마이크로소프트(MS)를 비롯한 IT 회사들이 연합해 악성 프로그램 확산 경로인 '트릭봇' 봇넷 해체 작업을 시도했지만 실패했다고 13일(현지시간) 미국 지디넷이 보도했다.
트릭봇 명령자와 조정 서버, 도메인 등을 파악하기 위한 작업을 했지만 뜻을 이루지 못한 것이다. 미국 지디넷은 "트릭봇에 대해 새로 인프라가 짜여져 대체됐다"고 한 관계자의 말을 인용했다.
이 관계자는 "트릭봇 해체 작업의 효과는 일시적이고 제한적이었다"며 "마이크로소프트를 비롯한 연합체는 이번 결과에 개의치 않고 계속해서 해체 작업을 이어갈 계획"이라고 말했다.
봇넷이란 자동화된 해킹 작업을 수행하는 '봇'에 감염된 기기들의 네트워크를 뜻한다. 트릭봇은 러시아어를 구사하는 해커들이 운영하는 전 세계적인 봇네트로, 현재 활성화 된 봇넷 중 가장 큰 규모다.
특히 트릭봇은 MaaS(서비스로서의 맬웨어)란 활동 모델로 다른 시스템들을 감염시켜 확산을 강화하는 것이 특징이다. 트릭봇과 관련된 악성 프로그램은 지난 2016년 은행 트로이목마로서 확산된 바 있다.
또한 트릭봇은 미국 최대 의료법인 중 하나인 '유니버설 헬스서비스'를 공격한 랜섬웨어를 확산시키기 위해 사용된 바 있다. 류크나 콘티와 같은 랜섬웨어 확산 집단들에게 감염된 PC에 대한 접근이 가능하도록 네트워크를 제공하기도 했다. 이외에도 사기범, 산업 스파이단, 국가적인 행위자들을 위해서도 악용된다.
이번에 트릭봇 해체를 위한 연합체에 참여한 기업 및 단체는 MS, FS-ISAC, ESET, 루멘, NTT, 브로드컴 등이다. 이들은 백엔드 해체 작업에 앞서 트릭봇의 서버 및 악성코드 모듈에 대한 조사를 실시했다. 또한 트릭봇에 감염된 PC를 제어하고 추가 모듈을 제공하기 위해 봇넷이 사용한 모든 서버를 포함해 총 12만5천개 이상의 트릭봇 악성코드 샘플을 수집·분석했다. 또한 수개월동안 악성 프로그램 내 정보를 추출하고 구조화 하는 과정을 거쳤다.
마이크로소프트는 이 정보들을 근거로 법원에서 트릭봇 서버에 대한 통제를 허가권을 획득해, 이날 해체 작업에 착수했다.
MS 측은 "법원은 이 증거를 토대로 MS와 파트너 회사들에게 IP 주소를 비활성화 하고, 명령어와 제어 서버에 저장된 콘텐츠에 접근할 수 없도록 처분을 내려줬다"며 "또한 봇넷 운영자들에게 모든 서비스를 중단시키고, 추가 서버를 구입하거나 임대하는 것을 차단하도록 허가했다"고 설명했다.
관련기사
- 기기 데이터 전부 지우는 봇넷 등장2020.10.08
- MS SQL서버 탈취해 암호화폐 채굴한 봇넷 발견2020.04.03
- 거대 IoT 봇넷 방조한 호스팅사업자, 네덜란드 경찰에 잡혀2019.10.04
- MS, ARM 태블릿 '서피스 프로X' 새 버전 한국 출시2020.10.14
현재 트릭봇에 감염된 PC 및 사물인터넷(IoT) 장치는 2016년 이래 100만대 이상으로 추산된다. 연합 회사들은 향후 전세계 인터넷 서비스 제공업체(ISP) 및 긴급 PC 준비팀(CERT)들이 이용자들에게 PC 감염 사실을 알릴 수 있도록 할 계획이다.
미국 지디넷은 "앞서 많은 다른 봇넷들이 해체 노력에도 살아남은 바 있다"며 "일례로 켈리호스 봇넷은 해체작업에서 살아남아 다시 재건돼, 계속 운영되고 있으며 세번의 해체 작업에도 살아남았다"고 설명했다.
