6월 초부터 약 3주간 갑작스런 휴지기, 왜?
드리덱스와 록키, 업그레이드된 채 퍼지는 중
[보안뉴스 문가용] 다량의 드리덱스(Dridex)와 록키(Locky)에 감염된 이메일을 퍼트리는 네커스(Necurs) 봇넷이 3주 간의 휴면기를 깨고 활동을 재개했다. 여러 보안업체가 네커스에서 발생하는 악성 트래픽이 급증하고 있는 걸 동시에 발견한 것. 해당 봇넷은 5월 31일부터 갑자기 활동을 사실상 중단한 바 있다.
먼저 앱리버(AppRiver)라는 보안업체의 분석가인 조나단 프렌치(Jonathan French)는 6월 21일에 네커스 봇넷에서부터 출발한 대량의 록키 이메일 캠페인을 발견했다. 6월초만 해도 하루에 3백만 통에서 1천만 통의 악성 이메일이 발송되는 것이 전부였던 봇넷에서 갑자기 8천만 건의 이메일이 발송되더니(6월 22일), 바로 다음날에는 1억 6천만 건으로 그 수가 늘어났다. “네커스가 다시 살아난 것으로 보입니다. 일시적인 현상인지 장기적으로 진행될 것인지는 더 두고 봐야 하겠지만 말이죠.”
네커스가 잠깐 동안이든 아니든 활동을 다시 정상적으로 시작했다는 것은 ‘그렇다면 3주 간 쉰 것은 무엇 때문인가?’하는 질문을 낳는다. 프렌치는 “아직 정확히 알려진 바가 없다”며 스스로도 매우 궁금하다고 표현했다. “영원히 부활하지 않았다면 경찰 조직이나 사법 기관이 폐쇄조치를 했다고 볼 수 있는데, 다시 살아나서 멀쩡히 활동을 시작해버리니 그런 쪽의 가설은 없어진 거죠.”
프렌치는 두 가지 가능성들이 제기한다. 1) 봇넷의 운영자들이 일시적인 기술문제를 겪어 그걸 해결하느라 시간이 좀 걸렸다는 것이다. 2) 봇넷에 새로운 기능을 추가하는 작업을 했다. 하지만 어느 쪽도 3주라는 시간에 썩 어울리지는 않는다. “솔직히 봇넷의 규모와 어마어마한 실적을 봤을 때 그 어떤 문제라도 해결에 3주씩이나 걸렸다는 게 잘 상상이 가지 않습니다.”
그래서 프렌치는 외부적인 가능성을 또 하나 제기한다. “운영진이 바뀌었고, 인수인계 과정이 필요했다면 3주 정도의 기간은 납득이 됩니다.”
하지만 중요한 건 네커스가 다시 운영을 시작했다는 것 그 자체라고 프루프포인트(Proofpoint)의 부회장인 케빈 엡스타인(Kevin Epstein)은 강주한다. 프로프포인트 역시 비슷한 시기에 네커스 봇넷 트래픽이 급증하고 있다는 사실을 발견, 보고한 바 있다. “네커스는 전 세계적으로 대량의 메일을 발송하는 기반시설로, 드리덱스라는 뱅킹 트로이목마나 록키라는 랜섬웨어를 퍼트리는 주범입니다. 얘가 다시 깨어난 거예요. 상당히 안 좋은 소식이죠.”
엡스타인 역시 3주간의 휴지기에 대한 설명을 딱히 할 수 있는 입장은 아니다. “작년 8월 드리덱스의 봇넷도 잠깐 멈춘 적이 있었어요. 경찰기관의 수사 때문인 것으로 드러났죠. 네커스도 그럴 가능성이 있지만 아직은 아무런 단서가 없어서 쉽사리 판단할 수가 없습니다. 멈춘 이유야 아직 아무도 모르지만, 일단 다시 활동을 시작한 이유는 돈과 관련이 있다고 믿고 있습니다. 수익을 만들어야 하니까 활동을 시작한 것이죠.”
그렇게 생각하는 근거는 사이버 범죄의 가장 큰 동기가 ‘돈’이라는 보편적인 사실과 록키와 드리덱스가 현존하는 멀웨어 중 가장 수익률이 높은 편에 속한다는 것이다. “사용할 줄 안다면, 그리고 그 맛을 본 범죄자라면, 다시 손대지 않는 게 이상할 정도로 성공적인 멀웨어들이죠.”
프루프포인트에 의하면 이번 네쿠스의 활동 재개로 퍼지기 시작한 록키 랜섬웨어는 이전 버전보다 훨씬 더 강력하고 은밀하다고 한다. 게다가 새로운 우회 및 샌드박싱 기술까지 탑재되어 있어 탐지가 더 까다로워졌다.
봇넷 추적을 전문으로 하는 멀웨어테크(MalwareTech)는 “네쿠스는 일곱 개의 작은 봇넷을 합친 것”이라며 “약 1백 7십만 대의 시스템으로 구성되어 있다”고 묘사했다. “5월 31일부터 일곱 개의 봇넷이 전부 오프라인이 되었고, 최근 활동을 재개한 것도 거의 동시에 발생한 일입니다. 누군지 모르지만 이 7개 봇넷을 한꺼번에 운영하고 있음이 분명합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
드리덱스와 록키, 업그레이드된 채 퍼지는 중
[보안뉴스 문가용] 다량의 드리덱스(Dridex)와 록키(Locky)에 감염된 이메일을 퍼트리는 네커스(Necurs) 봇넷이 3주 간의 휴면기를 깨고 활동을 재개했다. 여러 보안업체가 네커스에서 발생하는 악성 트래픽이 급증하고 있는 걸 동시에 발견한 것. 해당 봇넷은 5월 31일부터 갑자기 활동을 사실상 중단한 바 있다.
먼저 앱리버(AppRiver)라는 보안업체의 분석가인 조나단 프렌치(Jonathan French)는 6월 21일에 네커스 봇넷에서부터 출발한 대량의 록키 이메일 캠페인을 발견했다. 6월초만 해도 하루에 3백만 통에서 1천만 통의 악성 이메일이 발송되는 것이 전부였던 봇넷에서 갑자기 8천만 건의 이메일이 발송되더니(6월 22일), 바로 다음날에는 1억 6천만 건으로 그 수가 늘어났다. “네커스가 다시 살아난 것으로 보입니다. 일시적인 현상인지 장기적으로 진행될 것인지는 더 두고 봐야 하겠지만 말이죠.”
네커스가 잠깐 동안이든 아니든 활동을 다시 정상적으로 시작했다는 것은 ‘그렇다면 3주 간 쉰 것은 무엇 때문인가?’하는 질문을 낳는다. 프렌치는 “아직 정확히 알려진 바가 없다”며 스스로도 매우 궁금하다고 표현했다. “영원히 부활하지 않았다면 경찰 조직이나 사법 기관이 폐쇄조치를 했다고 볼 수 있는데, 다시 살아나서 멀쩡히 활동을 시작해버리니 그런 쪽의 가설은 없어진 거죠.”
프렌치는 두 가지 가능성들이 제기한다. 1) 봇넷의 운영자들이 일시적인 기술문제를 겪어 그걸 해결하느라 시간이 좀 걸렸다는 것이다. 2) 봇넷에 새로운 기능을 추가하는 작업을 했다. 하지만 어느 쪽도 3주라는 시간에 썩 어울리지는 않는다. “솔직히 봇넷의 규모와 어마어마한 실적을 봤을 때 그 어떤 문제라도 해결에 3주씩이나 걸렸다는 게 잘 상상이 가지 않습니다.”
그래서 프렌치는 외부적인 가능성을 또 하나 제기한다. “운영진이 바뀌었고, 인수인계 과정이 필요했다면 3주 정도의 기간은 납득이 됩니다.”
하지만 중요한 건 네커스가 다시 운영을 시작했다는 것 그 자체라고 프루프포인트(Proofpoint)의 부회장인 케빈 엡스타인(Kevin Epstein)은 강주한다. 프로프포인트 역시 비슷한 시기에 네커스 봇넷 트래픽이 급증하고 있다는 사실을 발견, 보고한 바 있다. “네커스는 전 세계적으로 대량의 메일을 발송하는 기반시설로, 드리덱스라는 뱅킹 트로이목마나 록키라는 랜섬웨어를 퍼트리는 주범입니다. 얘가 다시 깨어난 거예요. 상당히 안 좋은 소식이죠.”
엡스타인 역시 3주간의 휴지기에 대한 설명을 딱히 할 수 있는 입장은 아니다. “작년 8월 드리덱스의 봇넷도 잠깐 멈춘 적이 있었어요. 경찰기관의 수사 때문인 것으로 드러났죠. 네커스도 그럴 가능성이 있지만 아직은 아무런 단서가 없어서 쉽사리 판단할 수가 없습니다. 멈춘 이유야 아직 아무도 모르지만, 일단 다시 활동을 시작한 이유는 돈과 관련이 있다고 믿고 있습니다. 수익을 만들어야 하니까 활동을 시작한 것이죠.”
그렇게 생각하는 근거는 사이버 범죄의 가장 큰 동기가 ‘돈’이라는 보편적인 사실과 록키와 드리덱스가 현존하는 멀웨어 중 가장 수익률이 높은 편에 속한다는 것이다. “사용할 줄 안다면, 그리고 그 맛을 본 범죄자라면, 다시 손대지 않는 게 이상할 정도로 성공적인 멀웨어들이죠.”
프루프포인트에 의하면 이번 네쿠스의 활동 재개로 퍼지기 시작한 록키 랜섬웨어는 이전 버전보다 훨씬 더 강력하고 은밀하다고 한다. 게다가 새로운 우회 및 샌드박싱 기술까지 탑재되어 있어 탐지가 더 까다로워졌다.
봇넷 추적을 전문으로 하는 멀웨어테크(MalwareTech)는 “네쿠스는 일곱 개의 작은 봇넷을 합친 것”이라며 “약 1백 7십만 대의 시스템으로 구성되어 있다”고 묘사했다. “5월 31일부터 일곱 개의 봇넷이 전부 오프라인이 되었고, 최근 활동을 재개한 것도 거의 동시에 발생한 일입니다. 누군지 모르지만 이 7개 봇넷을 한꺼번에 운영하고 있음이 분명합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
