Screenshot_2019-09-02 개인 금융정보 및 기업 정보 빼가는 ‘이모텟’ 악성코드 주의 - ITDaily .png

이모텟 (Emotet)

2019년 1분기 전세계에서 활발히 활약했던 수많은 악성코드들, 그 중 61% 지분으로 당당히 1등을 차지한 이모텟 멀웨어에 대해서 간단한 조사를 해봤습니다

1. 이모텟이란?

2014년 서유럽권에서 최초 등장한 악성코드. 이메일 위장공격 형태로 PC를 감염시킴 (BEC 공격)

이메일에 첨부된 첨부파일을 실행하면 이모텟이 실행되면 해당 PC의 간단한 정보들을 우선 공격자의 C&C 서버로

전송하고 더 디테일한 정보수집 및 공격을 수행하기위하여 트릭봇, 칵봇과 같은 추가적인 멀웨어를 내려받는다

트릭봇과 캇봇은 일종의 뱅킹 멀웨어로서 MiTB (Man in the Browser) 방식으로 사용자의 금융정보를 탈취

이모텟은 추가적인 멀웨어를 다운받기 위한 일종의 경유성? 악성코드 (드로퍼) 라고 볼 수 있을 것 같다

2 .이모텟의 봇넷 멀웨어화

이모텟은 추가적인 멀웨어를 다운하기 위한 드로퍼 및 다운로더의 성격이 강한 악성코드

사실 이모텟은 주로 뱅킹 멀웨어로써 분류되어왔지만, 애시당초 드로퍼로써의 성격이 강한 멀웨어였기 때문에

실제로는 봇넷을 형성하고 구축하는데 자주쓰였던 악성코드였음

이러한 이모텟 악성코드가 자동화된 대규모 봇넷 공격과 같은 최근의 붐과 함께 사용률이 급격히 올라간것으로 보임

3. 용어 정리

MiTB (Man in the Browser) : 사용자가 웹브라우저를 이용하며 남긴 기록들, 특히 금융사이트 및 인터넷 쇼핑몰을 사용할 때 입력한 모든 데이터들을 로그화하여 C&C 서버로 전송하여 정보를 탈취하는 공격

BEC (Business Email Compromise) : 사용자를 속이는 이메일을 보내 돈이나 데이터를 탈취하는 사이버 공격 수법 (대표적으로 기업 관계자를 사칭하는 것과 같은 방법을 이용)

드로퍼 (dropper) : 대상 시스템에 악성코드 를 설치하기 위해 설계된 프로그램

4. 결론

  1. 이모텟은 드로퍼 및 다운로더성 멀웨어로 주로 뱅킹멀웨어인 트릭봇, 칵봇, 어즈니프와 같은 추가적인 멀웨어를 다운받기 위한 기반으로 사용되어왔음
  1. 최근에는 봇넷 공격이 뜨게되면서 예전과 같이 뱅킹멀웨어와 결합되서 사용되기보다는 순수하게 봇넷형성을 위한 드로퍼로써 공격자들 사이에 많이 채용되고 있음

참고글

<보안뉴스> 2019년 1분기 최고의 악성 페이로드는? 단연 1위 이모텟 (2019-05-31)

https://www.boannews.com/media/view.asp?idx=80022&page=10&kind=1