포스팅 내용

국내외 보안동향

TrickBot 공격 그룹, 가치가 높은 타깃을 공격하기 위한 PowerTrick 백도어 개발해

TrickBot gangs developed the PowerTrick backdoor for high-value targets


SentinelLabs의 전문가들이 TrickBot 운영자가 금융 기관 등 고 가치 타깃을 노린 최근 공격에 사용한 새로운 PowerShell 백도어를 발견했습니다.


TrickBot은 2017년 10월경부터 활동을 시작한 유명한 뱅킹 트로이목마로 꾸준히 새 기능이 추가되며 업그레이드 되어왔습니다. 2019년 2월에는 원격 앱 크리덴셜 탈취를 위한 새로운 모듈을 추가하는 변종이 발견되었습니다.


TrickBot은 초기에는 뱅킹 트로이목마 기능만을 포함하고 있었으나, 제작자는 몇 년에 걸쳐 데이터 탈취 기능, 다른 페이로드 드롭 기능 등과 같은 새로운 기능을 꾸준히 구현했습니다.


2019년 8월, Secureworks CTU(Counter Threat Unit)는 미국의 모바일 기기 사용자들을 노린 공격에서 동적 웹 인젝션을 포함한 새로운 TrickBot 버전을 발견했습니다.


명령을 실행하고 결과를 Base64 포맷으로 반환하도록 설계된 PowerTrick 백도어는 PowerShell 작업으로 배포되었습니다.


전문가들은 이 시스템이 컴퓨터 정보를 기반으로 생성된 UUID를 “botID”로 사용한다는 점을 발견했습니다.

“PowerTrick 백도어의 최종 목적은 새로운 보안 제어에 적응하기 위해 제한 및 보안 제어를 우회하여 가장 보안이 철저하고 안전하게 보호된 고 가치 네트워크를 해킹하는 것입니다.”


이 악성코드는 아래 기능을 포함하고 있습니다.


- 초기화

- 응답에 따라 Throttle 타임 리셋 또는 종료

- 다음으로 실행할 명령을 요청하는 루프 실행

- 받은 명령 실행

- 결과 또는 에러 메시지 전송

- Throttle 타임 동안 슬립 모드


PowerTrick은 프로파일링(profiling) 및 피버팅(pivoting) 목적으로 유료 또는 무료로 다운로드 할 수 있는 다른 프레임워크와 공격 툴과 함께 사용됩니다.


전문가들은 악성 작업을 위해 다른 PowerShell 유틸리티가 사용된 것을 발견했습니다. 가장 많이 사용된 유틸리티 중 하나는 오픈소스 악용 프레임워크 Metasploit의 Powershell Stager인 ‘letmein.ps1’이었습니다.


“이 letmein 스크립트는 다른 프레임워크로 감염을 피봇하기 위해 자주 활용됩니다. 피버팅 후 다른 시스템을 폭파 시키는데도 사용됩니다.”


공격자는 타깃 시스템과 네트워크 프로파일링을 완료한 후 모든 작업을 제거합니다. 올바르게 실행되지 않은 모든 파일을 제거한 후 동일한 네트워크의 다른 타깃으로 이동합니다.


SentinelLabs의 연구원들은 PowerTrick 백도어를 최근 발견한 TrickBot Anchor 악성코드와 연결했습니다. 이 악성코드는 “more_eggs” 백도어가 내장된 TerraLoader입니다.


또한 연구원들은 “PowerTrick” 분석에 사용할 모의 C&C 패널을 개발했습니다.


더욱 자세한 정보는 연구원들이 발행한 보고서에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성코드들에 대해 Trojan.TerraLoader, Trojan.Trickster.Gen로 탐지중에 있습니다.



출처 :


티스토리 방명록 작성
name password homepage