최근 OBSCURE#BAT으로 명명된 고도로 난독화된 악성코드 캠페인이 발견되었습니다.
이 악성코드는 API 훅킹 및 은닉 기법을 사용해 보안 솔루션을 우회하고 루트킷을 설치하는 방식으로
사용자들을 속이고 있습니다.
🚨 Securonix 보안 연구진에 따르면, OBSCURE#BAT의 최종 페이로드는 "r77" 루트킷으로,
특정 접두사($nya-)가 붙은 파일, 프로세스, 레지스트리 키를 완전히 숨길 수 있습니다.
💡 즉, 사용자는 감염 여부를 쉽게 확인할 수 없으며, 보안 소프트웨어도 이를 탐지하기 어려운 심각한 보안 위협입니다.
🔎 OBSCURE#BAT 악성코드의 동작 방식
OBSCURE#BAT는 "러시아 인형" 방식과 유사하게 단계별 공격을 진행하며,
최종적으로 고급 루트킷을 설치하는 것이 목표입니다.
🛠️ 공격 단계별 분석
🔹 1단계: 소셜 엔지니어링 및 피싱 유도
- 피해자는 가짜 Cloudflare 캡차, 소프트웨어 업데이트,
위장된 다운로드 링크를 클릭하여 악성 파일을 다운로드하게 됨 - 주로 Tor 브라우저, SIP VoIP, Adobe 소프트웨어 업데이트로 위장
🔹 2단계: 난독화된 배치 파일 실행
- 악성 배치 파일은 불필요한 변수 및 문자 대체 기법을 사용하여 탐지를 우회
- PowerShell을 활용한 추가 페이로드 실행 및 시스템 레지스트리 조작
🔹 3단계: r77 루트킷 설치
- 최종 페이로드인 r77 루트킷을 Windows Registry에 저장
- 감염된 시스템에서 백그라운드에서 은밀히 실행되며 탐지 회피
🚨 특히, r77 루트킷은 API 훅킹을 이용하여 악성 프로세스를 감추기 때문에 감염 여부를 쉽게 확인할 수 없습니다!
🕵️ r77 루트킷의 위험 요소
🔍 1. API 훅킹을 통한 탐지 우회
- r77 루트킷은 Windows API를 가로채고 변조하여 보안 솔루션이 이를 감지하지 못하게 만듦
🔍 2. 파일 및 프로세스 은닉
- 특정 접두사($nya-)가 붙은 파일, 레지스트리 키, 실행 프로세스가 완전히 숨겨짐
- Windows 작업 관리자(Task Manager), 탐색기(Explorer), shell 명령어(dir, tasklist)에서도 보이지 않음
📢 "이 악성코드는 시스템 깊숙이 숨어 피해자가 감염되었는지도 모르게 운영됩니다." – Securonix 연구진
🎯 누가 표적이 될 가능성이 높은가?
🔹 주요 표적:
- OBSCURE#BAT는 영어권 사용자를 주요 대상으로 공격
- 피싱 페이지, 악성 링크, 파일명이 모두 영어로 작성
- 공격 인프라는 미국에 기반
🔹 대형 기업을 노리는 Big-Game Hunting 가능성
- 타이포 스쿼팅(유사 도메인 사칭), 악성 광고, 가짜 제품 다운로드를 활용
- 기업 네트워크 침투 후 지적 재산권(IP), 금융 데이터, 기밀 정보 탈취 가능성
- 대규모 조직 및 보안 수준이 높은 기관을 타겟으로 삼고 있을 가능성 큼
📢 "공격자의 목표는 단순한 개인 사용자가 아니라, 고급 보안 수준을 가진 기업 및 조직일 가능성이 높습니다." – Securonix 보안 연구원 Tim Peck
🛡️ OBSCURE#BAT 방어 및 대응 방법
💡 이 악성코드는 탐지 및 제거가 매우 어렵기 때문에, 사전 예방이 핵심입니다.
✅ 1. 소셜 엔지니어링 공격에 대한 경계 강화
- 🚨 캡차(Captcha)가 코드 실행을 유도하는 경우 클릭하지 말 것
- ❌ 비공식 소프트웨어 업데이트 및 의심스러운 다운로드 금지
- 🔍 이메일과 다운로드 링크의 URL 확인 (피싱 사이트 여부 검토)
✅ 2. 배치 파일 실행 전 코드 확인
- 배치 파일을 메모장 또는 텍스트 편집기로 열어 난독화된 코드 여부 확인
- 이상한 문자 조합, 불필요한 변수, 난독화된 명령어가 포함되어 있다면 실행 금지
✅ 3. 시스템 모니터링 및 로깅 활성화
- Sysmon(System Monitor) 및 PowerShell 로깅 활성화
- SIEM(Security Information and Event Management) 및 EDR(Endpoint Detection and Response) 도구 활용
📢 "고급 난독화 기술을 사용하는 악성코드는 정적 분석으로 탐지하기 어려우므로, 실시간 모니터링이 필수입니다."
✅ 4. API 훅킹 및 루트킷 탐지 도구 사용
- GMER, Sysinternals RootkitRevealer, Windows Defender ATP 같은 루트킷 탐지 도구 사용
- Windows 작업 관리자, 탐색기, 명령어에서 특정 파일이나 프로세스가 사라진다면 감염 가능성 존재
🚨 r77과 같은 루트킷은 일반적인 백신 프로그램으로 탐지하기 어렵기 때문에,
전문적인 루트킷 탐지 도구가 필요합니다.
✅ 5. 권한 제한 및 스크립트 실행 차단
- 그룹 정책(GPO) 및 AppLocker를 이용하여 불필요한 배치 파일, PowerShell 스크립트 실행 제한
- 최소 권한 원칙(LUA, Least User Access) 적용하여 관리자 권한 남용 방지
📢 "OBSCURE#BAT는 관리자 권한을 얻은 후 심각한 피해를 초래할 수 있으므로,
초기에 실행을 차단하는 것이 가장 중요합니다."
🚀 결론: OBSCURE#BAT는 탐지하기 어려운 고급 루트킷 위협
💡 API 훅킹, 배치 스크립트 난독화, 루트킷 은닉 기법을 활용하는 OBSCURE#BAT는
탐지와 대응이 어려운 고급 위협입니다.
🚨 기존 보안 솔루션으로 탐지하기 어려우므로, 사전 예방 조치 및 고급 탐지 기술이 필요합니다.
✅ 소셜 엔지니어링 대비, 보안 로깅 활성화, API 훅킹 탐지 도구 활용 등의 방어 전략이 필수적입니다.
📢 기업과 기관의 보안팀은 이와 같은 은밀한 위협에 대비해야 합니다! 🔍💻