Language
FBI가 감염된 Windows PC에서 Qakbot 악성 코드를 제거한 방법

블로그

홈페이지홈페이지 / 블로그 / FBI가 감염된 Windows PC에서 Qakbot 악성 코드를 제거한 방법
search

Jun 19, 2023

2022년 올해의 제품

Jul 26, 2023

2023년 최고의 쇼룸

Jul 02, 2023

23% 수출

May 26, 2023

3,200% 수익률: 이 멀티배거 마이크로

Jul 22, 2023

운석으로 만든 청동기 시대 화살촉

문의 보내기
제출하다

Aug 13, 2023

FBI가 감염된 Windows PC에서 Qakbot 악성 코드를 제거한 방법

FBI는 오늘 인프라를 압수했을 뿐만 아니라 감염된 장치에서 악성 코드를 제거하는 국제 법 집행 활동에서 Qakbot 봇넷을 중단했다고 발표했습니다.

FBI는 오늘 인프라를 압수했을 뿐만 아니라 감염된 장치에서 악성 코드를 제거하는 국제 법 집행 활동에서 Qakbot 봇넷을 중단했다고 발표했습니다.

지난 주말 법 집행 작전인 덕 헌트 작전(Operation Duck Hunt) 동안 FBI는 봇넷의 네트워크 통신을 자신이 통제하는 서버로 리디렉션하여 요원들이 약 700,000대의 감염된 장치(미국에 200,000대 위치)를 식별할 수 있도록 했습니다.

FBI는 봇넷을 장악한 후 피해자의 컴퓨터에서 맬웨어를 제거하여 피해자의 PC에서 맬웨어 운영자의 컴퓨터에 이르기까지 봇넷의 인프라를 효과적으로 해체하는 방법을 고안했습니다.

FBI가 어떻게 컴퓨터에서 Qakbot을 제거했는지 알아보기 전에 악성 코드가 어떻게 배포되었는지, 어떤 악의적인 행동을 수행했는지, 누가 이를 활용했는지 이해하는 것이 중요합니다.

Qbot 및 Pinkslipbot으로도 알려진 Qakbot은 2008년에 은행 트로이 목마로 시작되었으며 금융 사기를 수행하기 위해 은행 자격 증명, 웹 사이트 쿠키 및 신용 카드를 훔치는 데 사용되었습니다.

그러나 시간이 지나면서 악성 코드는 랜섬웨어 공격, 데이터 도난, 기타 악의적인 사이버 활동을 수행하기 위해 네트워크에 대한 초기 액세스 권한을 얻기 위해 다른 위협 행위자가 활용하는 악성 코드 전달 서비스로 발전했습니다.

Qakbot은 위협 행위자가 훔친 이메일 스레드를 사용한 후 자신의 메시지와 첨부된 악성 문서로 응답하는 회신 체인 이메일 공격을 포함하여 다양한 미끼를 활용하는 피싱 캠페인을 통해 배포됩니다.

이러한 이메일에는 일반적으로 사용자 장치에 Qakbot 악성 코드를 설치하는 악성 파일을 다운로드하기 위한 첨부 파일이나 링크로 악성 문서가 포함되어 있습니다.

이러한 문서는 피싱 캠페인 간에 변경되며 악성 매크로가 포함된 Word 또는 Excel 문서, 파일이 포함된 OneNote 파일, 실행 파일 및 Windows 바로 가기가 포함된 ISO 첨부 파일에 이르기까지 다양합니다. 그 중 일부는 Windows의 제로데이 취약점을 악용하도록 설계되었습니다.

악성 코드가 배포되는 방식에 관계없이 Qakbot이 컴퓨터에 설치되면 wermgr.exe 또는 AtBroker.exe와 같은 합법적인 Windows 프로세스의 메모리에 주입되어 보안 소프트웨어의 탐지를 회피하려고 시도합니다.

예를 들어, 아래 이미지는 합법적인 wermgr.exe 프로세스의 메모리에 주입된 Qbot 악성 코드를 보여줍니다.

악성코드가 장치에서 실행되면 향후 피싱 이메일 캠페인에 사용할 피해자의 이메일을 포함하여 훔칠 정보를 검색합니다.

그러나 Qakbot 운영자는 랜섬웨어 갱단에게 기업 네트워크에 대한 초기 액세스 권한을 제공하는 등 사이버 범죄를 촉진하기 위해 다른 위협 행위자와 협력하기도 했습니다.

과거에 Qakbot은 Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex, 그리고 가장 최근에는 Black Basta 및 BlackCat/ALPHV를 포함한 여러 랜섬웨어 작업과 제휴했습니다.

FBI에 따르면 2021년 10월부터 2023년 4월 사이에 Qakbot 운영자는 랜섬웨어 결제로 약 5,800만 달러를 벌었습니다.

오늘 발표의 일부로 FBI는 공격자의 서버 인프라를 탈취하고 감염된 장치에서 Qakbot 악성 코드를 제거하는 특수 제거 도구를 만들어 봇넷을 해체할 수 있었다고 밝혔습니다.

법무부가 발표한 압수 영장 신청에 따르면 FBI는 Qakbot 관리 컴퓨터에 접근할 수 있었으며, 이는 법 집행 기관이 봇넷 운영에 사용되는 서버 인프라를 계획하는 데 도움이 되었습니다.

FBI는 조사 결과를 토대로 Qakbot 봇넷이 실행 명령을 내리고, 맬웨어 업데이트를 설치하고, 추가 파트너 페이로드를 장치에 다운로드하는 데 사용되는 Tier-1, Tier-2, Tier-3 명령 및 제어 서버를 활용했다는 사실을 확인했습니다. .

Tier-1 서버는 봇넷의 명령 및 제어 인프라의 일부로 작동하는 "슈퍼노드" 모듈이 설치된 감염된 장치이며, 피해자 중 일부는 미국에 있습니다. Tier-2 서버는 명령 및 제어 서버이기도 하지만 Qakbot 운영자는 일반적으로 미국 이외의 임대 서버에서 서버를 운영합니다.