https://m.boannews.com/html/detail.html?tab_type=1&idx=104345
분석과 탐지를 최대한 어렵게 만든 트릭봇 최신 버전
트릭봇(TrickBot) 트로이목마의 운영자들이 탐지와 분석을 피하기 위해 더 까다로운 방어 장치를 사용하기 시작했다. 때마침 트릭봇이 뱅킹 트로이목마로서 많이 사용되기 시작되는 시점에 나타
m.boannews.com
트릭봇(TrickBot) 트로이목마의 운영자들이 탐지와 분석을 피하기 위해 더 까다로운 방어 장치를 사용하기 시작했다. 코딩 단계에서부터 자원들이 암호와 및 난독화 되어있고, 탐지와 분석을 방해하기 위한 각종 기능들이 덧붙여졌다. 트릭봇은 피해자가 트릿봇에 감염된 장비를 통해 서비스에 접속할 때 악성 코드를 주입하는 방식의 멀웨어다.
다음은 최신 트릭봇의 업데이트 사항이다.
1. 주입하는 악성 코드를 피해자의 컴퓨터에서 가져오는 것이 아니라 운영자들의 서버에서 실시간으로 가져온다.
-서버 측면의 주입: 상황에 따라 파일을 바꿀 수 있어 공격이 유연해지고, 탐지와 분석이 어려워졌다.
2. 트릭봇과 같이 사용되는 자바스크립트 다운로더가 HTTPS를 사용한다.
-서버 측면에서의 주입으로 바뀌면서 운영자의 서버에서 주입용 코드를 보다 안전하게 가져오게 됐다.
3. 자바스크립트에 디버깅을 방해하는 기능이 추가되었다.
-디버깅을 감지하고 메모리를 가득 채워 브라우저의 오류를 초래한다.
4. 트릭봇을 주입시키는 코드가 암호화되었다.
-베이스64(Base64)라는 암호화 알고리즘을 통해 인코딩하는 것과 더불어 고차원적인 난독화 기술을 덧입혔다.
*트릭봇: 인터넷에서 가장 오래된 봇넷 중 하나로, 트릭로더(TrickLoader)라고도 불린다. 온라인 뱅킹 서비스에 침입하는 것에 초점을 둔 트로이 목마로 시작되었다. 다이어(Dyre) 또는 다이레자(Dyreza) 트로이목마의 후속 프로그램으로 간주된다. 모듈형 아키텍처로 초기 목적인 온라인 뱅킹 침입 외에 많은 역할을 할 수 있게 되었다. (RDP 스캔, 이메일 검색, VNC 기반 원격 데스크톱, SMB 이터널로맨스(EternalRomance) 및 이터널블루(EternalBlue) 익스플로잇을 통한 웜 형태의 횡적 이동..etc) 대체로 악성 첨부 파일이 포함된 아메일 피싱 캠페인을 통해 배포된다.
-RDP 스캔: RDP, Remote Desktop Protocol는 사용자가 윈도우로 구동하는 다른 컴퓨터에서 원격 윈도우 시스템에 연결하는 수단을 제공한다. 원격 디스플레이 및 입력 기능을 제공하기 때문에 실제로 장치 앞에 앉아 있는 것처럼 원격 윈도우 시스템에 액세스해 작업할 수 있다. 사용이 쉽고 해킹된 시스템을 완전히 제어할 수 있기 때문에 쉽게 해킹의 표적이 된다.
-VNC 기반 원격 데스크톱: VNC, Virtual Network Computing을 이용하면 컴퓨터의 시각적 데스크톱 디스플레이를 네트워크 연결을 통해 원격으로보고 제어 할 수 있다. RFB 프로토콜(같은 프레임 버퍼에서 직접 작동)을 사용한다. 속도가 느려 대안으로 WRD (Windows Remote Desktop)가 나왔다. WRD는 RDP(프레임 버퍼 생성 request만 전송)를 사용한다.
-SMB 서버 취약점: Server Message Block, MS SMB 프로토콜의 메모리 파괴 취약점으로, 인증을 거치지 않은 공격자가 원격에서 해당 취약점을 악용하여 웜(worm)과 같은 공격 효과를 가져올 수 있는 취약점. SMB는 Windows의 서버 메시지 블록으로 파일이나 디렉터리 및 주변 장치들을 공유하는 데 사용되는 메시지 형식으로 Windows OS에 기본으로 탑재되어있다. 이터널로맨스(EternalRomance), 이터널블루(EternalBlue)(NSA 개발 익스플로잇)등에서 발견되었다.
SMB취약점의 이해와 공격 실습
SMB 취약점
medium.com
-웜 공격: 자체적으로 실행되면서 다른 컴퓨터에 전파가 가능한 공격 프로그램. 처음에는 컴퓨터의 자원을 잡아먹는 정도로만 사용되었지만, 네트워크 전체를 공격할 수 있어 더 심각한 피해를 주기 시작했다. 익스플로잇에서 횡적 이동(Lateral Movement)하는 경우가 많다.
-횡적 이동(Lateral Movement): '내부 이동', '내부 확산'. APT(Advanced persistent Threat)공격 중 공격자가 내부망에서 사용되는 계정 정보를 획득하여 내부망의 시스템으로 이동하는 방식
<->종적 이동(Vertical Movement): 클라이언트에서 서버로(Client to Server), 서버에서 클라이언트로(Sever to Client)의 이동
참고: https://www.itworld.co.kr/news/175954
끈질기게 기업을 괴롭히는 다목적 크라임웨어, 트릭봇이란 무엇인가
트릭봇(TrickBot)은 인터넷에서 가장 오래된 봇넷 가운데 하나이며, 악명높은 류크(Ryuk) 랜섬웨어와 기타 위협 행위자를 위한 배포 플랫폼 역할을 하므로 많은 기관과 기업에게 큰 위협이 된다. 마
www.itworld.co.kr
*봇넷: Botnet, 인터넷에 연결되어 있으면서 위해를 입은 여러 컴퓨터들의 집합, 다수의 좀비 컴퓨터로 구성된 네트워크.
*다이어(Dyre) ,다이레자(Dyreza): 뱅킹 대상의 악성코드, 어파트레에 의해 다운로드 되는 파일로, 인젝터(Injector), 인젝티드 DII(시스템 프로세스, 브라우저) 등으로 구성되어 있다.
*멀웨어: Malware, 악성소프트 웨어. 사용자의 이익에 반해 시스템을 파괴하거나 정보를 변조, 유출하는 등 악의적인 작업을 하도록 만들어진 소프트웨어.
*HTTPS vs HTTP: HTTP는 서버에서 브라우저로 전송되는 정보가 암호화되지 않아 데이더 도난의 위험성이 높다. HTTPS는 SSL(Secure Socket Layer)를 사용해 서버와 브라우저 사이의 암호화된 연결을 만든다. -SSL인증서 사용
그 외에도 HTTPS는 TLS(Transger Layer Secure)프로토콜을 사용해 데이터 무결성을 제공한다.
*베이스64(Base64) 알고리즘: 64집법 알고리즘. 전자메일을 통한 이진 데이터 전송에 많이 쓰인다. 8비트 이진 데이터를 문자 코드에 영향을 받지 않은 공통 ASCII 문자들로만 이루어진 인코딩 방식.
*류크 랜섬웨어: 오랫동안 트릿봇을 통해서 배포된 랜섬웨어. 헤르메스(Hermes) 랜섬웨어의 변종으로 분류된다. 주로 표적형 랜섬웨어로 특정 조직 및 기업을 대상으로 유포되는 특징이 있다. 류크 사용 범죄는 다른 범죄보다 더 높은 값을 요구하는 경향이 있다.
1. 원본 파일 삭제 및 파일 생성
2. 윈도우 bit확인 후 데이터 저장 및 레지스트리 저장
3. 권한 상승 및 프로세스 선정
4. Injection
순서로 작동한다.
'정보 보안 줍기' 카테고리의 다른 글
| APT단체의 MS 원드라이브의 새로운 활용(보안뉴스) (0) | 2022.01.28 |
|---|---|
| 리눅스 폰킷 취약점(보안뉴스) (0) | 2022.01.27 |
| 클라우드 보안(보안뉴스) (0) | 2022.01.26 |
| 카오스 엔지니어링(보안뉴스) (0) | 2022.01.24 |
| 러시아 레빌 체포 작전(보안뉴스) (0) | 2022.01.24 |
