상세 컨텐츠

본문 제목

Dridex가 돌아왔다! 새로운 윈도우 UAC 우회 방법 사용해

국내외 보안동향

by 알약(Alyac) 2017. 1. 31. 14:30

본문

Dridex가 돌아왔다! 새로운 윈도우 UAC 우회 방법 사용해

Dridex Is Back, Uses New Windows UAC Bypass Method


뱅킹 악성코드 Dridex가 돌아왔습니다. 윈도우의 사용자 계정 제어(UAC)를 우회하는 새로운 기술을 사용해 영국의 금융 기관들을 노리고 있습니다.


보안 연구원들은 특정 수신인들을 대상으로 하는 작은 규모의 피싱 및 스피어 피싱 캠페인을 탐지했습니다. 이 메시지는 문서 첨부파일에 Dridex 악성코드를 다운로드하도록 허용하는 매크로를 포함하고 있습니다. 그들은 이러한 사용자 계정 제어(UAC) 우회 방법이 지금까지 발견되지 않았던 것이라고 평가했습니다. 공격자는 위장한 SPP.dll을 통해 악성코드를 로딩하는 동안, 윈도우의 기본 복구 디스크 실행파일인 recdisc.exe를 사용합니다.


Recdisc는 윈도우 7에 의해 자동으로 상승되는 어플리케이션들 중 하나입니다. 이로써 윈도우의 사용자가 관찰하는 것이 더욱 어려워집니다. 특히 자동 상승되는 어플리케이션의 화이트리스트에 자동으로 포함될 경우는 더욱 심각합니다. 이로 인해 Dridex가 UAC를 우회하게 될 수 있기 때문입니다.



악성코드 동작법


이 악성코드는 Windows\System32\6886에 디렉토리를 생성한 다음, recdisc에서 정상적인 바이너리를 이 폴더로 복사합니다. 이후 Dridex는 자기 자신을 tmp파일로써 %APPDATA%\Local\Temp에 복사하고, 자기자신을 Windows\System32\6886\SPP.dll로 이동시킵니다. 또한 system32에서 모든 wu*.exe 및 po*.dll 파일들을 삭제하고, recdisc.exe를 실행한 후 어드민 권한으로 자기 자신을 SPP.dll 파일로 위장해 로드합니다. 


Dridex는 해당 recdisc 실행 파일을 새로운 6686 폴더에 복사하는 방법으로 UAC를 우회합니다. 이후 스크립트가 cmd 배치파일을 실행하고, Dridex는 새로운 방화벽 룰을 생성합니다. 이 새로운 룰은 %AppData%\Local\Temp의 P2P 프로토콜 통신을 위한 ICMPv4 수신기를 허용합니다.



효과적으로 확산되는 Dridex


수천대의 시스템들이 이미 이 악성코드에 감염된 것으로 밝혀졌습니다. 이 악성코드는 과거와 마찬가지로 피해자의 은행 사이트 트래픽을 모니터링하고, 로그인 크리덴셜과 계정 정보를 수집합니다.


Dridex는 지난 2014년 6월 처음 발견되었습니다. GameOverZeus 악성코드의 후속 제품들 중 하나로 간주되고 있으며, C&C 서버의 탐지를 피하기 위해 P2P 아키텍처를 사용하여 보호하는 특징이 있습니다. 이는 2014~2015년 사이 특히 활성화되었으며, 2016년에도 작은 규모의 캠페인들이 관찰되었습니다.


한편, 알약은 해당 악성코드를 Trojan.Dridex.A로 탐지하고 있습니다.







출처 :

http://news.softpedia.com/news/dridex-is-back-uses-new-windows-uac-bypass-method-512378.shtml

https://www.flashpoint-intel.com/blog-dridex-banking-trojan-returns/



관련글 더보기

댓글 영역