ESET, 세계 수사기관과 공조 주요 봇넷 악성코드 ‘Dorkbot’ 박멸
상태바
ESET, 세계 수사기관과 공조 주요 봇넷 악성코드 ‘Dorkbot’ 박멸
  • 이광재 기자
  • 승인 2015.12.10 13:07
  • 댓글 0
이 기사를 공유합니다

이셋(ESET) 한국내 대표 법인 이셋코리아가 전세계 수만대 이상의 컴퓨터에 악영향을 미친 악성코드를 규명하고 박멸하는 글로벌 공조 활동에 이셋이 참여했다고 밝혔다.

미 연방수사국(FBI)이 주도하고 각국의 사법기관과 인터폴, 유로폴 등이 참여한 이번 활동은 아시아, 유럽 및 북미의 C&C 서버를 포함하는 Dorkbot 인프라를 찾아내 파괴시켰으며 무엇보다도 봇넷에 감염된 컴퓨터를 제어할 수 있는 봇넷 운영자의 모든 도메인을 장악했다는데 의미가 있다.

진 란 보우틴 이셋 악성코드 연구원은 “이셋은 Dorkbot의 기술 분석 자료와 악성코드에 감염에 대한 통계 정보를 공유는 물론 봇넷의 명령 및 제어(C&C) 서버의 도메인과 인터넷 주소를 제공함으로써 전세계 사용자들이 인터넷을 안전하게 사용할 수 있도록 보호하기 위한 활동에 기여했다고 볼 수 있다”며 “전세계로부터 매주 보고되는 수천건의 탐지 정보와 매일 수집된 새로운 악성코드 샘플이 있었기 때문에 Dorkbot 중단 노력이 성공적으로 마무리될 수 있었다고 본다”고 말했다.

Dorkbot는 Win32/Dorkbot 악성코드를 기반으로 더욱 정교하게 만들어졌으며 소셜 네트워크, 스팸, 이동식 미디어 및 익스플로잇 키트(Exploit Kit) 등 다양한 경로를 통해 배포되는 봇넷이다.

일단 컴퓨터에 설치되면 안티바이러스 등의 보안 소프트웨어가 업데이트 서버에 접속하려는 시도를 차단해 보안 소프트웨어의 정상 작동을 방해하며 이후 추가 명령을 수신할 수 있도록 IRC 서버에 접속을 시도한다.

아울러 페이스북이나 트위터 등의 대중적인 서비스에 사용되는 계정과 암호를 탈취하며 감염된 시스템의 제어권을 확보한 직후 다양한 종류의 추가적인 악성코드를 설치한다.

특히 Neutrino 봇으로 알려져 있으며 DDoS 공격을 수행하는데 사용되는 Win32/Kasidet 및 대표적인 스팸봇으로 잘 알려진 Win32/Lethic 등이 Dorkbot에 감염된 시스템에 추가로 설치된다.

김남욱 이셋코리아 대표는 “봇넷과 익스플로잇은 추가 악성코드 감염의 수단이 될 수 있으므로 봇넷 감염 자체의 피해 규모만으로 이를 간과하는 것은 매우 위험하다”며 “봇넷과 익스플로잇은 최근 이슈가 되고 있는 랜섬웨어 등의 감염 벡터에도 깊게 관여하고 있으므로 이에 대한 철저한 사전 방어 노력이 매우 중요하다”고 밝혔다.

이어 “이셋 제품은 현재 Dorkbot 봇넷 등 다양한 형태의 봇넷 및 이의 변형 및 각종 익스플로잇에 대한 대응력을 갖추고 있기 때문에 랜섬웨어의 감염 예방에도 매우 효과적”이라고 주의를 당부했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.