세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
이름은 마일로인데, 하는 짓은 역대급으로 악질적
  |  입력 : 2018-06-21 11:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새롭게 등장한 마일로봇, 세 가지 탐지 회피 기술 동시에 발휘
다른 봇넷 발견하면 삭제하기도...장비의 독점적인 장악 위한 것


[보안뉴스 문가용 기자] 이전에 없었던 봇넷이 등장했다. 이 봇넷은 세 가지 우회 기법을 활용해 탐지 기술들을 피해가고, 추가 페이로드를 퍼트리는 역할을 한다. 보안 업체 딥인스팅트(Deep Instinct)가 발견한 것으로, 마일로봇(Mylobot)이라는 이름이 붙었다.

[이미지 = iclickart]


딥인스팅트의 전문가들은 마일로봇에 대해 “아직 한 번도 본 적 없는 회피 기술의 조합들을 사용하고 있다”며 놀라움을 표시했다. 보다 상세한 내용은 20일자 블로그 포스트를 통해 공개했다.

딥인스팅트의 보안 연구원인 톰 니프라브스키(Tom Nipravsky)는 “마일로봇은 한 번 설치되고 나면 제일 먼저 윈도우 디펜더와 윈도우 업데이트 기능을 중단시킨다”고 설명한다. “동시에 방화벽의 추가 포트들도 차단시킵니다. 이것만이 아닙니다. %APPDATA% 폴더에서부터 실행되는 EXE 파일들도 전부 삭제합니다. 이것만으로도 이미 데이터 손실이라는 피해를 입게 됩니다.” - 이것이 첫 번째 탐지 회피 기법이다.

마일로봇에는 가상기기와 샌드박스 환경을 파악하고 이를 회피하는 기능도 포함되어 있다. 안티디버깅 기술 역시 탑재되어 있다. 그러면서 자기 내부 요소들은 암호화된 리소스 파일로 감춰두고, 메모리 내에서 코드를 주입하거나 실행파일(exe 파일)을 실행시킨다. “이를 프로세스 할로윙(process hollowing)이라고도 하죠. 정상적으로 보이는 실행파일 속에 악성 코드를 감춰놓는 겁니다. 또, C&C 서버와 통신을 연결시키기 전에 14일을 기다리기도 합니다.”

프로세스 할로윙이란 공격자가 새로운 프로세스를 ‘정지된 상태’로 만들고, 그 이미지를 악성 코드 등으로 대체시키는 공격 기법을 말한다고 니프라브스키는 추가 설명한다. “이것이 두 번째 탐지 회피 기법입니다.”

“중요한 건 공격의 거의 전부가 메모리 내에서 실시된다는 겁니다. 그래서 탐지와 추적 모두가 어려운 것이죠. 봇넷의 일반적인 ‘비즈니스 로직’만이 코드 주입을 통한 외부 프로세스에서 실행될 뿐입니다.” - 이것이 세 번째 탐지 회피 기술이다. 즉, 분석 환경을 방해하는 기술과 윈도우 디펜더 등의 방어 솔루션 비활성화 기술, 메모리 내 실행 기술을 모두 가지고 있는 것이다.

마일로봇은 일반 멀웨어 공격자들이 흔히 사용하는 폴더들이 시스템 내에 있는지 확인한다. Application Data가 가장 유명한 예 중 하나다. “이러한 폴더가 있으면 즉시 프로세스를 종료시키고 파일을 삭제합니다. 즉 다른 봇넷의 활동을 멈추고 자기가 시스템을 장악하려는 것이죠. 도크봇(Dorkbot)이라는 봇넷을 특별히 겨냥하고 있기도 합니다.”

이렇게 해서 탐지를 뚫고 다른 멀웨어까지 삭제한 마일로봇은 추가 페이로드들을 시스템에 탑재시키기도 한다. “즉 피해를 입은 시스템은 랜섬웨어에 걸릴 수도 있고, 뱅킹 트로이목마에 감염될 수도 있는 겁니다. 정찰자들의 키로거가 심길 수도 있고, 암호화폐 채굴 코드가 옮겨질 수도 있죠. 대단히 위험하고 공격적인 봇넷입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)