국내 금융사 타깃 ‘레이튼트봇’ 악성코드 발견

편집 : 2024.4.29 월 07:56

뉴스	국내 금융사 타깃 ‘레이튼트봇’ 악성코드 발견파이어아이, 다층 난독화를 통한 잠입…기존 탐지 시스템 우회 김동기 기자 \| kdk@bikorea.net

승인 2016.01.28 17:48:50

파이어아이(지사장 전수홍 www.fireeye.com/kr/ko)는 다층 난독화를 통한 잠입으로 아무런 흔적 없이 네트워크에 잠복하며 하드디스크를 손상시키는 악성코드 레이튼트봇(LATENTBOT)을 발견했다고 28일 밝혔다.

이 악성코드는 한국을 포함해 미국, 영국, 싱가폴 등 여러 주요 국가의 금융 서비스 및 보험 분야를 주요 타깃으로 공격을 감행해왔다.

특히 한국은 해당 악성코드의 타깃국가일 뿐 아니라 CnC서버로 악용되기에 각별한 주의가 요구된다.

파이어아이의 동적 위협 인텔리전스(DTI, Dynamic Threat Intelligence)에 수집된 정보에 의하면, 레이튼트봇은 2013년에 생성돼 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다, 페루, 폴란드 등 여러 국가의 금융 서비스 및 보험 분야를 주요 대상으로 그동안 여러 차례 공격을 감행해 온 것으로 드러났다. <그림1 ‘레이튼트봇의 타깃 국가 및 CnC서버 위치’ 참조>


▲ 그림1 ‘레이튼트봇의 타깃 국가 및 CnC서버 위치’

해당 악성코드가 ‘레이튼트봇(LATENTBOT)’이라고 명명된 최종 페이로드(payload)를 통해 타깃 컴퓨터에 감염 시키는 흔한 수법을 이용했지만, 페이로드가 여러 단계로 주입되는 다층 난독화 과정으로 인해 탐지가 어렵다는 점이 특기할 만 하다고 파이어아이는 전했다.

은밀한 잠입이 특징인 레이튼트봇 악성코드의 실제 ‘악성’ 코드는 필요한 최소한의 기간 동안만 메모리에 남아있다 사라진다.

또한 대부분의 감염된 데이터는 프로그램 리소스나 레지스트리에서 발견되며, CnC (C2, Command and Control) 통신의 암호화에 포함되는 개별화된 암호 알고리즘이 각기 다른 요소들에 나뉘어져 존재하기 때문에 해당 악성코드의 바이너리는 안티바이러스(AV) 소프트웨어로 탐지하기가 어렵다. <그림2 ‘레이튼트봇 감염 과정’ 참조>


▲ 그림2 ‘레이튼트봇 감염 과정’

잠입 시에도 이 악성코드는 여러 단계에 걸쳐 시스템을 장악하며 더욱 탐지를 어렵게 한다. 최초시스템 침입 시, 공격 그룹은 악성 워드 파일이 첨부된 이메일을 타깃에게 송부한다.

해당 워드 파일이 실행되면 공격 그룹의 서버로부터 두 번째 루미노시티링크(LuminosityLink)라는 악성코드를 다운로드하는데, 이는 원격제어 (RAT, Remote Access Tool) 악성코드로, 이 악성코드 만으로도 공격 그룹은 패스워드를 탈취하고 키보드 입력 값을 유출하고, PC에 부착된 마이크와 웹캠의 활성화시키는 등 타깃 시스템의 통제권을 완전히 소유할 수 있다.

그 이후에도 공격 그룹은 계속적으로 CnC 서버로부터 .NET 바이너리로 위장한 레이튼트봇을 잠입시키는데, 이전 단계는 레이튼트봇을 잠입시키려는 과정이라고 파이어아이는 추론했다.

레이튼트봇에는 시스템 메모리에 악성 코드를 주입하는 페이로드를 포함하고 있으며, 이후 다섯 번째와 여섯 번째 페이로드를 CnC 서버로부터 차례로 전송 받아 공격 그룹은 타깃 시스템을 감염시킨다.

이처럼 레이튼트봇 악성코드는 여러 단계의 주입을 통해 감염이 이뤄지기 때문에 탐지가 상당히 어렵지만, 적절한 행위 기반 탐지 솔루션이라면 메모리 내에서의 활동 만으로 이를 탐지할 수 있다.

또한 악성코드가 보안 솔루션을 우회할 수 있기 때문에 아웃바운드 콜백 추적 및 차단할 수 있는 기능을 갖춘 보안 솔루션이 필수적이다.

파이어아이 전수홍 지사장은 “APT 공격이 지능화되면서 기존 AV 프로그램으로 탐지하기 어려운 악성코드들이 등장하고 있다. 레이튼트봇과 같이 다층 난독화를 통해 기존 탐지 시스템을 우회하는 악성코드를 탐지 및 대응하기 위해서는 행동 기반 솔루션 필요하다”며 “파이어아이는 행동 기반 분석 시스템으로 알려지지 않은 악성코드까지 효과적으로 탐지 및 대응이 가능한 솔루션을 제공하고 있으며, 페이로드를 침입을 가능케하는 콜백 추적 및 차단에 있어서도 독보적인 기술력을 확보하고 있다”고 덧붙였다.

레이튼트봇에 대한 보다 자세한 정보는 파이어아이 공식 블로그(https://www.fireeye.com/blog/threat-research/2015/12/latentbot_trace_me.html)에서 확인할 수 있다.

<김동기 기자>kdk@bikorea.net