최근 악성 문건 퍼트리며 감염자 늘려...여러 업체에서 발견되고 있어
누구나 살 수 있는 멀웨어...공격자 파악하는 데 어려움 주는 요소
[보안뉴스 문가용 기자] 베타봇(Betabot) 멀웨어를 활용한 새로운 악성 캠페인이 발견됐다. 베타봇은 지난 8월 보안 업체 카스퍼스키(Kaspersky)가 발견한 바 있는 것이지만, 이번에 발견된 캠페인은 그것과는 별개의 것으로 보인다.
최근 캠페인을 발견한 건 보안 업체 사이버리즌(Cybereason)으로, 수석 위협 분석 책임자인 아사프 다한(Assaf Dahan)에 의하면 “얼마 전 카스퍼스키가 발표한 캠페인과는 전략 및 공격 진행 방식에서 차이를 보인다”고 한다. “전에 비해 표적형 공격의 특징이 많이 퇴색됐고, 피싱 이메일을 통해 마구 퍼지고 있거든요.”
아직 사이버리즌은 공격의 배후에 있는 자가 누구인지 알지 못한다. “베타봇의 소스코드와 오래된 빌더들은 온라인 해킹 포럼에 널리 퍼져 있습니다. 약 200달러 정도면 누구나 구매가 가능하죠.” 다한의 설명이다. “누구라도 공격자가 될 수 있다는 뜻입니다.”
또한 다한은 “베타봇의 감염이 소셜 엔지니어링을 통한 피싱 공격의 형태로 이뤄지는 것으로 보인다”고 설명한다. “공격자가 사용자를 설득해 워드 문서를 다운로드 받아 열도록 합니다. 물론 이 문서는 가짜고, 이메일에 첨부되어 전달됩니다.”
베타봇은 뉴레브트(Neurevt)라고도 알려져 있으며, 2012년 후반기에 처음 등장했다. “원래는 뱅킹 트로이목마의 일종이었습니다. 그런데 점점 업그레이드를 거쳐 현재는 공격자가 피해자의 시스템을 완전히 장악하고 민감한 정보를 훔쳐다주는 기능까지도 갖게 되었죠.” 현재 베타봇이 가지고 있는 기능으로는 양식 탈취, FTP 및 메일 클라이언트 탈취, 뱅킹 및 USB 감염, 유저랜드 룻키트, 셸을 통한 명령 실행, 추가 멀웨어 다운로드, 시스템 내 오래 머무르기, 암호화페 채굴 등이 있다.
베타봇은 시스템에 오래 남아있기 위해 온갖 방법들을 다 동원한다. “안티 디버깅(anti-debugging), 안티 가상기계(anti-virtual machine), 안티 샌드박스(anti-sandbox), 안티 디스어셈블리(anti-disassembly) 기능을 발휘해 보안 및 분석 제품이 있는지 확인합니다. 그리고 또 다른 멀웨어가 있는지도 살피고요. 이것 역시 시간의 흐름에 따라 업그레이드 된 부분입니다.”
그렇다면 현재 베타봇의 감염은 어떻게 이뤄질까? “먼저는 소셜 엔지니어링 공격이 들어갑니다. 사용자들이 워드 문서를 받아서 열도록 하는데요, 이 파일은 CVE-2017-11882로 알려진 취약점을 익스플로잇 합니다. 오피스 내 공식 편집기 툴에서 발견된 취약점이죠. 이 단계를 통과하면 이 악성 문서가 dqfm.cmd를 실행합니다. 그러면 hondi.cmd라는 것이 생성됩니다.”
이 hondi.cmd는 본격적인 감염을 위한 준비 작업을 담당하는데, 그건 바로 베타봇의 드로퍼인 mondi.exe를 실행하는 것이다. mondi.exe가 실행되면 베타봇 로더의 압축이 풀리고, 암호화된 페이로드가 나타난다. 이 페이로드는 자식 프로세스(child process)로 주입된다. 그런 후 베타봇은 현재 돌아가는 모든 프로세스들을 관찰한다. 추가 주입을 위한 장소를 물색하는 것이다.
다한은 “하나의 프로세스가 아니라 여러 프로세스에 주입되는 것이 대부분”이라고 설명한다. “그래야 최대한 오래, 높은 확률로 살아남을 수 있으니까요. 한 프로세스가 중단된다고 해도 다음 프로세스로 공격을 계속할 수 있다는 간단한 논리가 성립됩니다.”
베타봇이 주입되는 두 번째 프로세스는 주로 explorer.exe라고 사이버리즌은 설명한다. “심지어 맥아피(McAfee) 제품의 프로세스에 주입되는 경우도 봤어요. shtat.exe였죠. 이렇게 알맞은 프로세스에 자리를 잡은 후에 베타봇은 C&C 서버로의 연결을 시도합니다.”
사이버리즌은 베타봇이 매우 집착이 심한 멀웨어라고 설명한다. 탐지를 피하고 최대한 오래 머무르려고 온갖 방법을 다 사용하기 때문이다. “레지스트리 쿼리를 통해 가상 환경을 탐지하기도 하고, 가상 기기 벤더 이름도 파악하려고 합니다. 특정 드라이버 개발사의 파일들을 검색하기도 하고요. 샌드박스의 경우에도 비슷합니다. 보안 및 분석 솔루션이 있다면, 아주 작은 힌트라도 놓치지 않겠다는 의지가 보일 정도입니다.”
집요한 베타봇은 30개의 인기 높은 안티 멀웨어 제품들을 찾아내어 일부 삭제하기도 한다. “자신의 존재를 위협하는 것을 최대한 많이 없애는 것에 굉장한 꼼꼼함을 보입니다. 여기에는 보안 솔루션만이 아니라 다른 멀웨어도 포함됩니다. 다른 멀웨어 때문에 애꿎게 보안 기능이 시작되는 걸 막는 겁니다.”
멀웨어를 찾는 노력도 집요하다. “심지어 최근 유행하는 파일레스 멀웨어까지도 찾아내려는 기능을 갖추고 있습니다. 이 정도면 보안 업계와 사이버 범죄 시장 모두에서 공공의 적이라고 봐도 될 정도입니다.”
3줄 요약
1. 원래 뱅킹 트로이목마였던 베타봇, 수년 간 업그레이드 거쳐 복합적인 멀웨어로 재탄생.
2. 범죄 시장에서 200달러 정도에 거래되고 있어, 공격자들 사이에서 인기 급증.
3. 베타봇의 특징은 집요함. 보안 제품과 다른 멀웨어 샅샅이 뒤져내는 면에서 뛰어남.
[국제부 문가용 기자(globoan@boannews.com)]
누구나 살 수 있는 멀웨어...공격자 파악하는 데 어려움 주는 요소
[보안뉴스 문가용 기자] 베타봇(Betabot) 멀웨어를 활용한 새로운 악성 캠페인이 발견됐다. 베타봇은 지난 8월 보안 업체 카스퍼스키(Kaspersky)가 발견한 바 있는 것이지만, 이번에 발견된 캠페인은 그것과는 별개의 것으로 보인다.
[이미지 = iclickart]
최근 캠페인을 발견한 건 보안 업체 사이버리즌(Cybereason)으로, 수석 위협 분석 책임자인 아사프 다한(Assaf Dahan)에 의하면 “얼마 전 카스퍼스키가 발표한 캠페인과는 전략 및 공격 진행 방식에서 차이를 보인다”고 한다. “전에 비해 표적형 공격의 특징이 많이 퇴색됐고, 피싱 이메일을 통해 마구 퍼지고 있거든요.”
아직 사이버리즌은 공격의 배후에 있는 자가 누구인지 알지 못한다. “베타봇의 소스코드와 오래된 빌더들은 온라인 해킹 포럼에 널리 퍼져 있습니다. 약 200달러 정도면 누구나 구매가 가능하죠.” 다한의 설명이다. “누구라도 공격자가 될 수 있다는 뜻입니다.”
또한 다한은 “베타봇의 감염이 소셜 엔지니어링을 통한 피싱 공격의 형태로 이뤄지는 것으로 보인다”고 설명한다. “공격자가 사용자를 설득해 워드 문서를 다운로드 받아 열도록 합니다. 물론 이 문서는 가짜고, 이메일에 첨부되어 전달됩니다.”
베타봇은 뉴레브트(Neurevt)라고도 알려져 있으며, 2012년 후반기에 처음 등장했다. “원래는 뱅킹 트로이목마의 일종이었습니다. 그런데 점점 업그레이드를 거쳐 현재는 공격자가 피해자의 시스템을 완전히 장악하고 민감한 정보를 훔쳐다주는 기능까지도 갖게 되었죠.” 현재 베타봇이 가지고 있는 기능으로는 양식 탈취, FTP 및 메일 클라이언트 탈취, 뱅킹 및 USB 감염, 유저랜드 룻키트, 셸을 통한 명령 실행, 추가 멀웨어 다운로드, 시스템 내 오래 머무르기, 암호화페 채굴 등이 있다.
베타봇은 시스템에 오래 남아있기 위해 온갖 방법들을 다 동원한다. “안티 디버깅(anti-debugging), 안티 가상기계(anti-virtual machine), 안티 샌드박스(anti-sandbox), 안티 디스어셈블리(anti-disassembly) 기능을 발휘해 보안 및 분석 제품이 있는지 확인합니다. 그리고 또 다른 멀웨어가 있는지도 살피고요. 이것 역시 시간의 흐름에 따라 업그레이드 된 부분입니다.”
그렇다면 현재 베타봇의 감염은 어떻게 이뤄질까? “먼저는 소셜 엔지니어링 공격이 들어갑니다. 사용자들이 워드 문서를 받아서 열도록 하는데요, 이 파일은 CVE-2017-11882로 알려진 취약점을 익스플로잇 합니다. 오피스 내 공식 편집기 툴에서 발견된 취약점이죠. 이 단계를 통과하면 이 악성 문서가 dqfm.cmd를 실행합니다. 그러면 hondi.cmd라는 것이 생성됩니다.”
이 hondi.cmd는 본격적인 감염을 위한 준비 작업을 담당하는데, 그건 바로 베타봇의 드로퍼인 mondi.exe를 실행하는 것이다. mondi.exe가 실행되면 베타봇 로더의 압축이 풀리고, 암호화된 페이로드가 나타난다. 이 페이로드는 자식 프로세스(child process)로 주입된다. 그런 후 베타봇은 현재 돌아가는 모든 프로세스들을 관찰한다. 추가 주입을 위한 장소를 물색하는 것이다.
다한은 “하나의 프로세스가 아니라 여러 프로세스에 주입되는 것이 대부분”이라고 설명한다. “그래야 최대한 오래, 높은 확률로 살아남을 수 있으니까요. 한 프로세스가 중단된다고 해도 다음 프로세스로 공격을 계속할 수 있다는 간단한 논리가 성립됩니다.”
베타봇이 주입되는 두 번째 프로세스는 주로 explorer.exe라고 사이버리즌은 설명한다. “심지어 맥아피(McAfee) 제품의 프로세스에 주입되는 경우도 봤어요. shtat.exe였죠. 이렇게 알맞은 프로세스에 자리를 잡은 후에 베타봇은 C&C 서버로의 연결을 시도합니다.”
사이버리즌은 베타봇이 매우 집착이 심한 멀웨어라고 설명한다. 탐지를 피하고 최대한 오래 머무르려고 온갖 방법을 다 사용하기 때문이다. “레지스트리 쿼리를 통해 가상 환경을 탐지하기도 하고, 가상 기기 벤더 이름도 파악하려고 합니다. 특정 드라이버 개발사의 파일들을 검색하기도 하고요. 샌드박스의 경우에도 비슷합니다. 보안 및 분석 솔루션이 있다면, 아주 작은 힌트라도 놓치지 않겠다는 의지가 보일 정도입니다.”
집요한 베타봇은 30개의 인기 높은 안티 멀웨어 제품들을 찾아내어 일부 삭제하기도 한다. “자신의 존재를 위협하는 것을 최대한 많이 없애는 것에 굉장한 꼼꼼함을 보입니다. 여기에는 보안 솔루션만이 아니라 다른 멀웨어도 포함됩니다. 다른 멀웨어 때문에 애꿎게 보안 기능이 시작되는 걸 막는 겁니다.”
멀웨어를 찾는 노력도 집요하다. “심지어 최근 유행하는 파일레스 멀웨어까지도 찾아내려는 기능을 갖추고 있습니다. 이 정도면 보안 업계와 사이버 범죄 시장 모두에서 공공의 적이라고 봐도 될 정도입니다.”
3줄 요약
1. 원래 뱅킹 트로이목마였던 베타봇, 수년 간 업그레이드 거쳐 복합적인 멀웨어로 재탄생.
2. 범죄 시장에서 200달러 정도에 거래되고 있어, 공격자들 사이에서 인기 급증.
3. 베타봇의 특징은 집요함. 보안 제품과 다른 멀웨어 샅샅이 뒤져내는 면에서 뛰어남.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
[2025-04-07] 
