이모텟 사라진 자리에 에이전트 테슬라 치고 들어올까 (보안뉴스, 문가용 기자, 2021.02.04.)
최근 사법 기관들의 공조로 폐쇄된 이모텟(Emotet)의 뒤를 이어 에이전트 테슬라(Agent Tesla)가 부상할 것이라는 전망이다. 에이전트 테슬라는 RAT 악성코드로, Maas(Malware as a Service)의 형태로 판매되고 있다. 그래서인지 이 악성코드는 꾸준하게 업그레이드되고 있으며, 2020년 12월 기준 악성 이메일에 첨부된 파일 중 20%를 차지할 정도로 인기가 많다.
현재 에이전트 테슬라는 버전 2, 3이 활발히 사용되고 있는데 두 버전 모두 난독화에 상당한 공을 들인 모습이다. 이러한 점은 악성코드 분석을 어렵게 만들어 탐지를 피하거나 대응을 늦추기 위한 목적도 있지만, 고객들이 독자적으로 해당 악성코드를 운영하는 것을 막는 목적도 있다고 한다.
에이전트 테슬라는 우선 닷넷 기반 다운로더를 설치한 후, 해당 다운로더를 통해 base64로 인코딩 된 코드를 다운로드한다. 이후 해당 코드를 디코딩 및 복호화하여 로더를 완성시키는데 해당 로더가 최종 페이로드를 실행시킨다.