상세 컨텐츠

본문 제목

Trickbot, Emotet 악성코드, 탐지를 피하기 위해 코로나 바이러스 뉴스 사용해

국내외 보안동향

by 알약(Alyac) 2020. 3. 20. 08:27

본문

Trickbot, Emotet Malware Use Coronavirus News to Evade Detection


Trickbot과 Emotet 트로이목마가 코로나 바이러스 뉴스 기사의 내용을 이용하기 시작했습니다. AI 및 머신 러닝을 사용하는 보안 소프트웨어가 악성코드를 탐지하지 못하도록 우회하는 것이 목적인 것으로 추측됩니다.


이 악성코드가 피싱 캠페인이나 기타 공격을 통해 배포되기 전, 개발자들은 악성코드를 난독화하거나 암호화하기 위하여 ‘암호화 프로그램’을 흔히 사용합니다.


이 작업은 안티 바이러스가 탐지할 수 없도록 악성코드를 무해한 프로그램으로 둔갑시키기 위한 것입니다.


이러한 방식은 악성 프로그램 탐지를 위해 머신 러닝 또는 AI를 활용하는 보안 소프트웨어에 특히 유용한 것으로 알려져 있습니다.



TrickBot과 Emotet, 코로나 바이러스 뉴스 기사 활용하기 시작해


2020년 1월, TrickBot과 Emotet 트로이목마용 암호화 프로그램은 트럼프 대통령 탄핵과 관련된 뉴스 컨텐츠에서 따온 문장을 활용했습니다.


Bleeping Computer에서 확인 결과 이들은 코로나 바이러스 팬데믹 관련 뉴스 기사를 인용하는 것으로 전략을 변경했습니다.


예를 들어, 연구원들이 발견한 TrickBot 샘플은 악성코드의 파일 설명 일부분에 CNN 뉴스 기사를 인용한 문자열을 추가했습니다.



Copyright passengers were sent to government quarantine centers

Product The restrictions will ban travel to the US from 26 European countries

Description Singapore has 187 confirmed cases of the virus

Original Name Just because someone who had the coronavirus

Internal Name Just this week, the Grand Princess cruise ship docked

File Version 1.0.0.1 



발견된 한 Emotet 샘플 또한 파일 설명 일부분에 CNN 뉴스 기사를 인용한 문자열을 추가했습니다.



Copyright different times than the WHO

Product The spike is partly due to a broader definition

Description These numbers are cumulative since Jan. 21 and include people with travel history to China

Original Name n Wednesday, China reported far fewer cases of the novel coronavirus

Internal Name Two California cases and the Texas case are among evacuees from China

File Version 1, 0, 0, 1



이 정보는 악성파일의 속성 내 ‘자세히’ 탭에 아래와 같이 표시됩니다.



< 새로운 TrickBot과 Emotet 샘플의 파일 속성 >

<이미지 출처 : https://www.bleepingcomputer.com/news/security/trickbot-emotet-malware-use-coronavirus-news-to-evade-detection/>



MalwareHunterTeam은 BleepingComputer 측에 이 변화가 약 한달 전부터 발생했다고 전했습니다.


이러한 방법을 통해 공격자들이 실제로 이익을 얻을 수 있었는지는 알 수 없지만, SentinelLabs의 Vitali Kremez는 AI 및 머신 러닝 보안 엔진에는 유용할 것이라 설명했습니다.


“대부분 악성코드의 암호화 생성기에서 코로나 바이러스 관련 문자열을 사용하는 이유는 공개된 뉴스 컨텐츠를 이용하여 머신 러닝 정적 파일 파싱 기법을 무력화 시키기 위한 것으로 보입니다. 범죄자는 이러한 문자열 추가 기술을 통해 암호화된 바이너리를 생성하여 특정 안티 바이러스 제품의 AI/머신 러닝 엔진을 우회할 수 있을지 모릅니다. Cylance는 이 우회법을 입증했습니다.”


코로나 바이러스 관련 주제를 사용하는 새로운 피싱 스캠, 랜섬웨어, 악성코드의 배포 건수가 급격히 증가하고 있습니다.


출처를 알 수 없는 코로나 바이러스 관련 파일이 첨부되어 있을 경우 특별히 주의를 기울여야 합니다.


현재 알약에서는 해당 악성코드들에 대해 Trojan.Trickster.Gen, Trojan.Agent.Emotet으로 탐지중에 있습니다. 





출처 :

https://www.bleepingcomputer.com/news/security/trickbot-emotet-malware-use-coronavirus-news-to-evade-detection/

관련글 더보기

댓글 영역