상세 컨텐츠

본문 제목

TrickBot 리눅스 변종, 실제 공격에서 활발히 악용돼

국내외 보안동향

by 알약4 2020. 10. 29. 14:00

본문

TrickBot Linux Variants Active in the Wild Despite Recent Takedown

 

TrickBot을 무력화하기 위한 노력의 결과로 대부분의 중요 인프라가 중단되었을 수 있지만, TrickBot의 운영자가 가만히 손 놓고 있지만은 않은 것으로 보입니다.

 

사이버 보안 회사인 Netscout에 따르면 TrickBot 제작자는 타깃의 범위를 넓히기 위해 그들 코드의 일부를 리눅스로 이동시킨 것으로 나타났습니다.

 

2016년 처음으로 탐지된 금융 트로이목마인 TrickBot은 윈도우 기반 악성코드로 타깃 네트워크에서 자격 증명 탈취, 랜섬웨어 공격 등 광범위한 공격을 실행하기 위해 다양한 모듈을 사용했습니다.

 

지난 몇 주 동안 미국 사이버 사령부 및 마이크로소프트의 노력으로 TrickBot이 사용 중이었던 명령 및 제어(C2) 서버의 94%를 중단시켰으며, TrickBot 범죄자들이 비활성화된 서버를 다시 온라인으로 복귀시키려 시도했던 새로운 인프라 또한 무력화했습니다.

 

TrickBot을 방해하기 위한 조치를 취했음에도 불구하고 마이크로소프트는 봇넷의 제작자가 자신의 작업을 되살리기 위한 노력을 시작할 것이라 경고했습니다.

 

TrickBotAnchor 모듈

 

2019년 말, C2 서버와 은밀히 통신하기 위해 DNS 프로토콜을 사용하는 새로운 TrickBot 백도어 프레임워크인 Anchor가 발견되었습니다.

 

SentinelOne은 공격자가 해당 모듈을 통해 고 가치 타깃에 이 프레임워크를 악용한 공격을 실행할 수 있다고 밝혔습니다.

 

실제로 IBM X-Force는 올 4월 초 금전적 이익을 얻기 위해 조직에 Anchor 프레임워크를 배포할 목적으로 FIN6TrickBot 그룹이 협력하여 진행한 새로운 사이버 공격을 발견했습니다.

 

"Anchor_DNS"라 명명된 이 변종은 감염된 클라이언트가 DNS 터널링을 활용하여 C2 서버와의 통신을 설정하도록 허용하며 응답으로 해석된 IP를 받아볼 수 있습니다. 이는 NTT 연구원들의 2019 에 상세히 기술되어 있습니다.

 

하지만 Stage 2 보안 연구원인 Waylon Grange7월 발견한 새로운 샘플에서는 Anchor_DNS가 새로운 리눅스 백도어 버전인 "Anchor_Linux"로 포팅된 것으로 나타났습니다.

 

이 악성코드는 종종 zip의 일부로 제공되는 가벼운 리눅스 백도어입니다.”

 

실행 시 자기 자신을 크론 작업으로 설치하며 호스트의 공개 IP 주소를 알아낸 후 DNS 쿼리를 통해 C2 서버에 대한 비콘(beacon)을 시작합니다.”

 

Anchor를 통한 C2 통신의 동작 방식

 

Netscout의 최신 연구는 봇과 C2 서버 사이에서 이루어지는 통신의 흐름을 디코딩합니다. 클라이언트는 초기 설정 단계에서 "c2_command 0"을 서버에 전송한다음 "signal /1/" 메시지로 봇에 다시 응답합니다.

 

이 봇은 승인을 위해 동일한 메시지를 C2로 다시 전송하고, 서버는 클라이언트에서 실행될 명령어를 원격으로 전달합니다. 마지막 단계에서는 봇이 실행 결과를 C2 서버로 다시 전송합니다.

 

Netscout의 보안 연구원인 Suweera De Sauza는 아래와 같이 언급했습니다.

 

“C2로 전달되는 모든 통신 부분은 일련의 DNS 쿼리 3가지를 따릅니다.”

 

 

<이미지 출처: https://thehackernews.com/2020/10/trickbot-linux-variants-active-in-wild.html>

 

 

세 번째 쿼리의 결과는 실행 가능한 페이로드를 빌드하기 위해 클라이언트가 이후에 파싱하는 IP 주소 목록입니다.

 

C2 서버에서 전송한 마지막 데이터 조각은 봇이 cmd.exe를 사용하거나 윈도우 파일 탐색기나 메모장 등 실행 중인 프로세스 다수에 주입하여 페이로드를 실행하기 위한 명령 범위(윈도우에서는 0~14, 리눅스에서는 0~4, 10~12, 100)에 해당합니다.

 

“Anchor C2 통신의 복잡도와 봇이 실행하는 페이로드를 살펴본 결과 Trickbot 운영자의 능력이 상당하다는 것과 지속적인 혁신이 가능하다는 것을 알 수 있었습니다. 이들은 리눅스로 공격을 확장시켜 이를 증명해 냈습니다.”

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Agent.Anchor’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2020/10/trickbot-linux-variants-active-in-wild.html

https://www.netscout.com/blog/asert/dropping-anchor


관련글 더보기

댓글 영역