[기술보고서] 안랩 ASEC 리포트 vol.108

221122 송보연

 

<2022년 3분기, 통계로 살펴본 가장 위협적인 악성코드는?>

 

1. 인포스틸러, 3분기 악성코드 중 55.1%로 최다 비중 차지

- 통계의 대상이 되는 악성코드는 실행파일 포맷을 대상으로 하며, 해당기간 동안 고객사에서 접수 되거나 안랩 제품이 설치된 환경에서 악의적인 행위를 수행하는 도중 탐지되어 수집된 것이다.

 

- 일반적으로, 악성코드는 스팸메일이나 웹 브라우저, 취약한 환경에 대한 공격 과정을 거쳐 유포된다.

--> 스팸메일의 첨부파일 형태로 접수되거나, 부적절한 파일을 웹 브라우저에서 다운로드 및 실행하거나, 취약한 환경이 공격당해 악성코드가 실행될때 탐지 될 수 있다

 

# 2022년 3분기 악성코드 통계

출처 :&nbsp;안랩 ASEC 리포트 vol.108

- 2022년 3분기에 수집된 악성코드를 분석한 결과, InfoStealer(55.1%), Downloader(22.6%), Backdoor(16.4%), Ransomware(4.7%), Banking(0.8%), CoinMiner(0.4%) 순서로 많음을 알 수 있다

 

 

# 2022년 3분기 악성코드 유형별 상세 정보

1) Infostealer

- 이중, 가장 많은 점유율을 차지하고있는 InfoStealer(인포스틸러)는 정보탈취형 악성코드로, 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다.

 

- AgentTesla, Formbook, Lokibot과 같은 몇 종류의 악성코드들이 대부분을 차지하고 있다.(보통 스팸메일의 첨부파일을 통해 유포됨-> 계정정보탈취)

 

- 이외에도 스팸메일의 첨부 파일 대신 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의 다운로 드 페이지로 위장한 악성 사이트를 유포 경로로 사용하는 ColdStealer, Vidar, CryptBot이 있다. 

출처 :&nbsp;안랩 ASEC 리포트 vol.108

 

 

 

2) Downloader

- Downloader는 주로 자체적인 기능보다는 최종적으로 추가 악성코드를 설치하는 것이 목적인 악성코드다

 

- Downloader 유형 중에서는 추가 악성코드를 다운로드하여 실행시키는 다운로더 악성코드인 GuLoader가 가장 많은 비율을 차지한다. 

 

- SmokeLoader는 상용 소프트웨어의 크랙이나 시리얼 키 생성 프로 그램의 다운로드 페이지를 위장한 악성 웹 페이지를 통해 유포되며, 공격자의 설정에 따라 Stop 랜 섬웨어와 같은 추가적인 악성코드를 설치하거나 계정 정보를 포함한 다양한 사용자 정보 탈취 모 듈을 설치할 수 있다.

 

- BeamWinHTTP는 PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, 실행되면 PUP 악성코드인 가비지 클리너(Garbage Cleaner)를 설치하고 동시에 주로 InfoStealer와 같은 추가 악성코드들을 다운로드한다.

 

==> 각각 GuLoader(56.7%), SmokeLoade(31.0%), BeamWinHTTP(12.3%) 차지

 

 

 

 

3) Backdoor

- Backdoor는 공격자로부터 명령을 전달받아 추가 악성코드를 설치하 거나 키로깅, 스크린샷 같은 정보 수집 그리고 악의적인 명령을 수행할 수 있으며 RAT을 포함한다.

 

- 가장 많은 비율을 차지하는 Remcos는 상용 RAT 악성코드로서 다양한 공격자들에 의해 사용되고 있는데, 대표적으로 스팸메일의 첨부 파일을 통해 유포되거나, 최근에는 취약한 MS-SQL 서버를 대상으로 하는 공격에도 코발트 스트라이크와 함께 사용되고 있다.

 

- NanoCore 또한 주로 스팸메일의 첨부 파일을 통해 유포되는 RAT 악성코드로서 10년 가까운 시간 동안 꾸준히 사용되고 있다. ==> 이는 AveMaria도 동일하다

 

-  njRAT은 과거부터 토렌트나 웹하드를 통해 성인 게임 및 불법 크랙 프로그램으로 위장하여 유포 되는 대표적인 RAT 악성코드이다. 최근에는 그 수량이 줄어들었지만 공개된 빌더를 통해 쉽게 제 작이 가능하기 때문에 꾸준히 공격자들에 의해 사용되고 있다. 

 

==> 각각 Remcos (35.6%), NanoCore (20.6%), AveMaria (19.3%), njRAT (7.8%), NetWireRC (3.2%) ...... 차지

 

 

 

4) Ransomware

- Ransomware는 사용자 환경의 파일들을 암호화하여 금전적 이득을 얻기 위해 사용 되는 악성코드이다.

 

- 실행 파일 형태로 유포되는 Ransomware 유형 중에는 주로 SmokeLoader 와 같은 다른 악성코드들에 의해 설치되는 Stop 랜섬웨어가 가장 많은 비율을 차지하고 있다.  --> 이는 일반적인 랜섬웨어와 달리 먼저 Vidar와 같은 정보 탈취형 악 성코드를 설치하여 사용자 정보를 수집한 이후에 암호화를 진행하는 것이 특징이다

 

- LockBit 랜섬웨어는 국내 기업 사용자들을 대상으로 이력서를 위장한 스팸메일의 첨부 파일로 유 포 중이며, 이러한 유형의 스팸메일 첨부 파일에는 문서 파일을 위장한 아이콘과 사용자의 실행을 유도하는 파일명을 포함하는 것이 특징이다. 

 

- Mallox과 GlobeImposter는 부적절한 계정 정보가 설정된 취약한 MSSQL 서버를 대상으로 유포되고 있는 대표적인 랜섬웨어이다.

 

==> 각각 Stop (82.3%), Mallox (8.5%), GlobeImposter (4.6%), Lockbit (2.0%), Dharma (1.3%), Phobos (1.3%) 차지

 

 

 

5) Banking

- Banking 악성코드는 사용자 정보 탈취 기능은 InfoStealer와 유사하지만 폼 그래빙(Form Grabbing)과 같은 기법을 사용해 웹 브라우저에서 사용자가 입력하 는 데이터를 가로채어 사용자의 온라인 뱅킹 계정 정보를 포함한 다양한 정보들을 수집할 수 있다.

 

- Emotet은 대표적인 뱅킹 악성코드들 중 하나로서,  주로 스팸메일에 첨 부된 악성 엑셀 파일을 통해 설치되는데, 엑셀에는 악성 VBA 매크로가 실행될 수 있도록 사용자 로 하여금 매크로 활성화 버튼 클릭을 유도하기 위한 이미지가 존재한다. 

--> 이는 이후 다양한 정보 탈취 및 뱅킹 관련 모듈을 통해 추가 악성코드를 설치하거나 사용자 정보를 탈취할 수 있다.

 

- Qakbot은 Emotet과 마찬가지로 대표적인 뱅킹 악성코드들 중 하나이며 유포 방식 또한 유사하 다. 최근에는 엑셀 매크로 대신 ISO 파일을 첨부한 스팸메일을 통해 유포되고 있는 것이 특징이다.

 

- IntelRapid는 대표적인 ClipBanker 악성코드인데, ClipBanker란 사용자가 가상화폐 지갑 주소를 복사한 경우 해당 주소를 공격자의 주소로 변경하는 기능을 갖는 악성코드이다. 

 

==> 각각 Emotet (88.0%), Qakbot (8.0%), IntelRapid (4.0%) 차지

 

 

6) CoinManager

- CoinMiner는 사용자 인지 없이 가상화폐를 채굴함에 따라 공격자의 금전적 이득과 동시에 시스템 성능을 저하시킨다.

 

- 대표적인 CoinMiner 악성코드인 Glupteba는 상용 소프트웨어의 크랙이나 시리얼 키 생성 프로그램의 다운로드 페 이지를 위장한 악성 웹 페이지를 통해 사용자의 설치를 유도하는 방식으로 감염된다.

 

- Vollgar는 부적절한 계정 정보가 설정된 취약한 MS-SQL 서버를 대상으로 유포되고 있는 대표적 인 CoinMiner 악성코드이다. 

 

==> 각각 Glupteba (83.3%), Vollgar (16.7%) 차지

 

 

※ 2022년 3분기 통계에서 다룬 대부분의 악성코드는 스팸메일의 첨부 파일을 통해 유포되거나, 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의 다운로드 페이지로 위장한 악성 사이트를 통해 설치된다. --> 이용자가 주의하면 충분히 예방 가능한거 같다

 

 

 

2. 3분기 MS-SQL 서버 공격에 가장 많이 사용된 악성코드는?

 

# MS-SQL 서버 대상 공격 현황

출처 :&nbsp;안랩 ASEC 리포트 vol.108

 

 

# MS-SQL 서버 대상 공격에 사용된 악성코드 분류

출처 :&nbsp;안랩 ASEC 리포트 vol.108

--> 이 그림에서 알 수 있듯, 이 공격에는 여러 유형의 악성코드가 사용되었다

 

 

1) Backdoor

- Backdoor 악성코드들은 Remcos RAT, Gh0st RAT과 같은 RAT 악성코드가 대 부분이지만 CobaltStrike, Meterpreter와 같은 침투 테스트에 사용되는 유형도 일정 부분 발견되 었다.

 

- Remcos RAT은 RAT 악성코드로서 Backdoor 유형 내에서만 아니라 악성코드 단독으로도 가장 많은 수량을 차지한다. Remcos는 스팸메일의 첨부 파일을 통해 설치되는 대표적인 악성 코드들 중 하나로서, 최근에는 취약한 MS-SQL 서버를 통해 설치되는 사례도 다수 확인된다.

 

- Gh0st RAT은 과거 오픈 소스로 공개되어 최근까지도 꾸준히 다양한 공격자들에 의해 사용되는 원 격 제어 악성코드이다. 그렇기 때문에 취약한 MS-SQL 서버를 대상으로 하는 공격에 사용되고 있 는 Gh0st RAT도 다양한 변종들이 확인되고 있다.

 

- CobaltStrike 및 Metsploit의 Meterpreter는 상용 침투 테스트 도구로서 주로 APT 및 랜섬웨어를 포함한 대다수의 공격에서 내부 시스템 장악을 위한 중간 단계로 사용되고 있다.

 

※ MS-SQL 서버 대상 공격에 사용된 Backdoor 유형별 비율

==> Remcos RAT (59.2%), Gh0st RAT (18.1%), CobaltStrike (3.4%), Meterpreter (10.1%), AnyDesk 등 (3.8%), etc (5.4%)

 

 

 

2) CoinMiner

- CoinMiner 악성코드는 크게 Vollgar, PurpleFox, LoveMiner, MyKings 등 4가지 종류가 대부분 을 차지한다.

 

- 4가지 유형 모두 일반적인 CoinMiner 악성코드처럼 XMRig 즉 모네로 가상 화폐를 채굴하는 것이 목적이다. 

 

- LoveMiner는 exe 실행 파일이나 CLR 어셈블리 형태의 다운로더 악성코드를 거쳐 취약한 MSSQL 서버에 설치된다. 마이닝 외에 추가적인 기능이 없는 LoveMiner와 달리 다른 악성코드들은 여러 가지 특징들이 존재한다.

 

- MyKings나 PurpleFox는 감염 이후 스캐닝 모듈이 추가 적으로 설치되어 또 다른 시스템을 감염시킬 수 있다.

 

※ MS-SQL 서버 대상 공격에 사용된 CoinMiner 유형별 비율

==> Vollgar (22.7%), MyKings (9.7%), etc (14.6%), PurpleFox (11.5%), LoveMiner (3.6%)

 

 

 

3)Trojan

- Trojan 유형들 중에서는 CLR 어셈블리 쉘 악성코드가 가장 많은 수량을 차지하고 있다. 

 

- CLR Shell은 CLR 어셈블리 형태의 악성코드들 중에서, 웹 서버의 웹쉘처럼 공격자로부터 명령을 전달받아 악성 행위를 수행할 수 있는 기능을 제공하는 형태이다. 

 

- LemonDuck은 추가 모듈을 설 치하기 위해 xp_cmdshell 명령을 직접 이용하기도 하지만, CLR Shell을 설치하여 이것이 지원하 는 명령을 이용해 추가 모듈을 설치하는 기능도 함께 포함되어 있다. 

 

- Trojan으로 분류된 악성코드들은 다양한 형태들이 존재하는데, 대표적으로 감염 시스템에 사용자 계정 을 추가하고 RDP를 활성화하여 추후 접근할 수 있도록 하는 유형이 있다.

 

※ MS-SQL 서버 대상 공격에 사용된 Trojan 유형별 비율

==> CLR Shell (58.5%), etc (16.2%), ShadowForce (2.3%), UserAdd (11.9%), Proxyware (11.0%)

 

 

 

4) HackTool

- 공격자는 감염 시스템에 대한 제어를 획득한 후에도 추가적인 목적을 달성하기 위해 다양한 도구들을 이용한다. 대표적으로 권한 상승 도구들이나 프록시 유형들이 있다. 안랩 ASD 로그에 따르면 추가적으 로 사용되는 HackTool 유형들 중에서 권한 상승 도구 중 하나인 Sweet Potato, Juicy Potato 유형들이 대부분을 차지하고 있다. 물론 이외에도 권한 상승 취약점을 악용하는 도구들도 함께 확인되고 있다. 

 

 

5) Ransomware

현재 취약한 MS-SQL을 대상으로 설치되고 있는 랜섬웨어는 Mallox, GlobeImposter 2개가 확인 된다. Mallox는 2021년부터 확인되고 있는 랜섬웨어로서, 다른 사례가 확인되지 않는 것으로 보아 공격자가 취약한 MS-SQL 서버 만을 대상으로 하는 것으로 추정된다.

 

 

6) Downloader

Downloader 악성코드들은 현재 확인되지 않지만 대부분 Remcos RAT이나 CobaltStrike를 다운 로드했을 것으로 추정되는 유형들이다. 위에서 다룬 Remcos RAT, CobaltStrike 유형들도 다운로 드가 성공하여 실제 동작한 점이 차이일 뿐 실제 여기에서 다루는 동일한 다운로더 악성코드가 사 용되었다.