Emotet 활동 탐지: 악명 높은 악성코드가 전 세계 시스템을 노린다

악명 높은 Emotet이 돌아왔습니다. Epoch 5가 부활하면서 봇넷의 모든 C&C(명령 및 제어) 서버가 2021년 초 국제 법 집행 기관의 합동 작전인 Operation Ladybird에 의해 중단된 후였습니다. 연구자들에 따르면 이것은 시간 문제였습니다. Emotet의 C&C 인프라 복원되어 또다시 본격적인 사이버 공격 캠페인을 시작할 시간이었습니다. 그리고 악성코드 관리자는 여전히 알 수 없지만, 이 캠페인은 수상하게도 러시아의 우크라이나 침공과 일치합니다.

SOC Prime에서 우리는 Emotet 등과 같은 최신 활동을 최대한 빠르게 포착할 수 있도록 탐지 콘텐츠를 지속적으로 갱신하고 있습니다. 아래에서 최신 탐지 규칙과 심층 분석을 확인할 수 있습니다.

Emotet 공격 탐지

Emotet의 최신 행동을 탐지하기 위해 Emotet를 확인하려면, 당사의 Threat Bounty 개발자인 Furkan Celik:

MS Office 파일에서 Emotet 탐지됨 (3월) (레지스트리 이벤트를 통해)

이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio

FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 방어 회피 전략으로 레지스트리 수정(T1112)을 주요 기술로 다룹니다.

새로운 Emotet 행동 탐지 (3월) (프로세스 생성 경로)

이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache, Kafka ksqlDB, Securonix, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 서명된 바이너리 프록시 실행(T1218)을 주요 기술로 다룹니다.

조직은 또한 이 봇넷이 네트워크에 침투하면 Emotet과 같은 악성코드 공격을 다운로드하여 다른 행동의 추가적인 악용을 초래할 수 있음을 인식해야 합니다. 그렇기 때문에 랜섬웨어와 같은 부수적인 손상 지표와 함께 Emotet 봇 분포를 확인하는 것이 필요합니다. Emotet의 악성 행동을 다루는 모든 콘텐츠를 보려면 SOC Prime 플랫폼의 탐지 콘텐츠를 확인하십시오.

사이버 방어자는 커뮤니티의 힘을 활용하고 그들의 위협 탐지 콘텐츠에 대해 보상받기 위해 Threat Bounty 프로그램에 참여하시기를 환영합니다.

탐지 보기 Threat Bounty 참여

Emotet 감염 과정

Emotet 부활의 중요성을 설명하기 위해, Proofpoint 은 2022년 3월 첫째 주에 Emotet이 보낸 피싱 이메일이 2.73백만 건 이상이라고 발견했습니다. 이는 2022년 2월 전체에 대해 같은 이메일 수(2.07백만 건)보다 많습니다. 이전에, 2021년 11월에는 179개국에서 130,000개의 새로운 봇 네트워크가 감지되었습니다.

새로운 증거는 Emotet 활동 이 공격자들이 보안 시스템에 감지되지 않고 간과되도록 새로운 기능을 사용하고 있다는 것을 보여줍니다. 이를 위해 적들은 타원 곡선 암호화(ECC)를 통해 네트워크 트래픽을 암호화하고 프로세스 목록을 자체 모듈로 분리했습니다. 게다가 새로운 악성코드 버전은 감염된 호스트에 대한 더 많은 정보를 수집하는 경향이 있습니다.

Black Lotus Labs 연구원들은 언급합니다 새로운 Emotet 캠페인 의 평균 성장 속도는 2022년 2월 말부터 2022년 3월 4일까지 하루에 약 77개의 고유 Tier 1 C&C입니다. 대부분의 Emotet C2 위치 는 미국과 독일에 있으며, 감염된 봇은 주로 아시아, 인도, 멕시코, 남아프리카, 중국, 브라질 및 이탈리아 지역에 집중되어 있습니다. 오래된 Windows 장치가 많은 것을 고려하면 이러한 지역이 심하게 타격을 입은 이유를 이해할 수 있습니다.

Emotet 봇넷은 피해자들의 컴퓨터 수백만 대를 감염시키고 악성 봇으로 전환할 수 있는 한 전례 없는 속도로 성장합니다. 공동 방어 접근 방식을 취해 그들을 멈출 수 있습니다. 참여하세요. SOC Prime Detection as Code 플랫폼에 가입하여 최신 사이버 위협을 탐지하는 데 도움이 되는 가장 최신 콘텐츠에 즉시 액세스하세요. 그리고 귀하의 소중한 지식으로 기여할 수 있다고 생각되면, 독창적인 콘텐츠로 당사의 크라우드소싱 프로그램에 탐지 콘텐츠를 제출하고 상시 보상을 받으세요.