Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

국내 금융∙보험 기업을 표적으로 하는 레이튼트봇 악성코드 발견...파이어아이

편집부 | ITWorld 2016.01.28
파이어아이(www.fireeye.com/kr/ko)는 다층 난독화를 통한 잠입으로 아무런 흔적없이 네트워크에 잠복하며 하드디스크를 손상시키는 악성코드 레이튼트봇(LATENTBOT)을 발견했다고 밝혔다.

이 악성코드는 한국을 포함해 미국, 영국, 싱가포르 등 여러 주요 국가의 금융 서비스 및 보험 기업들을 주요 대상으로 공격을 감행해왔으며, 특히 한국은 해당 악성코드의 표적 국가일 뿐 아니라 CnC 서버로 악용되기에 각별한 주의가 요구된다.

파이어아이의 동적 위협 인텔리전스(Dynamic Threat Intelligence, DTI)에 수집된 정보에 의하면, 레이튼트봇은 2013년에 생성돼 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다, 페루, 폴란드 등 여러 국가의 금융 서비스 및 보험 분야를 주요 대상으로 그간 여러 차례 공격을 감행해 온 것으로 드러났다.

파이어아이는 해당 악성코드가 레이튼트봇이라고 명명된 최종 페이로드(payload)를 통해 타깃 컴퓨터에 감염시키는 흔한 수법을 이용했지만, 페이로드가 여러 단계로 주입되는 다층 난독화 과정으로 인해 탐지가 어렵다는 점이 특이할 만하다고 전했다.

은밀한 잠입이 특징인 레이튼트봇 악성코드의 실제 ‘악성’ 코드는 필요한 최소한의 기간 동안만 메모리에 남아있다가 사라진다. 또한, 대부분의 감염된 데이터는 프로그램 리소스나 레지스트리에서 발견되며, CnC(Command and Control, C2) 통신의 암호화에 포함되는 개별화된 암호 알고리즘이 각기 다른 요소들에 나뉘어져 존재하기 때문에 해당 악성코드의 바이너리는 안티바이러스 소프트웨어로 탐지하기가 어렵다.

잠입 시에도 이 악성코드는 여러 단계에 걸쳐 시스템을 장악하며 더욱 탐지를 어렵게 한다. 최초시스템 침입 시, 공격 그룹은 악성 워드 파일이 첨부된 이메일을 타깃에게 송부한다. 해당 워드 파일이 실행되면 공격 그룹의 서버로부터 두 번째 루미노시티링크(LuminosityLink)라는 악성코드를 다운로드하는데, 이는 원격제어(RAT, Remote Access Tool) 악성코드로, 이 악성코드 만으로도 공격 그룹은 패스워드를 탈취하고 키보드 입력 값을 유출하고, PC에 부착된 마이크와 웹캠의 활성화시키는 등 타깃 시스템의 통제권을 완전히 소유할 수 있다.



그 이후에도 공격 그룹은 계속적으로 CnC 서버로부터 .NET 바이너리로 위장한 레이튼트봇을 잠입시키는데 이것으로 보아 이전 단계는 레이튼트봇을 잠입시키려는 과정이라고 추측된다. 레이튼트봇에는 시스템 메모리에 악성 코드를 주입하는 페이로드를 포함하고 있으며, 이후 다섯 번째와 여섯 번째 페이로드를 CnC 서버로부터 차례로 전송 받아 공격 그룹은 타깃 시스템을 감염시킨다.

이처럼 레이튼트봇 악성코드는 여러 단계의 주입을 통해 감염이 이뤄지기 때문에 탐지가 상당히 어렵지만, 적절한 행위 기반 탐지 솔루션이라면 메모리 내에서의 활동만으로 이를 탐지할 수 있다. 또한 악성코드가 보안 솔루션을 우회할 수 있기 때문에, 아웃바운드 콜백 추적 및 차단할 수 있는 기능을 갖춘 보안 솔루션이 필수적이다.

파이어아이코리아 전수홍 지사장은 “APT 공격이 지능화되면서 기존 AV 프로그램으로 탐지하기 어려운 악성코드들이 등장하고 있고, 레이튼트봇과 같이 다층 난독화를 통해 기존 탐지 시스템을 우회하는 악성코드를 탐지 및 대응하기 위해서는 행동 기반 솔루션 필요하다”고 말했다. editor@itworld.co.kr
 Tags 악성코드 파이어아이

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.