2022년 3분기, 통계로 살펴본 가장 위협적인 악성코드는?

2022년 3분기 악성코드 위협 통계

 

1. InfoStealer(55.1%)

정보 탈취형 악성코드. 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자들의 정보들을 탈취하는 것이 목적. 

 

2. Downloader(22.6%)

 

3. Backdoor(16.4%)

공격자로부터 명령을 전달받아 추가 악성코드를 설치하거나 키로깅, 스크린샷 같은 정보 수집 그리고 악의적인 명령을 수행할 수 있으며 RAT(Remote Administration Tool)을 포함한다.

 

4. Ransomware(4.7%)

사용자 환경의 파일들을 암호화하여 금전적 이득을 얻기 위해 사용 되는 악성코드.

 

5. Banking(0.8%)

사용자 정보 탈취 기능은 인포스틸러와 유사하나 Form Grabbing과 같은 기법을 사용해 웹 브라우저에서 사용자가 입력하는 데이터를 가로채어 사용자의 온라인 뱅킹 계정 정보를 포함한 다양한 정보들을 수집할 수 있다. 

 

6. CoinMiner(0.4%)

사용자 인지 없이 가상화폐를 채굴함에 따라 공격자의 금전적 이득과 동시에 시스템 성능을 저하시킨다.

 

InfoStealer

AgentTesla, Formbook, Lokibot과 같은 몇 종류의 악성코드들이 대부분을 차지.

AgentTesla는 주로 스팸 메일의 첨부 파일을 통해 유포되며, 사용자 환경에서 다양한 웹 브라우저 및 이메일, FTP 클라이언트에 저장되어 있는 계정 정보를 탈취한다. 

 

Formbook, Lokibot, SnakeKeylogger -> 스펨메일의 첨부 파일로 유포. 

 

SnakeKeylogger는 2021년경 부터 꾸준히 확인되고 있음. 

AgentTesla와 유사하게 수집한 정보를 탈취할 때 주로 SMTP를 사용하나 이외에도 HTTP, FTP 등 다양.

 

RedLine은 상용 소프트웨어 크랙으로 위장한 채 유포됨.

공격자로부터 명령을 전달받아 악성 행위를 수행, InfoStealer 악성코드처럼 정보 탈취 기능 포함. 

 

이외에도 ColdStealer(2022년 처음 확인), Vidar, CryptBot이 있음. 

 

Vidar는 버전이 업데이트 되면서 제작자가 기능을 계속 추가 중임.  최근에는 C&C 서버 주소 획득을 위해 게임 플랫폼을 악용하는 것이 특징임. 

 

Downloader

 

Guloader가 가장 많은 비율 차지. 

추가 악성코드를 다운로드하여 실행시킴. 

과거 : 진단 우회 -> 비주얼 베이직 언어로 패킹.

최근 :  NSIS 인스톨러 형태로 유포.

원래 이름은 CloudEye였으나 다운로드 주소로 구글 드라이브가 자주 사용돼서 GuLoader로 이름 붙여짐.

그외에도 마이크로소프트의 원드라이브 및 다양한 주소가 사용될 수 있음. 

 

BeamWinHTTP

- PUP 설치 프로그램으로 위장한 악성코드를 통해 유포됨.

- 실행 시 가비지 클리너 설치. +) 추가 악성코드(InfoStealer)

 

SmokeLoader 

- 상용 소프트웨어의 크랙이나 시리얼 키 생성 프로그램의 다운로드 페이지를 위장한 악성 웹 페이지를 통해 유포되며, 공격자의 설정에 따라 Stop 랜섬웨어와 같은 추가적인 악성코드를 설치하거나 계정 정보를 포함한 다양한 사용자 정보 탈취 모듈을 설치할 수 있음.

 

Backdoor

 

RAT(Remote Administration Tool) 악성코드를 포함하여 분류함. 

 

Remcos

- 상용 RAT 악성코드. 

- 스팸메일의 첨부 파일 통해 유포

- 코발트 스트라이크(취약한 MS-SQL 서버 대상 공격)와 함께 사용되고 있음. 

 

NanoCore

- 과거 빌더의 크랙 버전이 유출된 이후 10년 가까운 시간 동안 꾸준히 사용되고 있음.

- AveMaria도 동일 

 

njRAT

- 토렌트나 웹하드를 통해 성인 게임 및 불법 크랙 프로그램 위장 유포되는 대표적인 RAT 악성코드

- 공개된 빌더를 통해 쉽게 제작이 가능함.

 

AsyncRAT = 깃허브에 공개된 RAT 악성코드. 

- 국내 대상 공격

1) MS-SQL 서버 대상 공격

2) 스팸 메일 첨부파일 유포.

 

Ransomware

 

SmokeLoader 

- Stop 랜섬웨어

- 다른 악성코드들에 의해 설치됨. 

- 먼저 Vidar와 같은 인포스틸러  악성코드를 설치해 사용자 정보를 수집한 이후에 암호화를 진행하는 것이 특징임.

 

LockBit 

- 국내 기업 사용자들 대상 이력서 위장 스팸메일의 첨부 파일로 유포 중.

- 문서 파일을 위장한 아이콘과 사용자의 실행을 유도하는 파일명을 포함함.

- 최근에는 입사 지원서를 위장하여 v3.0으로 업데이트한 버전이 유포되고 있음.

 

Mallox, Globlemposter 

- 부적절한 계정 정보가 설정된 취약한 MS-SQL 서버를 대상으로 유포.

 

Banking

 

Emotet

- 과거 국제 사법기관의 공조로 잠시 중단된 이후 작년 말부터 다시 활발히 유포되었지만 최근에는 유포가 줄어들고 있음. 

- 주로 스팸메일에 첨부된 악성 엑셀 파일을 통해 설치됨.

   - 악성 VBA 매크로가 실행될 수 있도록 매크로 활성화 버튼 클릭 유도 이미지가 존재함. 

- 다양한 정보 탈취 및 뱅킹 관련 모듈을 통해 추가 악성코드 설치하거나 사용자 정보 탈취 가능함.

 

Qakbot

- Emotet과 유사한 유포 방식

- 최근에는 엑셀 매크로 대신 ISO 파일을 첨부

 

IntelRapid

- 대표적인 ClipBanker 악성코드 

   - 사용자가 가상화폐 지갑 주소를 복사한 경우 해당 주소를 공격자의 주솔 변경하는 기능을 갖는 악성코드. 

- 주로 CryptBot과 같은 다른 악성코드들에 의해 설치되고 있음. 

 

CoinMiner

 

Glupteba

- 수년간 대량 유포 but 작년 구글에서 호스팅 업체와 협력하여 해당 봇넷의 인프라를 차단함에 따라 2022년 1분기부터는 급격히 감소함.

- 상용 소프트웨어의 크랙이나 시리얼 키 생성 프로그램의 다운로드 페이지를 위장한 악성 웹 페이지를 통해 사용자의 설치를 유도하는 방식으로 감염됨. 

- 사용자 정보 탈취 및 명령 실행

- 감염환경에서 모네로(Monero) 가상화폐 채굴 -> 시스템 성능 저하.

 

정리

대부분의 악성코드 유포 방식

- 스팸메일의 첨부 파일을 통한 유포.

- 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의 다운로드 페이지로 위장한 악성 사이트를 통해 설치됨.

- 사전 공격에 취약한 MS-SQL 서버와 같은 부적절하게 설정된 환경도 그 대상이 됨.

 

해결책

- 의심스러운 메일 첨부파일 실행 지양.

- 공식 경로로 프로그램이나 콘텐츠 이용.

- 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하기.

- 최신 버전으로 패치하여 취약점 공격 방지.

 

https://www.ahnlab.com/kr/site/securityinfo/asec/asecReportView.do