Nodersok 악성코드 윈도우 PC 수 천대 감염

Nodersok 악성코드 윈도우 PC 수 천대 감염

 

현재 전 세계의 윈도우 컴퓨터 수천 대가 새로운 악성코드에 감염되었다고 합니다...

파일레스 기법을 동원한 멀웨어 배포 캠페인이 발견되었다고 하며 이 악성코드는 교묘하게 네트워크 인프라를 사용해 탐지가 힘들다고 합니다

 

현재 이 캠페인을 발견한 마이크로소프트는 노더속(Nodersok)라는 이름을 붙였고 시스코에서도 최종 단계에서 설치되는 멀웨어를 다이버전트(Divergent)라는 이름으로 부른다고 하네요

마이크로소프트가 노더속이라고 부른다면 시스코에서는 다이버전트라고 부른다고 하네요

이 노더속의 특징은 두 개의 정상 도구를 활용한다는 것이라고 하는데요

하나는 인기 높은 노드(Node.js)프레임워크의 윈도우용 버전인 Node.exe이며 다른 하나는 네트워크 패킷 캡처 도구인 WinDivert라고 한다고 하네요..

공격자는 이 두 가지 도구를 사용하여 멀웨어를 피해자의 시스템에 드롭시킨다고 합니다

감염

이 캠페인에 현재 당한 컴퓨터가 있으며 피해자의 대부분은 미국과 유럽 이라고 하며 기업이나 기관 등 조직에 소속된 컴퓨터들이 대부분이었지만 공격자들이 원래 노리던 건 일반 소비자들이었다고 하는데요

이 공격의 주 침입 경로는 광고를 통해 시작 된다고 합니다

사용자가 악성 광고를 클릭할 경우 HTML 애플리케이션(HTA)파일이 다운로드 되게 됩니다

이 파일은 무작위로 이름이 붙여진 도메인에 접속할 경우 또 다른 자바스크립트 코드를 다운로드하는데요

 

자바스크립트 코드는 C&C 서버에 접속해 공격용 콘텐츠를 다운로드하고 다운로드한 파일은 C&C 도메인과 연결을 시도하게 된다고 하는데요

이후 암호화된 파일과 복호화 키를 다운 받고 암호화된 파일은 자바스크립트 스니펫 이며 복호화된 후 악성 파워셸 스크립트를 실행 시킨다고 합니다

 

파워셸 스크립트는 또 다른 파워셸 스크립트를 연쇄적으로 실행시키게 되고 암호화 된 모듈 몇 가지를 다운로드한다고 하네요..

이 중 마이크로소프트가 발견한 모듈 중 하나는 윈도우 디펜더와 윈도우 자동 업데이트를 비활성화하는 기능을 갖고 있다고 합니다

또 다른 모듈은 권한을 상승시킨다고 하고요

 

음... 그 외에도 파워 셸을 통한 공격이 진행되는 과정 중에는 위에 말했듯이 Node.exe와 WinDivert 패킷이 다운로드가 되는데요

다른 한쪽에서 WinDivert를 활용하기 위해 셸 코드를 실행하게 된다고 합니다

게다가 공격자는 WinDivert를 사용해 특정 패킷을 걸러내고 조작도 하며 Node.js모듈과 라이브러리가 추가로 다운로드돼 Node.exe의 기능성이 확장되기도 한다고 하네요

 

 

음................... 냐....... 이 악성코드를 피하려면 역시나 방법은 늘 똑같은데요...

브라우저의 보안 패치를 비롯한 패치를 최신으로 유지하시고...윈도우 업데이트도 최신으로 유지하시기 바랍니다

그리고 자바 스크립트 계열을 차단 가능한 필터링...(대표적으로 애드블록 등)을 사용하라고 하는군요

 

요즘은 보안이 많이 중요해진 만큼... 다들 조심하시기 바랍니다

 

그러고 보니 다음 달이 블랙프라이데이니까....... 할인행사할 때 백신이나 하나 결제할까 고민이네요