법 집행 기관에 의해 폐쇄된 제네시스 해커 마켓플레이스
악명 높은 해커 마켓플레이스인 Genesis가 17개국의 다국적 법 집행 기관에 의해 폐쇄되었습니다. 이 마켓플레이스는 DanaBot 인포스틸러 및 기타 멀웨어가 입수한 수백만 대의 피해자 PC에 대한 액세스 권한을 판매하고 있는 것으로 밝혀졌습니다.
이번 조치에 참여한 사이버 보안 업체인 트렐릭스(Trellix)는 제네시스의 스파이웨어가 브라우저 지문, 쿠키, 자동 완성 양식 데이터 및 기타 자격 증명에 대한 액세스를 제공한다는 사실을 발견했습니다.
암스테르담에 위치한 트렐릭스 고급 연구 센터의 위협 인텔리전스 책임자인 존 포커는 "제네시스 마켓의 혼란은 사이버 범죄와 싸우는 데 있어 민관 협력이 중요하다는 것을 증명하는 또 하나의 성공적인 사례입니다."라고 말합니다. 우리는 수년 동안 이 시장을 주시해 왔으며, 이 유명한 시장을 무너뜨리는 데 일조하게 되어 기쁘게 생각합니다."라고 말합니다.
법 집행 당국은 150만 개의 멀웨어 봇이 마켓플레이스에 연결되어 있다고 보고했지만, 트렐릭스는 전체 기록 데이터베이스가 아닌 광고 데이터에만 액세스할 수 있었기 때문에 45만 개의 봇만 추적할 수 있었습니다. 트렐릭스는 조사 대상 봇이 피해 워크스테이션에 실시간으로 연결되어 있으며 의도적으로 단계적으로 설계된 감염의 산물이라는 사실을 발견했습니다.
유로폴 문서에 따르면, 이 사이트의 봇당 가격은 도난당한 데이터의 양과 종류에 따라 0.70달러에서 수백 달러까지 다양했습니다.
전 세계적으로 진행된 이 작전은 FBI와 네덜란드 경찰이 지휘했으며, 네덜란드 헤이그에 위치한 유로폴 본부에 지휘본부가 설치되었습니다. 그 결과 119명의 체포, 208건의 가택 수색, 97건의 '노크 앤 토크' 조치가 이루어졌습니다. 미국 법무부에 따르면 '쿠키 몬스터 작전'으로 불리는 이 수사에는 45개 FBI 현장 사무소가 참여했습니다.
법 집행 기관에서 제공한 포렌식 타임스탬프를 기반으로 트렐릭스는 "setup.exe" 파일을 최초 감염 벡터로 확인했습니다. 이 파일은 사이버 보안 샌드박스를 우회하기 위한 방법인 널 패딩을 통해 크기가 440MB로 부풀려진(99.3%) 다단계 실행 파일이었습니다. 이 파일은 합법적인 이노 설치 파일로 밝혀졌으며, 제네시스가 악성 코드를 도입하기 위해 악용한 무해한 소프트웨어 설치 파일입니다.
둘째, 이 실행 파일은 대상 컴퓨터의 임시 폴더(%temp%에 위치)에 동적 링크 라이브러리(DLL) 파일인 "yvibiajwi.dll"을 배치합니다. 탐지를 피하기 위해 DLL은 악성 스크립트 바이너리 끝에서 150MB 버퍼를 해독하는 루틴을 수행하여 사용자의 Windows 시작 프로세스인 "explorer.exe"를 겨냥한 휴대용 실행 파일(PE)을 생성합니다.
공격의 세 번째 단계는 감염된 컴퓨터를 이용해 공격자의 명령 및 제어(C&C) 서버에 연결하고, 트렐릭스에 따르면 다나봇 제품군과 유사한 또 다른 멀웨어를 다운로드하는 것입니다.
이 글의 출처는 CSOOnline의 기사입니다.