이모텟(Emotet) 악성코드는 2014년 뱅킹 트로이목마로 처음 발견되었습니다. 이모텟은 뱅킹 트로이목마에서 시작하여 현재까지 위협 유포자로 진화했습니다. 2018년에는 스팸 발송 및 확산 등의 기능으로 많은 조직에 심각한 피해를 입혔습니다. 또한, 여러 조직에 널리 존재하면서 위협 유포자로 전락했습니다. 2018년 중반부터 이모텟은 위협 행위자들이 트릭봇(TrickBot), 칵봇(Qakbot), 그리고 가장 위험한 류크(Ryuk) 랜섬웨어와 같은 다른 악성코드를 유포하는 데 사용되고 있습니다. 또한 피해자 국가 등 지리적 위치에 따라 모듈을 로드하고 다른 악성코드를 실행하는 것으로 관찰되었습니다.
악성코드 제작자의 전략은 감염된 시스템을 모든 수단으로 사용하는 것입니다. 먼저 신원 정보를 훔치고, 이 신원 정보를 확산 및 스팸 발송에 사용합니다. 마지막으로, 감염된 시스템의 모든 사용이 끝나면 다음과 같은 다른 악성코드를 배포합니다. 랜섬, TrickBot, 칵봇.
2018년 중반부터 Emotet은 다형성, 자체 업데이트 및 확산 기능 때문에 보안 서비스 제공업체에게 골칫거리가 되었습니다. 감염된 네트워크를 치료하는 것이 매우 복잡하고 때로는 치료하는 데 몇 달이 걸리기도 합니다.
이것이 어떻게 당신의 시스템에 들어갈 수 있나요?
이것은 귀하의 시스템에 다음과 같이 입력됩니다. 피싱 메일 아래 그림과 같이:
이러한 이메일에는 doc, pdf, xls, js 등의 악성 첨부 파일이 포함되어 있습니다. 사용자가 이러한 첨부 파일을 열면 Emotet이 다운로드되어 실행됩니다. 때로는 이러한 이메일에 악성 링크가 포함되어 있을 수 있으며, 사용자가 열면 Emotet이 다운로드되어 실행됩니다. 또 다른 방법은 측면 확산입니다. 즉, 같은 네트워크에 있는 친구나 동료가 Emotet에 감염되면, 친구의 컴퓨터가 사용자의 컴퓨터에 Emotet을 배포할 수 있습니다.
이모텟은 무엇을 할 수 있나요?
비밀번호 탈취, 이메일 수집, 스팸 발송, 측면 확산, 다른 악성코드 실행 등 다양한 기능을 갖추고 있습니다. 이러한 모든 기능은 EMOTET에 대한 연구 논문에서 자세히 다루고 있습니다.
충격:
20년 2018월 XNUMX일 발표된 US-CERT 경고에 따르면 "Emotet은 여전히 가장 비용이 많이 들고 파괴적인 악성코드 중 하나입니다. 악성 코드 주, 지방, 부족, 자치령(SLTT) 정부와 민간 및 공공 부문에 영향을 미치고 있습니다. 이모텟 감염으로 인해 SLTT 정부는 사건당 최대 1만 달러의 복구 비용을 부담했습니다.
Quick-Heal 랩에서는 이모텟(emotet)을 통한 스팸 발송으로 많은 고객들이 심각한 피해를 입는 것을 확인했습니다. 악성코드가 사용자의 연락처로 수많은 피싱 메일을 발송하면서 메일 서버가 최대 한도에 도달하여 사용자 계정을 하루 동안 차단했습니다. 결과적으로 감염된 조직의 직원 대부분은 메일을 보낼 수 없게 되었습니다. 이러한 차단은 정상적인 업무 운영에 지장을 초래하고 조직의 평판을 더욱 손상시킬 수 있습니다. 결국 1~2주 후에 전체 네트워크를 완전히 복구할 수 있었습니다.
Ryuk 랜섬웨어 감염으로 인해 사용자의 중요 데이터가 일시적 또는 영구적으로 손실될 수 있습니다.
Quick-Heals Telemetry에서 말하는 내용:
보시다시피 2018년 19월부터 XNUMX월 XNUMX일까지 일일 조회 수가 매우 높습니다. 이는 감염이 얼마나 만연했는지를 보여줍니다. 하지만 실제 고객 에스컬레이션 건수는 그렇지 않습니다. Quick-Heal Labs에서는 하루에 수천 개의 샘플을 감지했음에도 불구하고 발병 후 초기 몇 달 동안 많은 고객 에스컬레이션을 받았습니다. 또한 바이러스 보호, 동작 탐지, 이메일 보호, 메모리 검사, IDS 및 IPS, 머신 러닝 기반, 브라우징 보호 등 각 제품 기능 수준에 몇 가지 규칙, IOC, 시그니처를 추가했습니다. 이는 지난 몇 달 동안 Emotet에 대한 고객 에스컬레이션이 전혀 발생하지 않았으며 이미 감염된 고객도 완전히 치료되었습니다. 통계에 따르면 지난 몇 달 동안 하루에 수천 개의 Emotet 샘플을 감지했지만 고객 에스컬레이션/문제는 보고되지 않았습니다.
이모텟을 어떻게 삭제할 수 있나요?
컴퓨터가 어떤 조직의 네트워크에 연결되어 있다면, 먼저 즉시 격리하십시오. 설치된 소프트웨어의 최신 업데이트를 적용하고 시스템을 정리하십시오.
Emotet은 네트워크 내에서 측면으로 이동할 수 있으므로 네트워크에 다시 연결하면 컴퓨터가 다시 감염될 수 있습니다. 동일한 네트워크에서 감염된 각 컴퓨터를 식별하고 치료해야 합니다. 이 과정은 매우 복잡합니다. Quick-heal Antivirus를 선택할 수 있습니다. Seqrite 엔드포인트 보안 이 복잡한 과정을 피하고 이미 감염된 컴퓨터를 청소하고 향후 Emotet 감염을 사전에 차단하여 안전을 유지하세요.
예방 조치
- 최신 운영체제, 보안 소프트웨어 및 기타 소프트웨어를 업데이트하여 컴퓨터를 최신 상태로 유지하세요.
- 알 수 없거나 신뢰할 수 없는 출처에서 받은 메일의 링크는 열지 마세요.
- 알 수 없거나 신뢰할 수 없는 출처에서 받은 첨부 파일은 다운로드하지 마세요.
- Microsoft Office 문서에 '매크로'를 활성화하지 마세요.
- 강력한 비밀번호를 유지하기 위해 자신과 다른 사람들을 교육하세요.
- 가능한 경우 2단계 인증을 사용하세요.
결론 :
통계에 따르면 지난 몇 달 동안 매일 수천 건의 Emotet 샘플이 감지되었지만, 아직까지 고객 에스컬레이션/문제는 보고되지 않았습니다. 따라서 Quick Heal이 오늘까지 Emotet을 차단할 수 있었다고 말할 수 있습니다. 악성코드와 보안 업체 간의 끊임없는 탐욕과 경쟁이 지속되는 만큼, Emotet의 진화는 앞으로도 계속될 것으로 예상됩니다. 앞으로도 Emotet을 지속적으로 모니터링하고 모든 고객이 이러한 악성코드로부터 안전하게 보호받을 수 있도록 최선을 다하겠습니다.
콘텐츠 제공
바장 마네, 보안 연구소
