35개국에서 Microsoft와 파트너가 저지른 사이버 범죄 작전 이야기
모든 것에 액세스할 수 있도록 하기 위해 인터넷은 수백만 대는 아니더라도 수천 대의 컴퓨터를 연결합니다. 하지만 이로 인해 범죄 활동이 증가하면 상황은 더욱 악화됩니다.
봇넷이 그러한 예 중 하나입니다. 다른 시스템을 감염시키고 맬웨어 또는 악성 소프트웨어를 유포할 수 있는 감염된 컴퓨터의 네트워크입니다. 컴퓨터가 감염되면 사이버 범죄자가 원격으로 제어하여 감염을 확산시킬 수 있습니다.
가장 위험한 것은 모든 국가에 피해자가 있는 스팸 이메일 생태계에서 가장 큰 네트워크를 가진 봇넷인 Necurs입니다.
이를 알게 된 Microsoft와 파트너는 Necurs를 제거하고 해커와의 싸움에서 세계 최대의 돌파구가 되었습니다.
네커스 봇넷 악성코드란?
2012년에 탐지된 Necurs 봇넷은 2016-2019년 사이에 이메일을 통해 확산된 맬웨어의 90%를 담당한 것으로 여겨집니다. 러시아에서 운영되며 주로 Locky 랜섬웨어인 GameOver, Trickbot을 유포하는 것으로 알려져 있습니다.
스팸봇으로 사용되는 이 맬웨어는 이메일 첨부 파일이나 애드웨어를 통해 확산됩니다. 일단 시스템에 설치되면 Necurs는 커널 모드 루트킷을 사용하여 Windows 방화벽 등과 같은 보안 응용 프로그램을 숨기고 비활성화합니다. 대부분의 봇넷과 달리 Necurs는 본질적으로 모듈식이며 운영자가 시간이 지남에 따라 작동 방식을 변경할 수 있습니다.
Microsoft와 기타 업체가 달성하기 위해 압수하는 것은 무엇입니까?
OS 제조업체는 법적 및 기술적 단계를 통해 웹 서비스 공급업체, CERT 기관, 사이버 보안 회사 등 35개국의 파트너와 함께 Necurs의 제거를 조정했습니다.
Microsoft가 예측한 대로 향후 25개월 동안 6백만 개 이상의 고유한 도메인을 감염시킬 수 있는 맬웨어를 배포하는 데 사용되는 Necurs 인프라를 통제할 수 있는 미국 지방 법원의 허가에 대해 법적 조치를 취했습니다.
뿐만 아니라 회사는 웹 모니터링 서비스인 BitSight, 인터넷 서비스 제공업체, 컴퓨터 비상 팀과 협력하여 혼란을 가하고 있습니다. 이 모든 것은 Necurs 개발을 추적하기 위한 8년 간의 노력의 결과입니다.
Microsoft는 58일간의 조사에서 Necurs에 감염된 시스템이 총 380만 개의 스팸 이메일을 4,060만 명 이상의 잠재적 피해자에게 보낼 수 있음을 관찰했습니다. 이로 인해 이 봇넷을 제거하는 것이 필수적이었습니다.
적절한 조치를 취하기 위해 Microsoft는 Necurs가 구현한 DGA(도메인 생성 알고리즘) 기술을 분해하여 새 도메인을 등록하고 공격을 실행했습니다.
DGA란 무엇입니까?
이는 기본적으로 양날의 검으로, 일정한 간격으로 도메인 이름을 무작위로 생성하여 맬웨어 작성자가 C&C 서버의 위치를 끝없이 전환하고 감염된 시스템과 중단 없는 디지털 통신을 유지할 수 있도록 도와줍니다.
Microsoft는 이러한 도메인 이름을 전 세계 레지스트리에 보고했으며 해당 도메인이 Necurs 인프라의 일부가 되는 것을 차단했습니다.
Necurs의 네트워크는 얼마나 큽니까?
900만 대 이상의 컴퓨터 네트워크를 갖춘 봇넷은 가짜 제약 사기, 주식 사기, 러시아 데이트 사기와 같은 다양한 스팸 공격을 수행할 수 있습니다. 또한 DDoS 공격을 실행할 수 있으며 고급 기능을 통해 조직에 배치된 보안 메커니즘을 피할 수 있습니다.
공격자는 이 봇 네트워크를 사용하여 GameOver Zeus Dridex, Locky, Trickbot과 같은 맬웨어를 배포하고 스팸 이메일 전송, 암호화폐 채굴, 신원 도용, 로맨스 및 금융 사기를 펼칩니다.
네커스는 죽었나요? 아니면 교체 중인가요?
확실히 Microsoft는 스팸 필터를 제거하여 악성 이메일을 보낼 수 있는 봇넷인 Necurs를 방해했습니다. 그러나 이것이 더 이상 표적 공격이 없다는 것을 의미하지는 않습니다. 사이버 범죄자들은 이제 Emotet 악성코드를 주시하고 이를 Necurs를 대체할 것으로 간주하고 있습니다.
이것이 사실이라면 약 200만 대의 시스템이 Emotet에 감염될 것입니다. Emotet은 이메일 내용을 읽고 조직 내 신뢰할 수 있는 당사자 간의 진행 중인 대화에 자신을 삽입할 수 있는 감염된 시스템에 상주하는 맬웨어입니다.
이것은 더 많은 트로이 목마 공격을 의미합니다. 보호 상태를 유지하는 유일한 방법은 온라인에서 수행하는 모든 활동을 계속 확인하는 것입니다. 이를 통해 기업과 연구원이 이러한 감염을 계속 찾아내고 제거하여 우리가 안전하게 지낼 수 있기를 바랍니다.
우리가 다른 일을 할 수 있다고 생각한다면 생각을 공유하고 무엇을 할 수 있는지 알려주십시오. 귀하의 생각과 피드백은 소중하므로 공유하십시오.