Trend Micro RUBotted 프로그램은 봇(Bot)에 의해 감염된 사용자 컴퓨터에서 의심스러운 활동을 모니터링하여 감염 여부를 확인할 수 있는 프로그램이다.
예전에 소개해 드린 국내 악성 봇 감염 확인 서비스의 경우 웹 사이트 방문을 통해 확인할 수 있다면 해당 프로그램은 사용자 컴퓨터에 설치된 프로그램을 통해 확인할 수 있으며, 보호나라의 경우 알려진 정보를 근거로 하는 반면 해당 프로그램은 보안제품에서 진단하는 악성 봇 이외에 일정한 규칙에 따라 진단할 수 있다는 장점이 있다고 보시면 됩니다.
프로그램의 설치 완료 단계에서는 그림과 같이 시스템 트레이에 Trend Micro RUBotted 아이콘이 생성된다는 내용을 안내하고 있습니다.
실제 설치된 환경에서 해당 프로그램은 윈도우 시작시 자동으로 실행되어 사용자의 컴퓨터에서 동작하는 네트워크를 감시하여 악의적인 Bot에 의한 활동을 모니터링하도록 되어 있습니다.
현재 Trend Micro에서는 Beta 버전 형태로 제공하고 있으며, 차후에 통합 제품에 적용할 예정으로 알려져 있는데, 감염되지 않은 정상적인 컴퓨터에서는 그림과 같이 [No Bots Found]라는 메시지를 출력하고 있습니다.
● View log
해당 메뉴는 45일 동안 기록된 모든 의심스러운 활동에 대한 로그(Log)를 기록하여 보여주고 있으며, 기본적으로 현재 사용자 컴퓨터를 30초 단위로 모니터링을 한다고 밝히고 있습니다.
● Settings
해당 프로그램의 환경 설정에서 지정한 항목 그대로 이용하시면 될 정도로 간편하게 구성되어 있습니다.
1. Monitor Http Incoming : Http(Port 80)를 통해 유입되는 네트워크 감시
2. Monitor Smtp Outgoing : Smtp 프로토콜을 통해 나가는 네트워크 감시(스팸 메일 발송)
3. Monitor Irc Request : Irc 요청 감시(특정 외부 명령 수행)
4. Monitor Dns Query : Dns Query 감시(특정 사이트 공격을 위한 연결)
해당 프로그램에서 모니터링 하는 내용은 대체로 특정 악성 봇에 감염된 경우 발생할 수 있는 네트워크 변화를 감시하여 알려지지 않은 위협에 대한 경고를 하도록 구성되어 있습니다.
해당 프로그램은 발견된 특정 악성코드에 대한 치료 기능을 제공하는 것이 아닌 의심스러운 사용자 컴퓨터에서 외부와 연결된 네트워크 정보를 근거로 알림 기능을 제공하는 것이므로 만약 경고를 받게되면 신뢰할 수 있는 보안제품을 통하여 시스템 정밀 검사를 통한 치료와 보안업체에 문의를 하시기 바랍니다.
특정 포트나 프로토콜의 패킷을 검사해서 봇을 찾나 보네요. 지금은 사용자가 어렵사리 분석해서 악성코드등을 찾아내야하는 시기는 아닌가 봅니다.
그러고보니 국내 보안 업체에서 개발한 시스템 분석툴을 보지를 못했네요. 한글 서비스에 도움말을 충실히 만들어두면 사용자에게도 큰 도움이 될 듯 한데, 하나 정도는 나왔으면 하는 군요.
저도 이 글 작성하면서 국내에서도 소프트웨어로 제작하여 배포하면 좀 괜찮지 않을까 생각했습니다.
오호 트렌드 마이크로~~멋진데요~ 사용해봐야겠군요 ㅋㅋㅋ 흥미진진
깨끗한 컴퓨터에서는 그냥 프로세스 2개가 추가되는 그런 장식품 같기도 합니다.ㅎㅎ
보호나라에서도 좀비pc검사하는것이 있던데 그것의 성능은 과연 어떨지 모르겠네요 ㅎ
우리나라 업체에서도 이런거 만들어서 배포하면 인기많을거같은데 말이죠~~
프로그램의 원리를 보니 Trend Micro 서버와 연결하여 정보를 주고받는 것으로 보아 단순히 프로그램 내부적인 DB는 아니므로 실시간 Bot 공격에 유용할 것 같습니다.