Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Emotet 악성코드, KillSwitch 추가되다.
작성일 2021-02-01 조회 146

Europol은 지난 1월 27일 네덜란드, 독일, 미국, 영국등 여러 국가에서 활동하고 있는 Emotet 악성코드의 서버를 압수했다고 전한바 있다. 이 후 압수한 서버, 악성코드의 동작원리을 바탕으로 현재 배포되어있는 Emotet 악성코드를 제거할 수 있는 소스코드를 추가, 배포를 진행했다고 BleepingComputer는 전했다.

 

악성코드 내부에는 2021년 4월 25일 12시 이후 악성코드를 제거하는 코드를 추가했으며 미 연방의 'foreign law enforcement'이 해당 모듈을 배포중에 있다. "현재 FBI와 협력하여 Emotet을 배포하는 서버에 업로드를 진행, 이미 해당 악성코드에 감염된 PC에 업데이트가 진행될 것이다."고 추가적으로 언급했다.

 

Bleeping Computer는 EuroPol과의 연락을 통해 독일의 BKA(Germany's Bundeskriminalamt) 연방정책기관이 Emotet을 제거하는 모듈을 제작했다고 한다.

 


[그림1. BKA 답변]

 

 

 

MalwareBytes는 새롭게 업데이트된 모듈의 분석 보고서를 업로드 했으며 삭제 원리에 대해 분석했다. BKA를 통해서 배포되는 Emotet모듈은 32bit DLL 파일이다.

 


[그림2. BKA에서 배포중인 삭제용 Emotet모듈]

 


[그림3. 4월 25일 이후 Emotet 삭제 코드]

 

 

 

추가적으로 악성코드가 통신하는 서버는 BKA가 설정해둔 주소로 변경되어 어떠한 행위도 수행할 수 없도록 했다.

 


[그림4. C2통신(BKA 서버)]

 

 

 

Emotet 악성코드를 제거하는 모듈이 만들어졌다곤 하지만 여전히 의문이 생기는점이 있다. 발견 즉시 바로 제거하는것이 아니라 왜 4월 25일 이후로 날짜를 맞췄는지 말이다. BKA에 따르면 감염된 PC들의 수와 국가, 추가 증거를 수집하고 기업의 피해를 식별하여 잡재적인 위협을 경고하는 데 사용될 것이라고 답변했다.

 

Bleeping Computer는 추가적인 정보들을 제공해주길 요청했지만 BKA는 아직 사건이 조사중이기 때문에 더이상의 답변은 어렵다고 전했다.

 

출처

 

https://blog.malwarebytes.com/threat-analysis/2021/01/cleaning-up-after-emotet-the-law-enforcement-file/

 

https://www.bleepingcomputer.com/news/security/heres-how-law-enforcements-emotet-malware-module-works/

 

첨부파일 첨부파일이 없습니다.
태그   Fonix  Xinof  FonixCrypter