연구원들, Emotet의 취약점 활용하여 확산 막아

Researchers Exploited A Bug in Emotet to Stop the Spread of Malware

 

여러 봇넷 기반 스팸 캠페인과 랜섬웨어 공격의 배후에 있는 악명 높은 이메일 기반 악성코드인 Emotet에 취약점이 포함되어 있었던 것으로 나타났습니다. 사이버 보안 연구원들은 이 취약점을 이용하여 킬스위치를 작동시키고 악성코드가 6개월 동안 시스템을 감염시키는 것을 막을 수 있었습니다.

 

Binary Defense의 James Quinn은 아래와 같이 밝혔습니다.

 

“악성코드도 취약점이 존재할 수 있는 소프트웨어입니다. 공격자가 합법적인 소프트웨어의 취약점을 악용하여 해를 입힐 수 있는 것처럼 방어자 또한 악성코드를 리버스 엔지니어링하여 취약점을 발견한 다음 이를 악용하여 악성코드를 차단하는 데 사용할 수 있습니다.”

 

이 킬스위치는 제작자가 악성코드의 취약점을 패치할 때까지 2020년 2월 6일 ~ 8월 6일 182일 동안 활성화되어 있을 것입니다.

 

2014년 처음 발견된 이래로 Emotet은 뱅킹 악성코드에서 다운로더, 인포스틸러, 스팸봇 등 상황에 따라 사용 가능한 여러 기능을 포함한 “맥가이버 칼”로 정체성을 변경했습니다.

 

2월 초, Emotet은 이미 감염된 기기를 통해 근처 Wi-Fi 네트워크에 연결된 새로운 피해자를 찾아 감염시킬 수 있는 새로운 기능을 개발했습니다.

 

이 기능 업데이트는 지속성 메커니즘과 함께 도입되었습니다.

 

Binary Defense에 따르면 이는 “각 피해자 시스템에 악성코드를 저장하기 위해 랜덤으로 고른 문자열 또는 system32 디렉토리의 dll 시스템 파일명을 사용한 파일명을 생성했습니다.”

 

변경 내용은 간단했습니다. 파일명을 XOR key로 암호화하고 이 키를 피해자의 볼륨 시리얼 넘버의 윈도우 레지스트리 값 설정에 저장했습니다.

 

킬 스위치의 첫번째 버전은 Binary Defense에서 개발했으며 Emotet이 위의 변경사항을 공개한지 37일 만에 활성화되었습니다. 이는 각 피해자용 레지스트리 키 값을 생성하고 각 값에 대한 데이터를 null로 설정하는 PowerShell 스크립트를 사용했습니다.

 

<이미지 출처: https://www.binarydefense.com/emocrash-exploiting-a-vulnerability-in-emotet-malware-for-defense/>

 

이렇게 하면 악성코드가 파일명을 찾기 위해 레지스트리를 확인할 시 빈 exe인 ".exe”를 로딩하기 때문에 악성코드가 타깃 시스템에서 실행되는 것을 막을 수 있습니다.

 

Emotet을 방해하기 위한 EmoCrash

 

Quinn은 EmoCrash라 명명된 킬 스위치의 즉석 버전에서 악성코드의 설치 루틴에서 발견된 버퍼 오버플로우 취약점을 악용하는 것 또한 가능하다고 밝혔습니다. 이를 통해 Emotet 설치 과정 중 이를 충돌시켜 사용자가 감염되는 것을 막을 수 있다고 설명했습니다.

 

이 스크립트는 레지스트리 값을 리셋하는 것 대신 시스템 아키텍쳐를 식별해내 사용자의 볼륨 시리얼 넘버용 설치 레지스트리 값을 생성하고 이를 832 바이트 버퍼에 저장하는데 사용하는 방식으로 동작합니다.

 

“Emotet을 충돌시키기 위해 필요한 것은 이 작은 데이터 버퍼 뿐입니다. 이는 백신 형태로 감염 전에 적용될 수도, 킬 스위치와 같이 감염 중간에 적용될 수도 있습니다.”

 

“충돌 로그 2건은 이벤트 ID 1000, 1001로 나타날 것입니다. 이는 킬스위치 배포 후에 비활성화된 Emotet 바이너리가 있는 엔드포인트를 식별하는데 사용될 수 있습니다.”

 

Binary Defense는 공격자에게 비밀을 누설하지 않기 위해 CERT와 Team Cymru와 협력하여 취약한 조직에 EmopCrash 익스플로잇 스크립트를 배포했다고 밝혔습니다.

 

Emotet은 4월 중순 레지스트리 키 기반 설치 방법을 중단했지만 8월 6일 악성코드 로더를 업데이트한 후에야 취약한 레지스트리 값 코드를 완전히 제거할 수 있었습니다.

 

“2020년 7월 17일, Emotet은 몇 달간의 개발 기간을 가진 후 스팸 작업을 다시 시작했습니다.”

 

“이들이 돌아온 직후에도 Emocrash는 활성화 된 상태이기 때문에 8월 6일 까지는 EmoCrash가 Emotet의 공격을 완전히 보호할 수 있었습니다.”

 

  

출처:

https://thehackernews.com/2020/08/emotet-botnet-malware.html

https://www.binarydefense.com/emocrash-exploiting-a-vulnerability-in-emotet-malware-for-defense/