Home > 전체기사
스탄틴코, 5년간 들키지 않고 50만 대 감염시켜 클릭수 장사
  |  입력 : 2017-07-24 18:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
불법 복제 소프트웨어로 사용자 유인한 뒤 백그라운드에 스탄틴코 깔아
스탄틴코, 안티 바이러스 탐지 우회 수법 탁월한 데다 재생 메커니즘도 강력


[보안뉴스 오다인 기자] 지난 5년 간 은밀하게 세력을 확대해온 봇넷이 한 보안 업체 연구원들에 의해 정체가 드러났다. 일명 ‘스탄틴코(Stantinko)’라 불리는 이 봇넷은 지금까지 50만 대의 시스템을 감염시킨 것으로 추산된다.

[이미지=iclickart]


보안 전문 업체 ESET은 스탄틴코를 분석한 뒤 지난 7월 20일 자사의 소식 공유 플랫폼 위리브시큐리티(welivesecurity)에 공개했다. ESET은 스탄틴코가 2012년부터 움직이기 시작한 대규모 애드웨어 캠페인이라며 주로 러시아와 우크라이나를 겨냥한다고 밝혔다.

스탄틴코는 막대한 수준으로 코드를 암호화하고 안티 멀웨어 탐지를 피하는 데 빠르게 적응함으로써 5년의 세월 동안 발각되지 않고 활동할 수 있었다고 ESET은 설명했다. 시스템을 감염시키기 위해 스탄틴코 공격자는 불법 복제 소프트웨어로 사용자를 유인했는데, 토렌트로 위장하거나 불법 복제 소프트웨어 다운로드의 실행 파일로 위장했다.

스탄틴코의 최초 설치 매개는 ‘애드웨어.파일투어(Adware.FileTour)’라는 애플리케이션이다. 러시아에서 제작된 ‘애드웨어.파일투어’는 국내 콘텐츠 서비스 ‘파일투어’와는 전혀 무관한 별개의 애플리케이션이다. 사용자가 애드웨어.파일투어를 설치하면 수많은 소프트웨어가 정신없이 깔리는데, 이때 백그라운드에 스탄틴코가 은밀히 설치된다. 스탄틴코 공격자는 광고를 주입하고 클릭수를 조작하는 악성 브라우저 익스텐션을 설치해 수익을 내며, 이를 위해 거대한 봇넷을 제어하는 것으로 나타났다.

스탄틴코의 주요 기능은 ‘더 세이프 서핑(The Safe Surfing)’과 ‘테디 프로텍션(Teddy Protection)’이라는 악성 브라우저 익스텐션을 설치하는 것이다. ESET은 두 가지 익스텐션 모두 분석 당시 크롬 웹 스토어에서 이용할 수 있었다고 짚었다. 겉으로 보기엔 멀쩡한 브라우저 익스텐션 같지만 스탄틴코에 의해 설치되면 클릭수 조작과 광고 주입을 실행하기 위해 다른 컨피겨레이션을 수신한다고 ESET은 설명했다.

ESET은 스탄틴코가 안티 바이러스 탐지를 피해가는 수법에서 매우 탁월하다고 지적했다. 게다가 스탄틴코는 재생하는 메커니즘도 강력하다고 강조했다. 일단 성공적으로 깔리고 나면, 피해자의 기기에는 두 가지 악성 윈도우 서비스가 설치된다. 만약 이 두 가지 중 하나라도 삭제되는 경우, 다른 하나가 나머지 하나를 다시 설치한다. 따라서 스탄틴코를 제대로 제거하기 위해선 두 가지 서비스를 동시에 삭제해야 한다고 ESET은 지적했다.

스탄틴코 공격자의 궁극적인 목적은 돈인 것으로 보인다. ESET은 클릭수 조작이 사이버 범죄 생태계에서 요즘 가장 장사가 잘 된다며, 최신 연구에 따르면 올해 클릭수 조작이 전 세계에 초래한 비용이 약 7조 원(65억 달러)에 달한다고 덧붙였다.

ESET은 스탄틴코 공격자가 줌라(Joomla)와 워드프레스의 관리자 계정에 접근하기 위해 애쓰고 있다고도 분석했다. 이를 위해 공격자는 이미 확보한 크리덴셜을 무차별 대입(brute-force)하는 방법을 사용하는데 만약 성공할 경우 해당 계정을 암시장에 내다 팔기도 한다고 ESET은 설명했다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향