Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향새로운 기능이 추가된 TrickBot 악성코드 등장
작성일 2020-11-23 조회 140

 

TrickBot 사이버 범죄 조직에서는 탐지 회피 기능을 추가한 TrickBot의 100번째 버전을 출시했습니다.

 

TrickBot은 악성 피싱 전자 메일 또는 기타 악성 프로그램을 통해 일반적으로 설치되는 악성 프로그램입니다.

 

이러한 모듈은 도메인의 Active Directory Services 데이터베이스 도용, 네트워크 확산, 화면 잠금, 쿠키 및 브라우저 암호 도용, OpenSSH키 도용 등 광범위한 악성 활동을 수행합니다.

 

TrickBot ver.100은 Advanced Intel의 Vitali Kremez에 의해 발견되었으며, TrickBot의 최신 버전은 'MemoryModule'프로젝트의 코드를 사용하여 합법적인 Windows wermgr[.]exe(Windows 문제 보고) 실행 파일에 DLL을 주입한다는 것을 발견했다.

 

MemoryModule은 DLL을 로드할 때 디스크에 저장하지 않고 임시 파일을 이용하여 메모리에서 로드하는 데 사용할 수 있는 라이브러리이다. [Github: https://github.com/fancycode/MemoryModule]

 

[그림 1. MemoryModule을 로드하는 TrickBot]

출처 : Vitali Kremez

 

TrickBot은 최초 실행 시 wermgr[.]exe에 자신을 숨기고 원본 TrickBot 실행 파일을 종료합니다. 

 

[그림 2. wermgr[.]exe에 주입된 TrickBot]

 

Kremez에 따르면, DLL을 주입할 때 보안 소프트웨어에 의한 탐지를 회피하기 위해 Dopple Hollowing 이라는 기술을 사용합니다.

 

이는 NTFS의 트랜잭션을 사용하는 기술인데, NTFS에서 작업을 그룹화하던 중 하나가 실패할 경우 롤백이 발생한다는 특징을 이용합니다.

 

Injector 프로세스는 새로운 트랜잭션을 생성하며, 그 내부에는 악의적인 페이로드가 포함된 새 파일이 생성됩니다. 그런 다음 프로세스 내에 파일을 매핑하고 마지막으로 트랜잭션을 롤백합니다. 이를 통해 파일이 아직 프로세스 메모리 안에 있음에도 불구하고 파일이 존재하지 않는 것 처럼 보이게 합니다.

 

TrickBot 악성코드의 감염을 막기 위해서 개인, 기업 사용자의 전자 메일 첨부파일 열람에 특별한 주의가 필요합니다.

 

출처 

https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/

첨부파일 첨부파일이 없습니다.
태그 TrickBot  MemoryModule