2018년 처음 나와 꾸준한 활동량 유지하던 아마디 봇이 최근 새롭게 업그레이드 되어 나타났다. 각종 백신을 피해갈 수 있으며, 스케줄러를 통해 공격 지속성도 확보할 수 있다. 공격자들은 이 아마디를 통해 맞춤형 공격을 후속으로 이어가는 것으로 보인다.
[보안뉴스 문가용 기자] 지난 2년 동안 활발하게 활동했던 멀웨어인 아마디 봇(Amadey Bot)의 변종이 새로운 기능을 탑재하여 나타났다. 이 때문에 아마디 봇은 이전보다 더 은밀하고, 더 집요하며, 훨씬 더 위험한 멀웨어가 되었다. 백신 엔진의 탐지율 또한 이전 버전보다 낮아진 상태라고 한다.
![[보안뉴스 / 7.26.] 아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게](http://www.boannews.com/media/upFiles2/2022/07/917339407_6833.jpg)
[이미지 = utoimage]
아마디 봇은 2018년 처음 발견된 멀웨어로, 데이터를 훔치는 것이 주 목적이다. 하지만 다운로드 및 설치 기능도 가지고 있기 때문에 여러 공격자들은 아마디 봇을 다른 멀웨어와 악성 페이로드를 유포하는 데 활용하기도 했다. 대표적으로 갠드크랩(GandCrab) 랜섬웨어와 플로드애미(FlawedAmmy) 원격 접근 트로이목마가 아마디 봇을 통해 퍼지기도 했었다.
아마디 봇의 기본적인 공격 절차
그러면 아마디 봇 자체는 어떻게 유포됐을까? 과거, 공격자들은 폴아웃(Fallout)과 리그(RIG) 익스플로잇 킷이나 애조럴트(AZORult)라는 정보 탈취형 멀웨어를 통해 퍼트렸다. 하지만 보안 업체 안랩에 의하면 최근 아마디 봇은 유명한 멀웨어 드로퍼인 스모크로더(SmokeLoader)를 통해 유포되고 있다고 한다. 스모크로더는 최소 2011년부터 해커들이 여러 가지 목적으로 활용하던 멀웨어다.
안랩에 의하면 공격자들은 스모크로더를 소프트웨어의 불법 크랙으로 위장하여 여러 피해자들이 받아가도록 유도했다고 한다. 피해자가 이를 믿고 크랙을 실행하면 스모크로더가 실행되고, 윈도 익스플로러 프로세스(explorer.exe)에 악성 페이로드를 주입한다. 감염된 이 프로세스를 통해 아마디 봇이 다운로드 되고, 시작 프로그램 폴더에 자리를 잡는다. 이 때문에 시스템이 새롭게 시작될 때마다 아마디가 발동된다. 여기에 더해 스케줄러(Task Scheduler)에 스스로를 등록해 공격 지속성을 한 번 더 확보한다.
이렇게 최초 설치 단계를 지나고 나면 아마디 봇은 공격자들이 조정하는 원격 C&C 서버에 접속하여 플러그인을 하나 다운로드 받는다. 이 플러그인을 통해 시스템 정보를 다운로드 받는다. 컴퓨터 이름, 사용자 이름, OS 정보, 설치된 애플리케이션들, 백신 도구 정보 등이 여기에 포함된다. 이번에 안랩에서 분석한 샘플의 경우 스크린샷을 캡쳐하여 .JPG 포맷으로 저장한 후 공격자의 C&C 서버로 전송하는 기능을 가지고 있기도 했다.
백신 우회
이번 분석에 의하면 아마디 봇은 14개 회사에서 만든 백신을 찾아서 우회하는 기능을 가지고 있다고 한다. 어베스트(Avast), 아비라(Avira), 비트디펜더(BitDefender), 카스퍼스키(Kaspersky), 소포스(Sophos), MS 윈도 디펜더(Windows Defender) 등의 유명 제품들이 여기에 포함된다.
보안 업체 헤임달(Heimdal)은 자사 블로그를 통해 “이번에 새롭게 발견된 아마디 봇은 이전 버전보다 훨씬 많은 기능을 가지고 있다”며 안랩 보고서의 내용을 요약하여 제시한다. “스케줄러를 통해 공격 지속성을 확보하고, 보다 많은 정보를 수집하고, UAC를 우회하고, 14개의 유명 백신 제품들을 찾아내 피해가는 기능 등은 이전 버전에 없던 것들입니다. 이렇게 은밀히 시스템을 파고든 이후에 공격자들은 권한을 상승시켜서 악성 기능을 수행하기도 합니다.”
단단히 자리를 잡은 아마디 봇을 통해 공격자들은 추가 악성 행위를 실시할 수 있게 된다. 이미 아마디 봇을 통해 여러 가지 시스템 정보를 수집했기 때문에 맞춤형 공격도 할 수 있을 것으로 추정된다. 안랩 보고서에 나온 변종의 경우는 아웃룩 이메일, FTP와 VPN 클라이언드 관련 정보를 수집하는 기능을 가지고 있었다.
그 외에 정식 멀웨어를 추가로 설치하기도 한다. 이번에 발견된 것은 레드라인(RedLine)이라는 정보 탈취형 멀웨어다. 레드라인은 2020년에 처음 나타난 멀웨어로, 코로나 관련 피싱 메일, 가짜 구글 광고 등 여러 가지 전략을 통해 유포되었다. 보안 업체 퀄리스(Qualys)는 최근 이 레드라인이 디스코드(Discord) 생태계에서 가짜 소프트웨어 크랙을 통해 유포되고 있다는 것을 발견하기도 했다.
아마디 봇의 이전 버전을 분석했던 보안 업체 블랙베리 사일런스(BlackBerry Cylance)의 경우 “아마디 봇은 피해자의 시스템이 러시아에 있다고 밝혀지면 공격을 더 진행하지 않는다”고 당시 발표했었다.
3줄 요약
1. 유명 멀웨어인 아마디 봇의 새로운 변종이 이번에 등장함.
2. 스텔스 기능도 늘어나고, 공격 지속성 관련 기능도 늘어나는 등 보다 강력해짐.
3. 한 번 설치되고 나서는 추가 멀웨어나 플러그인을 설치하는 등 후속 공격을 이어감.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.26.] 아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
