본문 바로가기 주메뉴 바로가기

최신IT소식

생명력 끈질긴 최악의 악성코드 Top 4

관리자 2017-11-03 조회수 5,732

0831_1.jpg

 

 


IT상식 : 생명력 끈질긴 최악의 악성코드 Top 4


컨피커

0831_2.jpg

 


 

컨피커(Conficker)는 2008년 최초 발견 당시 전 세계적으로 발생했습니다. 윈도우에서 패치 안된 결함을 악용하는 웜입니다. 최종적으로는 비밀번호를 깨고 윈도우 기기를 장악해 봇넷으로 만들기 위해 악성코드 주입에서부터 피싱 이메일에 이르기까지 다양한 공격 방식을 활용했습니다.

컨피커에 감염된 마이크로소프트 서버 시스템은 최대 1,500만 대에 달했습니다. 윈도우 2000에서 윈도우 7 베타에 이르기까지 모든 운영체제를 망라했습니다. 영국 국방부, 프랑스 해군, 독일군, 노르웨이 경찰, 영국 해군 전함까지 이 악성코드에 감염된 것으로 추정되었다.

컨피커에 의한 피해는 지금도 계속되고 있습니다. 올해 6월 트랩엑스 랩(TrapX Labs) 연구진은 networm32.kido.ib, 컨피커 등의 옛날 악성코드가 다시 출현해서 임상 IoT 의료장비 가운데 윈도우 XP와 패치 안된 윈도우 7과 8을 실행하는 장비를 노리고 있다는 사실을 알아냈습니다. 이를 뒷받침하는 증언이 잇따르고 있습니다.

일망타진된 크립토로커, 새로운 버전으로 재등장 

워너크라이 전에는 랜섬웨어가 그렇게 왕성하지 않았지만 그 유명한 크립토로커(CryptoLocker)는 예외였습니다. 2013년 9월 등장해서 이메일 첨부파일을 통해 전파되었으며 사용자 파일을 암호화해서 접근 못하게 만들어버렸습니다. 배후의 범죄 집단은 해독 키를 보내주는 대가로 금전을 요구했습니다. 시스템 복원으로 해결되는 경우도 있었지만 백업하지 않은 파일을 그대로 잃은 사람들도 많았습니다.

FBI와 유럽 경찰은 대규모 국제 수사 후에 공조를 통해 "토바르 작전(Operation Tovar)"을 펼친 결과, 크립토로커 배후 집단의 우두머리 에브게니 보가체프 검거에 성공했습니다. 이 범죄 집단은 100일만에 약 50만 명의 피해자로부터 3,000만 달러를 벌어들인 것으로 추정됩니다.

크립토로커는 적극적인 사법 공조 덕분에 공식 사망 상태지만 크립토로커 코드는 여러 가지 새로운 버전으로 등장했습니다. 그 예가 바로 Crypt0Locker, CryptoLocker v3, CryptoGraphic Locker 등입니다. 악성코드바이츠(Malwarebytes)의 악성코드 지능 연구가 피터 안츠는 "제우스와 크립토로커는 보다 최신의 악성코드를 만들기 위해 새롭게 게시되고 재사용된 코드 안에서 계속 생존합니다. 환생한 옛날 악성코드 위협에 기업이 계속 피해를 입고 있다는 의미다"고 설명했습니다.

대표적 트로이 목마 제우스, 아직도 성행  

제우스(Zeus)는 크게 성공을 거둔 대표적인 트로이 목마였습니다. 금융 서비스에서 성공을 거둔 후 최근 변신을 거쳤습니다. 윈도우 버전에서 실행되는 제우스는 2007년과 2009년 사이에 왕성하게 활동하면서 MitB(Man-in-the-Browser), 키 로깅(keystroke logging)과 폼 그래빙(form grabbing) 방식을 통해 뱅킹 정보를 탈취했으며 추가로 금전 이익을 취하기 위해 크립토로커 설치도 시도했습니다.

제우스는 피싱 이메일과 드라이브-바이-다운로드(drive-by-download)를 통해 전파되어 미국 교통부를 비롯한 유명한 목표물을 공격했습니다. 오늘날 제우스는 다른 형태로 계속 살아 있습니다. 덴마크에 위치한 헤임달 시큐리티(Heimdal Security)에 따르면, 9년 묵은 이 강력한 악성코드는 요즘 뜨고있는 애트모스(Atmos) 악성코드로 모습을 바꿔 프랑스 은행들을 공격해 오고 있다고 합니다.

이제 제우스는 금융 서비스를 넘어 광범위하게 확산된 상태입니다. SANS 강사이자 사고 대응 전문가 스티브 암스트롱은 "대부분의 LAN에서 아직도 제우스와 컨피커가 출현하는 것을 본다. 제우스는 제어 장치가 부실한 중대형 기업에 한 달에 한 번 꼴로 나타난다"고 말했습니다.

두쿠, 역사상 가장 정교한 악성코드 

2011년 9월에 발견된 두쿠(Duqu)는 이란 원심분리기 파괴로 이어진 악명높은 스턱스넷(Stuxnet) 웜과 밀접한 관련이 있는 것으로 여겨집니다. 아닌 게 아니라 많은 사람은 두쿠가 스턱스넷과 똑같은 소스코드의 많은 부분을 차용하고 있다고 주장합니다.

두쿠는 산업 관련 목표물에 대한 다수의 정보 수집 공격에 사용되었으며 이란 핵 협상 염탐에 사용되었을 것이라는 의심을 받았습니다. 최신 버전인 두쿠 2.0은 역사상 가장 정교한 악성코드라고 여겨집니다. 파이어아이(FireEye)는 이란 핵 협상 참가자들이 이용한 유럽 호텔의 네트워크에서 두쿠 2.0 을 발견했습니다. 한편 시만텍(Symantec)은 무선통신업체와 전자업체의 네트워크에 두쿠 2.0이 상주해 온 사실을 밝혀냈습니다. 

0831_3.jpg

 

[ 본 포스팅의 원문은 그때 그 악성코드, 지금도 기승을 부리는 최악의 악성코드 4종 에서 확인하실 수 있습니다. ]

  • 등록된 댓글이 없습니다.