New Dridex Variant Slips By Anti-Virus Detection
안티 바이러스 탐지 우회 전략을 사용하는 새로운 Dridex 변종이 피싱 이메일에서 발견되었습니다.
이 변종은 안티바이러스 소프트웨어가 탐지하기 어려운 파일 서명을 사용하여 감염된 기기에서 악성 코드탐지를 우회합니다.
전문가는 새로운 기술을 탐지하는 기술이 발전할수록 공격자 또한 새로운 탐지 기술을 우회하기 위해 공격 툴을 업데이트한다며, 공격자와 방어자 사이에서 발생하는 "고양이와 쥐의 끊임없는 게임"이라 밝혔습니다.
2011년 처음 등장한 Dridex는 거의 10년 만에 처음으로 변형되었습니다.
연구원들은 이 악성코드가 매크로가 내장된 악성 문서의 형태로 배포된다고 전했습니다.
일단 Dridex 악성코드가 피해자 기기에 다운로드되면 Dridex는 피해자의 뱅킹 정보를 노리며, 환경에 따라 다양한 상호작용을 통해 매크로가 활성화될 수 있습니다.
안티 바이러스 프로그램은 주로 파일 서명(MD5 또는 SHA256 해시)을 사용하여 악성 애플리케이션을 탐지합니다.
Dridex는 새로이 생성하여 서명된 64비트 DLL을 사용했으며, 이 파일은 기존에 안티 바이러스 소프트웨어가 탐지했었던 것과 상이한 파일 서명입니다.
<이미지 출처: https://www.esentire.com/blog/new-dridex-variant-evading-traditional-antivirus/>
이 DLL은 합법적인 MS 바이너리를 통해 로드되어 정식 소프트웨어 제품의 일부로 나타나도록 해, 탐지가 더욱 어렵습니다.
또 다른 점은 이 악성코드가 완화 기술을 우회하기 위해 애플리케이션 화이트리스트 기술을 사용한다는 것입니다.
이 전략은 사용자가 명령 프롬프트로 Windows Management Instrumentation 작업을 수행하도록 해주는 소프트웨어 유틸리티인 WMIC를 악용합니다.
Windows Management Instrumentation는 데이터 관리 및 윈도우 기반 OS의 작업을 위한 인프라입니다.
특히 이 악성코드는 WMIC의 애플리케이션 화이트리스트 프로세스 내 취약한 실행 정책을 노립니다.
애플리케이션 화이트리스트는 컴퓨터 환경 내에서 실행이 허가된 애플리케이션을 지정하는 프로세스입니다.
많은 회사에서 악성 애플리케이션으로부터 시스템을 보호하기 위해 이 기술을 사용합니다.
해당 취약점은 악성 VBS가 포함된 XLS 스크립트가 로드될 수 있도록 화이트리스트에서 허용합니다.
회사에서 윈도우 스크립트 호스트가 비활성화되어 있거나 차단되어 있을 경우, 이 변종은 화이트리스트 기술을 악용합니다.
Dridex는 악성 VBS가 포함된 XLS 파일을 사용하여 WMIC를 통해 악성코드를 실행합니다.
연구원들은 아직까지는 Dridex의 배후에 있는 공격자에 대한 정보가 없지만 계속 조사를 진행 중이라 밝혔습니다.
현재 알약에서는 해당 악성코드에 대해 'Trojan.GenericKD.41400500, Trojan.GenericKD.41401309'으로 탐지 중에 있습니다.
출처:
https://threatpost.com/new-dridex-variant-slips-by-anti-virus-detection/146134/
https://www.esentire.com/blog/new-dridex-variant-evading-traditional-antivirus/
2년 동안 탐지를 피해온 Ratsnif, OceanLotus 작전에서 발견돼 (0) | 2019.07.03 |
---|---|
Medtronic 인슐린 펌프에 존재하는 취약점으로 인해 해킹 가능해져 (0) | 2019.07.02 |
IoT 기기 수 천대를 벽돌화 시키는 Silex 악성코드 발견 (0) | 2019.06.28 |
스파이웨어로 변신한 앱, 중동의 안드로이드 사용자들 노려 (0) | 2019.06.27 |
애플 GateKeeper 우회 버그를 악용하는 새로운 Mac 용 악성코드 발견 (0) | 2019.06.26 |
댓글 영역