Bashlite

Gafgyt 변종 악성코드 분석 – Yakuza Bot

Gafgyt는 현재 Mirai와 함께 가장 많이 유포되고 있는 IoT 악성코드다. 그 목적도 동일하게 DDoS 공격이며 봇넷을 확보하기 위해 취약한 다른 IoT 장비들을 감염시킨다는 점도 동일하다. Gafgyt는 Bashlite 또는 Qbot이라고도 불리며 Mirai 처럼 소스 코드가 공개되어 있어서 수많은 변종들이 지금까지 발견되고 있다. 원본 소스 코드뿐만 아니라 악성코드 제작자들이 기능을 더한 변종들의 소스 코드들도 다수 확인된다. 여기에서는 악성코드 제작자가 Yakuza라는 이름을 붙인 변종 악성코드를 다룬다. 초기 루틴 실행 시 먼저 현재 실행 중인 프로세스의 이름을 변경하는 형태의 분석 방해 기법 2가지가 사용된다….