꿈을꾸는 파랑새

오늘은 컴퓨터가 Emotet(이모텍) 악성 코드에 감염되었는지 확인해주는 프로그램인 EmoCheck에 대해 글을 적어 보겠습니다.
일단 Emotet(이모텍) 이라것은 금융정보 탈취를 해결하기 위해서 2014년 독일, 오스트리아, 스위스 등에서 처음으로 발견된 악성코드로 금융 정보 탈취형 악성코드이며 금융 정보를 탈취하기 위한 목적으로 만들어진 이모텟은 개인 인터넷 뱅킹 사용자들에게 무작위로 스팸 메일을 발송해 브라우저를 감염되고 그리고 나서 사용자 계정 탈취 암호화된 인터넷 통신 데이터까지 탈취하는 악성 코드입니다.

그리고 이모텟(Emotet)은 온라인 뱅킹 이용자가 많아진 점을 노리고 이모텟 뱅킹 악성코드가 국내에서도 상륙해서 활동한 적이 있습니다. 일단 파밍(Pharming) 기법을 이용하며 사용자를 가짜 사이트로 접속하게 하여 개인 정보를 탈취 컴퓨터에 저장된 공인인증서 파일을 수집하여 키로깅(Key Logging)을 통해 개인 키 값을 탈취하는 행동을 진행하며 이모텟 악성코드는 웹 브라우저에 삽입되어 아이디(ID), 패스워드(Password) 등과 같은 사용자의 중요 정보를 훔치고 네트워크 스니핑을 통하여 HTTPS 암호채널의 데이터까지 탈취하는 특징이 있습니다. 즉 금융정보를 털어서 자신들이 돈을 취하는 방법입니다.

그리고 Emotet은 명령 및 제어 서버를 사용하여 업데이트를 수신하며 감지를 피하기 위한 여러 메커니즘을 포함하는 것이 특징입니다. Emotet은 내장된 업데이트 기능 덕분에 계속해서 위협적인 존재입니다.
기본적으로 확인하는 방법은 간단합니다. 안티바이러스(백신프로그램)를 설치를 해두면 기본적으로 설치를 해주면 기본적으로 탐지 및 제거를 할 수가 있습니다.
일단 간단하게 오픈 소스 도구 EmoCheck를 사용을 해서 Emotet(이모텍)을 탐지할 수가 있습니다.
GitHub 프로젝트 사이트 에서 32비트 또는 64비트 버전의 EmoCheck를 다운로드 및 실행을 하면 됩니다.
프로그램은 인터페이스에 스캔 결과를 표시하고 텍스트 로그 파일도 시스템에 저장되며 /quiet, /json 또는 /output 경로와 같은 매개 변수를 사용하여 명령 줄에서 실행하여 콘솔 출력 없이 프로그램을 실행하거나 데이터를 JSON 파일로 내보내거나 기본 출력 디렉터리를 변경할 수도 있습니다.

JPCERTCC Emotet(이모텍) 다운로드

EmoCheckEmoCheck

개발자는 EmoCheck가 GitHub에서 Emotet 악성 코드를 감지하는 방법과 다양한 프로그램 버전이 추가된 내용을 제공하고 있습니다.
( v0.0.1 ) Emotet은 특정 단어 사전과 C 드라이브 일련번호에서 프로세스 이름을 생성
EmoCheck는 호스트에서 실행 중인 프로세스를 스캔하고 프로세스 이름에서 Emotet 프로세스를 탐지
(v0.0.2에 추가됨)
Emotet은 인코딩된 프로세스 이름을 특정 레지스트리 키에 보관
EmoCheck는 레지스트리 값을 조회 및 디코딩하고 프로세스 목록에서 탐지
Microsoft Authenticode를 사용한 코드 서명
(v1.0에 추가됨)
2020년 4월 업데이트 된 Emotet을 지원
난독화 된 코드
시스템이 감염된 경우 가장 먼저 해야 할 일은 네트워크, 인터넷과의 연결을 끊고 나중에 해당 악성코드를 탐지하고 치료하는 바이러스 백신 프로그램을 사용하여 맬웨어를 제거하는 것입니다. 즉 기본적으로 백신프로그램(안티바이러스) 설치를 하고 관리를 잘하면 해당 악성코드에 감염될 확률이 줄어들며 기본적인 예방 수칙을 지켜주어야 합니다.
이모텟 악성코드 예방 수칙
1: 출처가 불분명한 이메일 열람, 포함된 링크 클릭 금지
2: 확인되지 않은 문서 파일에 포함된 매크로 실행 안 함
3: 불필요한 경우 파워쉘 기능 비활성화
4: 백신프로그램 실시간 감시 및 자동 업데이트 시간이 날 경우 하드디스크 전체 검사 수행
5: OS(운영체제) 최신 업데이트 적용(기본적으로 윈도우 같은 경우 매월 둘째 주 수요일에 정기 보안 업데이트가 이루어집니다.)

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band