포스팅 내용

국내외 보안동향

TrickBot 공격 집단의 새로운 모듈 'nworm' 발견

Nworm: TrickBot gang’s new stealthy malware spreading module


Trickbot 뱅킹 트로이목마가 한 단계 더 진화해 스텔스 모드를 사용하여 탐지되지 않은 채 조용히 윈도우 도메인 컨트롤러를 감염시키는 새로운 악성코드 확산 모듈을 추가한 것으로 나타났습니다.


뱅킹 트로이목마로 시작된 TrickBot 악성코드는 지속적으로 새로운 악성 모듈을 추가하여 진화해 왔습니다.


이 악성 모듈의 역할은 네트워크를 통한 측면 확산, 활성 디렉터리 서비스 데이터베이스 탈취, 쿠키 및 OpenSSH 키 탈취, RDP/VNC/PuTTY 크리덴셜 탈취 등이 있었습니다.


또한 TrickBot은 네트워크 침투 후 랜섬웨어를 배포하기 위해 Ryuk과 같은 랜섬웨어 운영자들과 함께 파트너를 맺기도 했습니다.



TrickBot 악성코드의 은밀한 전파 모듈인 Nworm


Palo Alto Unit 42의 새로운 보고서에 따르면, 연구원들은 TrickBot 개발자가 네트워크 확산 툴인‘nworm’을 업데이트한 것을 발견했습니다. 


이 모듈은 윈도우 도메인 컨트롤러를 감염시킬 때 탐지를 피하기 위한 새로운 기술을 사용합니다.


TrickBot이 설치되면 실행 중인 환경을 먼저 평가한 다음 감염된 컴퓨터와 네트워크에서 특정 악성 활동을 수행하기 위한 다양한 모듈을 다운로드합니다.


TrickBot은 윈도우 활성 디렉터리(AD) 환경에서 실행 중인 것이 탐지되면 취약한 도메인 컨트롤러에 TrickBot을 확산시키기 위해 ‘mworm’과 ‘mshare’ 모듈을 다운로드했었습니다.


이 모듈은 도메인 컨트롤러의 SMB 취약점을 악용하려 시도했습니다.


TrickBot은 2019년 9월부터 2020년 3월까지 Mworm을 사용했습니다. 이 모듈은 취약한 도메인 컨트롤러에 TrickBot 실행파일을 암호화되지 않은 형태로 전송합니다.

 


<2020년 3월 이전 공격 흐름>

<이미지 출처: https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/>



악성코드 실행파일은 암호화되지 않기 때문에, DC에 설치된 보안 소프트웨어가 이를 탐지하여 복사가 완료된 직후 제거할 수 있었습니다.



<암호화되지 않은 TrickBot 실행파일 전송>

<이미지 출처: https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/>



TrickBot 개발자들은 탐지를 어렵게 하기 위해 2020년 4월 업데이트된 웜 모듈인 ‘Nworm’을 사용하기 시작했습니다.


2020년 4월, 연구실 환경에서 TrickBot 감염을 생성하던 도중 TrickBot은 mworm 모듈 사용을 중단했습니다. 그 대신 감염된 윈도우 7 클라이언트 환경에 새로운 아티팩트인 “nworm”이 등장했습니다.

 


<April 2020 이후의 공격 흐름>

<이미지 출처: https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/>



이 새로운 nworm 모듈은 TrickBot 실행파일을 암호화하여 보안 소프트웨어가 탐지하지 못하도록 할 뿐만 아니라, 메모리에서 도메인 컨트롤러 감염을 실행합니다.


TrickBot은 이 방법을 통해 탐지되지 않은 채 도메인 컨트롤러로 몰래 잠입해 실행될 수 있었습니다.



<nworm으로 암호화된 TrickBot 전송>

<이미지 출처: https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/>



더욱 은밀한 활동을 위해, TrickBot이 도메인 컨트롤러를 감염시킬 때 컴퓨터가 재부팅될 경우 다시 실행되지 않습니다.


도메인 컨트롤러가 재시작되는 것은 매우 드문 일이기 때문에, 오랫동안 메모리가 감염된 채 남아있을 수 있어 문제가 되지 않기 때문입니다.


지속성이 없어도, 이 정도면 보통 공격자가 공격을 실행 및 완료할 수 있는 충분한 시간입니다.


알약에서는 해당 악성코드 샘플에 대해 'Trojan.Trickster.Gen'으로 탐지 중입니다.





출처:

https://www.bleepingcomputer.com/news/security/nworm-trickbot-gang-s-new-stealthy-malware-spreading-module/

https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/

티스토리 방명록 작성
name password homepage