업그레이드 된 엑스로더 봇넷, 미끼용 도메인 수없이 만들어 진짜 C&C 숨겨

요약 : 보안 외신 해커뉴스에 의하면 엑스로더(XLoader)의 새 버전이 사이버 공간에 출몰했다고 한다. 이번 변종의 경우 확률 이론을 동원하여 C&C 서버를 감춘다는 게 핵심이다. 보안 업체 체크포인트(Check Point)가 이 봇넷을 분석한 바에 따르면 엑스로더는 진짜 C&C 도메인을 감추기 위해 수천 개의 합법적 도메인을 만들어 낸다고 한다. 엑스로더는 수많은 도메인 주소 중 일부와 확률적으로 C&C 연결을 수립하여 정보를 주고 받으며, 이 때문에 추적이 상당히 까다로워진다.


배경 : 엑스로더 봇넷은 2020년 10월 처음 발견된 멀웨어로, 폼북(Formbook)을 계승하는 후속 멀웨어인 것으로 분석됐다. 여러 플랫폼에 침투하여 정보를 훔쳐내는 것으로 유명한데, 여기에는 키스트로크와 화면 캡쳐 등이 포함되어 있다. 경우에 따라 임의 명령을 실행하거나 페이로드를 심는 것도 가능하다.

말말말 : “공격자들은 자신들의 주요 공격 전략을 대대적으로 수정하기도 하지만, 이번 경우처럼 아주 미세한 부분을 조정함으로써 큰 변수를 창출하기도 합니다.” -체크포인트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>