동향 리포트/월간 동향 리포트

2021년 02월 악성코드 동향 보고서

TACHYON & ISARC 2021. 3. 8. 15:19

1. 악성코드 통계

악성코드 Top20

20212(2 1 ~ 2 28) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [ 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Miner (마이너)이며 총 21,100 건이 탐지되었다.

 

[표  1] 2021 년  2 월 악성코드 탐지  Top 20

 

악성코드 진단 수 전월 비교

2월에는 악성코드 유형별로 1월과 비교하였을 때 Trojan, Virus Exploit의 진단 수가 증가하였고, Worm Backdoor의 진단 수가 감소하였다.

 

[그림  1] 2021 년  2 월 악성코드 진단 수 전월 비교

 

주 단위 악성코드 진단 현황

2월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 1월에 비해 증가한 추이를 보이고 있다.

 

[그림 2] 2021 년  2 월 주 단위 악성코드 진단 현황

 

2. 악성코드 동향

2월에는 사용자의 정보를 탈취하고, 감염된 PC를 제어하는 RAT 악성코드가 업데이트 되어 다시 등장하고 있다. 또한, 최근 암호 화폐의 가치가 높아지면서 암호 화폐 불법 채굴을 목적으로 하는 코인마이너에 의한 공격이 증가하고 있다.

 

· RAT

RAT 악성코드 중 “Oblique RAT”은 백신 탐지를 피하기 위해 웹 사이트 이미지에 페이로드를 숨기는 동작이 추가되었으며 “Loda RAT”은 기존 공격 대상이었던 윈도우 외에도 안드로이드 장치를 대상으로 하여 유포되고 있다. 외신은 “Oblique RAT”이 전통적인 시그니처 기반 탐지 메커니즘을 회피하기 위해 유포 방식을 진화시킨 사례라고 밝혔으며, “Loda RAT”이 사용자의 더 많은 정보를 탈취하기 위한 동작이 추가되어 주의해야 한다고 경고했다.

 

[그림  3] 2 월  RAT

 

Oblique RAT

2020년 초 처음 등장한 “Oblique RAT”은 이메일에 해당 악성코드의 원본 파일을 첨부하여 유포됐지만 최근에는 악성 매크로가 포함된 문서 파일을 첨부하여 유포되고 있다. 사용자가 해당 문서 파일을 실행하면 악의적으로 조작된 웹 사이트로 리다이렉션 되며 웹 사이트에 있는 이미지를 클릭하면 “Oblique RAT”이 다운로드 및 실행된다. 이로 인해 이미지 파일에 악성코드를 숨겨 백신 프로그램의 탐지를 우회하고, 최종적으로 감염된 사용자로부터 다양한 데이터를 탈취하며 설정된 명령어를 이용해 감염된 PC를 제어한다.

 

Loda RAT

윈도우 장치 만을 대상으로 공격했던 “Loda RAT”이 안드로이드 장치도 대상으로 공격하는 새로운 변종 악성 코드인 “Loda4Android”를 유포하기 시작했다. “Loda RAT”은 마이크로 오피스의 원격 코드 실행 취약점인 “CVE-2017-11882”를 악용한 문서 파일을 이메일 또는 SMS에 첨부해 유포된다. 이후 원격 데스크톱 프로토콜을 사용하여 감염된 기기에 원격으로 액세스 하며 해당 프로토콜이 연결되면 RDP 연결을 허용하도록 레지스트리 키를 변경하고, 방화벽을 종료한다, 또한, 최신 버전의 “Loda RAT”은 사용자의 마이크를 통해 녹음된 오디오를 탈취하는 기능이 추가되었다.

 

· Coinminer

암호 화폐 불법 채굴을 목적으로 하는 “WatchDog” “Hildegard” 코인 마이너는 더욱 정교해지고, 기능이 추가되어 지속적으로 유포되고 있다. 이 중 “WatchDog” 32,000 달러에 달하는 모네로가 불법으로 채굴되었으며, “Hildegard”는 다량의 가상 환경을 구축하고 있는 쿠버네티스 시스템을 대상으로 많은 채굴 서버를 공격할 수 있기에 다량의 암호 화폐 채굴이 가능하다.

 

[그림  4] 2 월  Coinminer

 

WatchDog Coinminer

최근 “WatchDog” 코인마이너가 기승을 부리고 있다. 주로 윈도우 및 리눅스를 대상으로 하며 2019 1월 말부터 현재까지 최소 476개의 시스템을 감염시켜 약 32,000 달러 상당의 모네로를 불법 채굴한 것으로 알려졌다.  “WatchDog” Go 프로그래밍 언어를 사용하며 18개의 IP 주소와 7개의 도메인에 포함된 최소 125개의 악성 URL 주소를 통해 해당 악성코드를 다운로드한다. 최종적으로 다운로드 된 악성코드는 사용자의 PC에서 불법적으로 암호 화폐를 채굴한다.

 

Hildegard Coinminer

Hildegard”는 가상 환경을 관리하기 위한 오픈 소스 플랫폼인 쿠버네티스 시스템을 대상으로 암호 화폐를 불법 채굴한다. 또한, “Hildegard” 코인 마이너는 라이브러리 주입, 암호화된 바이너리 및 잘 알려진 리눅스 커널 프로세스의 이름으로 위장하는 동작을 통해 백신 프로그램의 탐지를 회피한다. 그리고 하나의 가상 환경을 초기 거점으로 확보하고 IRC 채널을 C&C 서버로 설정하여 제어 서버를 구축하는 정교한 기술을 사용했다. 최종적으로 쿠버네티스 시스템의 액세스 권한을 획득하여 가능한 많은 애플리케이션을 감염시켜 다량의 암호 화폐를 채굴하는 것을 목표로 한다.