ESET, 전 세계 유관기관과 공조하여 Gamarue 봇넷 퇴치

2017년 12월 6일(수)

유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 전 세계 사법기관과 공조하여 Gamarue 라고 불리는 악성 봇넷을 퇴치했다고 전했다.

ESET 제품에 의해 Win32/TrojanDownloader.Wauchos 로 진단되며, Andromeda 로도 불리는 Gamarue 봇넷은, 마이크로소프트의 요청에 따라 ESET 의 기술적인 분석 결과가 제공되었으며, 이러한 공동 노력은 지난 1 년 동안 계속되었다. ESET 은 봇넷의 활동을 자세히 추적하고 C&C 서버를 식별한 후 특정 시스템을 위협하는 요소가 감염자 시스템에 설치되었는지 확인하였고, 이 후 마이크로소프트는 사법기관에 관련 정보를 제공했으며, 제공된 정보는 464 개의 개별 봇넷, 80 개의 관련 악성코드군 및 1,214 개의 도메인과 IP 주소를 포함하고 있다.

Wauchos 는 2011 년 9 월 이후 5 차례의 버전 업그레이드를 거쳐 활동을 계속하고 있는데, 주로 사이버 범죄에 이용하기 위한 목적으로 인터넷에서 쉽게 구입할 수 있다. 마이크로소프트에 따르면, 지난 6 개월 동안 매월 평균 110 만 대의 컴퓨터에서 이 봇넷을 이용한 침입 행위가 탐지되거나 차단되었으며, ESET 의 모니터링을 통해 매월 수십 개의 C&C 서버가 발견되었다. Wauchos 는 주로 계정 정보를 유출하고 시스템에 추가 악성코드를 다운로드하고 설치하는 데 사용된다. 따라서 시스템에 Wauchos 에 감염되어 있다면 여러 종류의 다른 악성코드들이 함께 설치되어 있을 가능성이 높은데, DDoS 공격에 사용되며 Neutrino 봇으로도 알려진 Kasidet 을 비롯하여, 대규모 스팸 메일 확산에 이용되는 Kelihos, Lethic 스팸봇 등을 포함한다. Wauchos 의 기능은 모듈화를 통한 플러그인에 의해 쉽게 확장될 수 있으며, 사용자의 중요 정보의 유출이 가능한 키로거 또는 감염된 시스템에서 지속적인 활동이 가능한 루트킷 등으로의 전이가 가능하다.

Wauchos 는 다수의 사이버 범죄자들에 의해 사용됨에 따라 확산에 사용되는 공격 벡터도 매우 다양하며, 소셜미디어, 인스턴트 메시징, 이동식 드라이브, 스팸 및 익스플로잇 등의 방법이 주로 이용된 것으로 알려졌다. ESET 이 분석한 다수의 Wauchos 샘플은 시스템의 키보드 레이아웃을 확인하여 특정 언어에서는 악성 행위 없이 종료되는 것으로 확인되었는데, 이는 아마도 해당 국가에서 피소되는 것을 방지하기 위함인 것으로 추측된다. 현재 사용 중인 시스템이 Wauchos 에 감염되어 있는지 우려되는 경우에는 ESET 의 무료 온라인 스캐너를 이용하여 Wauchos 와 관련한 모든 위협요소를 모두 제거할 수 있다.

이셋코리아의 김남욱 대표는 "봇넷 감염의 문제점은, 자신도 모르는 사이에 자신의 시스템이 사이버 범죄에 이용된다는 것입니다. 따라서 봇넷 감염을 인지하지 못한 채 계속 방치하는 경우가 많습니다. 하지만 C&C 서버의 명령에 따라 언제든지 직접적인 피해를 입히는 악성코드에 감염될 수 있습니다. 자신의 시스템과 정보를 지키는 것은 물론, 깨끗한 사이버 공간을 함께 만든다는 참여 의식이 필요합니다."고 전했다.

디지털타임즈	이셋 등 국제공조팀, 악성봇넷 `가마루` 퇴치
보안뉴스	국제 공조로 대규모 안드로메다 봇넷 폐쇄 성공