본문 바로가기

security/악성코드 유포

[Sophos] 9백만 대 이상의 PC 감염 - 제로액세스 봇넷 무방비


9백만 대 이상의 PC 감염 - 제로액세스 봇넷 무방비

제로액세스(ZeroAccess)는 수년간 개인과 기업들을 괴롭혀온 엄청나게 널리 퍼진 맬웨어입니다. 이 맬웨어는 Windows의 새로운 아키텍쳐나 버전에 맞춰 발전해 왔습니다.

소포스랩에서 우리는 더 많은 맬웨어를 다운로드하기 위한 명령을 받을 수 있는 P2P 봇넷을 희생 PC들에게 추가하면서 어떻게 제로액세스가 그 희생 PC들을 예속시키는 지 설명하면서, 제로액세스 루트킷의 이전 화신에 대해 깊이 있게 살펴보았습니다.

가장 최근에, 소포스 연구원들은 제로액세스가 완전히 사용자모드 메모리로 작동하면서, 어떻게 전략에 있어서의 주요 변화를 취했는지 파헤쳤습니다.

이런 맬웨어 계열의 계속된 하이 프로파일 때문에, 우리는 제로액세스의 최신 버전뿐만 아니라 제로액세스 봇넷 전체에 대해서 더욱 더 자세하게 그 위협을 검사해야 할 필요를 느꼈습니다.

소포스랩 연구원들은 제로액세스의 최신 버전이 현재 활성화된 감염 PC 약 100만 대를 포함하여 900만 대 이상의 컴퓨터에 설치되었다는 것을 알아내었습니다.

제로액세스는 봇넷 소유자에게 이윤을 창출시키도록 설계된 다양한 일을 수행하는 플러그인 파일을 다운로드 하도록 P2P 네트워크를 사용합니다. 우리 연구원들은 피어(peer)가 전세계 어디에 위치해 있는지, 봇넷이 다운로드 하도록 지시 받고 있는 파일의 종류가 무엇인지 알아내기 위해 2 개월이란 기간 동안 이 네트워크를 모니터링 했습니다.

감염된 컴퓨터들을 세계지도에서 점으로 표시했을 때 볼 수 있듯이, 우리는 키리바시(Kiribati)의 조그만 섬나라에서부터 부탄(Butan)의 히말라야 왕국(Himalayan Kingdom)에 이르기까지 전체 198개국으로부터 감염된 컴퓨터의 IP주소를 알아내었습니다.

가장 많은 수의 감염된 컴퓨터가 미국, 캐나다, 서유럽에서 발견되었습니다.

우리는 제로액세스 봇넷이 최근에는 클릭사기(Click fraud)와 비트코인(Bitcoin) 채굴(mining) 2가지 주요 목적으로 사용되고 있다는 것을 연구를 통해 알아내었습니다.

만약 제로액세스 봇넷이 최대한도로 동작한다면, 하루에 10만 달러 이상의 어마 어마한 돈을 긁어 모을 수 있습니다.

우리는 또 제로액세스 소유자들이 봇넷을 예의주시하게 함으로써 그 메커니즘을 역설계(reverse-engineered)했었고, 콜홈(call-home) 네트워크 통신을 합법적으로 보이는 트래픽에 묻히도록 설계하는데 이용했던 다수의 테크닉들을 발견했습니다.

여러분은 '제로액세스 봇넷 - 엄청난 금전적 이익을 위한 채굴과 사기(The ZeroAccess Botnet - Mining and fraud for massive financial gain)'이라는 우리의 새로운 기술문서에서 제로액세스에 대해 더 많은 것을 발견할 수 있습니다.