상세 컨텐츠

본문 제목

TrickBot의 화면 잠금 기능, 랜섬웨어 활동 아닌 비밀번호 탈취 위해 추가된 것으로 밝혀져

국내외 보안동향

by 알약(Alyac) 2018. 4. 25. 18:21

본문

지난 월요일, 보안 연구원들은 Trickbot에 추가된 화면잠금 기능이 랜섬웨어 활동을 수행하기 위해 제작된 것이 아니라고 밝혔습니다. 


올해 3월 말, 다수의 보안 기업과 연구원들이 Trickbot에서 화면잠금 컴포넌트가 추가된 것을 처음 발견했습니다. 


발견 당시 많은 연구원들이 Trickbot 제작자가 화면잠금 컴포넌트를 추가한 이유에 대해서 뱅킹 악성코드와 랜섬웨어를 결합한 이중 공격 형태로 변형시키기 위한 것이라고 분석했었습니다. 비록 파일 암호화 작업에 대한 지원이 없었지만, 초기에 발견된 버전이었기 때문이라고 짐작했습니다. 


하지만 몇 주가 지나도록 새로운 버전은 더 이상 나오지 않았습니다.



비밀번호 탈취를 위해 사용되는 화면잠금 모듈


보안 연구원들은 화면잠금 기능이 추가된 버전의 공격이 나오지 않자 정밀 분석을 수행했고, 그 결과 화면잠금 컴포넌트가 랜섬웨어 활동을 위한 것이 아니라 Trickbot의 비밀번호 탈취 과정에 필요한 모듈이었음을 확인했습니다.


Trickbot의 최신 버전은 Mimikatz(windows 계정을 알아내기 위한 도구)를 이용해 Windows 컴퓨터의 LSA 메모리(암호가 평문으로 저장되어 있는)에서 WDigest 인증 정보를 탈취합니다. 


OS 최신 버전에서는 마이크로소프트가 레지스트리키를 이용해 WDigest 인증 정보를 보호합니다. 하지만 Trickbot은 LSA 메모리의 WDigest 인증 정보 저장 기능을 활성화시키도록 레지스트리키를 변경한 다음, Mimikatz를 이용해 인증 정보를 탈취할 수 있습니다. 


WDigest 기능이 활성화된 후 사용자가 자신의 계정을 통해 다시 로그인 해야하기 때문에, 이러한 원리로 Trickbot의 화면잠금 모듈이 작동하는 것입니다. 사용자를 로그아웃 시키고 강제로 재인증하도록 유도함으로써 WDigest 인증 정보가 OS의 LSA 메모리에 캐시되게 할 수 있습니다. 이를 통해 해당 상세 정보를 스캔 및 수집할 수 있습니다.


결론적으로 화면잠금 모듈은 사용자가 자신의 계정을 사용하지 못하게 만들어 로그인 페이지로 리디렉션시키는 역할을 합니다. 해당 모듈을 이용해 랜섬을 요구하는 행위는 찾아볼 수 없습니다.



화면잠금 모듈은 Windows 8 및 이후 버전에서만 작동


보안 업체은 화면잠금 모듈이 Windows 8/Server 2012 또는 최신 버전에서만 작동되는 기능이라고 밝혔습니다.


마이크로소프트가 Windows 8.1 및 이후 OS 버전을 발표할 때 레지스트리키 디폴트 값을 “o”(WDigest 인증을 비활성화함)로 설정했기 때문입니다. 


마이크로소프트는 보안 업데이트를 통해 구 버전의 OS에 해당 레지스트리키를 백포트했지만, WDigest 인증이 구 버전의 시스템에서 더 많이 사용되기 때문에 레지스트리키는 “o”로 설정하지 않았습니다. 그래서 Trickbot이 작동하기 위해 구 버전의 PC에서는 화면잠금 모듈이 필요하지 않은 것입니다.


Fortinet 연구원들은 화면잠금 모듈 외에도 이메일 주소로 보이는 기록을 찾기 위해 로컬 SQL 서버를 검색하는 또 다른 Tricknbot 모듈의 작동 원리를 분석했습니다. 이 같은 행위는 스팸 이메일 목록을 보강하기 위한 것으로 보입니다. 





출처 :

https://www.bleepingcomputer.com/news/security/trickbots-screenlocker-module-isnt-meant-for-ransomware-ops/




관련글 더보기

댓글 영역