2022-06-29 12:20 (수)
ESET, Zloader 봇넷 중단 위한 글로벌 작업에 참여
상태바
ESET, Zloader 봇넷 중단 위한 글로벌 작업에 참여
  • 길민권 기자
  • 승인 2022.04.25 16:57
이 기사를 공유합니다

ESET(이셋)의 국내 법인 이셋코리아는 ESET이 Zloader botnets를 중단시키기 위한 글로벌 작업에 참여해 프로젝트에 기여했다고 밝혔다.

ESET은 알려진 Zloader 봇넷을 교란시키기 위해 파트너인 Microsoft의 Digital Crimes Unit, Lumen의 Black Lotus Labs, Palo Alto Networks Unit 42 등과 협력했다.

ESET은 기술 분석, 통계 정보, 알려진 C&C 서버 도메인 이름 및 IP 주소를 제공하여 프로젝트에 기여했다.

Zloader는 뱅킹 트로이 목마로 시작했지만 최근에는 다양한 랜섬웨어 군을 비롯한 여러 악성 프로그램 군의 배포자로 진화했다.

조정된 중단 작업은 각각 다른 버전의 Zloader 맬웨어를 사용하는 3개의 특정 봇넷을 대상으로 했다. ESET 연구원들은 이러한 봇넷 운영자가 최근에 사용했으며 이 중단 작업이 효과적이기 위해 인수된 65개 도메인을 식별하는 데 도움을 주었다.

Zloader 봇은 봇마스터로부터 명령을 받는 데 사용할 수 있는 고유한 도메인 이름을 자동으로 생성하는 백업 통신 채널에 의존한다. 도메인 생성 알고리즘(DGA)으로 알려진 이 기술은 봇넷당 하루에 32개의 서로 다른 도메인을 생성하는데 사용된다. 봇넷 운영자가 봇넷에 대한 제어권을 되찾기 위해 이 사이드채널을 이용할 수 없도록 하기 위해 이 알고리즘에 의해 생성된 이미 등록된 319개의 도메인을 추가로 인수했고, 작업 그룹도 향후 생성될 가능성이 있는 DGA 도메인의 등록을 차단하는 조치를 취하고 있다.

Microsoft의 조사 결과 Denis Malikov가 봇넷 중 하나의 운영자가 사용하는 악성 구성 요소의 공동 작성자로 확인됐다.

Zloader는 2011년 소스 코드가 유출된 유명한 Zeus 뱅킹 트로이 목마에서 크게 영감을 받은 많은 뱅킹 트로이목마 맬웨어 중 하나인데 이 맬웨어에 대한 많은 연구 논문이 이미 발표되었으며, Malwarebytes와 HYAS의 최신 논문이 기술적 관점에서 가장 상세하게 설명돼 있다.

Zloader의 첫 번째 버전(1.0.0.0)은 2019년 11월 9일에 컴파일 되었으며 같은 날 "고요한 밤"이라는 이름으로 지하 포럼에 발표 및 광고되었다. 그 이후로 ESET 연구원들은 그 활동과 진화를 면밀히 관찰해 왔으며, Zloader의 작동 방식과 인프라에 대한 뛰어난 통찰력을 제공했다.

ESET 측은 Zloader가 존재하는 동안 자동 추적 시스템을 통해 약 14,000개의 고유한 샘플을 분석했는데, 이는 1,300개 이상의 고유한 C&C 서버를 발견하는 데 도움이 되었다.

Zloader는 2020년 3월 Zloader 운영자가 등록해 C&C 서버로 사용하는 약 300개의 추가 활성 도메인을 발견할 수 있는 도메인 생성 알고리즘(DGA)을 구현했다.

위협 행위자 사이에서 Zloader의 인기도는 발생 첫해에 두 번 정점에 이르렀지만 악의적인 의도로 Zloader를 사용하는 행위자 몇 명만 남겨둔 채 2021년부터 사용이 감소하기 시작했다. 그러나 이것은 이미 실제 환경에서 버전 2.0 샘플(2021년 7월에 컴파일됨)을 보았기 때문에 앞으로 달라질 수 있다.

Zloader는 다른 상용 맬웨어와 마찬가지로 지하 포럼에서 광고 및 판매되고 있다. 이를 구매하면 관리 패널이 있는 자체 서버를 설정하고 봇 구축을 시작하는 데 필요한 모든 것을 제공받는다. 그 후 계열사는 봇 배포 및 봇넷 유지 관리를 담당한다.

Zloader는 다양한 제휴 그룹에서 사용되었으며 각 그룹은 다음을 포함해 맬웨어 배포에 대해 서로 다른 접근 방식을 사용했다.

◇RIG 익스플로잇 킷

◇악성 Microsoft Word 문서가 첨부된 COVID-19 테마 스팸 이메일

◇악성 XLS 매크로가 포함된 가짜 인보이스 스팸 메일 변종

◇Google 광고 오용

Zloader의 주목할 만한 기능은 다음과 같다.

◇브라우저 및 Microsoft Outlook에서 다양한 데이터를 훔치는 기능, 암호 화폐 지갑을 훔치는 기능

◇키스트로크 로깅

◇운영자가 손상된 시스템을 원격으로 제어할 수 있도록 하는 HiddenVNC 지원

◇Zeus와 유사한 webinject, 양식 캡처 및 양식 스크린샷 지원

◇임의 명령 실행(예: 다른 맬웨어 다운로드 및 실행)

자세한 기술 정보는 WeLiveSecurity 블로그 게시물 “ESET takes part in global operation to disrupt Zloader botnets"를 확인하면 된다.

★정보보안 대표 미디어 데일리시큐!★