2020-02-20 20:35 (목)
ESET, 수사기관과 공조해 주요 봇넷 악성코드 ‘Dorkbot’ 박멸
상태바
ESET, 수사기관과 공조해 주요 봇넷 악성코드 ‘Dorkbot’ 박멸
  • 길민권
  • 승인 2015.12.10 18:11
이 기사를 공유합니다

ESET의 한국내 대표 법인 이셋코리아는 전세계 수만대 이상의 컴퓨터에 악영향을 미친 악성코드를 규명하고 박멸하는 글로벌 공조 활동에 ESET이 참여했다고 밝혔다.
 
미 연방수사국(FBI)이 주도하고, 각국의 사법기관과 인터폴, 유로폴 등이 참여한 이번 활동은 아시아, 유럽 및 북미의 C&C 서버를 포함하는 Dorkbot 인프라를 찾아내어 파괴시켰으며,   무엇보다도, 봇넷(Botnet)에 감염된 컴퓨터를 제어할 수 있는 봇넷 운영자의 모든 도메인을 장악했다는데 의미가 있다.
 
"ESET은 Dorkbot의 기술 분석 자료와 악성코드에 감염에 대한 통계 정보를 공유는 물론, 봇넷의 명령 및 제어(C&C) 서버의 도메인과 인터넷 주소를 제공함으로써 전세계 사용자들이 인터넷을 안전하게 사용할 수 있도록 보호하기 위한 활동에 기여했다고 볼 수 있다. 전세계로부터 매주 보고되는 수천건의 탐지 정보와 매일 수집된 새로운 악성코드 샘플이 있었기 때문에 Dorkbot 중단 노력이 성공적으로 마무리될 수 있었다고 본다"고 ESET의 악성코드 연구원 Jean-lan Boutin는 언급했다.
 
Dorkbot는 Win32/Dorkbot 악성코드를 기반으로 더욱 정교하게 만들어졌으며, 소셜 네트워크, 스팸, 이동식 미디어 및 익스플로잇 키트(Exploit Kit) 등 다양한 경로를 통해 배포되는 봇넷이다. 일단 컴퓨터에 설치되면, 안티바이러스 등의 보안 소프트웨어가 업데이트 서버에 접속하려는 시도를 차단하여 보안 소프트웨어의 정상 작동을 방해하며, 이후 추가 명령을 수신할 수 있도록 IRC 서버에 접속을 시도한다.
 
아울러, 페이스북이나 트위터 등의 대중적인 서비스에 사용되는 계정과 암호를 탈취하며, 감염된 시스템의 제어권을 확보한 직 후, 다양한 종류의 추가적인 악성코드를 설치한다. 특히, Neutrino 봇으로 알려져 있으며 DDoS 공격을 수행하는데 사용되는 Win32/Kasidet 및 대표적인 스팸봇으로 잘 알려진 Win32/Lethic 등이 Dorkbot에 감염된 시스템에 추가로 설치된다.
 
"봇넷과 익스플로잇은 추가 악성코드 감염의 수단이 될 수 있으므로 봇넷 감염 자체의 피해 규모만으로 이를 간과하는 것은 매우 위험하다. 봇넷과 익스플로잇은 최근 이슈가 되고 있는 랜섬웨어 등의 감염 벡터에도 깊게 관여하고 있으므로 이에 대한 철저한 사전 방어 노력이 매우 중요하다. ESET 제품은 현재 Dorkbot 봇넷 등 다양한 형태의 봇넷 및 이의 변형 및 각종 익스플로잇에 대한 대응력을 갖추고 있기 때문에 랜섬웨어의 감염 예방에도 매우 효과적"이라고 이셋코리아의 김남욱 대표는 주의를 당부했다.
 
ESET은 슬로바키아 브라티슬라바에 본사를 두고 있으며 미국 샌디에고, 아르헨티나 부에노스아이레스, 싱가폴, 체코 프라하, 슬로바키아 코시체, 폴란드 크라코프, 캐나다 몬트리올, 러시아 모스크바 등 전세계 10 군데의 R&D센터에서 글로벌 방역 시스템을 구축, 운영하고 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com