칵봇과 이모텟, 비슷하지만 다른 정보 탈취 트로이목마
걸렸다면? 감염 경로부터 틀어막고 피해 시스템 고치고 2차 감염 막아야

[보안뉴스 문가용 기자] 정보 탈취 트로이목마인 칵봇(Qakbot)과 이모텟(Emotet)의 활동이 최근 새로워지고 있다는 소식이 마이크로소프트로부터 나왔다. 퀙봇과 이모텟은 두 개의 다른 멀웨어 패밀리이지만 행동 패턴이 유사하며, 온라인 뱅킹 사용자들을 주로 노려왔다. 하지만 최근에는 ‘기업들’을 공격 대상으로 바꿨다고 마이크로소프트에서 알려왔다.


과거 칵봇과 이모텟은 탐지 기법을 우회하거나 피해자 시스템에 되도록 오랜 시간 머물거나 하는 기술을 갈고 닦는 것에 주력해왔다. 둘 다 드로퍼를 활용해 시스템을 감염시키며(물론 최근 칵봇 변종은 익스플로잇 킷을 활용하기도 한다), 페이로드를 무작위 폴더들에 다운로드 받고, 최대한 오랜 시간 발각되지 않고 시스템 내에 머무른다. 또한 코드를 explorer.exe에 주입시키기도 한다. 둘 다 암호화된 정보를 C&C 서버로 송출한다.

칵봇과 에모텟 모두 키스트로크를 로깅하고, 브라우저 및 네트워크 관련 API들을 후킹하며, 쿠키와 인증서를 훔치는 방법으로 피해자들로부터 각종 정보를 수집한다. 또한 접근이 가능한 네트워크들로 퍼져나가며 USB마저도 감염시킨다. 디폴트 관리자 공유 파일 및 공유 폴더 등을 통해서도 주변 네트워크를 감염시키고, 액티브 디렉토리 계정 목록을 사용해 브루트포스 공격도 실시한다. SMB 기능을 활용하기도 한다.

마이크로소프트에 의하면 윈도우 10에는 이미 칵봇과 이모텟과 같은 멀웨어를 막는 기능이 탑재되어 있다고 한다. 다만 몇 가지 절차를 밟아 설정을 맞추긴 해야 한다.

이런 멀웨어에 대한 공격이 네트워크 내에서 발견되었다면 제일 먼저 감염된 기기를 네트워크로부터 분리해내는 것이다. 해당 기기는 따로 분리해 내 멀웨어 치료를 한 후에 네트워크로 복귀시킬 수 있다. 또한 이런 기기들과 공유 연결이 되어 있는 폴더도 공유를 끊는다. 크리덴셜을 지키는 일반적인 보안 수칙도 이러한 정보 수집 멀웨어들로부터 스스로를 지킬 수 있는 좋은 방법이다. 마이크로소프트는 윈도우 디펜더(Windows Defender)에서 이러한 작업들을 쉽게 할 수 있다고 설명한다.

그 다음으로는 스케줄드 태스크(Scheduled Tasks) 폴더를 잠그고 자동실행 기능을 비활성화시켜 멀웨어가 자동으로 실행되는 일을 막아야 한다. 위 두 가지 일은 전부 멀웨어의 감염 확산을 막는 것을 목표로 한다. 그렇게 확산 경로를 막았다면 칵봇과 에모텟 등의 멀웨어를 실제로 삭제시키고 시스템을 깨끗하게 만들어야 한다. 멀웨어들은 보통 다른 악성 파일들도 동반하므로 이것들을 전부 삭제한다.

마지막으로 해야 할 일은 처음 침투가 이뤄진 곳을 파악해 두 번째 공격에 걸리지 않도록 하는 것이다. 실시간 보호 체계를 갖춰 네트워크 내 모든 기기들을 감시하고, 이메일 정책도 보완해 악성 메일을 더 효과적으로 막을 수 있도록 한다. 도메인 크리덴셜도 보호하고 직원 교육을 하는 것도 좋은 방법이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>