트로이목마 안을 들여다보자: 이모텟(Emotet) 완전 파헤치기!

맥스 하인마이어(Max Heinemeyer), 위협 대응 총괄 | 2019년 1월 10일목요일

기존의 보안 툴은 물론, 기존 보안 툴을 넘어서고자 하는 공격들도 발전을 거듭하는 가운데, 보안 체계의 내재적 약점을 악용하려는 사이버 범죄자들이 점점 더 늘고 있다. 그 내재적 약점은 바로 기업의 직원들이다. 특정 기업의 직원들이 자신도 모르는 새 기기 보안 침해에 가담하도록 설계된 컴퓨터 트로이목마 악성코드는 빠른 증가세를 보이고 있다. Darktrace는 특히 속임수를 활용하여 멀웨어에 감염된 기기로부터 온라인 뱅킹 이용자들의 자격 증명 관련 정보를 탈취하는 뱅킹 트로이목마(banking trojans) 관련 보안 침해가 2018년 전년도 대비 239% 증가한 것을 확인했다. 그리고 특히 뱅킹 트로이목마 중 하나인 이모텟(Emotet)은 전 세계 정부 및 기업들을 위협하고 있는 가장 심각한 피해를 야기하는 멀웨어의 한 종류로 꼽힌다.

이모텟은 모듈형 구조의 매우 정교한 멀웨어로, 먼저 메인 컴포넌트를 설치한 후, 추가 악성코드인 페이로드(payloads)를 실행한다. 이모텟은 “다형(多形)성 멀웨어”로 여겨지는데, 이는 이모텟이 안티바이러스 제품들의 탐지를 피하기 위해 식별 가능한 특성들을 계속해서 변화시키기 때문이다. 이러한 특징 때문에 이모텟은 보다 미묘한 방식으로 움직일 수 있다. 아래에 더 자세히 기술하겠지만, 이모텟은 고도의 영속성 유지 테크닉 및 자가 복제 능력도 갖추고 있어 매우 끈질기고 위험한 공격이다.

이모텟은 2014년 처음 등장한 이후, 공격 대상이 다양해짐에 따라 여러 번의 개조 및 목표 수정을 거쳤다. 초기에는 네트워크 트래픽에 개입하여 금융 정보를 탈취하도록 설계된 멀웨어를 사용해 독일 은행들을 공격 대상으로 삼았다. 지난해 말 기준, 이모텟은 이미 전 세계적으로 넓게 확산된 동시에, 미국에 위치한 공격 대상에 공격 노력을 집중하기 시작했고, 파일의 영구 손실은 물론, 비즈니스에 막대한 피해를 입히고 심각한 평판 훼손을 야기했다.

이모텟의 공격 방법

(Image courtesy of US-CERT)

이모텟은 정교한 피싱(phishing) 캠페인을 이용해 윈도우 기반 시스템들을 타깃으로 삼고, 사용자들이 멀웨어가 담긴 이메일들을 특이점이 없는 이메일이라고 믿도록 속이는 사회적 공학 테크닉을 활용해 확산된다. 예를 들어, 이모텟 최신 버전 공격들은 추수감사절 관련 이메일을 활용해 이메일을 받은 미국인 수신자들이 무해해 보이는 추수감사절 카드를 의심 없이 열어보게 만듦으로써 수행되었다.

위와 같이 전송된 이메일에는 마이크로소프트 워드 문서들이 링크 또는 첨부파일로 포함되어 있었다. 그 워드 파일들은 악성 매크로를 활성화하는 벡터(vector)로 쓰였는데, 해당 사용자가 직접 활성화를 해야만 실행되는 매크로였다. 보안을 지키기 위해 대부분의 최신 버전의 마이크로소프트 어플리케이션에서는 기본 설정으로 매크로 실행이 비활성화되어있다. 즉, 해당 공격 배후의 사이버 범죄자들은 사용자들이 직접 매크로를 활성화하도록 속임수를 써야만 했다. 이 경우, 추수감사절 카드를 이용해 사용자들을 속인 것이다.

매크로가 실행되면, 해당 워드 파일이 실행되고 파워 셸(Powershell) 명령이 활성화되어 보안 침해가 발생한 서버들로부터 메인 이모텟 컴포넌트가 다운로드된다. 위에서 언급했듯, 이모텟의 페이로드들은 다형성을 띄어, 기존 보안 툴들에 의해 탐지되지 않는 경우가 많다.

이모텟이 끈질긴 공격을 지속하고 자가 복제하는 방법

피해 컴퓨터에서 이모텟이 실행이 되고 나면, 이모텟은 다음 두 개의 주요 목표를 달성하기 위해 배포되기 시작한다. 첫 번째 목표는 영속성을 확보하는 것이고, 두 번째 목표는 더 많은 기기로 확산되는 것이다. 첫 번째 목표를 달성하려면 리부팅(reboot) 및 다양한 제거 시도를 무력화시켜야 하는데, 이를 위해 이모텟은 다음과 같은 조치를 취한다.

  • 시스템이 구동될 때마다 이모텟이 자동 실행될 수 있도록 예약 태스크(scheduled tasks) 및 레지스트리 키 엔트리(registry key entries) 생성한다.
  • 시스템 루트 디렉토리(root directories) 안에 무작위로 생성된 이름으로 파일을 생성하여 이모텟을 등록하며, 이러한 파일들은 윈도우 서비스로서 실행된다.
  • 보통 AppData\Local이나 AppData\Roaming의 경로에 위치한 디렉토리 안에 페이로드들을 ‘flashplayer.exe’와 같이 정상적으로 보이는 이름으로 저장한다.

이모텟의 두 번째 주요 목표는 바로 로컬 네트워크 등으로 확산하여 최대한 많은 기기들을 감염시키는 것이다. 이 목적을 달성하기 위해 이모텟은 가장 먼저 공격 대상 시스템 자체와 그 시스템이 사용하는 운영체제에서 정보를 수집한다. 이러한 정찰 단계를 마친 후, 이모텟은 어떤 악성코드를 실행할지 결정하기 전에 자신의 상위 인프라와 암호화된 명령제어(C2) 통신을 한다. 새로운 감염을 보고한 후, 이모텟은 C2서버들로부터 모듈들을 다운로드한다. 다운로드 되는 모듈의 예는 다음과 같다.

  • 웹브라우저 패스 뷰(WebBrowserPassView): 크롬(Chrome), 사파리(Safri), 파이어폭스(Firefox), 인터넷 익스플로러(Internet Explorer) 등과 같은 보편적인 웹 브라우저에서 패스워드를 탈취하는 툴
  • NetPass.exe: 현재 로그인 상태인 사용자를 위해 시스템 상에 저장되어 있는 모든 네트워크 패스워드를 복구하는 정상적 툴
  • 메일 패스 뷰(MailPassView): 핫메일(Hotmail), 구글메일(Gmail), 마이크로소프트 아웃룩(Microsoft Outlook), 야후메일(Yahoo! Mail) 등 자주 쓰이는 이메일 클라이언트들의 패스워드 및 계정 상세 정보를 알아내는 툴
  • 아웃룩 PST 스크레이퍼(Outlook PST scraper): 아웃룩 상의 메시지들을 검색하여 공격 대상인 아웃룩 계정에서 여러 이름 및 이메일 주소 등을 탈취하는 모듈
  • 자격 증명 정보 열거장치: 네트워크 리소스를 열거하고 SMB 세션 열거(enumeration) 및 무작위 대입 연결시도를 이용해 다른 기기에 접근하고자 시도하는 모듈
  • 뱅킹 트로이목마: 반복적인 브라우저 모니터링을 통해 금융 계정 정보를 수집하는 드리덱스(Dridex), 아이스아이디(IceID), 제우스 판다(Zeus Panda), 트릭봇(Trickbot), 칵봇(Qakbot) 등이 포함된다.

웹브라우저 패스 뷰(WebBrowserPassView), NetPass.exe 및 메일 패스 뷰(MailPassView) 모듈들이 보안 침해된 사용자의 자격 증명 정보들을 탈취할 수 있는 한편, PST 스크레이퍼 모듈은 사용자의 친구, 가족, 동료 및 클라이언트 등의 연락처 정보를 찾아내 탈취할 수 있다. 따라서 이모텟은 그러한 연락처들로 피싱 이메일을 발송함으로써 자가 복제할 수 있다. 그리고 이러한 이메일은 이미 지인이거나 각별한 사람들에 관한 이미 알려진 정보를 해킹하여 보내진 것이기 때문에 수신자들은 감염된 첨부파일 및 링크를 열어볼 가능성이 더 높다.

이모텟의 또 다른 자가 복제 방법은 바로 네트워크 내 다른 기기들에 대한 접근을 하고자 다양한 패스워드를 일일이 무작위로 대입하여 자격 증명 관련 정보를 탈취하는 것이다. 이러한 방법이 성공하지 못할 경우, 해당 멀웨어가 여러 번 로그인에 실패함에 따라 사용자들의 계정이 잠겨버릴 수 있고, 성공할 경우에는, 악성 링크나 첨부파일을 클릭하지 않아도 공격 대상이 된 기기들이 감염될 수 있다. 이러한 전술들 덕분에 이모텟은 상당히 오래 지속되며 널리 확산될 수 있다. 실제로, Darktrace가 2017년에서 2018년 사이 뱅킹 트로이목마 관련 사건들이 239% 증가했음을 확인한 바와 같이, 이모텟 공격 건수만 보더라도 1년 사이 39% 증가하였다. 하지만 앞으로 상황은 더욱 악화될 수 있다.

인공지능의 반격

이모텟은 어디에나 흔히 존재하는 인간의 실수라는 취약점을 악용하고 단말 솔루션들을 우회하도록 설계되었기 때문에 기존 보안 툴들이 감당하기 어려운 과제이다. 하지만 기존 보안 툴들과 달리, Darktrace는 비지도 머신러닝 알고리즘을 활용하여 이미 네트워크에 침투한 사이버 위협들을 탐지한다. 인간의 면역계를 본 따 개발된 Darktrace 인공지능은 보호하고자 하는 각 사용자, 기기 또는 네트워크의 고유한 “활동패턴”을 학습함으로써 작동한다. 이렇게 상시 변화하는 “정체성”에 관한 이해를 바탕으로 Darktrace는 정상 행동과 이상 행동을 구별할 수 있으며, 이를 통해 인간의 면역계가 해로운 세균들을 찾아내는 것과 비슷한 방식으로 사이버 공격들을 식별할 수 있다.

최근 다크트레이스의 인공지능 모델들은 한 고객의 네트워크 내 한 기기에서 명확한 이모텟 감염의 징후를 발견했다. 이 기기가 의심스러운 파일을 다운로드하고 있음이 관찰되었다. 그로부터 얼마 지나지 않아 통상적으로 연결하지 않던 한 외부의 도달 지점으로 비커닝(beaconing)을 하기 시작했는데, 이는 아마 C2서버에 감염을 보고하기 위한 것이었을 확률이 높다.

그 후, 해당 기기가 네트워크 내부망 이동을 하며 무작위 대입(brute-force) 활동을 수행하는 것이 관찰되었다. 사실 Darktrace는 관리자 계정들을 포함한 수 천 개의 계정에 대한 커베로스(Kerberos) 로그인 실패와 “admin” 및 “exchange”와 같은 흔한 사용자 이름을 사용한 SMB 세션 실패를 다수 건 탐지했다. 아래의 그래프는 보안 침해된 기기에서 나타난 SMB 및 커베로스 무작위 대입(brute-force) 활동을 보여준다.

자격증명정보 열거 확인 모듈로 수행되는 무작위 대입(brute-forcing) 활동 외에도, Darktrace는 스팸 메일의 기능을 수행할 수 있는 또 다른 페이로드를 탐지했다. 감염된 기기는 널리 쓰이는 이메일 포트들을 통해 수많은 외부로의 연결을 하기 시작했다. 이 활동은 대게 공격 대상으로부터 탈취한 이메일 연락처들로 이메일을 발송하는 이모텟의 전형적 확산 방식과 일맥상통하다. 아래는 보고된 이모텟 감염 당시 보안 침해가 나타난 Darktrace 모델들을 나타낸 이미지다.

Darktrace는 정상 상태에 대한 종합적 이해를 갖춤으로써 아주 미세한 이상 행동까지도 실시간으로 식별하여 표시할 수 있어, 이미 네트워크 경계를 우회한 이모텟과 같은 미묘한 위협들도 물리칠 수 있다. 이제 기업들이 최첨단 뱅킹 트로이목마 프로그램에 대항하는 데 있어 Darktrace와 같은 사이버 인공지능 기반 보안 방어 솔루션은 없어서는 안될 필수품이 되었다.