상세 컨텐츠

본문 제목

TrickBot, 새로운 기능 추가한 100번째 변종 공개

국내외 보안동향

by 알약4 2020. 11. 23. 09:14

본문

TrickBot turns 100: Latest malware released with new features

 

TrickBot 운영자가 탐지를 회피하는 기능을 추가한 악성코드의 100번째 변종을 공개했습니다.

 

TrickBot은 보통 악성 피싱 이메일이나 다른 악성코드를 통해 설치됩니다. 설치되면 피해자의 컴퓨터에서 조용히 실행되며, 다른 작업을 실행할 모듈을 다운로드합니다.

 

이 모듈은 도메인의 활성 디렉토리 서비스 데이터베이스를 훔치고, 네트워크에서 측면 확산, 스크린 잠금, 쿠키, 브라우저 비밀번호, OpenSSH 키를 훔치는 등 다양한 악성 활동을 수행합니다.

 

또한 TrickBotRyukConti 랜섬웨어 공격자들에게 액세스를 제공한 후 공격을 완료하는 것으로 알려져 있습니다.

 

TrickBot 버전 100에 추가된 새로운 기능

 

지난 달 마이크로소프트와 파트너사에서 공동으로 TrickBot 인프라를 공격한 후 복구하는 데 시간이 다소 소요될 것으로 예상했습니다.

 

하지만 TrickBot은 여전히 활동을 계속하며 악성코드의 100번째 빌드를 공개했습니다.

 

Advanced IntelVitali Kremez가 발견한 이 최신 빌드는 탐지를 더욱 어렵게 만드는 새로운 기능을 추가한 것으로 나타났습니다.

 

TrickBot의 새로운 버전은 'MemoryModule' 프로젝트의 코드를 사용하여 메모리에서 정식 윈도우 wermgr.exe 실행파일에 직접 DLL을 주입합니다.

 

해당 프로젝트의 GitHub 페이지에서는 아래와 같이 소개하고 있습니다.

 

“MemoryModule은 디스크에 먼저 저장하지 않고 메모리에서 DLL을 완전히 로드하는데 사용하는 라이브러리입니다.”

 

 

<TrickBot’MemoryModule’ 코드>

<이미지 출처: https://twitter.com/VK_Intel/status/1328578336021483522/photo/1>

 

 

TrickBotwermgr.exe에 자신을 주입한 후 TrickBot 실행파일의 원본을 종료합니다.

 

 

<Wermgr.exe에 주입된 TrickBot>

<이미지 출처: https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/>

 

 

Kremez에 따르면 DLL을 주입할 때 프로세스 도플 할로잉(Doppel Hollowing)을 통해 보안 소프트웨어의 탐지를 피하려 시도합니다.

 

보안 연구원인 Francesco Muronie는 아래와 같이 설명했습니다.

 

이 기술은 파일 시스템에서 일련의 작업을 함께 그룹화할 수 있도록 하는 NTFS의 기능인 트랜잭션을 사용합니다. 만약 위 작업 중 하나라도 실패할 경우 완전히 롤백됩니다.”

 

인젝터 프로세스는 새로운 트랜잭션을 생성하고, 그 내부에 악성 페이로드를 포함하는 새로운 파일을 생성합니다. 이후 대상 프로세스 내에서 파일을 매핑하여 트랜잭션을 롤백합니다. 이러한 방법으로 파일의 내용이 프로세스 메모리 안에 있더라도 파일이 존재하지 않는 것처럼 보일 수 있습니다.”

 

이와 같이 TrickBot은 인프라를 중단시키려는 방해 공격에도 불구하고 여전히 운영 중이며 탐지를 피하기 위한 새로운 기능을 계속해서 추가하고 있습니다.

 

TrickBot 변종의 공격은 곧 시작될 것으로 예상되며, 예방을 위해 이메일 첨부파일을 확인할 때는 특히 주의하는 것이 좋습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Trickster.Gen’로 탐지 중입니다.


 

 

 

출처:

https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/

https://twitter.com/VK_Intel/status/1328578336021483522

https://app.any.run/tasks/3a363851-b9a1-4531-8668-5a4ee9ce4f35/



관련글 더보기

댓글 영역