IBM X-Force에 따르면, Emotet 맬웨어는 최근 독일과 일본에서 확산되고 있으며, 이 지역 기업을 점점 더 공격적으로 표적으로 삼고 있습니다.
이모텟은 악성 사이트 링크가 포함된 매크로 활성화 이메일 첨부 파일을 통해 확산되는 뱅킹 트로이 목마입니다. 주로 트릭봇 트로이 목마와 류크 랜섬웨어 등 다른 악성코드의 다운로더 역할을 합니다. 다형성으로 인해 기존의 시그니처 기반 탐지 방법을 회피할 수 있어 대응이 특히 어렵습니다. 시스템에 침투하면 실행 중인 프로세스를 감염시키고 원격 C&C 서버에 연결하여 명령을 수신하고, 다운로드를 실행하고, 훔친 데이터를 업로드합니다.us-cert.gov).
이모텟은 전통적으로 기업 청구 알림을 위장 수단으로 사용해 왔으며, 종종 평판이 좋은 기관의 브랜딩을 모방하여 합법적인 것처럼 보이게 해 왔습니다. 이러한 전략을 통해 미국(전체 공격의 52%), 일본(22%), 그리고 EU 국가의 피해자들을 표적으로 삼을 수 있었습니다.japan.zdnet.com2019년 12월에 발생한 사건으로 인해 유럽중앙은행 본부가 있는 프랑크푸르트시는 중앙은행 업무를 중단해야 했습니다. network (zdnet.com).
하지만 일본에서는 이 악성코드가 지난 몇 년에 비해 훨씬 더 공격적으로 활동하고 있습니다. 2019년 말 활동 증가가 보고되었고, 최근 중국에서 코로나바이러스가 발생하면서 이모텟은 전략을 변경하여 일본 전역으로 가짜 공중 보건 경고 형태로 확산되고 있으며, 기후현, 오사카현, 돗토리현에서 코로나바이러스 확진자가 발생했다는 우려스러운 보고가 나오고 있습니다.IBM X-Force Exchange).
이는 이러한 유형의 맬웨어가 왜 그렇게 위험한지를 잘 보여주는 예입니다. 이 맬웨어는 서명 기반 방법으로는 탐지하기 어려울 뿐만 아니라 기본적인 인간의 감정을 조작하여 확산됩니다.
따라서 이모텟(Emotet)에 대한 보호에는 더욱 복잡한 조치가 필요합니다. 정보에 기반한 예방 외에도, 이모텟에 대처하는 효과적인 방법은 침해 지표(IoC)를 찾는 행동 분석에 의존하는 것입니다. 플로우몬(Flowmon)의 경우, 이는 InformationStealers 행동 패턴(BPattern)의 형태를 띠며, 이는 표준 탐지 방법으로 존재합니다. 플로우몬 ADS 그리고 에모테트가 나타났을 때 나타나는 증상을 설명합니다. network.
B패턴은 다양한 악의적인 행위자들이 어떻게 자신을 드러내는지에 대한 일종의 설명으로 생각할 수 있습니다. networkB패턴은 시스템이 트래픽을 모니터링하고 비판적으로 평가하면서 다른 활동과 위협을 구별할 수 있도록 합니다. 기존 시그니처와 달리 B패턴은 특정 코드 조각을 찾지 않으므로 위협이 변형되고 수명 주기를 거치면서 진행되더라도 위협을 식별하는 능력을 유지합니다.
Fortinet에서 발표한 분석에 따르면 Emotet은 페이로드를 다운로드하기 위해 5개의 URL과 61개의 하드코딩된 C&C 서버를 사용합니다.포티넷닷컴/블로그). 이 정보는 BPattern에 포함되어 있으며, 시스템에서 감염을 인식하고 확산되기 전에 차단하는 데 사용됩니다. 추가적인 보호 계층을 위해 TrickBot(TOR_Malware)용 BPattern도 있습니다. 두 패턴 모두 트로이 목마의 진화 방식에 따라 주기적으로 업데이트되며, 정기 업데이트의 일부로 사용자에게 제공됩니다. Flowmon의 파트너인 Orizon Systems는 Emotet 맬웨어 발생률 증가를 알리고 최신 업데이트를 제공했습니다.
하지만 어떤 보안 조치도 완벽하지 않으므로 모든 사용자는 안티바이러스, 방화벽의 IoC 탐지, 침입 탐지 시스템(IDS) 및 행동 분석 등을 포함한 여러 계층의 사이버 보안을 구축하고 최신 상태로 유지하는 것이 좋습니다. networkEmotet은 스푸핑된 이메일을 통해 확산되므로, 특히 외부 기관으로부터 청구서나 문서를 자주 받는 사용자는 첨부 파일을 열 때 주의해야 하며, 의심스럽거나 특이한 이메일을 발견하면 보안팀에 신고해야 합니다.
Flowmon ADS를 사용하여 위협 탐지에 대해 자세히 알아보려면 최대한 빨리 여기를 클릭해주세요. 더 많은 정보를 원하시거나 시도해보세요 데모.
이 블로그를 공유하세요:
티무르는 창립자 겸 CEO입니다. NEOX Networks, 선도적인 공급업체 network 가시성 및 보안 솔루션. 25년 이상의 업계 경력을 보유한 Timur는 오늘날 IT 및 OT 팀이 직면한 과제를 깊이 이해하고 있습니다. network 그는 보안 분야에 관심이 많습니다. 복잡한 문제를 해결하기 위해 기술을 활용하는 데 열정적이며, 효과적인 해결책을 위해서는 기술이 필수적이라고 믿습니다. network 비즈니스 애플리케이션의 가용성과 보안 측면에서 가시성은 모든 조직의 성공에 매우 중요합니다. Timur는 NEOX 고객의 변화하는 요구 사항을 충족하는 혁신적인 솔루션을 제공하기 위해 최선을 다하고 있습니다.