‘몰래 채굴’ 악성코드 퍼뜨리는 대신 악성코드 찾아내 제거하는 봇넷 발견

[manyexp]

암호화폐 보안 연구자들이 새로운 봇넷(botnet)을 발견했다. 흔히 봇넷은 사용자 모르게 악성코드나 악성 소프트웨어에 감염돼 통제를 받는 대량의 봇(bot)을 일컫는 말인데, 이번에 발견된 봇넷은 사용자 네트워크에 해를 끼치지 않고 오히려 암호화폐 불법 채굴 악성코드를 찾아내 파괴한다.

에프봇(Fbot)이라는 이름의 봇넷은 사토리(Satori)라는 봇넷의 일종으로 사토리는 보통 디도스(DDoS, 분산서비스 거부) 공격에 쓰이는 미라이(Mirai)라는 프로그램을 기반으로 설치된 봇넷이다. 정확한 경로는 알 수 없지만, 에프봇에는 원래 용도인 디도스 공격 모듈은 꺼져 있고, 대신 네트워크 안에서 몰래 암호화폐를 채굴해 빼돌리는 크립토재킹 악성 코드를 에프봇이 찾아내 제거하고 교체하도록 프로그램돼 있다.

에프봇의 활동을 발견하고 이번 연구를 진행한 중국의 인터넷 보안업체 치후(奇虎) 360은 에프봇이 안드로이드 기반 모네로 채굴기 ADB.Miner에 잠입하는 크립토재킹 악성 코드 com.ufo.miner를 찾아내 삭제한다고 밝혔다. 치후 360은 에프봇이 해당 악성코드에 감염된 기기를 확인하고 나면 com.ufo.miner 삭제 코드를 실행해 기기에서 악성 코드를 지워낸다고 설명했다. 좀 더 정확히 설명하면 에프봇이 기기와 네트워크를 검색해 악성 코드를 찾아내면 스스로 악성코드를 덮어쓰는 방식으로 설치한 뒤 스스로 파괴하는 방식이다.

https://www.coindeskkorea.com/botnetfbot/