본문 바로가기
Network, Security

이모텟(Emotet) 봇넷

Ohs_ 2021. 1. 28. 14:32

이모텟(Emotet)

출처:미국지디넷

이모텟은 은행을 공격하기 위해 개발된 악성 코드이다. 목표는 은행의 시스템에서 민감 정보가 있는 시스템에 접근하여 개인 데이터를 훔치는 것이다. 이모텟은 컴퓨터 웜 처럼 감염이 된 컴퓨터에서 다른 컴퓨터로 침투하려고 시도하며 퍼지는 특성이 있다. 이모텟은 주로 스팸 이메일을 통해 확산이되었고, 해당 이메일에 첨부되어있는 파일을 다운로드하거나 링크를 열게되면 자동으로 이모텟 악성코드가 다운로드되는 형태이다.

이모텟의 초기 형태는 은행을 대상으로한 트로이 목마로 개인 고객들의 개인정보를 훔치기 위해 개발되었다. 이후 이모텟은 전 세계적으로 확산되기 시작하며 트로이 목마에서 드롭퍼(Dropper)로 진화했다. 드롭퍼는 대상 시스템에 악성코드를 설치하기 위해 설계된 프로그램이다. 즉, 트로이 목마의 형태와 같이 정상 프로그램으로 위장하여 안티 바이러스의 탐지를 피하고 드롭퍼를 가동하여 외부의 악성코드를 시스템 내부로 다운로드하는 형태이다.

위와 같이 드롭퍼로 사용된 경우 드롭하는 파일은 대부분 랜섬웨어이다. 기존에는 은행 개인 고객의 개인정보를 탈취 시도하는게 목표였지만 진화한 형태는 시스템을 사용할 수 없는 형태로 만들어 돈을 갈취하는 형태이다. 또한, 기존에는 은행을 대상으로 했지만, 진화한 형태는 기업, 조직, 주요기관 등을 대상으로 한다. 실제 2018년 독일 푸에스텐펠트브루크 병원은 이모텟에 감염되어 450대의 컴퓨터를 사용할 수 없게되는 사례가 있었으며 이후에도 베를린 법원, 하노버 의과 대학 등 여러 중요 기관에 피해가 있었다.

이모텟은 최신의 윈도우 운영체제에서 동작하도록 설계되었으며 이후에 Mac OS 에서도 동작할 수 있게 발전했다고 한다. 앞서 기술한 내용처럼 이모텟은 이메일을 통해 감염될 수 있기 때문에 스팸 메일, 의심되는 이메일의 경우 메일에 포함된 링크에 접속하거나 파일을 다운받는 등의 행위는 안하는게 좋으며 꼭 확인해야 할 경우 가상머신에서 동작해보는 것이 좋다. 이모텟은 이터널블루(EternalBlue)와 DoublePulsar 등을 사용하여 취약점을 익스플로잇하고 백도어를 설치하는 행위로도 전파된다. 이터널블루는 미국 국가안보국에서 개발한 해킹 도구로 윈도우 시스템의 파일공유, RDP, SMB 등의 취약점을 이용하여 악성코드를 삽입하거나 백도어를 설치할 수 있는 도구이다. 더블 펄서 또한, 백도어를 설치할 수 있게해주는 도구로 미국 국가안보국에서 만들었다.

 

이모텟의 위험성

이모텟은 강력한 전파력을 갖고있다. 악성 코드의 왕이라는 별명이 있을 정도로 강력하다. 그 이유 중 하나로 다형성이다. 이모텟은 코드가 액세스 될 때마다 조금씩 변형된다. 즉, 안티 바이러스에서 패턴을 잡아내도 계속해서 변화하기 때문에 잡아내기가 쉽지 않다고 한다. 또한, 처음 언급한 전파력이다. 이모텟은 메일을 통해 전파가 되기도 하지만 시스템에 접근 후 해당 시스템과 연결된 네트워크를 검사하여 연결된 다른 시스템도 감염시키려는 시도가 이어진다. 즉, 내부망에 하나의 PC가 이모텟에 감염시 자칫하면 연결된 내부망의 모든 PC가 감염될 수 있다는 것이다.

또한, 이모텟은 다른 아마추어 해커들도 쉽게 악성코드를 운반할 수 있는 요소로 사용된다는 것이다. 공격자 입장에서 여러 힘든 과정 중 가장 중요한 것은 원하는 시스템에 침투하는 것이다. 이 과정을 이모텟을 이용해 쉽게 접근할 수 있는 발판이 마련된 것이다.

 

이모텟의 최근 소식

이모텟은 현재 가장 위험한 봇넷을 구성하고 있다. 각종 멀웨어와 랜섬웨어를 퍼트리는 주요 매개체로 국제적으로 수 많은 피해가 발생했다. 이러한 이모텟 봇넷을 무력화 하기 위해 국제 공조로 여러 기관들이 참여하여 이모텟 봇넷을 무력화 하였다.

유로폴의 발표에 의하면 이모텟을 내부에서부터 폐쇄시키고 인프라 전체에 대한 제어 권한을 가져왔다고 한다. 이모텟 봇넷을 기관에서 장악하여 현재 감염된 장비들의 경우 경찰들이 제어 중인 인프라로 접속되기 때문에 지금 상태로는 이모텟을 이용한 범죄가 이뤄지기가 어렵다고 한다. 하지만 이모텟이 완전히 사라졌다고 할 수는 없다. 그래서 국제 공조는 지속적으로 이어지며 올해 말까지 감염된 호스트들로부터 언인스톨 작업을 진행할 것이라고 한다.

 

국제 공조로 악명 높은 이모텟 봇넷 무력화 돼 (boannews.com)

 

국제 공조로 악명 높은 이모텟 봇넷 무력화 돼

국제 사법기관들의 공조로 이모텟(Emotet)의 공격 인프라가 무력화 됐다. 이모텟은 현재 가장 위험한 봇넷을 구성하고 있으며, 각종 멀웨어와 랜섬웨어를 퍼트리는 매개체로서 존재감을 뽐내고

www.boannews.com

 

반응형
저작자표시 비영리 변경금지

'Network, Security' 카테고리의 다른 글

도커 탈출로 이용 가능한 MS Azure 취약점  (0) 2021.01.30
IOS 14 숨겨진 보안기능 - 블라스트도어  (0) 2021.01.29
OT(Operational Technology)환경과 보안  (0) 2021.01.27
방화벽(Firewall) - 구현방식에 따른 유형  (1) 2021.01.26
윈도우 RDP(Remote Desktop Protocol) 서버  (0) 2021.01.25

'Network, Security' Related Articles

티스토리툴바