[IT 알아보기]/IT 소식

[IT 소식] 분석과 탐지를 최대한 어렵게 만든 트릭봇 최신 버전

이호스트ICT 2022. 2. 2. 11:53

 


분석과 탐지를 최대한 어렵게 만든 트릭봇 최신 버전

트릭봇 최신 버전이 등장했다. 악성 기능은 대부분 그대로인데, 그 악성 기능을 탐지하는 게 무척이나 까다로워진 상태라고 한다. 여러 가지 난독화 기술을 덧입고 있는 이번 트릭봇은 공격자들의 쉬지 않는 향상 능력을 드러내기도 한다.

[보안뉴스 문가용 기자] 트릭봇(TrickBot) 트로이목마의 운영자들이 탐지와 분석을 피하기 위해 더 까다로운 방어 장치를 사용하기 시작했다. 때마침 트릭봇이 뱅킹 트로이목마로서 많이 사용되기 시작되는 시점에 나타난 변화다. 트릭봇은 태생이 뱅킹 트로이목마이긴 하나, 최근 몇 년 동안 다른 멀웨어를 퍼트리는 로더로서 더 많이 활용되어 왔었다. 트릭봇의 최근 변화에 대해서는 IBM의 보안 연구원들이 조사 및 분석했다.


[이미지 = utoimage]




조사에 의하면 최신 버전 트릭봇은 서버 측면의 주입 기능을 새롭게 갖춘 상태라고 한다. 여기에 더해 C&C 서버와의 통신을 암호화 시키는 기능, 디버깅 방해 기능, 새로운 난독화 및 코드 숨기기 기능까지 더해졌다. IBM의 보안 고문인 리모르 케셈(Limor Kessem)은 “트릭봇의 개발자들은 항상 보안 전문가들보다 한 발 앞서가려고 애쓰는 편인데, 그러한 특징이 이번에 다시 한 번 드러난 것”이라고 설명한다.

“트릭봇처럼 보안 제어 장치들과 대놓고 시합을 벌이는 멀웨어들은 꾸준히 모니터링하고, 그에 맞춰 탐지와 분석 장치들도 꾸준하게 업데이트 해야 합니다. 이번 변화는 코딩 단계에서부터 일어난 것으로, 자원들이 암호화 및 난독화 되어 있고, 탐지와 분석을 방해하기 위한 각종 기능들이 덧붙어 있습니다. 이제 방어 업계 쪽에서 대응을 해야 할 차례입니다.”

트릭봇은 러시아의 경찰 당국이 다이어(Dyre)라는 뱅킹 트로이목마 운영자들을 검거한 직후 등장한 멀웨어다. 다이어는 체이스(Chase), 뱅크오브아메리카(Bank of America) 등에 큰 피해를 입힌 전적을 가지고 있는 멀웨어였다. 트릭봇은 다이어의 후계자인 것처럼 보였으나 모듈 구성이라는 특징 때문에 다른 목적으로도 활용되기 시작했고, 금세 여러 유형의 사이버 공격자들 사이에서 주목을 받기 시작했다. 현재는 이모텟(Emotet)이나 랜섬웨어와 같은 페이로드를 퍼나라는 데 사용되고 있다.

트릭봇은 피해자가 트릭봇에 감염된 장비를 통해 온라인 뱅킹 계좌에 접속할 때 실시간으로 악성 코드를 주입하는데, IBM이 분석한 최신 버전의 경우 이 주입 과정에 보호 장치를 하나 더 가지고 있다. 사용자의 브라우저에서부터 나가는 정보가 은행 서버에 도달하기 전에 조작하는 것이 이 코드 조작의 목적이다. 그러니 이런 코드가 주입되는 것을 공격자들이 숨기면 탐지와 분석이 어려워진다.

그러면 최신 트릭봇은 어떤 식으로 이 코드를 숨길까? 이번 버전에서는 주입 코드를 피해자의 컴퓨터에 저장해 둔 설정 파일에서부터 가져오는 게 아니라 트릭봇 운영자들이 마련해 둔 서버에서부터 실시간으로 가져온다. 이른 바 서버 측면의 주입이라는 건데, 이는 로컬에 저장해 둔 파일을 이용하는 것보다 탐지와 분석을 어렵게 할 뿐만 아니라 피해자 컴퓨터로 다운로드시키는 파일을 상황에 따라 바꿀 수 있어 공격이 유연해진다. 이전 트릭봇들에서는 발견되지 않았던 기능이다.

트릭봇과 함께 사용되는 자바스크립트 다운로더 역시 조금 바뀌었다. HTTPS를 사용함으로써 공격자가 제어하는 서버로부터 주입용 코드를 보다 안전하게 가져오게 된 것이다. 이 주입용 코드를 통해 공격자들은 피해자들을 속여 온라인 뱅킹에 필요한 민감한 정보들을 훔칠 수 있게 되었다.

여기에 더해 트릭봇 개발자들은 디버깅을 방해하는 기능을 트릭봇의 자바스크립트에 추가했다. 디버깅은 의심스러운 코드를 분석할 때 사용하는 기법 중 하나다. 이번 버전의 트릭봇은 누군가 디버깅을 실시할 때 곧바로 메모리를 가득 채우는 프로세스를 발동시켜 브라우저가 오류를 일으키도록 만든다고 한다.

트릭봇 스스로를 주입시키는 코드도 고차원적인 난독화 기술을 덧입고 있다. 베이스64(Base64)라는 암호화 알고리즘을 통해 인코딩 되어 있고, 사람의 눈으로는 읽을 수 없도록 코드 문자들을 바꾼다든지, 코드 실행 부분에 대한 정보를 감추는 방식까지 겹쳐 있어 분석가들에게는 상당히 까다롭게 작용한다. “이런 식으로 다양한 난독화 기술을 가진 코드를 한 번 제대로 파헤치면 공격자들이 사용하는 기법에 대해 이해하게 됩니다. 어렵지만 넘어볼 만한 산이라는 것입니다. 그러니 이런 멀웨어 샘플을 적극 파헤쳐보시기를 추천합니다.” 카셈의 설명이다.

3줄 요약
1. 최신 버전 트릭봇, 분석과 탐지 방해하기 위한 각종 기술 탑재한 채 등장.
2. 서버 측면 코드 주입 기능, 디버깅 방해 기능, 암호화 프로토콜 활용 등.
3. 이런 코드는 분석하기 힘든 게 맞으나, 한 번 하고나면 공격자들의 수법 알 수 있어 이득.


출처 : 보안뉴스
https://www.boannews.com/media/view.asp?idx=104345