이모텟 운영자들, 16진법과 8진법 IP 주소 사용해 탐지 기술 회피

요약 : 이모텟(Emotet)이라는 악명 높은 멀웨어를 운영하는 자들이 기묘한 포맷의 IP 주소를 사용하기 시작했다. 16진법(h^tt^p^:/^/0xc12a24f5/cc.html)과 8진법(h^tt^p^:/^/0056.0151.0121.0114/c.html)의 숫자를 사용함으로써, 이 숫자들이 OS에서 자동으로 변환되면서 공격자들이 원하는 HTA 코드가 실행되도록 하는 기법이라고 한다. 이 공격의 최종 목적은 엑셀4.0의 악성 매크로를 발동시키는 것이다.


배경 : 이렇게 IP 주소의 포맷을 바꿀 경우 ‘패턴 매칭’을 기반으로 한 보안 솔루션들을 회피하는 게 가능해진다고 한다. 이모텟은 작년 국제 공조로 일망타진된 뒤 10개월 정도 잠잠했다가 작년 말부터 다시 활동을 시작했다.

말말말 : “이제는 죽었다 싶었던 멀웨어가 부활했을 뿐만 아니라, 새로운 공격 기법에 대한 연구도 꾸준히 진행되고 있다는 점을 다시 한 번 상기하게 됩니다.” -트렌드 마이크로(Trend Micro)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>