2024-03-29 17:05 (금)
한국을 타깃으로 한 정교하고 강력한 봇넷의 정체…상세 분석 보고서 다운로드
상태바
한국을 타깃으로 한 정교하고 강력한 봇넷의 정체…상세 분석 보고서 다운로드
  • 길민권
  • 승인 2016.05.08 19:19
이 기사를 공유합니다

포스포인트 “봇넷 JAKU, 전세계 감염국가중 1위가 대한민국”
봇넷 ‘JAKU’에 대해 포스포인트(Forcepoint) 보안 연구소 특별 조사팀이 상세한 분석 보고서를 공개했다. 보고서에 따르면 전세계 감염국가중 1위가 대한민국, 2위가 일본, 3위가 중국, 4위가 대만, 5위가 미국으로 조사돼 한국 피해자가 가장 많은 것으로 조사됐다.


?한국에 42%의 피해자가 발생. 보고서 내 이미지
 
JAKU는 한 번의 확산으로 약 134개국에서 1만9천명의 피해자가 발생했다. 또 JAKU는 피해 서버에 최대 348일 체류하고 거의 일 년 동안 모든 피해자로부터 데이터를 유출할 수 있었던 것으로 나타났다.
 
포스포인트 이상혁 지사장은 “JAKU는 국제 비정부 단체(시민 단체), 엔지니어링 회사, 학자, 과학자와 공무원을 타깃으로 하고 있으며 주로 'poisoned' BitTorrent 파일 공유를 통해 확산됐고 피해자는 전 세계에 걸쳐있지만, 피해자의 상당수는 한국과 일본에 집중돼 있다”며 Forcepoint 보안 연구소는 확인된 봇넷 명령 및 제어(C2) 서버도 싱가포르, 말레이시아, 태국을 포함한 아시아 태평양 지역에 있는 것을 확인했다”고 밝혔다.
 
또 “JAKU는 세 가지 다른 C2 메커니즘을 사용해 매우 강력하다. 봇넷 컨트롤러가 난독화 SQLite는 데이터베이스를 통해 봇넷 구성원을 감시하면서 이미지 파일 내의 압축과 암호화된 코드를 사용해 두 번째 단계의 멀웨어를 전달하는 데 사용된다”며 “컨트롤러는 또한 영리하게 오픈 소스 소프트웨어(UDT 네트워크 전송 프로토콜, 한국 블로거 사이트에서 복사한 소프트웨어와 이전에 출시된 코드의 다시 쓰기)를 재사용한다”고 덧붙였다.
 
JAKU 조사는 2015년 10월 하순에 시작되었으며 6개월간의 조사 기간 약 1.7데라바이트의 원격 측정 데이터를 수집, 조합, 분석, 대조, 처리 등의 과정을 거쳤다.
 
누가 JAKU 봇넷 멀웨어를 만들었을까. 포스포인트 연구소는 확인된 멀웨어를 토대로 한국 제작자로 추정하고 있다. 한편 이 회사는 JAKU와 관련된 침해 지표의 포괄적인 목록을 제공하는 후속 결과를 발표할 예정이며 더불어 한국어 번역 자료도 함께 제공할 예정이다.
 
이번 JAKU 봇넷 분석보고서는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★