마이크로소프트: Emotet 악성코드가 PC 과열로 전체 네트워크를 마비시킴

마이크로소프트의 사이버 보안 솔루션 그룹의 탐지 및 대응 팀(DART)은 목요일, 고객의 전체 IT 네트워크가 Emotet 악성코드로 인해 PC가 과열되어 마비되었다고 발표했습니다. 이는 직원 중 한 명이 피싱 이메일 첨부파일을 열도록 속았기 때문입니다.

이 악성코드는 관리 계정 자격 증명을 훔쳐 새로운 시스템에서 자신을 인증하여 Fabrikam(마이크로소프트가 사례 연구에서 피해자를 위해 사용하는 가명)의 시스템을 감염시켰습니다.

그 후, 같은 네트워크의 다른 시스템을 감염시켜 측면 이동을 하였습니다. 이 바이러스는 Windows 장치에서 CPU 사용량을 최대화하여 핵심 서비스를 동결시켰습니다.

또한 읽어보세요 - Emotet 악성코드는 Wi-Fi 네트워크를 통해 확산될 수 있습니다.

“우리는 DART 사례 보고서 002: 전체 운영 중단을 공유하게 되어 기쁩니다. 보고서 002에서는 다형성 악성코드가 조직의 전체 네트워크에 퍼진 실제 사건 대응 참여를 다룹니다.”라고 마이크로소프트 DART 발표문에 적혀 있습니다.

“피싱 이메일이 Emotet를 전달한 후, 네트워크 공유 및 레거시 프로토콜을 통해 전파되는 다형성 바이러스가 조직의 핵심 서비스를 중단시켰습니다. 이 바이러스는 공격자 제어의 명령 및 제어(C2) 인프라의 정기 업데이트를 통해 안티바이러스 솔루션의 탐지를 피하고, 회사의 시스템을 통해 확산되어 네트워크 중단을 초래하고 필수 서비스를 거의 일주일 동안 중단시켰습니다.”

마이크로소프트에 따르면, Fabrikam은 직원이 피싱 이메일을 연 지 8일 후 DART에 도움을 요청했습니다. 그때까지 Fabrikam의 전체 IT 운영은 Emotet 악성코드로 인해 중단되었습니다. 185개의 감시 카메라 네트워크도 포함되어 있었습니다.

전문가들은 PC가 과열되고, 동결되며, 블루 스크린으로 인해 재부팅되는 것을 관찰했습니다. Emotet가 모든 대역폭을 소모하면서 인터넷 연결 속도도 약간 느려졌습니다.

“그들의 기계가 마지막으로 과열되었을 때, Fabrikam은 문제가 공식적으로 통제 불능 상태에 빠졌다는 것을 알았습니다. ‘우리는 이 출혈을 멈추고 싶다’고 한 관계자가 나중에 말했습니다.”라고 DART 사례 연구 보고서에 적혀 있습니다.

“그는 조직이 사이버 공격을 방지하기 위한 광범위한 시스템을 갖추고 있다고 들었지만, 이 새로운 바이러스는 모든 방화벽과 안티바이러스 소프트웨어를 피했습니다. 이제 그들은 컴퓨터가 하나씩 블루 스크린이 되는 것을 지켜보면서 다음에 무엇을 해야 할지 전혀 알지 못했습니다.”

이 악성코드는 직원의 손상된 컴퓨터를 사용하여 분산 서비스 거부(DDoS) 공격을 시작하고 네트워크를 압도했습니다.

“관계자들은 이 바이러스가 Fabrikam의 모든 시스템, 심지어 185개의 감시 카메라 네트워크를 위협한다고 발표했습니다.”라고 DART의 보고서에 적혀 있습니다.

“재무 부서는 외부 은행 거래를 완료할 수 없었고, 파트너 조직은 Fabrikam이 제어하는 데이터베이스에 접근할 수 없었습니다. 혼란이었습니다.

“그들은 해커의 외부 사이버 공격이 중단을 초래했는지, 아니면 내부 바이러스에 대처하고 있는 것인지 알 수 없었습니다. 그들이 네트워크 계정에 접근할 수 있었다면 도움이 되었을 것입니다.

“Emotet는 네트워크의 대역폭을 소모하여 아무것도 사용하는 것이 사실상 불가능해졌습니다. 이메일조차도 통과할 수 없었습니다.”

마이크로소프트 전문가들은 자산 제어 및 관리자 권한이 있는 자산을 격리하는 버퍼 존을 사용하여 Emotet 감염을 성공적으로 제어했습니다. 그들은 안티바이러스 서명을 업로드하고 Defender Advanced Threat Protection, Azure Security Scan, Azure Advanced Threat Protection 서비스 및 기타 마이크로소프트 특수 목적의 악성코드 탐지 도구의 시험 라이센스를 배포한 후 Emotet 감염을 완전히 제거했습니다.

또한 현장 역공학자들이 Microsoft System Center Configuration Manager를 수리하여 Fabrikam이 다시 정상적으로 운영될 수 있도록 했습니다.

마이크로소프트는 사용자가 Emotet 악성코드의 전파를 탐지하고 차단하기 위해 Office 365 Advanced Threat Protection (ATP)와 같은 이메일 필터링 도구를 사용하고, 이러한 공격을 방지하기 위해 다단계 인증(MFA)을 사용할 것을 권장합니다.