파이어아이, 국내 금융∙보험 기업을 타깃하는 레이튼트봇 악성코드 발견

  • 다층 난독화를 통한 잠입으로 기존 탐지 시스템 우회하는 악성코드 발견
  • 한국, 레이튼트봇 악성코드의 타깃 국가이자 CnC서버로 악용되는 국가…각별한 주의 요구
  • 한국 포함 주요 국가의 금융 서비스 및 보험 분야 대상으로 공격 감행

2016년 1월 28일 – 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.com/kr/ko)는 다층 난독화를 통한 잠입으로 아무런 흔적 없이 네트워크에 잠복하며 하드디스크를 손상시키는 악성코드 레이튼트봇(LATENTBOT)을 발견했다. 이 악성코드는 한국을 포함해 미국, 영국, 싱가폴 등 여러 주요 국가의 금융 서비스 및 보험 분야를 주요 타깃으로 공격을 감행해왔으며, 특히 한국은 해당 악성코드의 타깃국가일 뿐 아니라 CnC서버로 악용되기에 각별한 주의가 요구된다.

파이어아이의 동적 위협 인텔리전스(DTI, Dynamic Threat Intelligence)에 수집된 정보에 의하면, 레이튼트봇은 2013년에 생성돼 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다, 페루, 폴란드 등 여러 국가의 금융 서비스 및 보험 분야를 주요 대상으로 그간 여러 차례 공격을 감행해 온 것으로 드러났다. 파이어아이는 해당 악성코드가 레이튼트봇(LATENTBOT)이라고 명명된 최종 페이로드(payload)를 통해 타깃 컴퓨터에 감염 시키는 흔한 수법을 이용했지만, 페이로드가 여러 단계로 주입되는 다층 난독화 과정으로 인해 탐지가 어렵다는 점이 특기할 만 하다고 전했다.

은밀한 잠입이 특징인 레이튼트봇 악성코드의 실제 ‘악성’ 코드는 필요한 최소한의 기간 동안만 메모리에 남아있다 사라진다. 또한, 대부분의 감염된 데이터는 프로그램 리소스나 레지스트리에서 발견되며, CnC (C2, Command and Control) 통신의 암호화에 포함되는 개별화된 암호 알고리즘이 각기 다른 요소들에 나뉘어져 존재하기 때문에 해당 악성코드의 바이너리는 안티바이러스(AV) 소프트웨어로 탐지하기가 어렵다.

잠입 시에도 이 악성코드는 여러 단계에 걸쳐 시스템을 장악하며 더욱 탐지를 어렵게 한다. 최초시스템 침입 시, 공격 그룹은 악성 워드 파일이 첨부된 이메일을 타깃에게 송부한다. 해당 워드 파일이 실행되면 공격 그룹의 서버로부터 두 번째 루미노시티링크(LuminosityLink)라는 악성코드를 다운로드하는데, 이는 원격제어 (RAT, Remote Access Tool) 악성코드로, 이 악성코드 만으로도 공격 그룹은 패스워드를 탈취하고 키보드 입력 값을 유출하고, PC에 부착된 마이크와 웹캠의 활성화시키는 등 타깃 시스템의 통제권을 완전히 소유할 수 있다. 그 이후에도 공격 그룹은 계속적으로 CnC 서버로부터 .NET 바이너리로 위장한 레이튼트봇을 잠입시키는데 이것으로 보아 이전 단계는 레이튼트봇을 잠입시키려는 과정이라고 추측된다. 레이튼트봇에는 시스템 메모리에 악성 코드를 주입하는 페이로드를 포함하고 있으며, 이후 다섯 번째와 여섯 번째 페이로드를 CnC 서버로부터 차례로 전송 받아 공격 그룹은 타깃 시스템을 감염시킨다.

이처럼 레이튼트봇 악성코드는 여러 단계의 주입을 통해 감염이 이루어지기 때문에 탐지가 상당히 어렵지만, 적절한 행위 기반 탐지 솔루션이라면 메모리 내에서의 활동 만으로 이를 탐지할 수 있다. 또한 악성코드가 보안 솔루션을 우회할 수 있기 때문에, 아웃바운드 콜백 추적 및 차단할 수 있는 기능을 갖춘 보안 솔루션이 필수적이다.

파이어아이 전수홍 지사장은 “APT 공격이 지능화되면서 기존 AV 프로그램으로 탐지하기 어려운 악성코드들이 등장하고 있다. 레이튼트봇과 같이 다층 난독화를 통해 기존 탐지 시스템을 우회하는 악성코드를 탐지 및 대응하기 위해서는 행동 기반 솔루션 필요하다”며, “파이어아이는 행동 기반 분석 시스템으로 알려지지 않은 악성코드까지 효과적으로 탐지 및 대응이 가능한 솔루션을 제공하고 있으며, 페이로드를 침입을 가능케하는 콜백 추적 및 차단에 있어서도 독보적인 기술력을 확보하고 있다”고 덧붙였다.  

레이튼트봇에 대한 보다 자세한 정보는 파이어아이 공식 블로그(https://www.fireeye.com/blog/threat-research/2015/12/latentbot_trace_me.html)에서 확인할 수 있다.

참고자료

[그림 1] 레이튼트봇의 타깃 국가 및 CnC서버 위치

[그림 2] 레이튼트봇 감염 과정

 

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 글로벌 기업 2000개 중 650개 기업을 포함한 4,000개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

자료 문의

파이어아이 코리아         이상도 이사  / 02-559-0730 / sangdo.lee@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

민초롱 대리 / 010-2845-0625 / chorong@mincomm.com

정유림 A.E / 010-9914-5529 /yurim@mincomm.com