본문 바로가기


뉴스,지식창고/잡지식,추천정보

[AhnLab보안이슈] 6월 둘째 주 악성코드 Top 5

6월 둘째 주 악성코드 Top 5

  • AhnLab
  • 2020-06-17

2020년 6월 둘째 주, 국내에서 가장 많이 수집된 악성코드는 사용자 정보를 유출하는 인포스틸러(Infostealer)에 속하는 에이전트테슬라(AgentTesla)인 것으로 나타났다. 안랩 시큐리티대응센터(이하 ASEC)은 2020년 6월 8일부터 14일까지 자사의 자동 분석 시스템인 라핏(RAPIT)을 통해 수집된 한 주간의 악성코드 통계 정보를 발표했다. 

 


 

ASEC의 분석 결과에 따르면 대분류 상으로는 인포스틸러 악성코드가 56.9%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 15.4%, 원격 관리 도구(RAT)를 악용한 악성코드가 11.2%를 차지했다. 이어 랜섬웨어와 뱅킹 악성코드는 각각 8.2%, 7.5%로 그 뒤를 따랐다.

 

 

 

[그림 1] 2020년 6월 8일 ~ 14일, 1주간 국내 악성코드 수집 통계 결과

 

Top 1 – 에이전트테슬라(AgentTesla)

세부 항목으로 분류했을 때 6월 둘째 주, 가장 많이 수집된 악성코드는 33%를 차지한 에이전트테슬라(AgentTesla)로, 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 이 악성코드는 대부분 스팸메일을 통해 유포되기 때문에 송장, 선적 서류, 구매 주문서 등의 이름을 갖는다. 최근 유입되는 샘플들은 수집한 정보 유출 시 아래 [그림 2]와 같은 메일 서버 및 사용자 계정들을 이용한다.

 

 

 

[그림 2] 에이전트테슬라가 이용한 메일 서버 및 사용자 계정

 

Top 2 – 구로더(GuLoader)

2위는 14.2%를 차지하는 구로더(GuLoader)로 추가 악성코드를 다운로드하여 실행시키는 다운로더 유형에 속한다. 구로더는 진단을 우회하기 위해 비주얼 베이직(Visual Basic) 언어로 패킹되어 있으며 대부분 구글 드라이브를 악용하여 추가 악성코드를 다운로드한다. 탐지를 회피하기 위해 파일 형태가 아니라 메모리 상에 다운로드하며, 다운로드된 파일도 PE가 아닌 인코딩된 형태이다. 이후 메모리 상에서 디코딩되어 실행되는데, 다운로드되는 악성코드로는 폼북(Formbook), 에이전트테슬라와 같은 인포스틸러 악성코드, Remcos, NanoCore와 같은 RAT 악성코드들이 있다. 최근에는 구글 드라이브 외에도 다양한 다운로드 서버를 이용한다. 구로더 또한 대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일 이름도 동일하게 위와 같은 이름이 사용된다. 또한 확장자의 경우 pdf, xlsx와 같은 문서 파일이나 .dwg 즉 Auto CAD 도면 파일로 위장한 것들도 다수 존재한다.

 

Top 3 & 4 - 이모텟(Emotet), 블루크랩(BlueCrab)

3위와 4위는 동일하게 6.7%를 차지한 이모텟(Emotet)과 블루크랩(BlueCrab)이 각각 이름을 올렸다. 이모텟은 뱅킹 악성코드이며 현재 기준 국내보다는 해외를 타겟으로 한다. 기본적으로 설치되는 형태는 다운로더이며, 시스템에 설치된 이후 추가 모듈 또는 추가 악성코드를 다운로드할 수 있다. 추가 모듈로는 웹 브라우저 및 메일 계정 정보 등 사용자 정보 탈취 모듈들과 공유 폴더 등을 이용한 전파 모듈이 있다. 다운로드되는 악성코드로는 드라이덱스(Dridex), 트릭봇(Trickbot) 등 또 다른 뱅킹 악성코드들을 다운로드할 수 있다.

 

이번 통계에서 집계된 블루크랩은 기존의 피싱 다운로드 페이지로 유포되는 자바스크립트 형태가 아닌, 익스플로잇 킷을 통해 유포 중인 형태이다.

 

Top 5 – 폼북(Formbook)

폼북(Formbook)은 인포스틸러 악성코드로서 6.0%를 차지하고 있다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다(그림 3 참고).

 

 

[그림 3] 폼북 악성코드 유포에 활용되는 파일명

 

폼북 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, 클립보드 그래빙(Clipboard Grabbing), 웹 브라우저의 폼 그래빙(Form Grabbing) 등 다양한 정보를 탈취할 수 있다.

 

앞서 소개한 악성코드의 대부분이 스팸메일로 유포되고 있다. 따라서 ▲이메일 발신자 확인 및 출처 불분명 메일의 첨부파일/URL 실행 금지 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW 등 소프트웨어 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 활성화 등 필수 보안 수칙을 준수해야 한다.

 

6월 둘째 주, ASEC 주간 악성코드 통계(20200608 ~ 20200614)는 ASEC 블로그에서 상세한 정보를 확인할 수 있습니다. 

▶ ASEC 블로그 바로 가기 

 

 

  • AhnLab 로고
  • ASEC 분석팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com