TrickBot의 새로운 리눅스 악성코드, 윈도우 기기 은밀히 감염시켜

TrickBot's new Linux malware covertly infects Windows devices

TrickBot의 Anchor 악성코드 플랫폼이 리눅스 기기를 감염시키고 은밀한 채널을 통해 고 가치 타깃을 추가로 해킹하도록 포팅된 것으로 나타났습니다.

TrickBot은 정보 탈취, 패스워드 탈취, 윈도우 도메인 침투, 악성코드 배포 등 다양한 악성 활동을 수행하기 위해 서로 다른 모듈을 사용하는 다목적 윈도우 악성코드 플랫폼입니다.

공격자는 TrickBot을 임대하여 네트워크에 침투해 가치 있는 모든 것을 수집할 수 있습니다. 이후 Ryuk이나 Conti와 같은 랜섬웨어를 배포해 네트워크의 기기를 암호화하는데 사용됩니다.

2019년 말, SentinelOne과 NTT는 C&C 서버와 통신하기 위해 DNS를 사용하는 새로운 TrickBot 프레임워크인 Anchor에 대해 보고했습니다.

 

<TrickBot의 Anchor 프레임워크>

<이미지 출처: SentinelOne>

Anchor_DNS라 명명된 이 악성코드는 귀중한 재무 정보를 가진 영향력 높은 고 가치 타깃에 사용되는 악성코드입니다.

TrickBot Anchor 공격자는 Anchor 감염을 통해 랜섬웨어를 배포하는 것 이외에도 PoS 및 금융 시스템을 노린 APT 유사 캠페인에서도 백도어를 설치합니다.

TrickBot의 Anchor 백도어 악성코드, 리눅스로 포팅돼

Anchor는 그동안 윈도우에서만 활동하는 악성코드였습니다. 

최근 Stage 2 Security의 보안 연구원인 Waylon Grange가 발견한 새로운 샘플은 Anchor_DNS가 새로운 리눅스 백도어 버전인 'Anchor_Linux'로 포팅된 상태였습니다.

 

<x64 리눅스 실행파일에서 발견된 Anchor_linux 문자열>

<이미지 출처: Waylon Grange>

인텔의 Vitali Kremez는 Intezer Labs에서 발견한 새로운 Anchor_Linux 악성코드 샘플을 분석했습니다.

Kremez는 Anchor_Linux가 설치되면 아래 crontab 엔트리를 통해 자기 자신이 매 분마다 실행되도록 설정한다고 밝혔습니다.

*/1 * * * * root [filename]

 

<CRON을 통한 지속성 설정>

<이미지 출처: Vitali Kremez>

리눅스 기기에 악성코드를 드롭 및 실행하는 백도어 역할 이외에도 이 악성코드는 내장 윈도우 TrickBot 실행 파일 또한 포함하고 있습니다.

Anchor_Linux는 공격자가 내장된 TrickBot을 SMB와 $IPC를 통해 동일한 네트워크 내 윈도우 호스트에 복사하는데 사용될 수 있습니다.

<내장된 윈도우 실행파일>

<이미지 출처: Vitali Kremez>

윈도우 기기에 복사하는데 성공하면, Anchor_Linux는 서비스 제어 관리자 원격 프로토콜과 pipe라는 SMB SVCCTL을 통해 이를 윈도우 서비스로 설정합니다.

 

<SMB를 통한 파일 복사>

<이미지 출처: Waylon Grange>

서비스가 구성되면, 이 악성코드는 윈도우 호스트에서 시작되며 실행할 명령을 수신하기 위해 C&C 서버에 연결합니다.

이 리눅스 버전은 공격자가 은밀히 동일한 네트워크의 윈도우 기기를 피벗할 수 있도록 허용하는 백도어를 통해 공격자가 윈도우가 아닌 다른 환경을 공격할 수 있도록 합니다.

더욱 심각한 사실은 리눅스 시스템에서 실행되는 라우터, VPN 기기, ANS 기기 등 많은 IoT 기기가 Anchor_Linux의 타깃이 될 수 있다는 것입니다.

TrickBot이 진화함에 따라 리눅스 시스템 및 IoT 기기에서도 Anchor_Linux와 같은 위협을 탐지하기 위한 적절한 보호 및 모니터링 장치를 탑재할 필요성이 점점 커지고 있습니다.

사용 중인 기기가 감염되었는지 확인하고자 하는 사용자들은 Anchor_Linux가 생성하는 로그 파일인 /tmp/anchor.log 파일을 확인해보시기 바랍니다. 

이 파일을 발견할 경우 전체 시스템 감사를 통해 Anchor_Linux 악성코드가 있는지 확인해봐야 합니다.

Kremez는 리눅스 실행파일 내 테스트 기능이 있는 것으로 보아 Anchor_Linux가 아직 개발 중인 단계로 보인다고 밝혔습니다.

TrickBot은 Anchor 프레임워크에 완전한 기능을 추가하기 위한 개발을 계속해서 진행할 것으로 예상됩니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Linux.Agent'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/trickbots-new-linux-malware-covertly-infects-windows-devices/

https://medium.com/stage-2-security/anchor-dns-malware-family-goes-cross-platform-d807ba13ca30