안랩은 자동 분석 시스템 ‘RAPIT’을 활용하여 다양한 경로를 통해 수집된 악성코드들을 분류하여 분석 및 대응하고 있다. 최근 발간된 ASEC 3분기 리포트에 따르면, 공격자들은 이메일에 악성 첨부파일을 유포하는 형태로 공격을 진행하는 경우가 많았다. 

이번 글에서는 2023년 3분기 ASEC 리포트를 통해 분석한 악성코드 동향을 간략히 소개한다.  

2023년 3분기 악성코드 통계​ 

2023년 3분기에 수집된 알려진 악성코드를 분석한 결과, [그림 1]과 같이 다운로더(45.6%), 백도 어(36.4%), 인포스틸러(14.4%), 랜섬웨어(3.4%), 뱅킹(0.1%), 코인마이너(0.1%) 순서로 점유율을 차지한다. 

백도어는 공격자로부터 명령을 전달받아 추가 악성코드를 설치하거나 키로깅, 스크린샷 같은 정보 수집, 그리고 악의적인 명령을 수행하는 RAT(Remote Administration Tool)을 포함한다. 다운로더는 주로 자체적인 기능보다는 최종적으로 추가 악성코드를 설치하는 것이 목적이다. 인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다. 

랜섬웨어는 사용자 환경의 파일들을 암호화하여 금전적 이득을 얻기 위해 사용되는 악성코드이다. 코인마이너는 사용자 인지 없이 가상화폐를 채굴함에 따라 공격자의 금전적 이득과 동시에 시스템 성능을 저하시킨다. 뱅킹 악성코드의 사용자 정보 탈취 기능은 인포스틸러와 유사하지만 폼 그래빙(Form Grabbing)과 같은 기법을 사용해 웹 브라우저에서 사용자가 입력하는 데이터를 가로채 사용자의 온라인 뱅킹 계정 정보를 포함한 다양한 정보들을 수집할 수 있다. 한편 최근 코인마이너와 뱅킹 악성코드의 경우에는 기존보다 현격하게 유포 수량이 감소한 특징을 보이며, 각각 코인마이너에서는 글룹테바(Glupteba)가, 뱅킹 악성코드에서는 이모텟(Emotet)이 매우 낮은 수량으로 유포되었다.

2023년 3분기 악성코드 유형별 상세 정보 ​​ ​ 

2023년 3분기에 수집된 악성코드 분석 결과를 토대로, 어떤 악성코드가 사용되었는지에 대한 상세한 정보를 정리한다.

1. 다운로더(Downloader)

2023년 3분기, 다운로더 유형 중에서는 아마데이(Amadey)가 가장 많은 비율을 차지한다. 아마데이는 주로 메일을 통해 악성 문서 파일이나 문서로 위장한 실행 파일 형태로 유포되며, 과거 국내 유명 메신저 프로그램으로 위장하여 유포된 이력이 있다. 감염 시 공격자의 명령을 받아 사용자 정보를 탈취하거나 추가 악성코드를 다운로드하여 설치할 수 있다. 또한 스모크로더(SmokeLoader), 니톨(Nitol) 등 타 악성코드로부터 설치되기도 한다.

[그림 2] 2023년 3분기 다운로더 악성코드 유형별 비율

구로더(GuLoader)는 악성코드를 다운로드하여 실행시키는 다운로더 악성코드이다. 과거 진단 우회 목적으로 비주얼 베이직(Visual Basic) 언어로 패킹되어 있었으나, 최근에는 NSIS 인스톨러 및 VBS 스크립트 등 다양한 유형으로 유포된다. 원래 이름은 클라우드아이(CloudEye)로 알려져 있으나 다운로드 주소로 구글 드라이브가 자주 사용하여 주로 GuLoader(구로더)로 불린다. 이 외에도 마이크로소프트의 원 드라이브, 텔레그램 API를 활용한 다양한 주소가 사용될 수 있다.

스모크로더는 상용 소프트웨어의 크랙이나 시리얼 키 생성 프로그램의 다운로드 페이지를 위장한 악성 웹 페이지를 통해 유포되며, 공격자의 설정에 따라 스톱(Stop) 랜섬웨어와 같은 추가적인 악성코드를 설치하거나 계정 정보를 포함한 다양한 사용자 정보 탈취 모듈을 설치할 수 있다. 

빔윈HTTP(BeamWinHTTP)는 PUP 설치 프로그램을 위장하여 유포되는데, 실행 시 PUP 악성코드인 가비지 클리너(Garbage Cleaner)를 설치하고 동시에 주로 인포스틸러와 같은 추가 악성코드들을 다운로드한다.

2. 인포스틸러(InfoStealer)

2023년 3분기 수집된 인포스틸러 악성코드를 분석한 결과, [그림 3]과 같이 에이전트테슬라(63.9%), 폼북(19.6%), 로키봇(9.1%), 스네이크키로거(3.4%), 비다르(3.3%), 아조럴트(0.6%), 포니(0.1%) 순서로 점유율을 차지한다. 

인포스틸러는 에이전트테슬라, 폼북과 같은 몇몇 종류의 악성코드들이 수년 전부터 꾸준히 유포되어 대부분의 비중을 차지하고 있다. 에이전트테슬라는 주로 스팸메일의 첨부 파일을 통해 다양한 외형을 통해 유포되며, 사용자 환경 내의 다양한 웹 브라우저 및 이메일, FTP 클라이언트에 저장되어 있는 계정 정보를 탈취한다.

폼북, 로키봇, 스네이크키로거 등도 스팸메일의 첨부 파일을 통해 유포되는 대표적인 정보 탈취형 악성코드들이다. 이 중 스네이크키로거는 2021년경부터 확인되기 시작하여 꾸준히 높은 비율을 차지하고 있다. 스네이크키로거는 수집한 정보 탈취 시 SMTP를 사용한다는 점에서 에이전트테슬라와 유사성을 보이며, 이외에도 HTTP, FTP 등 다양한 방식들을 지원한다. 로키봇 악성코드는 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 계정 정보를 탈취하는 기능을 가지고 있으며, 마이크로소프트 비주얼 베이직과 NSIS(Nullsoft Scriptable Install System) 형태를 비롯한 다양한 외형으로 유포되는 특징을 가지고 있다. 

다음으로, 비다르, 크립봇(CryptBot), 레코드스틸러(RecordStealer)는 스팸메일의 첨부 파일 대신 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의 다운로드 페이지로 위장한 악성 사이트를 주요 유포 경로로 사용하는 대표적인 악성코드이다. 비다르는 수년 전부터 꾸준히 공격자에 의해 애용되고 있는 대표적인 정보 탈취형 악성코드이다. 비다르는 버전이 업데이트되면서 제작자가 기능을 계속 추가해 나가고 있는데, 최근에는 C&C 서버 주소 획득을 위해 게임, 소셜네트워크서비스 등 다양한 플랫폼을 악용하는 방식이 사용되는 점이 특징이다. 

레코드스틸러는 2022년 하반기부터 유포되기 시작한 신종 악성코드이며 라쿤 스틸러(Raccoon Stealer)의 새로운 버전으로 알려져 있다. 기존 라쿤 스틸러와 비교했을 때 모든 면에서 완전히 달라졌기 때문에 구분을 위해서 레코드스틸러로 명명하여 분류한다. C2의 응답에 따라 다양한 악성 행위가 가능하며 추가 악성코드 설치 기능도 포함하고 있다. 정보 수집 행위에 필요한 라이브러리를 C2로부터 각각 다운로드하여 사용하며 HTTP 요청 헤더의 유저-에이전트(User-Agent)를 특정 문자열로 주기적으로 변경한다는 특징이 있다.

3. 백도어(Backdoor) 

2023년 3분기 수집된 백도어 악성코드를 분석한 결과, [그림 4]와 같이 레드라인(38.9%), njRAT(19.0%),렘코스(12.1%), Tofsee(7.7%), 아베마리아(7.4%), 나노코어(6.2%), 퀘이사(3.3%), 다크코멧(1.2%) 등의 순서로 점유율을 차지하고 있다. 

백도어는 RAT 악성코드를 포함한다. 이번 분기 가장 많은 비율을 차지한 레드라인은 웹하드 등에서 상용 소프트웨어 크랙으로 위장한 채 유포되는 대표적인 악성코드로, 최근 게임 핵 프로그램 등을 위장하여 유튜브를 경로로 유포되는 사례 또한 관찰된다. 기본적으로 공격자로부터 명령을 전달받아 악성 행위를 수행하는 백도어 악성코드이지만 다른 인포스틸러 악성코드들처럼 웹 브라우저에 저장된 계정 정보를 비롯하여 다양한 정보들을 탈취할 수 있는 기능이 포함되어 있다.

njRAT은 과거부터 토렌트나 웹하드를 통해 성인 게임 및 불법 크랙 프로그램으로 위장하여 유포되는 대표적인 RAT 악성코드이다. 최근에는 과거보다 수량이 줄어들었지만 공개된 빌더를 통해 쉽게 제작이 가능하기 때문에 꾸준히 공격자들에 의해 사용되고 있다. 

렘코스는 상용 RAT 악성코드로서 다양한 공격자들에 의해 사용되고 있다. 대표적으로 스팸메일의 첨부 파일을 통해 유포되거나, 최근에는 부적절하게 관리되는 MS-SQL 서버를 대상으로 하는 공격에도 코발트 스트라이크와 함께 사용되고 있다.

퀘이사는 닷넷으로 개발된 오픈소스 RAT으로 최근 사설 HTS 프로그램을 통해 유포되거나, 특정 공격 그룹에서 퀘이사 기반의 오픈소스 RAT인 xRAT을 활용한 사례가 존재한다. 프로세스 및 파일, 레지스트리와 같은 시스템 작업, 원격 명령 실행, 파일 업로드 및 다운로드와 같은 기능 이외에도, 키로깅과 계정정보 수집, 원격 데스크톱을 통한 감염 시스템 제어 기능을 포함한다. 

Tofsee는 스팸봇 악성코드로서 비다르, 스톱 랜섬웨어 등과 동일한 패커 외형을 갖는 것으로 보아 주로 상용 소프트웨어의 크랙 등으로 위장한 악성 사이트에서 유포되는 악성코드를 통해 추가적으로 설치되는 것으로 추정된다. Tofsee는 감염 이후 C&C 서버로부터 명령을 받아 코인 마이닝, 계정 정보 탈취, DDoS 공격 등 다양한 기능의 추가 모듈을 설치할 수 있다.

나노코어는 주로 스팸메일의 첨부 파일을 통해 유포되는 RAT 악성코드로서 과거 빌더의 크랙 버전이 유출된 이후 10년 가까운 시간 동안 꾸준히 사용되고 있다. 이와 같은 양상은 아베마리아도 유사하며, 렘코스와 마찬가지로 제작자에 의해 꾸준히 업데이트되고 있지만 과거 빌더의 크랙 버전이 공개됨에 따라 다양한 공격자들이 이를 이용하고 있다. 넷서포트(NetSupport) 또한 최근 이러한 방식으로의 유포 사례가 확인되었다. AsyncRAT은 깃허브에 공개된 악성코드로 마찬가지로 쉽게 구할 수 있기 때문에 다양한 공격에 사용되고 있다. 국내를 대상으로 하는 공격에는 주로 스팸메일의 첨부 파일을 통해 유포되는 것이 확인되며, 부적절하게 관리되고 있는 MSSQL 서버를 대상으로 한 공격을 통해 유포된다.

4. 랜섬웨어(Ransomware)

2023년 3분기 수집된 악성코드를 분석한 결과, [그림 5]와 같이 맬록스(53.2%), 아바돈(12.6%), 스톱(11.4%), 포보스(10.1%), 록빗(8.9%), 다르마(3.8%) 순서로 점유율을 차지한다. 

국내 사용자를 대상으로 유포되는 대표적인 랜섬웨어로 매그니베르(Magniber)가 있지만, 현재 통계에서는 제외되었다. 이번 분기 실행 파일 형태로 유포되는 랜섬웨어 유형 중에는 맬록스(Mallox) 랜섬웨어가 가장 많은 비율을 차지하고 있다. 맬록스 랜섬웨어는 주로 부적절한 계정 정보가 설정된 취약한 MS-SQL 서버를 대상으로 유포되는 특징이 있다.

스모크로더(SmokeLoader)와 같은 다른 악성코드들에 의해 설치되는 스톱(Stop) 랜섬웨어는 일반적인 랜섬웨어 악성코드와 달리 실행 시 먼저 비다르(Vidar)와 같은 정보 탈취형 악성코드를 설치하여 사용자 정보를 수집한 이후에 암호화를 진행하는 것이 특징이다.

록빗(LockBit) 랜섬웨어는 국내 기업 사용자들을 대상으로 이력서를 위장한 스팸메일의 첨부 파일로 유포 중이며, 과거 마콥(Makop) 랜섬웨어 유포와 동일한 방식이다. 이러한 유형의 스팸메일 첨부 파일에는 문서 파일을 위장한 아이콘과 사용자의 실행을 유도하는 파일명을 포함하고 있는 것이 특징이다. 최근에는 입사 지원서를 위장하여 업데이트 버전인 v3.0과 v2.0 버전이 함께 유포되고 있다. 이 외에도 아마데이 봇과 같은 다운로더를 통해 록빗 랜섬웨어를 설치하는 경우도 관찰된다.

과거 크라이시스(Crysis) 랜섬웨어의 변종으로 여겨지는 포보스(Phobos) 랜섬웨어와 다르마(Dharma) 랜섬웨어는 관리가 취약한 RDP를 공격 벡터로 활용하거나 정상 프로그램을 위장 하여 유포되는 것이 특징이다.

시사점 

2023년 3분기 통계에서 다룬 대부분의 악성코드는 스팸메일의 첨부 파일을 통해 유포되거나, 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의 다운로드 페이지로 위장한 악성 사이트를 통해 설치된다. 이 외에도 사전 공격에 취약한 MS-SQL 서버와 같은 부적절하게 설정된 환경도 공격 대상이 된다.

따라서 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일 실행을 지양해야 하고, 출처가 불분명한 공유 사이트에서 프로그램을 설치하는 대신 공식 경로로 프로그램이나 컨텐츠를 이용해야 한다. 또한, 관리자들은 계정 비밀번호를 추측하기 어려운 형태로 사용하거나 주기적으로 변경하여 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다. 이 밖에 V3를 최신으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 유의해야 한다.

보다 자세한 내용은 2023년 3분기 ASEC 리포트 전문을 통해 확인할 수 있다.

▶2023년 3분기 ASEC 리포트 다운로드