Emotet 악성코드가 이제 Wi-Fi 네트워크를 통해 확산될 수 있습니다

Binary Defenses의 보안 연구원들은 최근 감염된 시스템의 범위 내에 있는 Wi-Fi 네트워크를 해킹할 수 있는 새로운 변종 Emotet 트로이 목마를 발견했습니다.

Emotet은 원래 은행 트로이 목마로 설계된 일종의 악성코드로, 브라우저에 저장된 사용자 자격 증명과 같은 데이터를 훔치고, 다른 유형의 악성코드와 랜섬웨어를 설치하며, 봇넷을 형성할 수 있습니다. 이 악성코드는 네트워크를 스캔하여 SSID, 암호화 유형 및 인증 방법을 결정합니다.

또한 읽어보세요 - WPA/WPA2 공격을 사용하여 WiFi 비밀번호 해킹하는 방법

새로 발견된 Emotet 샘플은 보안이 취약한 Wi-Fi 네트워크를 스캔하기 위해 “Wi-Fi 확산기” 모듈을 작동시키고, 약한 비밀번호와 기타 보안 결함을 이용하여 연결된 장치를 감염시키려고 시도합니다.

“Emotet에 의해 사용되는 이 새로 발견된 로더 유형으로 인해 Emotet의 기능에 새로운 위협 벡터가 도입되었습니다. 이전에는 악성 스팸과 감염된 네트워크를 통해서만 확산되는 것으로 생각되었던 Emotet은 이 로더 유형을 사용하여 네트워크가 안전하지 않은 비밀번호를 사용할 경우 인근 무선 네트워크를 통해 확산될 수 있습니다.”라고 Binary Defense의 위협 연구원 및 악성코드 분석가인 James Quinn이 블로그 게시물에서 썼습니다.

연구원들은 2020년 1월 23일 Emotet에 의해 Wi-Fi 확산 바이너리가 배포되는 것을 처음으로 발견했습니다. 실행 파일의 타임스탬프는 2018년 4월 16일이며, 2018년 5월 4일에 VirusTotal 데이터베이스에 처음 제출되었습니다.

이는 Wi-Fi 확산 행동이 거의 2년 동안 “눈치채지 못한” 상태로 실행되고 있었음을 나타냅니다. 이는 Emotet이 2019년 8월 말에 처음 돌아왔을 때부터의 데이터가 있음에도 불구하고 바이너리가 드물게 떨어지기 때문일 수 있습니다.

Emotet은 어떻게 작동합니까?

“우리는 연구를 위해 사용된 Emotet 봇에서 이 악성코드 샘플을 가져와 IDA Pro를 사용하여 악성코드 코드를 역공학하여 어떻게 작동하는지 확인했습니다.”라고 Binary Defense의 위협 헌팅 및 반정보 선임 이사인 Randy Pargman이 Help Net Security에 말했습니다.

악성코드가 Wi-Fi 기능이 있는 컴퓨터를 감염시키면, wlanAPI 인터페이스를 사용하여 인근 지역의 Wi-Fi 네트워크를 찾습니다.

“그 네트워크가 가입을 위해 비밀번호로 보호되어 있더라도, 악성코드는 가능한 비밀번호 목록을 시도하고, 추측한 비밀번호 중 하나가 Wi-Fi 네트워크에 연결하는 데 성공하면 감염된 컴퓨터가 해당 네트워크에 가입하게 됩니다.”라고 Pargman이 설명했습니다.

“네트워크에 접속하면, 악성코드는 동일한 네트워크에 연결된 모든 다른 컴퓨터를 스캔하여 파일 공유가 활성화된 Windows 컴퓨터를 찾습니다. 그런 다음 해당 컴퓨터의 모든 사용자 계정 목록을 가져오고, 그 계정과 관리자 계정의 비밀번호를 추측하려고 시도합니다. 추측한 비밀번호 중 하나라도 맞으면, 악성코드는 해당 컴퓨터에 자신을 복사하고 다른 컴퓨터에서 원격 명령을 실행하여 설치합니다.”

결국, 설치를 확인하기 위해 명령 및 제어 서버에 보고합니다. 이렇게 악성코드는 가능한 한 많은 장치를 감염시키려고 시도합니다.

Quinn은 기업들이 강력한 비밀번호를 사용하여 무선 네트워크를 보호해야 Emotet과 같은 악성코드가 네트워크에 무단으로 접근할 수 없다고 경고합니다.

또한 읽어보세요 - Windows 10 PC를 위한 최고의 무료 안티바이러스 소프트웨어

“이 위협에 대한 탐지 전략에는 새 서비스가 설치되는지에 대한 엔드포인트의 적극적인 모니터링과 의심스러운 서비스 또는 임시 폴더 및 사용자 프로필 응용 프로그램 데이터 폴더에서 실행 중인 프로세스 조사 등이 포함됩니다.”라고 Quinn이 언급합니다. “네트워크 모니터링 또한 효과적인 탐지 방법입니다. 통신이 암호화되지 않고 악성코드 메시지 내용을 식별하는 인식 가능한 패턴이 있기 때문입니다.”

발견 사항에 대한 자세한 정보는 여기에서 자세한 문서를 읽을 수 있습니다.