The Final Nail on Rustock’s Coffin—Or Is It?

원문 보기

본 글은 TREND Micro 블로그에 기재된 글을 본인의 영어실력 향상과 Anti-Virus 업계의 동향을 습득할 목적으로 작성된 글임을 밝힘니다. 많은 의견 부탁드립니다.

The Final Nail on Rustock’s Coffin—Or Is It?
러스턱 종말을 고할 마지막 결정타인가?

The successful takedown could be considered the most recent and—possibly most effective—nail yet on Rustock’s coffin. While we would have to wait before we can see the long-term effects of the recent Rustock botnet takedown, the decline in spam volume is apparent. Data from TrendLabs showed over 95 percent decrease in Rustock reports on March 16, at around the same time the botnet was taken down.
가장 최근에 그리고 가능한 효과적으로 Rustock(러스턱)에게 결정타를 날린 것이 성공적인 급습 이였다고 생각될 것이다. 최근 러스턱 봇넷에 기습하여 오랫동안 효과를 볼 수 있기전에 기다려야 하는 동안, 스팸 량의 감소가 현저히 나타났다. 트랜드 연구실에서 발표한 지난 3월 16일 러스턱 보고서에서 95% 이상 감소하고 있다는 것을 보여준 데이터는, 봇넷이 해체된 시간과 거의 비슷하다.

As with most spam botnets, there has been a long running battle between the bot’s perpetrators and the security industry. Since the bot was first discovered in 2006, Rustock has been compromising thousands of machines and sending out billions of pharmaceutical spam.
대부분의 스팸 봇넷들처럼, 봇 제작자와 보안 업계간의 전쟁은 오랫동안 진행되어 왔다. 2006년에 처음으로 봇이 발견된 이래로 러스턱은 수천대의 기계에 감염시켜 왔으며 의약품 관련된 수억통의 스팸을 보내왔다.

Two years later, spam volumes took a significant blow after the McColo Corp. disconnection. By providing research and intelligence to the HostExploit.com Cyber Crime Report, Trend Micro contributed to the successful takedown against the known spam giant. Interestingly, Rustock was one of the many botnets that was affected by the McColo takedown. The victory, unfortunately, was short-lived and it was business as usual for spammers not long after.
2년 후 ISP 업체로 부터 McColo 회사의 인터넷이 끊어진 이후 스팸 량에 중요한 타격을 입었다. HostExploit.com 의 정보원과 연구원이 제공하는 사비어 범죄 보고서에 따르면 트랜드마이크로는 스팸 거인으로 알려진 것을 해치우는데 성공적으로 기여 했다고 한다. 흥미롭게도 러스턱은 McColo 기습에 영향을 받은 많은 봇넷 들 중 하나였다. 그러나 불행이도 그 승리는 오래가지 못하였고 오래지 않아 스팸어들이 평소처럼 사업을 했다.

Despite this temporary hurdle, the Rustock botnet continued to grow in size and evade detection because of its use of Alternate Data Stream (ADS) for its rootkit component. The bot masters also rolled out improvements by using Transport Layer Security (TLS) instead of SSL or HTTP (port 80) in March 2010. Adding this feature enabled Rustock to carry out C&C communication even in systems that utilized more stringent security measures.
이러한 임시적인 장애물에도 불구하고, 러스턱 봇넷은 크기면에서 성장이 계속되었고 루트킷 모듈에서 ADS 를 이용하였기 때문에 진단 회피가 가능했다. 봇 마스터 또한 SSL 이나 HTTP 대신 TLS 를 사용함으로써 성능 개선을 감행하였다. 엄격한 보안 장치가 사용되어지는 시스템에서 조차 C&C 와 대화를 수행하기 위해 이러한 기능이 활동중인 러스턱에 추가되었다.

In December 2010 until early January this year, a consistent decline in Rustock spam volume left the industry speculating about the botnet’s future. It did not take long, however, before the spam volumes were back to pre-holiday levels and proving that the spam botnet was still in business.
2010년 12월 이후 올해 1월까지, 러스턱 스팸 량의 계속적인 감소가 AV 산업계에서 봇넷 미래의 추측을 그만두도록 하였다. 그러나 스팸 량이 이전 공휴일 수준 전으로 돌아가 스팸 봇넷이 여전히 사업을 제공하는데 오래 걸리지 않았다.

With the latest development on the infamous spam bot, the question then is if this is the last time we’ll be seeing spam activity from Rustock. As we have seen in the past, even the most successful takedowns like McColo and Waledac did not result in completely eliminating the problem of spam. For now, users can only rely on secure computing practices and smart reputation services to effectively deal with spammed messages.
가장 최근에 개발된 악명높은 스팸 봇을 포함하여, 만약 이것이 우리가 러스턱의 스팸 활동을 볼 수 있는 것이 마지막이라면 문제는 다음이다. 과거에서도 보았던 것처럼, 심지어 McColo 와 Waledac 처럼 가장 성공적인 공격에서조차 완벽하게 스팸 문제를 제거하지 못했다. 사용자들은 당분간 안전한 컴퓨터 사용과 스팸 메시지를 효과적으로 다루는 현명한 평판 서비스에 의존할 수 밖에 없다.

As CTO Dave Rand recommends, “the only way to address this problem long term is to get the affected computers secured—and the only people who are in the position to help with this task are the Internet Service Providers who provide the connectivity to end users. Even a simple email or letter to the customer saying, ‘Your computer was being used as part of the Rustock botnet and we suggest that you find and remove the compromises on your systems’ would go a long way in preventing these same systems from being abused in the future.”
트렌드마이크로사의 기술 이사인 Dave Rand 가 추천하는 것 처럼, 오랫동안 이 문제를 다루기 위한 유일한 방법은 감염된 컴퓨터를 안전하게 만드는 것이며, 이러한 작업을 도와줄 수 있는 위치의 유일한 사람들은 사용자의 접속을 제공하는 ISP 업체이다. "당신의 컴퓨터가 러스턱 봇넷의 한 부분으로 사용되어질 수 있으므로 우리는 당신이 감염된 시스템을 찾아 제거하는 것을 제안한다."고 간단한 메일이나 편지로 고객에게 말하는 것 조차 미래에 남용되어질 수 있는 것으로 부터 이러한 같은 시스템들을 오랫동안 보호할 수 있는 방법이다.

Microsoft helps defeat Rustock botnet
http://blogs.msdn.com/b/securitytipstalk/archive/2011/03/18/microsoft-helps-defeat-rustock-botnet.aspx