사이트들 또한 감염된 버전을 내포하고 있다.
bf-test.c 파일에 트로이목마 코드가 존재하며, 이 코드가 실행될 경우 오스트레일리아에 위치하는 어느 특정 컴퓨터의 6667 TCP 포트에 접속하게 된다. 6667 포트번호는 일반적으로 IRC 프로토콜에 의해 사용되며, 'D', 'M', 'A'라는 세가지 명령어를 포함하고 있다. 한 시간에 한번 접속을 시도하게 되며, 접속이 성공하면 'D' 명령어에 의해 쉘 실행이 가능하게 된다.
◈ 해결책
다운 받은 OpenSSH의 소스가 트로이목마를 포함하고 있는 버전인지 확인해 보아야 한다. 컴파일 및 인스톨을 하기 전에 다음과 같이 MD5 checksums 을 통해 파일의 무결성 여부를 확인해 본다.
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8
MD5 (openssh-3.4p1.tar.gz.sig) = d5a956263287e7fd261528bb1962f24c
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
MD5 (openssh-3.2.2p1.tar.gz) = 9d3e1e31e8d6cdbfa3036cb183aa4a01
MD5 (openssh-3.2.2p1.tar.gz.sig) = be4f9ed8da1735efd770dc8fa2bb808a
예) $ md5 openssh-3.4.tgz
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
◈ 추가정보 / 참고사이트
http://www.cert.org/advisories/CA-2002-24.html
http://www.openssh.com/txt/trojan.adv