상세 컨텐츠

본문 제목

유럽, 러시아, 미국 내 PC를 감시하기 위해 팀뷰어 컴포넌트를 사용하는 백도어 트로이목마 발견

국내외 보안동향

by 알약(Alyac) 2016. 8. 17. 18:35

본문

유럽, 러시아, 미국 내 PC를 감시하기 위해 팀뷰어 컴포넌트를 사용하는 백도어 트로이목마 발견

Backdoor Trojan Uses TeamViewer Components to Spy on PCs in Europe, Russia, US


BackDoor.TeamViewerENT.1이라 불리는 새로운 트로이목마가 발견되었습니다. 해당 트로이목마는 정식 팀뷰어 어플리케이션의 한 부분을 사용해, 공격자들이 감염된 시스템을 감시할 수 있도록 허용하는 것으로 나타습니다.


사실 이러한 컨셉은 새로운 것이 아닙니다. 공격자가 이전에도 팀뷰어를 사용한 적이 있기 때문입니다. 그들은 정식 앱과 함께 사용자 PC를 웹 프록시로 둔갑시키는 악성코드를 함께 패키징했습니다.


Dr.Web은 이전의 BackDoor.TeamViewer.49 트로이목마를 통해서는 어떤 것도 훔치지 못하고 트래픽만 감시할 수 있었지만, 새롭게 발견된 변종은 특정 정보를 훔치는 것도 가능하다고 밝혔습니다.


만약 사용자들이 어플리케이션을 설치하면, 추가 모듈을 제외한 기본 버전의 팀뷰어도 사용자가 모르는 사이에 함께 설치됩니다. 수정된 팀뷰어가 시작되면, avicap32.dll이 디폴트로 로드됩니다. 이것은 반드시 실행되어야하는 DLL이 됩니다. 


공격자는 해당 DLL에 BackDoor.TeamViewerENT 트로이목마를 포함하도록 수정하여 PC 메모리에 로드될 수 있도록 합니다. 이러한 동작을 위해서 디스크의 어떠한 파일도 요구되지 않습니다. 이러한 파일리스 동작 모드는 안티바이러스 탐지를 어렵게 합니다. 또한 변조된 DLL은 모든 팀뷰어의 에러 메시지를 제거하는 기능도 탑재하고 있습니다.


또다른 특이한 기능으로 사용자가 윈도우의 작업 관리자나 프로세스 익스플로러(process explorer)를 실행할 경우, 트로이목마가 프로세스 리스트에서 자신이 발견되는 것을 피하기 위해 부모격인 팀뷰어 프로세스를 자동으로 종료한다는 것입니다.



이후 BackDoor.TeamViewerENT.1은 보통 백도어와 같이 행동합니다. C&C 서버와 통신하며, 다양한 타입의 명령어를 내려받습니다.


해당 트로이목마는 컴퓨터를 재시작하거나 종료시키고, 부모격인 팀뷰어 프로세스를 제거하거나 재시작할 수 있습니다. 또한 마이크를 통해 대화를 엿들을 수 있으며, 웹캠에 접근하고 파일을 다운로드하거나 실행할 수 있습니다. 더불어 명령어를 실행하거나 특정 원격 서버로 접속할 수 있는 기능도 포함하고 있습니다.


이 모든 기능들은 RAT의 기능이라고 볼 수 있습니다. Dr.Web은 공격자가 해당 트로이목마를 악용하여 키로거나 패스워드 스틸러와 같은 다른 악성코드를 다운로드하는 사례도 확인했다고 밝혔습니다.


Dr.Web은 해당 트로이목마에 대해 매우 활동적인 것으로 평가했습니다. 특히 러시아 사용자들을 타겟으로 하며, 영국, 스페인, 미국 사용자들도 노리고 있다고 밝혔습니다. 또한 8월부터는 타겟을 미국 사용자들로 변경했다고 덧붙였습니다.




출처 :

http://news.softpedia.com/news/backdoor-trojan-uses-teamviewer-components-to-spy-on-pcs-in-europe-russia-us-507349.shtml

http://vms.drweb.com/virus/?_is=1&i=8415393

관련글 더보기

댓글 영역