GuLoader Malware

GuLoader는 2019년 12월에 처음 발견된 트로이 목마 멀웨어의 일종입니다. 일반적으로 멀웨어 감염 연쇄의 첫 번째 단계로 작용하며, 호스트에 액세스한 후 다른 유형의 멀웨어를 다운로드하고 설치합니다. 이 멀웨어는 원래 Parallax RAT를 다운로드했지만, 진화하여 Netwire, FormBook, Agent Tesla 등 다양한 랜섬웨어와 뱅킹 트로이 목마를 유포하는 데까지 확장되었습니다.

GuLoader는 조직이 직면하는 여러 트로이 목마 위협 중 하나입니다. GuLoader의 가장 큰 장점은 탐지 방지 및 회피 기능입니다. 이 멀웨어는 패킹, 암호화, 프로세스 중공화, 합법적인 사이트를 명령 및 제어 인프라로 사용하는 등 다양한 기술을 사용하여 탐지를 회피합니다.

Read the Security Report 데모 요청하기

GuLoader는 어떻게 작동하나요?

GuLoader는 원격 액세스 트로이 목마(RAT)로, 시스템에 대한 초기 액세스 권한을 얻기 위해 속임수를 사용하며 정상적으로 보입니다. 일반적인 GuLoader 감염 경로에는 드라이브 바이 다운로드와 피싱 캠페인이 있습니다.

 

GuLoader는 3단계 감염 과정으로도 유명합니다. 첫 번째 단계에서는 먼저 수정된 레지스트리 키를 통해 액세스 권한을 얻고 지속성을 확보합니다. 2단계에서 멀웨어는 셸코드를 메모리에 주입하기 전에 분석 도구의 징후가 있는지 환경을 검사합니다. 이러한 인젝션은 프로세스 중공화를 통해 이루어지며, 셸코드는 암호화되고 다형성이 있어 탐지 및 수정이 더욱 어렵습니다. 마지막 단계에서는 주입된 셸코드를 사용하여 최종 악성 실행 파일을 다운로드하고 실행합니다. 또한 GuLoader는 다양한 변종 멀웨어를 다운로드하고 배포할 수 있어 조직에 대한 잠재적 위협이 크게 증가합니다.

GuLoader는 암호화, 패킹, 다형성 코드 사용 등 다양한 메커니즘을 통해 탐지를 회피합니다. 또한 GuLoader는 합법적인 웹 사이트에서 악성 코드를 다운로드합니다. 실제로 최신 버전의 GuLoader는 Google 드라이브 및 기타 클라우드 스토리지 시스템에서 암호화된 페이로드를 다운로드할 수 있습니다. 이러한 암호화를 통해 멀웨어는 클라우드 제공업체의 스캐너를 통과할 수 있으며 멀웨어의 유효 수명을 늘릴 수 있습니다.

GuLoader의 용도

사이버 범죄자를 위한 GuLoader의 주요 판매 포인트 중 하나는 사용자 정의가 가능하다는 점입니다. 멀웨어 운영자는 모듈식 설계를 활용하고 클라우드에서 호스팅되는 페이로드를 다운로드하여 멀웨어의 모양과 동작을 구성할 수 있습니다.

다른 멀웨어 변종을 다운로드하고 배포하도록 구성할 수 있기 때문에 GuLoader의 잠재적인 애플리케이션은 거의 무한합니다. 실제로 GuLoader는 현재 다음과 같은 다양한 멀웨어를 유포하는 것으로 알려져 있습니다:

  • FormBook
  • XLoader
  • Remcos
  • 404키로거
  • Lokibot
  • AgentTesla
  • Nanocore
  • NetWire

보호하는 방법

GuLoader는 적응력이 뛰어나고 매우 효과적인 트로이 목마로, 3년이 지난 지금도 활발히 개발 중입니다. 하지만 조직은 이러한 멀웨어 위협으로부터 자신과 직원을 보호하기 위한 조치를 취할 수 있습니다. GuLoader 및 이와 유사한 멀웨어 위협으로부터 보호하기 위한 여러 가지 모범 사례는 다음과 같습니다:

  • 직원 교육: 트로이 목마 멀웨어인 GuLoader는 속임수와 위장을 사용하여 합법적인 파일인 것처럼 위장합니다. 피싱 스캠과 드라이브 바이 다운로드를 식별하고 피하도록 사용자를 교육하면 감염 위험을 줄이는 데 도움이 됩니다.
  • 엔드포인트 보안: GuLoader는 다양한 회피 기술을 사용하지만 감염된 시스템에서 여러 가지 의심스럽고 악의적인 동작을 수행합니다. 엔드포인트 보안 솔루션은 멀웨어 감염이 조직에 심각한 피해를 입히기 전에 이를 탐지하고 차단할 수 있어야 합니다.
  • 이메일 보안: 피싱 이메일은 주요 GuLoader 감염 메커니즘입니다. 이메일 스캐너는 이메일이 사용자의 받은 편지함에 도달하기 전에 GuLoader 멀웨어가 포함된 이메일을 식별하여 차단할 수 있습니다.
  • 웹 보안: GuLoader는 일반적으로 드라이브 바이 다운로드를 통해 배포됩니다. 웹 보안 솔루션은 악성 웹사이트의 징후를 식별하고 의심스러운 다운로드를 차단하여 트로이 목마 멀웨어가 최종 사용자의 시스템으로 이동하는 것을 방지할 수 있습니다.

체크 포인트를 통한 GuLoader 멀웨어 탐지 및 보호

GuLoader는 2019년부터 활동 중인 트로이 목마로, 새로운 기능을 추가하기 위해 여러 차례 업데이트를 거쳤습니다. 그 결과, 감염된 시스템에서 탐지 및 제거하기 어려운 매우 효과적인 멀웨어 변종입니다.

하지만 GuLoader는 기업이 직면하는 여러 멀웨어 위협 중 하나에 불과합니다. 또한 사이버 위협 환경은 멀웨어 위협을 넘어 다양한 사이버 보안 문제에 직면하고 있습니다. 효과적인 사이버 보안 전략은 조직이 직면한 잠재적인 사이버 위험과 위협에 대한 완전한 이해를 바탕으로 한 전략입니다. 그리고 체크 포인트의 2023 사이버 보안 보고서를 확인하여 현재 사이버 위협 환경에 대해 자세히 알아보십시오.

체크포인트는 GuLoader에 대한 심층적인 연구를 수행했으며, 이 연구를 통해 얻은 인사이트를 체크포인트 보안 제품에 반영하고 있습니다. 체크 포인트 하모니 엔드포인트는 GuLoader와 이 변종 멀웨어, 그리고 조직이 직면하는 기타 멀웨어 및 엔드포인트 보안 위협에 대한 강력한 보호 기능을 제공합니다. 조직의 멀웨어 및 엔드포인트 보안 전략에서 Harmony Endpoint와 그 역할에 대해 자세히 알아보려면 지금 바로 데모를 사용해 보세요.

관련 항목

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.