섀도우 무력화

지난 몇 개월에 걸쳐 RSA Research는 여러 조직과 협력하여 RIG 익스플로잇 키트(RIG EK 또는 단순히 RIG)에 대한 활동에 착수했고 그 결과 작전에 사용된 인프라스트럭처에 대한 정보(전체 협력 체계에 대한 정보도 가능함)를 얻고 도메인 섀도잉과 관련된 중요한 사항을 발견했습니다. 도메인 섀도잉은 “공격자가 악성 서버로 연결되는 하위 도메인을 생성할 목적으로 도메인 계정 자격 증명 소유자로부터 해당 자격 증명을 훔치는 기술”입니다.

이번 활동의 직접적인 결과로 수만 개의 활성 섀도우 도메인 리소스가 RIG, 멀버타이징 및 멀스팸 작전에서 제거되었습니다.

연구 방법론과 감사 인사
이 연구에 대한 초기 데이터는 2017년 2월 21일부터 3월 20일까지 취합되고 평가되었지만, 현재 RIG EK 작전에 대한 이 논의와 관련성이 있는지 확인하는 데 중요한 후속 데이터 입수, 평가 및 후속 연구도 시행되었으며 계속 진행되고 있습니다.

RSA의 지속적인 연구 및 결과는 GoDaddy의 명석한 동료들과 다수의 커뮤니티 연구원들이 기를 모아주었기에 가능한 것이었습니다. 특히 @broadanalysis, @dynamicanalysis, @executemalware, @malwarebytes, @zerophage와  malware-traffic-analysis.net 및 Palo Alto Unit 42의 Brad Duncan 씨의 공로를 인정하고 싶으며 지속적인 협업을 통해 이 연구에서 중요한 역할을 해주신 Rintaro Koike 씨(@nao_sec, http://nao-sec.org/)에게도 특별한 감사를 드리고 싶습니다.

RIG 익스플로잇 키트

이 공간에 대한 급습은 RIG 익스플로잇 키트의 상세한 검사에서 시작되었으므로 이 익스플로잇 키트의 작동 방식에 대한 완벽한 운영 개요를 알려드리는 것이 좋을 듯 합니다. 그림 1에는 일반적인 RIG 작전이 설명되어 있으며 이러한 작전에 대한 후속 설명도 이 그림을 바탕으로 구성됩니다.

그림 1. RIG 전송 개요

아래의 그림에서 볼 수 있듯이 RIG는 현재 시장에서 활발하게 사용되는 익스플로잇 키트이며 이 익스플로잇 키트는 페이로드에 따라 다각적으로 활용됩니다.

그림 2. 2017년 5월 17일 기준 RIG 익스플로잇 키트 활동(@executemalware 제공)

손상된 사이트

RIG EK 작전의 시작이자 핵심적인 촉진제는 손상된 사이트입니다. 소개 페이지로 트래픽을 연결할 때는 멀버타이징, Chrome 글꼴 팝업 및 기타 방법이 사용되지만 조사 중에 가장 많이 관찰된 방법은 손상된 WordPress, Joomla! 및 Drupal 사이트에 iframe을 주입하는 것입니다.

당연히 RIG EK에 사용되는 URL 매개 변수는 계속해서 변경됩니다. 이전부터 이 익스플로잇 키트는 iframe 주입, JavaScript 및 기타 공격을 위해 이러한 유형의 URL 매개 변수를 순환하고 재사용하는 것으로 관찰되었습니다. 2017년 2월에 LAC Cyber Grid View가 공개한 RIG 백서(일본어)에서 RIG 관련 URL 패턴의 기간별 연대표를 확인할 수 있습니다. 현재 RIG EK 매개 변수는 그림 7에 캡처되어 있습니다.

트래픽을 RIG 소개 페이지로 연결하는 손상된 사이트의 일부(크롤러를 통해 얻음)를 평가할 때 등록 기관은 전형적인 도메인 등록 기관의 중첩된 영역처럼 보입니다(그림 8).

그림 8. 분산된 등록 기관이 있는 손상된 사이트

게이트 및 TDS(Traffic Distribution System)

GoodMan 및 RIG EK로 연결되는 일부 멀버타이징에 사용된 TDS 외부 유입 트래픽을 다룬 @dynamicanalysis를 비롯하여 다른 보안 연구원이 게시한 보고서가 있음에도 불구하고 연구 초반에는 TDS 또는 게이트가 주요 RIG 캠페인(구체적으로 PseudoDarkleech 및 EITEST)과 함께 사용되고 있음을 보여주는 뚜렷한 증거가 관찰되지 않았습니다.

그러나 3월 말부터 4월과 5월로 접어드는 동안 다수의 새로운 캠페인이 나타나면서 상황은 달라지기 시작했습니다. GoodMan 및 Seamless 캠페인은 hurtmehard[.]net 같은 기존 게이트를 사용하지만 GoodMan의 경우 Decimal-IP 캠페인은 정수로 표현된 IP 주소를 사용하여 RIG 소개 페이지로 트래픽을 리디렉션합니다. 이는 기존의 IOC(Indicator of Compromise) 기반 탐지 수단을 회피하기 위한 것으로 보이며 현재의 위협 행위자가 이러한 기술을 채택한 이유도 여기에 있습니다(그림 9).

그림 9. RIG로 리디렉션하는 Decimal IP

소개 페이지

손상된 사이트에 주입된 iframe과 기존 게이트에 의해 움직이는 트래픽은 RIG 작전 모델의 핵심인 RIG 소개 페이지로 연결됩니다. 그림 10에는 샘플 네트워크 트래픽 캡처가 나와 있습니다. Decimal-IP 캠페인의 현재 PCAP는 여기서 확인할 수 있습니다.

그림 11은 2017년 5월 16일에 현장에서 관찰되어 난독화를 일부 해제한 소개 페이지입니다.

RIG 소개 페이지의 기본적인 목적은 들어오는 클라이언트 시스템을 지능적으로 악용하고 다수의 여러 캠페인이 푸시하는 다양한 페이로드 세트를 활용해 희생시키는 것입니다.

익스플로잇

RIG가 심은 익스플로잇 중에서 조사 중에 가장 많이 관찰된 익스플로잇은 잘 알려진 플래시 관련 익스플로잇입니다(주로 CVE-2015-8651 악용). 실사를 수행하면서 현재 RIG 샘플을 이전 샘플의 컬렉션과 비교한 결과 수많은 캠페인에 걸쳐 실행된 코드 및 프로세스에서 유사성을 발견했습니다. 쉽게 식별되는 플래시 익스플로잇이 그 증거입니다(그림 12).

언급된 플래시 익스플로잇에 더해 RIG 소개 페이지는 CVE-2016-0189CVE-2015-2419 및 CVE-2014-6332 익스플로잇을 사용하여 IE(Internet Explorer)를 목표로 하는 페이로드도 전송했습니다(그림 13).

그림 13. 사용자 에이전트별 CVE https://github.com/nao-sec/RigEK

RIG 소개 페이지의 리버스 엔지니어링이나 관련 익스플로잇은 이 논의의 기본적인 초점을 벗어나지만 현재의 보안 연구 범위 내에서 다수의 유용한 기술적 설명을 찾아볼 수 있습니다. 특히 RSA Research 및 nao_sec의 예제는 확인해 보는 것이 좋습니다.

페이로드

RIG가 전송하는 다수의 페이로드는 지속적으로 변경되며 RIG 전송을 활용하는 다양한 캠페인에 따라 크게 달라집니다. 조사 중에 RSA Research는 PDL(PseudoDarkleech) 캠페인에 주로 사용되는 Cerber가 RIG로 전송되어 초반에 상당한 지속성을 유지했다는 사실에 주목했습니다. PDL의 활동은 4월에 차츰 잦아들어 대체로 조용한 상태(또는 은밀한 상태)를 유지했습니다. Cerber 페이로드에 대한 기술적 설명은 부록 A에서 확인할 수 있습니다.

그림 14. 친숙한 Cerber 시작 화면

초기 조사에서 두 번째로 활발한 활동을 보인 캠페인은 EITEST였습니다. 이 캠페인은 여전히 활성 상태이며 다양한 악성 페이로드(예: Dreambot 뱅킹 트로이 목마)를 전송하고 있지만 안정적인 수입을 제공하는 랜섬웨어에 밀리는 경우가 많습니다. 2월과 3월에는 Cerber, CryptoShield, Sage 및 Spora 페이로드가 특히 눈에 띄었습니다. CryptoShield 페이로드에 대한 기술적 설명은 부록 B에 있습니다.

그림 15. CryptoShield 시작 화면

최근 RIG를 활용하는 2가지 활성 캠페인 중 하나인 Decimal-IP 캠페인은 얼마 전에  smokeloader (샘플)를 전송하는 것이 관찰되었습니다. 이 활동을 적극적으로 주시하는 여러 연구원들 중 zerophage가 몇 가지 기술적 설명을 제공하며 네트워크 트래픽에 대한 샘플은 그림 16에 나와 있습니다.

그림 16. Smokeloader를 전송하는 Decimal IP 리디렉션

이 연구에서 마지막으로 다룬 캠페인인 Seamless는 Latentbot 및 Ramnit 랜섬웨어를 전송하는 것으로 관찰되었습니다. 이 캠페인에 대한 관련 기술 문서는  Cisco와 그림 17에 주석을 추가한 Brad Duncan 씨가 제공합니다.

섀도우 인프라스트럭처의 풋프린팅

RIG 작전의 스냅샷에서 이 인프라스트럭처는 어떻게 보일까요? Maltego(상관 관계 및 보강을 위한 PassiveTotal 및 DomainTools의 키 포함)는 2월 21일~27일까지 알려진 RIG 소개 페이지를 활용하여 EITEST 및 PDL 캠페인과 관련된 RIG 작전 인프라스트럭처의 스냅샷을 생성했습니다(그림 18).

그림 18. 2017년 2월 27일부터 관찰된 RIG 작전 인프라스트럭처의 샘플

분석 중에 이 인프라스트럭처의 흥미로운 측면을 발견했습니다. 첫째, 2월 말부터 3월을 지나 4월 초까지 관찰된 RIG 활동에서 상당량의 타겟 IP 서브넷이 재사용되었습니다.

그림 19. ASN을 호스팅하는 RIG 백엔드

이전 연구에서 크라임웨어 범죄자에 대한 방탄 호스팅 의 중요성과 가용성에 대해 논의했습니다. RSA Research는 RIG 관련 ASN(Autonomous System Number)이 주로 ‘상업적으로 난독화된’ 방탄 호스팅 공급업체(예: TimeWeb)의 핵심 그룹에 포함되는 것을 확인했습니다. 특히 이러한 ASN에는 크라임웨어 범죄자를 위해 난독화된 작전 중계를 제공할 수 있는 합법적인 혼합 사용 트래픽(블랙리스트로 차단될 가능성을 줄임)이 충분했습니다. 간단한 OSINT 검색에서도 이 주장을 지원하는 수많은 지표가 나타납니다.

예상한 일이지만 RIG 관련 넷블록 내에서 호스팅되는 도메인에 대한 크롤링 시도(그림 19)에서는 RIG 소개 페이지로 트래픽을 연결하는 주입된 iframe(그림 7의 패턴을 기반으로 하는 하위 문자열 일치 사용)이 단 한 건도 나타나지 않았습니다. 이는 특히 일부 페이로드의 국가 및 언어 화이트리스팅에 대해 알려진 정보를 고려할 때, 이 목적을 위해 손상된 사이트가 서구 지역 트래픽의 근접성 및 유입 때문에 표적이 되었을 수 있음을 나타냅니다.

둘째, SSL 인증서 재사용이 많았습니다. 처음에는 RIG와 관련된 것으로 여겨졌으나 추가 조사 후 다수의 ASN 지역화 도메인(예: 그림 20 참조)에 걸친 인증서 확산이 입증되었습니다. 이러한 결과를 기반으로 할 때 이러한 SSL 인증서는 RIG와 관련된 것이 아니며 일반적으로 호스팅 공급업체에 의해 사용되는 것으로 보입니다.

일련 번호발급 조직Shodan 목록
620617GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A620617"/a>
983750GeoTrust, Inc.해당 없음
66288GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A66288

그림 20. Shodan 인증서 세부 정보 shodan.io

RIG 소개 페이지 도메인의 Whois 등록 세부 정보 검사에서는 GoDaddy가 기본 등록 기관으로 밝혀졌습니다. 그림 21은 2017년 2월 21일부터 2017년 4월 10일까지 RIG 소개 페이지에 사용된 것으로 확인된 395개의 고유한 하위 도메인에 대한 등록 기관들을 분류한 Maltego 스크린샷입니다.

그림 21. 일반적인 등록 기관을 사용하는 RIG 소개 페이지

이 결과를 바탕으로 이러한 하위 도메인을 소유한 모든 개별 등록자 이메일을 분리했습니다(처음에는 일반 등록자를 차단함. 예: abuse@). 이 등록자 이메일을 배치로 묶고 모든 관련 도메인 및 하위 도메인을 식별했으며 주요 공급업체가 호스팅하는 수천 개의 섀도우 도메인이 식별되었습니다. 그림 22는 18개 GoDaddy 등록자에 등록된 2200개가 넘는 하위 도메인을 보여주는 Maltego 스크린샷입니다. 각 하위 도메인은 2017년 3월 25일부터 4월 5일까지 RIG 작전이 진행되는 동안 활발하게 남용되었습니다. 이는 손상된 계정인 것으로 보입니다.

그림 22. 섀도우 도메인에 사용되는 손상된 계정

손상된 계정이 소유한 하위 도메인은 합법적인 GoDaddy 도메인을 섀도잉하고 앞서 언급한 외부 넷블록(그림 19)에서 현재 RIG 소개 페이지를 호스팅하는 것으로 보입니다. DNS A 레코드는 그림 23과 24(centralops.net 제공)에서 볼 수 있듯이 이 관찰에 대한 추가 증거를 제공합니다.

그림 23. 섀도우 도메인에 대한 샘플 DNS 레코드

그림 24. 2017년 3월 28일 - 섀도우 도메인에 대한 DNS A 레코드

RIG를 사용하는 범죄자는 새 섀도우를 생성하기 전에 하위 도메인과 DNS A 레코드를 주기적으로 지우고 삭제합니다. 섀도우 도메인 DNS A 레코드의 예비 분석에서 삭제 전까지 수명은 5~10일로 나타납니다. 즉, 백엔드 호스팅(그림 19의 ASN)을 기반으로 한 이러한 섀도우 도메인의 실제 가용성은 24~48시간에 가까운 것으로 보입니다. 이 사실에 대한 증거는 이 섀도우 도메인이 생성된 후 2017년 3월 30일에 DNS 레코드에서 제거되었다는 데 있습니다(그림 25).

그림 25. 2017년 3월 30일 - 섀도우 도메인의 지워진 DNS 레코드

아래의 그림 26에서 볼 수 있듯이 이 활동은 4월과 5월까지 계속되었습니다.

그림 26. 2017년 5월 16일에 DNS A 레코드에 나타난 RIG 섀도우 도메인

GoDaddy와의 협업

GoDaddy 등록 도메인이 높은 빈도로 발생했기 때문에 GoDaddy는 섀도우 도메인 인프라스트럭처를 문서화하는 작업에 협업 파트너로 참여했습니다. 집중적으로 관찰한 결과 고유한 시점으로 섀도우 DNS 항목을 검사할 수 있었습니다. GoDaddy에서는 자체 분석을 통해 위협 행위자의 전술, 기술 및 절차를 파악할 수 있는 다양한 측정 지표를 식별했습니다. 이러한 방법은 이후에 도메인 섀도잉 활동을 파악하고 관찰하는 데 사용되었습니다. 이 목적으로 개발된 인프라스트럭처에서는 문제를 추가로 이해하는 데 필요한 정보를 얻을 수 있었습니다.

이전의 도메인 섀도잉 활동은 식별된 다양한 동작 패턴을 사용하여 60일의 기간 동안 분석되었습니다. 이 기간에 RIG 섀도우 활동은 정해진 단어 목록(예: ‘red’, ‘admin’, ‘info’, ‘save’ 및 ‘new’)에서 무작위로 선택된 단어로 구성되는 하위 도메인 생성 패턴을 주로 사용하는 것으로 관찰되었습니다.

또한 GoDaddy DNS 데이터의 대상 IP(DNS A 레코드가 섀도우 도메인에 대해 가리키는 위치)와 RSA가 관찰한 RIG 백엔드 넷블록(그림 19)의 상관 관계를 분석하고 활성 섀도우 도메인을 샌드박싱한 결과 이러한 섀도우 도메인이 RIG와 관련된 것임이 확인되었습니다. 5월 초에 관찰된 그림 27 및 28에는 RIG 소개 페이지로 사용되는 섀도우 도메인이 나와 있습니다. 이 결과에서는 현재 RIG URL 패턴이 지속적으로 수락되었고 알려진 .swf 익스플로잇(예: md5: dc7d6b8b623fdf82a8ba48195bd1bdbf)이 삭제되었습니다.

그림 27. RIG 소개 페이지로 사용되는 섀도우 도메인 샌드박싱

그림 28. RIG 소개 페이지로 사용되는 다른 섀도우 도메인 샌드박싱

다수의 다른 패턴을 사용하는 도메인 섀도잉 활동 또한 조사 중에 식별되었습니다. 전체적으로 섀도잉 활동은 평균 150개의 섀도우 등록이 해당하는 DNS 레코드에 주입되어 수백 곳의 고객사에 영향을 미치는 것으로 관찰되었습니다. 일별 DNS 수정을 측정한 결과 매일 생성되는 새로운 섀도우 하위 도메인은 약 450개인 것으로 보였습니다. 이 다량의 레코드 변경은 TOR 네트워크의 알 수 없는 클라이언트 또는 여러 클라이언트에 의한 브라우저 호출에서 시작되었습니다.

가장 눈에 띄는 도메인 섀도잉 패턴은 영숫자로 구성된 임의의 3~5자 문자 하위 도메인 이름을 사용하는 것으로 식별되었습니다. 이 설정에서 관찰된 하위 도메인의 예로는 ‘m47xh’, ‘mv6’, ‘eeiv’, ‘l4pj2’, ‘eiq0s’ 및 ‘bthi’가 있습니다. 이 설정은 가장 많은 수를 차지하며 현재 섀도우 등록의 95% 이상을 구성합니다. 이 섀도잉 활동은 30,000개 이상의 하위 도메인에서 총 800개 이상의 도메인에 피해를 입히는 것으로 관찰되었습니다. 활성 하위 도메인은 자동화된 방식으로 항목을 추가하고 제거하면서 지속적으로 변경되었으며 일 평균 900개 레코드가 수정되었습니다.

그림 29. 관찰 기간에 활성 상태를 유지한 섀도우

이 활동에 대한 예비 OSINT 분석에서는 이 패턴이 다양한 크라임웨어 전송으로 이어지는 지속적인 멀스팸 및 멀버타이징 활동과 관련되었을 수 있다는 지표가 나왔습니다. 아래의 그림 30과 그림 31에 이러한 활동의 예가 나와 있습니다.

그림 30. 다른 섀도우 도메인에서 시작된 스팸

그림 31. Google에서 조작되는 다른 섀도우 도메인

종합하여 20개 이상의 서로 다른 클래스 C 서브넷을 통해 약 240개의 고유한 IP 주소를 가리키는 섀도우 레코드가 식별되었습니다. 아쉽게도 연결된 호스팅 공급업체가 조사 과정에 참여하지 않았기 때문에 대상에 대한 추가 분석은 불가능했습니다. 이 동작을 식별한 후 아래의 “문제 해결” 섹션에 설명된 것과 같은 대규모 중단 작업이 수행되었습니다.

협력 체계에서 광범위하게 활용되는 손상된 자격 증명

손상된 자격 증명이 이러한 캠페인에 과도하게 활용된다는 사실은 놀라운 일입니다. 하지만 위의 논의에서 RIG 소개 페이지가 손상된 도메인(및 계정)의 수명이 짧은 섀도우 하위 도메인에서 거의 호스팅되고 동유럽의 방탄에 가까운 ASN을 기반으로 한다는 점은 확신할 수 있습니다. 이러한 자격 증명은 어떻게 수집되었을까요?

수년간 정보 절도범들로 가득 찬 인터넷에는 다수의 활성 캠페인이 있습니다. 범인을 찾으려면 이러한 캠페인을 평가해야 할 수 있습니다. 지난 수년간의 PONY 덤프를 기준으로 손상된 자격 증명의 교차 상관 관계를 분석한 결과는 음성이었으므로 이러한 캠페인이 범인일 가능성은 없습니다. 그러나 이 외에도 다른 옵션이 많습니다.

섀도우 도메인 자체를 볼 때 이러한 캠페인을 이용하는 위협 행위자는 정교한 피싱 작전을 통해 합법적인 고객 자격 증명을 입수하는 것으로 여겨집니다(예: 그림 32). GoDaddy는 1,700만 곳의 고객사와 7,100만 개의 도메인 이름을 보유하고 있기 때문에 대규모의 정교한 피싱 공격의 표적이 될 수 밖에 없습니다. GoDaddy는 계속해서 TFA(Two Factor Authentication)를 사용하고 있으며 이러한 피싱 페이지를 제공하는 호스팅 공급업체와 적극적으로 협력하여 이 악성 컨텐츠를 호스팅하는 사이트를 무력화하고 있습니다.

그림 32. 이전에 GoDaddy를 표적으로 한 스피어 피싱 캠페인

손상된 사이트(주입된 iframe을 통해 트래픽을 GoDaddy 섀도우 도메인으로 연결하는 사이트)의 관점에서 영향을 받은 도메인 등록 기관의 중첩된 영역을 보면 기회적 접근 방식에 더 가깝다는 것을 알 수 있습니다. 자격 증명을 수집할 때 사용된 방법은 아직 확실하지 않지만 IoT 봇넷을 통해 WordPress 사이트에 무작위 암호 대입 공격을 가한 사례에 대한 커뮤니티 연구가 있습니다.

이러한 관찰과 추측이 유효하다면 RIG 작전 모델은 그림 33에 나온 협력 체계에 가까운 모델로 간주되어야 합니다.

그림 33. RIG 협력 체계에 대한 추측

문제 해결

문서화된 섀도우 활동은 GoDaddy의 DNS 시스템에서 제거되었습니다. 도메인 섀도잉은 레코드를 자주 확인하지 않는다는 점, 그 수가 많다는 점, 합법적인 도메인 아래에 생성된다는 점 때문에 오래 전부터 해결하기 어려운 문제였습니다. GoDaddy는 RSA와 협력하여 데이터 분석을 적용함으로써 문제가 되는 섀도우 도메인을 격리하고 제거할 수 있었습니다. 악성으로 알려진 대상 IP 주소는 GoDaddy의 DNS 시스템에서 블랙리스트로 처리되었습니다. 또한 손상된 고객 계정은 잠금 처리되었으며 향후 남용을 방지하기 위해 자격 증명을 변경해야 합니다.

앞으로는 악성 DNS 레코드의 대규모 탐지 및 제거를 위한 프로세스를 개발하고 예방 조치를 도메인 수정 데이터 흐름에 통합하는 작업을 집중적으로 수행할 것입니다. 이러한 활동으로 섀도잉을 차단하고 중단하는 능력이 발전하면 제출된 지표를 기반으로 임시 방편적인 조치를 취하는 것에서 방향을 바꿔 내부 데이터 세트를 분석해 악성 레코드를 자동화된 방식으로 식별하고 제거하게 될 것입니다.

이러한 영역에서 성공하면 탐지 시간 및 문제 해결 시간을 최소화하고 섀도우 도메인의 수명을 큰 폭으로 줄일 수 있습니다. 또한 도메인 섀도잉의 위험이 높은 계정에 아키텍처상의 완화 수단을 통합하는 작업도 평가 중입니다. 이 작업을 수행하면 GoDaddy 계정의 보안이 개선되고 도메인 섀도잉이 멀웨어 배포 기술로서 제공하는 효과가 감소할 것입니다.

영향과 결론

위협 행위자 활동에 대한 가시성이 제한되어 있다는 점을 고려할 때 무력화 작전의 영향을 측정하기는 어렵지만 예비 분석 결과를 보면 특히 현재의 Seamless 및 Decimal IP 캠페인에서 RIG 작전의 기능이 현저히 저하된 것을 알 수 있습니다(그림 34 참조). 현재 GoDaddy와 RSA 팀은 영향의 지속 기간을 공동으로 평가하는 중입니다.

그림 34. Decimal IP 캠페인에서 RIG 백엔드를 사용할 수 없음

랜섬웨어, 멀버타이징 및 멀스팸 캠페인이 지속적으로 쌓이는 상황에서 이러한 무력화의 영향을 판단하기는 훨씬 더 어렵습니다. 확실한 것은 2017년 5월 16일에 수만 개의 활성 섀도우 도메인 리소스가 활동 중인 크라임웨어 범죄자의 작전 기능에서 제거되었다는 것입니다.

이 보고서는 이 단계의 연구와 관련 결과로 끝을 맺지만 도메인 섀도잉 작전이 더 큰 규모의 크라임웨어 협력 체계에서 하는 역할에 대한 추가적인 공동 연구를 기대해 봅니다.

부록 A

PseudoDarkleech 캠페인: Cerber 랜섬웨어

스크린샷:

트래픽:

부록 B

EITEST 캠페인: Cryptoshield 랜섬웨어

스크린샷:

트래픽: