상세 컨텐츠

본문 제목

새로운 Nodersok 악성코드, 윈도우 PC 수 천대 감염시켜

국내외 보안동향

by 알약(Alyac) 2019. 9. 27. 11:20

본문

Microsoft: New Nodersok malware has infected thousands of PCs


전 세계의 윈도우 컴퓨터 수천 대가 새로운 악성코드에 감염되었습니다.


이 악성코드는 감염된 시스템을 프록시로 변신시키고 클릭 사기를 수행하기 위해 Node.js 프레임워크의 복사본을 다운로드 및 실행합니다.


마이크로소프트가 'Nodersok'으로 시스코는 'Divergent'라 명명한 이 멀웨어는 지난 여름 처음 발견되었습니다. 


이 악성코드는 사용자 컴퓨터에 강제로 HTA 파일을 다운로드한 악성광고를 통해 배포되었습니다.


HTA 파일을 실행하면 엑셀, 자바스크립트, 파워쉘 스크립트를 동반한 다단계 감염 프로세스를 거쳐 마지막에는 Nodersok 악성코드를 다운로드하고 실행합니다.


이 악성코드는 각각의 역할을 가진 컴포넌트를 다수 포함하고 있습니다. 


파워쉘 모듈은 Windows Defender와 Windows Update를 비활성화하려고 시도하고, 악성코드의 권한을 SYSTEM 수준으로 상승시키는 컴포넌트도 있습니다.


정식 애플리케이션 컴포넌트인 WinDivert, Node.js 또한 포함하고 있습니다. 


WinDivert는 네트워크 패킷을 캡처하고 상호작용하기 위한 앱이며, Node.js는 웹 서버에서 자바스크립트를 실행하는 개발자 툴입니다.


마이크로소프트와 시스코의 보고서에 따르면, 이 악성코드는 감염된 호스트에서 SOCKS 프록시를 시작하기 위해 정식 애플리케이션을 사용합니다. 


두 보고서에는 상이한 부분이 있는데, 마이크로소프트는 악성코드가 악성 트래픽을 릴레이 하기 위해 감염된 호스트를 프록시로 전환한다고 하였고, 시스코는 프록시가 클릭 사기를 수행하는 데 사용된다고 말했습니다.


공격자들은 추가적인 작업을 위해 언제든 다른 모듈을 배포하거나 랜섬웨어 또는 뱅킹 트로이목마와 같은 보조 악성코드 페이로드를 배포할 수도 있습니다.


이러한 감염을 예방하기 위한 가장 좋은 방법은 불분명한 출처의 HTA 파일을 실행하지 않는 것입니다.


마이크로소프트 측은 Nodersok이 이미 지난 몇 주 동안 수 천대의 기기를 감염시켰다고 밝혔습니다.


대부분의 시스템은 이번 달에 감염되었으며 미국과 유럽 사용자들을 노렸습니다.

 


<이미지 출처: https://www.microsoft.com/security/blog/2019/09/26/bring-your-own-lolbin-multi-stage-fileless-nodersok-campaign-delivers-rare-node-js-based-malware/>



Nodersok은 합법적인 앱과 인-메모리 페이로드(파일리스 실행)를 사용해 시그니처 기반 안티바이러스 프로그램이 Nodersok 탐지를 어렵게 하도록 만들었습니다.


하지만 마이크로소프트는 Nodersok이 감염 후 확실한 발자취를 남기기 때문에, 보안 회사에서 해당 악성코드를 탐지할 방법을 찾을 수 있을 것이라고 밝혔습니다.


시스코 탈로스 분석에 따르면, 이 악성코드는 아직 개발 단계인 것으로 보입니다. 


연구원들은 이 악성코드의 목적이 감염 후 클릭 사기를 수행하여 수익을 발생시키는 것이라고 추측했습니다.



<이미지 출처: https://www.microsoft.com/security/blog/2019/09/26/bring-your-own-lolbin-multi-stage-fileless-nodersok-campaign-delivers-rare-node-js-based-malware/>



현재 알약에서는 해당 악성코드에 대해 'Trojan.Agent.Kovte, Trojan.Agent.4608'으로 탐지 중에 있습니다.





출처:

https://www.zdnet.com/article/microsoft-new-nodersok-malware-has-infected-thousands-of-pcs/

https://www.microsoft.com/security/blog/2019/09/26/bring-your-own-lolbin-multi-stage-fileless-nodersok-campaign-delivers-rare-node-js-based-malware/

https://blog.talosintelligence.com/2019/09/divergent-analysis.html

관련글 더보기

댓글 영역