EVERYWHERE ACCESS
The Zero Trust Revolution for Hybrid Work
Icon Rounded Closed - BRIX Templates

이모테트 공격— 올해 초반 급증...

|
__wf_예약_상속

Emotet 악성코드는 2014년에 처음 발견된 매우 파괴적인 뱅킹 트로이 목마입니다.수년에 걸쳐 새로운 기능과 함께 진화하면서 다음과 같은 사이버 보안 기관이 등장했습니다. 오스트레일리아 사이버 보안 센터미국-인증서 권고를 발행합니다.이모텟 멀웨어는 일반적으로 추가 원격 액세스 도구를 다운로드하고 설치하는 데 사용되는 모듈식 트로이 목마 봇을 드롭하는 악성 문서를 통해 확산됩니다.당사는 2019년 1월에 이 멀웨어의 전술이 어떻게 변화하여 Emotet 멀웨어 공격 건수가 급증했는지에 대한 블로그 게시물을 작성했습니다.지난 주에 고객층 전체에서 Emotet 멀웨어 거래 건수가 급증한 것을 목격했습니다. 미국-인증서 또한 최근의 급증한 공격에 대한 새로운 권고를 발표했습니다.

우리의 연구에 따르면 Emotet 맬웨어는 여전히 매우 활동적이며 가장 파괴적인 맬웨어 공격 중 하나입니다.이 멀웨어는 수년에 걸쳐 진화해 왔으며, Emotet의 배후에 있는 행위자들은 감염된 엔드포인트를 이용해 강력한 봇넷을 구축했습니다. 이 봇넷은 Trickbot, Dridex 같은 여러 멀웨어 패밀리와 Ryuk 같은 랜섬웨어를 배포하는 데 사용됩니다.

Emotet 멀웨어 공격은 2019년 연말 연시를 틈타 2020년에 다시 시작되었으며, 이번에는 금융 서비스 산업을 겨냥했습니다.이전 버전과 마찬가지로 Emotet 악성코드는 공격을 시작하는 데 사용된 초기 공격 벡터에 불과합니다.공격은 사용자가 다운로드하여 열 수 있도록 설계된 악성 Microsoft Word 문서로 시작됩니다.일단 열면 악성 매크로가 실행되고 명령 및 제어 서버와 연결되어 공격의 다음 단계를 시작합니다.

Menlo Security Research는 가장 최근의 Emotet 멀웨어 공격을 더 잘 이해하기 위해 아래 나열된 주제를 분석했습니다.이 분석을 위한 데이터는 금융 서비스, 교육 기관, 군대를 포함한 모든 산업 분야의 수백만 명의 사용자를 지원하는 Menlo Security Cloud Platform에서 가져온 것입니다.이 분석을 통해 Emotet 문서 매크로와 로더를 분석하는 것 외에도 가장 최근에 발생한 Emotet 멀웨어 공격 급증에 대해 다음과 같은 내용을 분석하고 영향을 받은 산업의 분포를 확인할 수 있습니다.

  • 이모텟 킬 체인
  • 대상 산업
  • 이모텟 호스팅 도메인 배포
  • 원격 컨트롤러 IP 분배

백그라운드

최근 뉴스 Emotet 감염으로 인해 여러 조직의 일상 업무가 중단되었음을 알 수 있습니다.Emotet은 일반적으로 대량의 보안 침해가 발생한 웹 사이트를 통해 악성 문서를 전송하여 갑자기 전파됩니다.그런 다음 감염된 각 호스트를 사용하여 봇넷을 구축합니다.멘로 보안 연구팀은 2020년 1월에 Emotet 멀웨어 활동이 급증한 것을 발견했습니다.이러한 급증 현상은 McAfee의 클라우드 격리 플랫폼을 통해 감지되었습니다. 클라우드 격리 플랫폼은 이메일 링크를 통해 방문한 이메일 첨부 파일과 웹 사이트를 원격으로 렌더링하여 악성 문서가 최종 사용자의 컴퓨터에 도달할 가능성을 제거합니다.1월 14~22일에 활동이 급증하여 미국, 유럽 및 아시아의 격리 서비스를 이용하는 고객이 영향을 받았습니다.다음 차트는 2020년 1월 14일부터 22일까지 Emotet 문서 요청 건수가 급증했음을 보여줍니다.

위 차트는 Emotet 멀웨어가 급증한 것을 보여줍니다.

이모텟 킬 체인

다른 Emotet 멀웨어 버전과 마찬가지로 이번 공격에서도 Microsoft Word 문서에 악성 매크로가 사용되었습니다.이메일은 합법적인 은행 거래 또는 금융 거래로 보이도록 제작되었습니다.가장 최근 캠페인에서 사용된 제목 줄의 몇 가지 예가 아래에 나와 있습니다.

2020년 1월 캠페인은 2019년 말에 관찰된 공격과 유사하게 킬 체인을 추적한 것으로 보입니다.초기 공격은 네트워크에서 거점을 확보하고 명령 및 제어 서버와의 연결을 설정하는 용도로만 사용됩니다.일단 탐지되면 추가 맬웨어가 다운로드되고 맬웨어는 동일한 네트워크의 다른 컴퓨터로 확산하려고 시도합니다.

원격 멀웨어 킬 체인

위의 흐름에서 Emotet 킬 체인을 다음과 같이 나눌 수 있습니다.

  • 손상된 웹 사이트를 통한 악성 문서 호스팅
  • 모든 악성 문서에는 시도할 1단계 URL 목록이 포함된 매크로가 내장되어 있습니다 (샘플에 따라 목록에 보통 세 개 또는 네 개).
  • Emotet 로더는 내장 C2 IP 주소 목록에서 서버 IP를 선택하여 명령 및 제어 채널을 설정합니다.

배포 및 인프라

데이터에 따르면 2020년 1월 캠페인은 주로 미국에 있는 금융 서비스 회사를 대상으로 했습니다.다음 차트는 산업/업종별 분포와 이러한 요청이 발생한 지역을 보여줍니다.다른 산업과 지역도 공격에 포함되었지만 그 정도는 훨씬 적었습니다.

Emotet 멀웨어가 사용하는 기술 중 하나는 손상된 다른 합법적인 웹 사이트를 통해 자신을 배포하여 근본적으로 새로운 제로 데이 공격을 생성하는 것입니다.맬웨어의 출처가 계속 변하기 때문에 맬웨어를 보호하기가 특히 어렵습니다.다음 차트는 악성 문서를 제공한 초기 전송 URL의 분포를 분류한 것입니다.데이터는 Emotet 멀웨어가 계속해서 보안 방어를 우회하고 혼란을 야기하는 이유를 매우 명확하게 보여줍니다. Emotet 멀웨어를 배포하는 데 사용되는 URL의 76% 가 실제로 주요 위협 인텔리전스 데이터베이스에 의해 안전한 것으로 분류됩니다.손상된 웹 사이트 중 일부는 학술 기관에서 제공한 것입니다.즉, 보안 제품은 사용자가 해당 사이트에서 콘텐츠에 액세스하고 콘텐츠를 다운로드하는 것을 차단하거나 금지하지 않습니다.다행스럽게도 Menlo Security 고객은 이러한 악성 사이트를 격리하여 최종 사용자를 완전히 보호할 수 있었기 때문에 완벽한 보호를 받을 수 있었습니다.

악성 문서 매크로

문서 내에 포함된 매크로가 활성화되면 PowerShell을 생성하여 URL 목록을 시도하여 초기 Emotet 로더를 가져옵니다.매크로 동작에 대한 몇 가지 관찰 사항:

  • 매크로는 사용자 양식의 데이터를 디코딩하여 PowerShell 명령을 구성합니다.
  • PowerShell 코드는 사용자 양식 프레임의 “Tag” 속성으로 저장되며 이 프레임은 사용자 양식의 다른 요소를 마스킹하는 데 사용됩니다.
  • 마지막으로 실행되는 PowerShell 코드는 Base64로 인코딩되어 URL 목록을 시도하여 Emotet 로더를 다운로드하려고 시도합니다.
  • Net.WebClient.DownloadFile을 사용하여 URL을 다운로드하고 [진단.프로세스] ::다운로드가 성공하면 프로세스를 시작합니다.

현재 Emotet 로더 및 컨트롤러 인프라

추가 분석에 따르면 2020년 1월 Emotet 악성코드는 여러 네트워크를 통해 실행된 광범위한 캠페인이었습니다.글로벌 금융 센터가 있는 특정 국가에서 IP 주소가 집중되는 현상이 발생했습니다.

마지막으로 삭제되는 Emotet 봇은 일반적으로 구성 파일의 IP 주소 목록에서 IP를 선택하여 명령 및 제어 채널을 설정하는 모듈식 트로이 목마입니다.Emotet 로더는 매우 잘 연구되고 문서화되어 있으므로 여기서는 이 봇의 내부 작동 방식에 대해 다루지 않겠습니다.관찰한 몇 가지 변형은 다음과 같습니다.

  • 초기 드롭퍼가 “SysWOW64”에 복사되고 임의의 숫자 (--94737736) 와 같은 매개 변수와 함께 호출되는 것을 확인했습니다.
  • 다른 특징으로는 표준 이모텟 로더의 전형적인 특징이 있습니다. 시스템 정보를 추출하고, 실행 중인 프로세스를 열거하고 (CreateToolHelp32Snapshot), protobuf를 사용하여 번들링하고, AES 키 (내장된 RSA 공개 키로 보안) 를 사용하여 암호화하는 것입니다.
  • C2 IP에 대한 암호화된 POST 요청은 양식 인코딩된 무작위로 생성된 문자열 매개변수를 사용하는 것으로 보이며, 이는 이전 페이로드 URL 패턴과 약간 변경된 것으로 보입니다.
  • 일부 컨트롤러 IP에서는 포트 443을 통해 HTTP 트래픽이 전송되는 것을 관찰했습니다.
  • 암호화된 C2 페이로드 샘플은 다음과 같습니다.

결론

Emotet 악성코드는 시간이 지남에 따라 강력한 인프라를 구축했으며 적시에 완화하지 않으면 조직에 피해를 줄 수 있습니다.Emotet 멀웨어는 다단계 공격을 활용하고 합법적인 웹 사이트를 통해 악성 코드를 배포하기 때문에 시그니처 또는 위협 인텔리전스에 의존하는 기존 보안 제품으로는 Emotet 멀웨어를 예방하기가 특히 어렵습니다. Emotet 멀웨어 공격으로부터 보호하려면 기업은 다음을 수행해야 합니다.

  • 매크로를 사용할 수 있고 신뢰할 수 없는 Office 문서를 조심하세요.
  • 조직의 Windows 사용자에 대한 PowerShell 실행 정책을 살펴보세요.

위협 대응 팀의 경우: Emotet 행위자가 사용하는 기술을 면밀히 주시하세요. https://attack.mitre.org/software/S0367/ Emotet에 대한 특정 ATT&CK 프레임워크 페이지가 있습니다. 이메일과 웹 격리는 사용자와 멀웨어 사이에 논리적으로 공백이 있는 안전한 실행 환경을 클라우드에 삽입하여 Emotet 멀웨어로부터 완벽한 보호를 제공할 수 있습니다.엔드포인트에서 멀리 떨어진 곳에서 세션을 실행하고 안전하게 렌더링된 정보만 장치에 전달함으로써 사용자는 멀웨어와 악의적 활동으로부터 보호됩니다.그 결과 Emotet 멀웨어는 도달할 수 없는 디바이스를 감염시킬 수 없습니다.격리를 통해 멀웨어가 손상되거나 악의적인 웹 사이트, 이메일 또는 문서를 통해 사용자 장치에 도달할 가능성이 없어집니다.이 접근 방식은 탐지나 분류가 아니라 사용자의 웹 세션과 모든 활성 콘텐츠 (JavaScript, Flash 등) 를 대상으로 합니다.좋든 나쁘든 간에 클라우드의 원격 웹 브라우저에 완전히 실행되고 포함됩니다.Menlo Security는 수백 개의 글로벌 2000 기업 및 주요 정부 기관이 격리를 사용하여 Emotet과 기타 멀웨어는 물론 피싱 공격, 드라이브 바이 익스플로잇, 기타 웹 및 이메일 기반 공격으로부터 보호하도록 지원했습니다.

멘로 시큐리티에 대해 자세히 알아보려면 지금 멘로 시큐리티에 문의하십시오. 아이솔레이션 코어™ 로 인터넷을 보호하세요.

블로그 카테고리
태그가 지정되었습니다

Menlo Security

menlo security logo
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속