안랩은 자동 분석 시스템 ‘RAPIT’을 활용하여 다양한 경로를 통해 수집된 악성코드들에 대한 분류 및 대응을 진행하고 있다. 최근 발간된 ASEC 2분기 리포트에서는 2023년 2분기 동안 수집된 악성코드들 중에서 알려진 악성코드들에 대한 분류 및 통계를 다뤘다. 

이번 글에서는 보고서에서 다뤄진 악성코드의 분류와 유포 방식 및 기능들을 간략히 소개한다. 

 

​2023년 2분기 악성코드 통계 개요 

2023년 2분기에 수집된 알려진 악성코드를 분석한 결과, [그림 1]과 같이 백도어(37.3%), 다운로더(31.3%), 인포스틸러(28.6%), 랜섬웨어(2.3%), 뱅킹(0.3%), 코인마이너(0.2%) 순서로 점유율을 차지했다. 

백도어는 공격자로부터 명령을 전달받아 추가 악성코드를 설치하거나 키로깅, 스크린샷 같은 정보 수집, 그리고 악의적인 명령을 수행하는 RAT(Remote Administration Tool)을 포함한다. 다운로더는 주로 자체적인 기능보다는 최종적으로 추가 악성코드를 설치하는 것이 목적이다. 인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다. 

랜섬웨어는 사용자 환경의 파일들을 암호화하여 금전적 이득을 얻기 위해 사용되는 악성코드이다. 코인마이너는 사용자 인지하지 못한 사이 설치되어 가상화폐를 채굴하는 악성코드로, 시스템 성능을 저하시킨다. 뱅킹 악성코드의 사용자 정보 탈취 기능은 인포스틸러와 유사하지만 폼 그래빙(Form Grabbing)과 같은 기법을 사용해 웹 브라우저에서 사용자가 입력하는 데이터를 가로채 사용자의 온라인 뱅킹 계정 정보를 포함한 다양한 정보들을 수집할 수 있다

2023년 2분기 악성코드 유형별 상세 정보​​ 

2023년 2분기에 수집된 악성코드 분석 결과를 토대로, 어떤 악성코드가 사용되었는지에 대한 상세한 정보를 정리한다.

1. 백도어(Backdoor)

백도어는 RAT 악성코드를 포함한다. 2023년 2분기 수집된 백도어를 분석한 결과, [그림 2] 와 같이 RedLine(81.9%), njRAT(5.2%), Remcos(4.8%), Quasar(2.0%), Tofsee(1.5%), DarkComet(1.3%), AveMaria(1.2%), NanoCore(1.2%), Async(0.3%), NetSupport(0.3%), NetWireRC(0.2%), Zegost(0.1%) 순서로 점유율을 차지한다. 

이번 분기 가장 많은 비율을 차지한 레드라인(RedLine)은 상용 소프트웨어 크랙으로 위장한 채 유포되는 대표적인 악성코드이다. 최근 게임 핵 프로그램 등을 위장하여 유튜브를 경로로 유포되는 사례 또한 관찰된다. 기본적으로 공격자로부터 명령을 전달받아 악성 행위를 수행하는 백도어 악성코드이지만 다른 인포스틸러(InfoStealer) 악성코드처럼 웹 브라우저에 저장된 계정 정보를 비롯하여 다양한 정보들을 탈취할 수 있는 기능이 포함되어 있다.

njRAT은 과거부터 토렌트나 웹하드를 통해 성인 게임 및 불법 크랙 프로그램으로 위장하여 유포되는 대표적인 RAT 악성코드이다. 최근에는 과거보다 수량이 줄어들었지만 공개된 빌더를 통해 쉽게 제작이 가능하기 때문에 꾸준히 공격자들에 의해 사용되고 있다. 

렘코스(Remcos)는 상용 RAT 악성코드로, 많은 공격자가 사용한다. 이 악성코드는 스팸메일의 첨부 파일을 통해 유포되거나, 최근에는 취약한 MS-SQL 서버를 대상으로 하는 공격에도 코발트 스트라이크와 함께 사용되고 있다.

퀘이사(Quasar)는 닷넷으로 개발된 오픈소스 RAT으로 최근 사설 HTS 프로그램을 통해 유포되거나, 특정 공격 그룹에서 퀘이사 기반의 오픈소스 RAT인 xRAT을 활용한 사례가 존재한다. 프로세스 및 파일, 레지스트리와 같은 시스템 작업, 원격 명령 실행, 파일 업로드 및 다운로드와 같은 기능 이외에도, 키로깅과 계정정보 수집, 원격 데스크톱을 통한 감염 시스템 제어 기능을 포함한다. 

Tofsee는 스팸봇 악성코드로서 비다르(Vidar), 스톱(Stop) 랜섬웨어 등과 동일한 패커 외형을 갖는 것으로 보아 주로 상용 소프트웨어의 크랙 등으로 위장한 악성 사이트에서 유포되는 악성코드를 통해 추가적으로 설치되는 것으로 추정된다. Tofsee는 감염 이후 C&C 서버로부터 명령을 받아 코인 마이닝, 계정 정보 탈취, DDoS 공격 등 다양한 기능의 추가 모듈을 설치할 수 있다.

나노코어(NanoCore)는 주로 스팸메일 첨부 파일을 통해 유포되는 RAT 악성코드로, 과거 빌더의 크랙 버전이 유출된 이후 거의 10년 동안 꾸준히 사용되고 있다. 이와 같은 양상은 아베마리아(AveMaria)도 유사하며, 렘코스(Remcos)와 마찬가지로 제작자에 의해 꾸준히 업데이트되고 있지만 과거 빌더의 크랙 버전이 공개됨에 따라 다양한 공격자들이 이를 이용하고 있다.

넷서포트(NetSupport) 또한 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(Purchase Order) 등으로 위장한 유포 사례가 확인되었다. AsyncRAT은 깃허브에 공개된 악성코드로 마찬가지로 쉽게 구할 수 있기 때문에 다양한 공격에 사용되고 있다. 국내를 대상으로 하는 공격에는 주로 스팸메일의 첨부 파일을 통해 유포되는 것이 확인되며, 제대로 관리되지 않는 MS-SQL 서버를 대상으로 한 공격을 통해 유포된다.

2. 다운로더(Downloader)

2023년 2분기 수집된 다운로더 악성코드를 분석한 결과, [그림 3]과 같이 Amadey(79.5%), GuLoader(14.4%), SmokeLoader(4.2%), BeamWinHTTP(1.9%) 순서로 점유율을 차지한다. 

2023년 2분기, 다운로더 유형 중에서는 아마데이(Amadey)가 차지하는 비중이 가장 높았다. 아마데이는 주로 메일을 통해 악성 문서 파일이나 문서로 위장한 실행 파일 형태로 유포되며, 국내 유명 메신저 프로그램으로 위장하여 유포된 이력이 있다. 감염 시 공격자의 명령을 받아 사용자 정보를 탈취하거나 추가 악성코드를 다운로드하여 설치할 수 있다. 스모크로더(SmokeLoader), 니톨(Nitol) 등 타 악성코드로부터 설치되기도 한다.

구로더(GuLoader)는 악성코드를 다운로드하여 실행시키는 다운로더 악성코드이다. 과거 진단 우회 목적으로 비주얼 베이직(Visual Basic) 언어로 패킹되어 있었으나, 최근에는 NSIS 인스톨러, VBS 스크립트 등 다양한 유형으로 유포된다. 원래 이름은 클라우드아이(CloudEye)로 알려져 있으며, 구로더로 이름 붙여진 이유는 다운로드 주소로 구글 드라이브가 자주 사용되기 때문이다. 물론 구글 드라이브 외에도 마이크로소프트의 원 드라이브, 텔레그램 API를 활용한 다양한 주소가 사용된다. 

스모크로더(SmokeLoader)는 상용 소프트웨어의 크랙이나 시리얼 키 생성 프로그램의 다운로드 페이지를 위장한 악성 웹 페이지를 통해 유포되며, 공격자의 설정에 따라 스톱(Stop) 랜섬웨어와 같은 추가적인 악성코드 또는 계정 정보를 비롯한 다양한 사용자 정보 탈취 모듈을 설치할 수 있다.

BeamWinHTTP는 PUP 설치 프로그램을 위장한 악성코드를 통해 유포되며, 실행되면 PUP 악성코드인 가비지 클리너(Garbage Cleaner)를 설치하고 주로 인포스틸러(InfoStealer)와 같은 추가 악성코드들을 다운로드한다.

3. InfoStealer

2023년 2분기 수집된 인포스틸러 악성코드를 분석한 결과, [그림 4]와 같이 AgentTesla(56.2%), Formbook(21.7%), SnakeKeylogger(11.3%), Vidar(4.8%), Lokibot(4.6%), Pony(0.8%), Azorult(0.2%), Taurus(0.2%), HawkEye(0.1%), RecordStealer(0.1%) 순서로 점유율을 차지하고 있다. 

인포스틸러는 에이전트테슬라(AgentTesla), 폼북(Formbook)과 같은 몇몇 종류가 대부분의 비중을 차지했다. 에이전트테슬라는 주로 스팸메일의 첨부 파일을 통해 유포되며, 사용자 환경 내의 다양한 웹 브라우저, 이메일, FTP 클라이언트에 저장되어 있는 계정 정보를 탈취한다. 

폼북(Formbook), 로키봇(Lokibot), 스네이크키로거(SnakeKeylogger) 역시 스팸메일에 첨부된 파일을 통해 유포되는 대표적인 정보 탈취형 악성코드이다. 이 중 스네이크키로거는 2021년경부터 확인되기 시작하여 꾸준히 높은 비율을 차지한다. 스네이크키로거는 에이전트테슬라와 수집한 정보 탈취 시 SMTP를 사용하지만, 이외에도 HTTP, FTP 등 다양한 방식을 지원한다.

로키봇(Lokibot) 악성코드는 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 계정 정보를 탈취하는 기능을 가지고 있다. 또한 로키봇은 마이크로소프트 비주얼 베이직(Microsoft Visual Basic)과 NSIS(Nullsoft Scriptable Install System) 형

태를 비롯한 다양한 외형으로 유포되는 것이 특징이다. 

다음으로, 비다르(Vidar), 크립트봇(CryptBot), 레코드스틸러(RecordStealer)는 스팸메일의 첨부 파일 대신 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의 다운로드 페이지로 위장한 악성 사이트를 주요 유포 경로로 사용하는 대표적인 악성코드이다. 비다르(Vidar)는 수년 전부터 꾸준히 공격자에 의해 애용되고 있는 대표적인 정보 탈취형 악성코드이다. 비다르는 버전이 업데이트되면서 제작자가 기능을 계속 추가해 나가고 있는데, 최근에는 C&C 서버 주소 획득을 위해 게임, SNS 등 다양한 플랫폼을 악용한다. 

레코드스틸러(RecordStealer)는 2022년 하반기부터 유포되기 시작한 신종 악성코드이며 라쿤 스틸러(Raccoon Stealer)의 새로운 버전으로 알려져 있다. 기존 라쿤 스틸러와 비교했을 때 모든 면에서 완전히 달라졌기 때문에 구분을 위해서 레코드스틸러로 명명하여 분류한다. C2의 응답에 따라 다양한 악성 행위가 가능하며 추가 악성코드 설치 기능도 포함하고 있다. 정보 수집 행위에 필요한 라이브러리를 C2로부터 각각 다운로드하여 사용하며 HTTP 요청 헤더의 유저-에이전트(User-Agent)를 특정 문자열로 주기적으로 변경한다는 특징이 있다

4. 랜섬웨어(Ransomware)

2023년 2분기 수집된 악성코드를 분석한 결과, [그림 5]와 같이 Stop(41.6%), Mallox(34.0%), Lockbit(21.5%), Dharma(2.4%), Avaddon(0.5%) 순서로 점유율을 차지한다. 

국내 사용자를 대상으로 유포되는 대표적인 랜섬웨어로 매그니베르(Magniber)가 있지만, 현재 통계에서는 제외되었다. 이번 분기 실행 파일 형태로 유포되는 랜섬웨어 유형 중에는 스톱(Stop) 랜섬웨어가 가장 많은 비율을 차지하고 있다. 스모크로더(SmokeLoader)와 같은 다른 악성코드들에 의해 설치되는 스톱 랜섬웨어는 일반적인 랜섬웨어 악성코드와 달리 실행 시 먼저 비다르(Vidar)와 같은 정보 탈취형 악성코드를 설치하여 사용자 정보를 수집한 이후에 암호화를 진행하는 것이 특징이다. 

다음으로 Mallox 랜섬웨어는 주로 부적절한 계정 정보가 설정된 취약한 MS-SQL 서버를 대상으로 유포된다. 

록빗(LockBit) 랜섬웨어는 국내 기업 사용자들을 대상으로 이력서를 위장한 스팸메일의 첨부 파일로 유포 중이며, 과거 마콥(Makop) 랜섬웨어 유포와 동일한 방식이다. 이러한 유형의 스팸메일 첨부 파일에는 문서 파일을 위장한 아이콘과 사용자의 실행을 유도하는 파일명을 포함하고 있는 것이 특징이다. 최근에는 입사 지원서를 위장하여 업데이트 버전인 v3.0과 v2.0 버전이 함께 유포되고 있다. 이 외에도 아마데이 봇과 같은 다운로더를 통해 록빗 랜섬웨어를 설치하는 경우도 관찰된다.

5. 뱅킹(Banking)

2023년 2분기 수집된 뱅킹(Banking) 악성코드를 분석한 결과, [그림 6]과 같이 Qakbot(64.5%), Emotet(32.3%), Ursnif(3.2%) 순서로 점유율을 차지한다.

칵봇(Qakbot)은 이모텟(Emotet)과 마찬가지로 대표적인 뱅킹 악성코드로, 유포 방식 또한 유사하다. 과거 엑셀 매크로 대신 ISO 파일이나 VHD 파일을 첨부한 스팸 메일을 통해 유포되었지만, 최근에는 CHM, WSF 파일 및 원노트 파일을 활용해 유포되고 있다. 

이모텟은 과거 국제 사법기관의 공조로 잠시 중단된 이후 유포와 중단을 반복하다가 최근에 다시 활발히 유포되고 있다. 주로 스팸메일에 첨부된 악성 엑셀 문서 파일을 통해 설치되는데, 엑셀에는 악성 VBA 매크로가 실행될 수 있도록 사용자로 하여금 매크로 활성화 버튼 클릭을 유도하기 위한 이미지가 존재한다. 최근에는 엑셀 대신 원노트 파일을 통해 설치를 유도하기도 하며, 다양한 정보 탈취 및 뱅킹 관련 모듈을 통해 추가 악성코드를 설치하거나 사용자 정보를 탈취할 수 있다.

6. 코인마이너(CoinMiner)

2023년 2분기 수집된 코인마이너 악성코드를 분석한 결과, [그림 7]과 같이 Glupteba(100%)가 가장 많은 점유율을 차지한다.

대표적인 코인마이너 악성코드로서 글룹테바(Glupteba)는 수년간 대량으로 유포되었지만, 2021년 구글 사에서 호스팅 업체와 협력하여 해당 봇넷의 인프라를 차단함에 따라 2022년 1분기부터는 그 수가 꾸준하게 감소하였다. 글룹테바는 상용 소프트웨어의 크랙이나 시리얼 키 생성 프로그램의 다운로드 페이지를 위장한 악성 웹 페이지를 통해 사용자의 설치를 유도하는 방식으로 PC를 감염시킨다. 감염 이후에는 사용자 정보 탈취 및 명령 실행과 같은 악성 행위를 수행할 수 있으며, 최종적으로 감염 환경에서 모네로(Monero) 가상화폐를 채굴하여 시스템의 성능을 저하시킬 수 있다. 

2023년 2분기 통계에서 다룬 대부분의 악성코드는 스팸메일의 첨부 파일을 통해 유포되거나, 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의 다운로드 페이지로 위장한 악성 사이트를 통해 설치된다. 이 외에도 사전 공격에 취약한 MS-SQL 서버와 같은 부적절하게 설정된 환경도 공격 대상이 된다.

따라서 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일 실행을 지양해야 하고, 출처가 불분명한 공유 사이트에서 프로그램을 설치하는 대신 공식 경로로 프로그램이나 컨텐츠를 이용해야 한다. 또한, 관리자들은 계정 비밀번호를 추측하기 어려운 형태로 사용하거나 주기적으로 변경하여 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다. 이 밖에 V3를 최신으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 유의해야 한다

보다 자세한 내용은 2023년 2분기 ASEC 리포트 전문을 통해 확인할 수 있다.

▶2023년 2분기 ASEC 리포트 다운로드