웹 인젝션 공격 회피에 새로운 기술을 사용하는 TrickBot 악성코드 발견

TrickBot Malware Using New Techniques to Evade Web Injection Attacks

 

악명 높은 TrickBot의 제작자가 안티바이러스 제품을 우회하기 위해 여러 방어 계층을 추가한 것으로 나타났습니다.

 

IBM Trusteer는 보고서를 통해 아래와 같이 밝혔습니다.

 

"해당 악성코드는 연구원이 접근하지 못하도록 하고 보안 통제를 우회할 수 있도록 악성코드 인젝션에 추가 보호 기능을 장착했습니다."

 

"대부분의 경우 이러한 추가 보호 기능은 Dyre 트로이 목마가 사라진 후 시작된 TrickBot의 주요 활동인 온라인 뱅킹 사기에서 진행되는 주입에 적용되었습니다."

 

뱅킹 트로이 목마로 시작한 TrickBot은 랜섬웨어와 같은 추가 페이로드를 전달하기 위해 다양한 공격자가 사용하는 다목적 서비스형 크라임웨어 (CaaS; Crimeware-as-a-Service)로 발전했습니다. 현재까지 100가지 이상의 TrickBot 변종이 확인되었으며, 그 중 하나는 해킹된 장치의 UEFI 펌웨어를 수정할 수 있는 "Trickboot" 모듈입니다.

 

2020년 가을, Microsoft는 소수의 미국 정부 기관 및 민간 보안 회사와 협력해 TrickBot 봇넷의 운영을 방해하기 위해 전 세계의 인프라를 상당 부분 파괴했습니다.

 

하지만 이러한 시도에도 TrickBot은 영향을 받지 않는 것으로 보입니다.

 

운영자는 Shathak(TA551)과 같은 다른 계열사와 협력해 배포 채널을 확장하는 것은 물론, 피싱 및 악성 스팸 공격을 통해 다단계 악성코드를 전파하기 위해 기술을 신속히 조정했습니다.

 

 

<이미지 출처 : https://securityintelligence.com/posts/trickbot-bolsters-layered-defenses-prevent-injection/>

 

 

보다 최근에는 Emotet과 관련된 악성코드 캠페인이 TrickBot을 "전달 서비스"로 사용해 악용후 툴인 Cobalt Strike를 해킹된 시스템에 직접 드롭하는 감염 체인을 촉발시켰습니다. 2021년 12월 기준으로 149개국의 약 140,000명의 사용자가 TrickBot에 감염되었습니다.

 

IBM Trusteer에서 발견한 새로운 업데이트는 뱅킹 자격 증명 및 브라우저 쿠키를 훔치는 데 사용되는 실시간 웹 주입과 관련이 있습니다. 이는 MitB(man-in-the-browser) 공격의 일환으로 사용자가 은행 포털을 검색할 시 이들을 복제된 도메인으로 유도하는 방식으로 작동합니다.

 

또한 은행 서버의 응답을 가로채어 공격자가 제어하는 ​​서버로 리디렉션하는 서버 측 주입 메커니즘도 사용됩니다.

 

최신 버전의 TrickBot을 채택한 다른 방어선에서는 해당 주입을 가져오기 위해 C2 서버와 암호화된 HTTPS 통신을 사용하고, 분석을 방해하는 안티 디버깅 메커니즘, 중복 코드 추가 및 변수 초기화를 위한 16진수 표현 통합, 웹 주입을 난독화 및 숨기는 등 새로운 방식을 사용했습니다.

 

특히, TrickBot의 안티 디버깅 기능은 코드를 제거하려는 시도를 감지할 경우 페이지를 충돌시키는 메모리 과부하를 트리거해 악성코드 검사를 효과적으로 방지합니다.

 

 

 

 

출처:

https://thehackernews.com/2022/01/trickbot-malware-using-new-techniques.html

https://securityintelligence.com/posts/trickbot-bolsters-layered-defenses-prevent-injection/ (IOC)