TrickBot Banking 트로이 목마 - Windows 시스템을 대상으로 하는 트로이 목마

게시 됨: 2019-01-17

전 세계 사람들은 불법적인 이익을 얻거나 개인 데이터를 도용하기 위해 설계된 다양한 악성 코드의 지속적인 위협을 받고 있습니다. 그러나 특히 가장 싫어하는 유형이 있습니다. 그들은 뱅킹 트로이 목마입니다. 여러 번 다양한 모습으로 등장해 유저들을 착취한다. 그러나 최근 각광을 받은 최악의 것은 Windows 시스템을 대상으로 하는 TrickBot Banking Trojan입니다. 이 특정 트로이 목마가 호주, 아시아 및 라틴 아메리카에 성공적으로 영향을 미친 것으로 밝혀졌습니다. 이제 아르헨티나, 페루, 칠레에서도 수백만 대의 기계를 감염시킬 계획입니다. 2017년 영국 Lloyds Bank에서 25분 동안 75000개 이상의 이메일을 보냈다는 사실에서 악명과 피해의 강도를 알 수 있습니다.

트릭봇이란?

이것은 URL 리디렉션 및 웹 삽입을 포함하여 과다한 기능을 가진 시장에서 가장 활동적인 뱅킹 트로이 목마 중 하나입니다. 이것은 2016년 10월 호주에서 처음 확인 및 발견되었습니다. Trickbot은 글로벌 봉사 활동을 하는 개인 그룹에 의해 운영 및 관리되는 것으로 추정됩니다. 또한 리디렉션의 40%는 웹 인젝션에, 60%는 리디렉션과 같은 다양한 기술을 통해 공격했기 때문에 영리합니다. 현재 40개국에서 본 패턴이다.

이 맬웨어는 피싱 이메일을 통해 사용자에게 전달되지만 가짜 웹사이트와 같은 다른 배포 방식도 탐색하기 시작했습니다. 이러한 경우 주로 웹 인젝션을 통해 작동합니다.

웹 인젝션

웹 브라우저가 맬웨어에 감염되어 방문하는 모든 웹 사이트를 계속 확인합니다. 은행 웹사이트를 방문할 때까지 모든 것은 영향을 받지 않습니다. 공격자의 주요 목표는 은행 웹사이트를 통해 사용자를 피싱하는 것입니다. 사용자가 은행 웹사이트를 방문하는 즉시 네트워크를 통해 코드를 가로채어 입력된 개인 정보와 자격 증명을 훔칩니다.

웹 인젝션에서 더 안타까운 점은 감염된 웹사이트가 아니라 웹 브라우저이기 때문에 웹사이트만 보고는 아무 것도 알 수 없다는 점이다. 이 시나리오에서 어떻게 비정상적인 활동을 식별할 수 있습니까? 글쎄, 은행 페이지의 소스 코드로 이동하지 않는 한 아무도 그렇게 할 수 없습니다.

브라우저가 감염되지 않은 경우 코드는 상대적으로 작아지지만 감염되지 않은 경우에는 그 안에 이상한 새 기능이 표시됩니다. 때로는 추가 기능이나 코드 세트에 기능에 대해 알려주는 주석이 있습니다.

URL 리디렉션

URL 리디렉션이 사용된 경우가 있지만 이러한 관행은 점점 희소해지고 있습니다. 그 이유는 리디렉션을 식별할 수 있기 때문입니다. 다시 말하지만, 해커는 도메인 이름의 등록 규칙으로 인해 탐색하는 동안 사람을 리디렉션하기 위해 유사하고 정확하지 않은 URL만 만들 수 있습니다. 그리고 누군가가 URL에주의를 기울이면 발견 할 수 있습니다.

트릭봇은 무엇을 합니까?

맬웨어에는 다음을 포함하는 많은 악성 기능이 있는 것으로 보고되었습니다.

감염된 장치와 명령 서버 간의 통신을 시작합니다.
웹 브라우징 세션을 이용하여 은행 자격 증명, 개인 정보 등과 같은 기밀 정보를 훔칩니다.
영향을 받는 시스템 및 네트워크에 대한 자세한 정보를 수집합니다.
온라인에 저장된 계정 암호를 손상시키고 쿠키 및 웹 기록을 검사합니다.
감염된 네트워크의 다른 시스템을 감염시켜 범위를 확장합니다.
VNC 클라이언트, 원격 액세스 도구 또는 랜섬웨어와 같은 악의적인 목적을 위한 추가 도구를 설정합니다.

Trickbot 트로이 목마는 어떻게 작동합니까?

또한 읽기: Emotet 트로이 목마 - 위험하게 진화한 뱅킹 트로이 목마

일단 배포되면 TrickBot 뱅킹 트로이 목마는 %APPDATA%에 자신을 복제하고 원본 샘플을 제거합니다.

또한 client_id 및 group_tag라는 두 개의 파일을 추가합니다. 이 파일은 로컬로 생성되어 개별 봇 및 연결된 작업을 감지하는 데 사용됩니다. 이러한 파일은 암호화되지 않으며 유니코드 텍스트를 포함합니다.

client_id : 감염된 컴퓨터의 이름, OS 버전, 무작위로 생성된 문자열을 포함합니다.

폴더에는 config.conf라는 파일이 있습니다. C&C(명령 및 제어) 서버를 통해 다운로드되고 인코딩됩니다.

참고 : C&C 또는 C2는 사이버 공격자가 감염된 네트워크 내에서 감염된 시스템과의 통신을 관리하는 데 사용됩니다.

Modules라는 폴더가 %APPDATA%에 생성됩니다. C&C를 통해 다운로드한 다른 파일은 injectionDll32 및 systeminfo32입니다.

injectionDll32 – 자격 증명 도용을 시작하기 위해 대상 브라우저 내부에 DLL을 주입하는 은행 모듈입니다.

systeminfo32 – 일반 시스템 정보를 수집하는 데 사용됩니다.

이러한 파일도 인코딩됩니다. 또한 대상 브라우저 목록은 injectDll32.dll 내부에 하드코딩되어 있습니다. TrickBot은 Windows 작업 스케줄러에서 자신을 작업으로 축적하여 효율적으로 만듭니다. 작업은 단순히 '봇'이라고 하며 이 작업을 숨기려는 시도가 없습니다. 그러나 작업을 종료하려고 하면 작업 스케줄러 엔진이 자동으로 작업을 다시 시작합니다.

네트워크 통신

TrickBot 악성코드는 다른 서버와 통신합니다. 처음에는 유효한 서버와 통신하여 가시 IP를 얻습니다. 놀랍게도 자체 사용자 에이전트(예: TrickLoader 또는 BotLoader)를 사용하고 자신을 정품 브라우저로 숨기려고 하지 않습니다. 그러나 TrickBot과 Command and Control 센터의 통신은 대부분 SSL로 암호화됩니다.

client_id 및 group_id는 POST 요청의 URL과 그 뒤에 오는 명령 id에 사용됩니다. 이것은 Dyreza 악성코드에서 관찰된 특성입니다. 또한 네트워크 트래픽을 암호화하지 않고 추가 페이로드를 로드합니다. C&C는 손상된 무선 라우터(예: MikroTik)에 설치됩니다. 이것은 Dyreza와 TrickBot 간에 공통적으로 발견되는 또 다른 기능입니다. TrickBot의 또 다른 이상한 점은 HTTP 인증서에 대해 실제처럼 보이는 이름을 복사하려고 시도조차 하지 않는다는 것입니다. 여기에는 완전히 무작위 데이터가 포함됩니다. 예를 들어: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

시스템이 영향을 받는 증상

엔드포인트 사용자는 변경 사항을 볼 수 없지만 네트워크 관리자는 볼 수 있습니다. 제한된 URL 및 블랙리스트에 있는 IP에 도달하려는 트래픽 또는 노력의 증상이 변경됩니다. 이것은 맬웨어가 데이터를 해커에게 전달하려고 하기 때문에 발생합니다. C&C(Control and Command) 서버로부터 데이터 회수 및 작업 수신을 시도합니다.

여파

이 트로이 목마는 EternalBlue 취약점을 사용하므로 시스템뿐만 아니라 전체 네트워크에 영향을 미치는 데 중점을 둡니다. 이것은 네트워크가 영향을 받으면 탈출구가 없음을 의미합니다. 특정 시스템을 정리할 수 있지만 전체 네트워크를 정리할 수는 없습니다. 어느 정도 감염된 시스템을 격리하고 이 트로이 목마를 제거하는 것이 효과적일 수 있습니다.

네트워크 시스템이 영향을 받는 경우 수행할 수 있는 몇 가지 단계는 다음과 같습니다. –

감염된 시스템을 감지합니다.
네트워크에서 격리하십시오.
EternalBlue용 패치를 사용하십시오.
관리 공유를 제한합니다.
다음과 같은 다양한 파일 확장자를 가진 첨부 파일 차단:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

TrickBot 뱅킹 트로이 목마를 제거하십시오.
계정 자격 증명을 변경합니다.

반드시 읽어야 할 내용 : IceID 새로운 뱅킹 트로이목마

최종 평결

이것은 공격성 뿐만 아니라 끊임없는 진화 때문에 매우 위험합니다. 이 뱅킹 트로이 목마의 운영자는 Outlook 이메일, 검색 데이터 및 암호화폐 사용자를 대상으로 하기 시작했습니다. 지갑과 계정이 비워지는 것을 원하지 않는다면 빨리 방어 메커니즘을 마련해야 합니다!