5년동안 탐지되지 않았던 Stantinko 봇넷, 시스템 50만대 감염시켜

Stantinko botnet was undetected for at least 5 years while infecting half a million systems

최근 보안연구원들은 Stantinko라 명명 된 거대한 봇넷을 발견했습니다. 이 봇넷은 최소 5년동안 탐지되지 않았으며, 전 세계 약 50만대의 컴퓨터들을 감염시킨 것으로 확인되었습니다. 

이 봇넷의 운영자들은 해적판 소프트웨어를 찾는 러시아와 우크라이나 사용자들을 타겟으로 지난 2012년부터 대규모 광고 캠페인을 벌여왔습니다.

공격자들은 사용자 컴퓨터에 다양한 프로그램을 설치하고, 백그라운드에서는 Stantinko를 실행하는 FileTour라는 프로그램을 사용하여 컴퓨터들을 감염시켰습니다. 

보안 연구원들은 "Stantinko 악성코드가 다양한 암호화 기술을 사용하고, 고도화 된 기술을 주기적으로 도입함으로서 최소 5년동안 백신의 탐지를 피했다"고 밝혔습니다. 

이 봇넷은 사용자 pc에 주로 광고 인젝션 및 클릭 사기를 위하여 감염된 시스템 브라우저에 확장 프로그램을 설치했습니다. 

Stantinko 악성코드가 설치한 악성 브라우저 확장 프로그램은  “The Safe Surfing”과 “Teddy Protection” 으로, 이 두 프로그램들 모우 크롬 웹 스토어를 통해 배포되며, 원치 않는 url들을 블록하는데 사용됩니다. 

이 악성코드는 또한 감염 시스템 전체를 제어할 수 있는 권한 획득을 시도하는데, 이를 통하여 공격자들이 다수의 악성행위를 할 수 있도록 합니다. 

Stantinko 악성코드는 사용자 pc에 두개의 윈도우 서비스를 설치하는데, 이 둘은 서로 모니터링을 하며 한개가 삭제되면 재 설치하는 기능을 갖고있습니다. 그렇기 때문에, pc에서 Stantinko 악성코드를 제거하려면 이 두개의 윈도우 서비스를 모두 제거해야 합니다. 

<이미지 출처: https://www.welivesecurity.com/2017/07/20/stantinko-massive-adware-campaign-operating-covertly-since-2012/>

Stantinko 악성코드는 모듈형 백도어로, 컴포넌트들은 C&C 서버가 보낸 어떠한 윈도우 실행파일이라도 메모리에서 직접 실행할 수 있도록 허용하는 로더를 내장하고 있습니다.

이 기능은 운영자들이 감염 된 시스템에서 어떤 것도 실행시킬 수 있는 매우 유연한 플러그인 시스템입니다. 

다음은 알려진 stantinko 플러그인입니다.

MODULE NAME	ANALYSIS
Brute-force	Joomla 및 WordPress 관리 패널에 사전을 기반으로한 분산 공격
Search Parser	Joomla 및 Wordpress 웹사이트를 찾기 위해 구글에서 대규모의 익명 분산 검색을 실행함. 해킹한 Joomla 웹사이트를 C&C 서버로써 사용함
Remote Administrator	정찰부터 데이터 탈취까지 모든 과정을 구현하는 백도어
Facebook Bot	페이스북에서 사기 행각을 하는 봇. 계정 만들기, 사진 또는 페이지 좋아요 하기, 친구 추가하기 등의 기능이 있다.

보안 전문가들은 해커들이 거대한 봇넷을 만들어, 이 봇넷으로부터 발생한 트래픽에 대해 돈을 지불하는 광고주들과 긴밀한 협력관계를 맺고 있는 것으로 추측하고 있습니다. 

현재 알약에서는 해당 악성코드에 대하여 Trojan.Downloader.Stantinko로 탐지중에 있습니다. 

참고 : 

http://securityaffairs.co/wordpress/61250/malware/stantinko-botnet.html

https://www.welivesecurity.com/2017/07/20/stantinko-massive-adware-campaign-operating-covertly-since-2012/

https://www.welivesecurity.com/wp-content/uploads/2017/07/Stantinko.pdf