MS, 전 세계 900만대의 Necurs 봇넷 성공적으로 차단해

Microsoft Hijacks Necurs Botnet that Infected 9 Million PCs Worldwide

MS는 전 세계 900만대의 PC들을 감염시킨 Necurs 봇넷 네트워크를 성공적으로 차단했다고 밝혔습니다. 

이 봇넷의 차단은 35개 국가의 경찰과 민간기술회사들의 협력의 성과입니다. 

연구원들이 Necurs 악성코드가 사용하고 있는 도메인 생성 알고리즘(DGA)를 알아내어 차단에 성공할 수 있었습니다. 

DGA는 주기적으로 새로운 도메인을 만들어 내는 기술로, 배후에 있는 악성코드 제작자들이 끊임없이 C&C서버의 위치를 바꾸고 감염된 디바이스들과 끊임없이 통신할 수 있도록 도와줍니다.

MS는 "우리는 이후 25 개월 내에 생성 될 6 백만 개 이상의 고유 한 도메인을 정확하게 예측할 수 있었다. Microsoft는 이러한 도메인을 전 세계 국가의 각 등록 기관에보고하여 웹 사이트가 차단되어 사이트의 일부가 되는 것을 방지 할 수 있었다."라고 밝혔습니다.

또한 법원 명령의 도움으로 Microsoft는 Necurs가 악성코드를 유포하고 대상 컴퓨터를 감염시키는 데 사용하는 미국 기반 인프라를 차단했습니다.

<이미지출처 : https://thehackernews.com/2020/03/necurs-botnet-takedown.html>

"기존의 웹 사이트를 제어하고 새로운 웹 사이트를 등록하는 기능을 금지함으로써 봇넷을 크게 방해했다."

Necurs는 2012년도에 처음 발견된 악성코드로, 뱅킹악성코드, 크립토재킹, 랜섬웨어 등으로 시스템을 감염시킨 후 감염된 시스템을 악용하여 대량의 스팸메일을 발송합니다. 

Necurs는 대상 컴퓨터에서 탐지를 우회하고 지속성을 유지하기 위해 커널 모드 루트킷을 사용하여 Windows 방화벽을 비롯한 많은 보안 응용 프로그램을 비활성화합니다.

Necurs는 2017 년 주로 Dridex 및 Locky 랜섬웨어를 시간당 오백만개의 이메일 속도로 전 세계 컴퓨터에 확산시키기 시작했습니다.

BitSight의 연구원들은 보고서에서 "2016년부터 2019년도까지, Necurs는 범죄자들이 스팸메일과 악성코드를 유포하는 주요방식이였으며, 전 세계적으로 이메일로 유포된 악성코드들 중 90%가 모두 이 방법을 통해 유포되었다."고 밝혔습니다. 

MS는 "58일간의 조사 결과, 한대의 Necurs 감염된 컴퓨터에서 총 380만개의 스팸 메일을 발생하였으며, 이로 인한 잠재적 피해자는 4060만명이였다."라고 밝혔습니다. 

또한 일부의 경우 공격자는 피해자들의 외도사실을 가족, 친구 등에게 유포하겠다고 위협하여 금전을 요구하기도 하였습니다. 

연구원들이 발표 한 최신 통계에 따르면 인도, 인도네시아, 터키, 베트남, 멕시코, 태국,이란, 필리핀 및 브라질이 Necurs 악성 코드의 공격을 많이 받은 국가로 밝혀졌습니다. 

출처 :

https://thehackernews.com/2020/03/necurs-botnet-takedown.html