“웹브라우저 취약점 이용하는 원격제어봇 유포”
상태바
“웹브라우저 취약점 이용하는 원격제어봇 유포”
  • 김선애 기자
  • 승인 2018.07.17 17:26
  • 댓글 0
이 기사를 공유합니다

하우리 “뉴트리노 원격제어봇, 스크린샷 전송·파일 삭제·추가 악성 명령어 실행 등 기능 있어”

웹브라우저 취약점을 악용해 악성코드를 유포하는 ‘뉴트리노(Neutrino) 원격제어봇’이 활동하고 있어 인터넷 사용자들의 주의가 요구된다.

하우리에 따르면 뉴트리노 봇은 악성코드 유포 도구인 그랜드소프트(GrandSoft) 익스플로잇킷을 이용해 최신 웹브라우저 취약점인 CVE-2018-8174을 이용, 7월 15일경부터 국내에 유포되기 시작한 정황이 포착됐다.

보안에 취약한 일반 사용자들은 특정 웹사이트에 접속하는 것만으로도 해당 악성코드에 감염될 수 있다. 악성코드에 감염되면 공격자가 마련한 명령제어 서버로 연결을 시도한다. 총 세 개의 명령제어 서버의 주소가 하드코딩 돼 있으며, 그 중 연결이 가능한 서버를 사용해 통신을 시작한다.

원격제어봇 악성코드는 명령제어 서버로부터 공격자의 명령을 전달받아 수행한다. 전달받는 명령에는 현재 화면의 스크린샷 전송, 추가 악성 명령어 실행, 파일 삭제 등이 있기 때문에 감염자의 PC는 공격자에 의해 원격제어될 수 있다.

해당 악성코드는 가상 환경에서는 실행되지 않으며, 악성코드 분석 도구 등이 실행 중이면 작동하지 않는 등 악성코드 분석과 탐지를 방해하는 기능도 가지고 있다. 실행 시 윈도우 임시폴더에 자기 자신을 숨김파일 형태로 복제 저장한다.

한편 뉴트리노 원격제어봇 악성코드는 하우리 바이로봇에서 Trojan.Win32.R.Agent 등의 진단명으로 탐지 및 치료할 수 있으며, ‘바이로봇 에이피티 쉴드’를 통해서도 사전 차단이 가능하다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.