Home > 전체기사
트릭봇의 또 다른 변신! 이번엔 액티브엑스 컨트롤 추가
  |  입력 : 2020-03-03 18:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사용자가 매크로를 발동시키면 액티브엑스 컨트롤로 추가 다운로더 투입
최종 페이로드는 트릭봇...이제는 다목적, 모듈 기반 멀웨어로 변신한 위협


[보안뉴스 문가용 기자] 트릭봇(TrickBot) 뱅킹 트로이목마가 또 다시 변신했다. 이번 버전에서는 윈도우 10 액티브엑스 컨트롤을 통해 악성 매크로를 실행하는 기능이 추가됐다고 한다. 보안 업체 모피섹 랩스(Morphisec Labs)의 보안 연구원인 마이클 고얼릭(Michael Gorelik)이 발표했다.

[이미지 = iclickart]


고얼릭에 의하면 지난 몇 주 동안 액티브엑스 기능을 활용해 자동으로 악성 매크로를 활성화시키는 문서 샘플을 20개도 넘게 발견할 수 있었다고 한다. 주로 멀스팸 캠페인에서 이러한 수법이 활용되고 있었으며, 액티브엑스로 발동된 악성 매크로는 OS탭(OSTAP)이라는 자바스크립트 기반 다운로더를 실행하고, 이 다운로더는 최종적으로 트릭봇 페이로드를 설치하는 것으로 밝혀졌다.

“저희가 발견한 악성 문서들은 대체적으로 이미지를 포함하고 있었습니다. 이 이미지를 보고 피해자들은 콘텐츠를 활성화하기 위해 매크로를 켜게 되죠. 이 이미지에는 액티브엑스 컨트롤이 숨겨져 있습니다. 사용자가 매크로 사용을 허용하는 순간 액티브엑스 컨트롤이 악성 매크로를 실행하고 트릭봇까지 이어지는 공격이 자동으로 실행됩니다. 중간에 다운로드 되는 OS탭 다운로더는 콘텐츠와 콘텐츠 사이의 흰색 글자로서 존재하기 때문에 눈에 띄지 않습니다.”

액티브엑스 컨트롤은 MsRdpClient10NotSafeForScripting이라는 클래스를 사용해 원격 제어를 실시한다고 한다. “스크립트 내 서버(Server) 필드는 비어 있는 상태입니다. 이 때문에 공격 과정 중에 오류가 발생합니다. 이 오류를 공격자가 남용함으로써 임의의 코드를 실행할 수 있게 됩니다.” 고얼릭의 설명이다.

“OS탭은 오류 번호가 정확히 disconnectReasonDNSLookupFailed(260)와 일치하지 않으면 실행되지 않습니다. 발동 조건이 성립되면 OS탭의 wscript 명령어가 실행됩니다. 이 때 오류 번호 계산으로부터 나온 문자들이 매개변수처럼 명령에 적용됩니다.” OS탭은 배치 파일(BAT)의 형태로 생성이 되고, 실행되면서 최초 악성 문서(주로 워드 문서)는 닫힌다.

참고로 액티브엑스 컨트롤 기능은 윈도우 10으로 업데이트 되지 않은 시스템에서는 작동하지 않는다고 한다.

트릭봇은 2016년에 처음 등장한 뱅킹 멀웨어로, 다이어(Dyre)의 후계자처럼 나타났다. 그러나 몇 번의 업그레이드를 거쳐 지금은 다목적, 모듈 기반 크라임웨어가 되어 버렸다. 변화는 지금도 계속되고 있고, 따라서 트릭봇이 앞으로 어떤 방식으로 세계 조직들을 괴롭힐지 몰라 상당히 까다로운 위협으로 인식되어 있다.

게다가 작년 말 트릭봇 운영자들과 북한의 APT 그룹인 라자루스(Lazarus)가 협력 체계를 구축했을 가능성이 높다는 증거가 나오기도 했다. 트릭봇이 개발한 ‘올인원’ 형태의 공격 프레임워크인 앵커(Anchor)를 라자루스가 공격 캠페인에 활용하는 것이 포착되었던 것이다.

“트릭봇이 이렇게 새로운 기능을 계속해서 추가한다면, 방어하는 입장에서도 계속해서 탐지 기술을 추가해야 한다는 뜻입니다. 하지만 이는 대단히 까다롭고 고단한 과정이며, 시간도 많이 잡아먹습니다. 어디로 튈지 모르는 잦은 변화가 가장 방어하기 어려운 위협이라는 걸 트릭봇 공격자들이 잘 이해하고 있는 것으로 보입니다.”

3줄 요약
1. 변신이 특기인 멀웨어, 트릭봇, 원래는 뱅킹 멀웨어였는데...
2. 이번에도 변신에 성공. 액티브엑스 컨트롤 기능까지 덧입음.
3. 이번 버전은 윈도우 10으로 업그레이드 된 플랫폼에서만 통함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)