지난 6월 14일 Trickbot 악성코드가 악성 스팸메일 형태로 국내로 유포되고 있음을 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서 확인되었다. Trickbot 은 2016년 10월 국외에서 처음 발견, 보고되었다. 주로 호주, 독일, 영국, 북미지역 내 은행 및 결제 시스템 금융정보를 탈취하는 악성코드로 감염된 상태로 온라인 뱅킹 이용 시 입력한 정보가 은행이 아닌 다른 곳으로 유출 될 수 있다.
[그림 1] Trickbot 동작 과정
Trickbot 악성코드는 DOC 내의 다운로드 기능을 가지고 있는 매크로를 통해 감염된다.
[그림 2] 악성 매크로 일부 (암호화된 PE 다운로드 URL)
문서 파일을 실행 시 매크로 실행을 통해 특정 URL에 접근을 하여 암호화된 PE를 %temp%kkloepp8 경로에 다운로드 한다. 다운로드 URL은 변형 마다 다른 값을 가지고 있다.
접속 주소 |
[표 1] 암호화된 PE 다운로드 주소
다운로드 된 암호화된 PE는 복호화 후 %temp%proshuto8.exe로 저장하고 실행 한다.
Trickbot 악성 코드는 %appdata%winapp 경로에 자신과 동일한 파일을 파일명을 시저 암호화 방법으로 생성하고 실행한다.
– %appdata%winappqsptivup9.exe
그 후 작업 스케줄러에 등록하여 지속적으로 파일이 실행 되도록 설정한다.
[그림 3] 작업 스케줄러 등록
C2 연결을 통해 아래의 구성 파일들을 추가 생성한다.
생성 파일 |
%appdata%winappcliend_id |
%appdata%winappgroup_tag |
%appdata%winappconfig.conf |
%appdata%winappModulessysteminfo32 |
%appdata%winappModulesinjectDll32 |
%appdata%winappModulesinjectDll32_configsdinj |
%appdata%winappModulesinjectDll32_configsdpost |
%appdata%winappModulesinjectDll32_configssinj |
[표 2] Trickbot이 생성한 파일
각 구성 파일의 기능은 아래와 같다.
구성 파일 |
기능 |
client_id |
사용자 정보와 식별 값(ComputerName + OS Version + RanndomString 32개)이 저장 되어 있다 |
group_tag |
내부 데이터 (config.conf)의 gtag 태그에 위치한 값(mac1)이 저장되어 있다. |
config.conf |
Trickbot의 설정 파일로 암호화 되어 저장된다. Trickbot 버전, group_tag, C&C의 IP 등의 정보가 포함되어 있다. |
systeminfo32 |
PC 의 시스템 정보를 수집하는 모듈로 암호화 되어 저장 되어있다. 윈도우 버전, CPU 타입, RAM, 사용자 계정, 설치된 소프트웨어, 서비스 목록 등을 수집하여 저장한다. |
injectDll32 |
웹브라우저에 인젝션 되는 모듈로 인터넷 뱅킹을 모니터링 하고, 정보를 탈취 하는 기능을 가지고 있다. |
dinj / sinj |
injectdll 의 설정 파일로 공격 대상(온라인뱅킹)에 대한 정보를 저장하고 있다. |
dpost |
탈취한 정보를 전송할 IP 주소를 저장하고 있다. (http://91.206.4.216:8082) 해당 IP는 변형 마다 다른 값을 가지고 있다. |
[표 3] Trickbot 생성 파일 기능 정리
[그림 4] 공격 대상 정보가 포함된 dinj, sinj
Trickbot 악성코드는 공격 대상의 뱅킹 사이트에서 입력한 값을 공격자에게 전송하도록 하여 금융정보를 탈취한다.
현재 V3에서 Trickbot 은 다음 진단명으로 진단하고 있다.
– Trojan/Win32.Trickbot (2017.06.14.03)
Categories:악성코드 정보