국내 금융사 노린 HDD 파괴 악성코드 '레이튼트봇' 주의보

인터넷입력 :2016/01/28 18:49

손경호 기자

국내 금융서비스나 보험사 네트워크에 잠복해 하드디스크를 손상시키는 악성코드인 '레이튼트봇(LATENTBOT)'이 발견돼 주의가 필요하다.

파이어아이는 이 악성코드가 한국을 포함해 미국, 영국, 싱가포르 등 주요 국가 금융사를 대상으로 공격을 시도하고 있으며, 특히 한국 내 인프라는 공격자가 공격명령을 내리거나 유출시킨 정보를 수집하는 C&C서버로까지 악용되고 있는 것으로 확인됐다.

파이어아이 동적 위협 인텔리전스(DTI)에 수집된 정보에 따르면 레이튼트봇은 2013년 처음 등장해 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다, 페루, 폴란드 등 여러 국가 금융 서비스 및 보험 분야를 주요 대상으로 공격을 시도해 왔다.

이 악성코드는 대상 시스템을 감염시키는 과정에서 'LATENTBOT' 이라고 명명된 최종 페이로드를 통해 공격을 시도한다. 문제는 해당 악성코드가 여러 단계로 난독화 과정을 거치는 탓에 탐지가 어렵다는 점이다.

레이턴트봇의 감염 과정. 이메일을 통해 대상 PC에 최초 악성코드를 유포한 뒤 최종적으로 레이턴트봇에 감염시키는 수법을 썼다.

레이튼트봇은 실제 공격을 수행하는 악성코드가 필요한 최소한 기간 동안만 메모리에 남아있다가 사라진다. 감염된 데이터들은 프로그램 리소스나 레지스트리에서 발견되며, C&C서버와 통신하는 과정에서 필요한 암호화 알고리즘을 구성하는 요소들이 각각 감염된 시스템 내에 다른 곳에 저장돼 있어 백신으로 탐지하기 어렵게 만든다.

공격과정을 보면 공격그룹은 악성 워드 파일이 첨부된 이메일을 공격대상에게 송부한다. 해당 워드 파일이 실행되면 공격그룹이 보유한 C&C서버로부터 '루미노시티링크(LuminosityLink)'라는 악성코드를 다운로드한다. 이는 원격제어(RAT) 악성코드로 공격그룹은 대상 PC로부터 비밀번호, 키보드 입력 값 등을 훔치고, PC에 부착된 마이크와 웹캠의 활성화시킬 수 있다. 공격그룹은 이러한 단계를 거쳐 최종적으로 C&C 서버로부터 '.NET' 바이너리로 위장한 레이튼트봇을 대상 PC에 추가로 감염시킨다.

관련기사

파이어아이는 레이튼트봇은 여러 단계로 악성코드를 나눠서 주입하기 때문에 탐지가 어렵지만 행위기반 탐지솔루션을 활용해 메모리 내에 활동을 보는 것으로 악성코드 감염여부를 확인할 수 있다고 설명했다. 보안솔루션을 우회한다고 하더라도 외부로 전송하는 데이터를 추적하거나 차단하는 기능도 필요하다.

전수홍 파이어아이 코리아 지사장은 "APT 공격이 지능화되면서 기존 백신으로 탐지하기 어려운 악성코드들이 등장하고 있다"며 "레이튼트봇과 같이 다층 난독화를 통해 기존 탐지 시스템을 우회하는 악성코드를 탐지 및 대응하기 위해서는 행동 기반 솔루션 필요하다"고 강조했다.