악성 파일 정보

[악성코드 분석] 뱅킹 악성코드 Dyreza의 후속작, TrickBot 분석

TrickBot 분석




1. 개요 


2014년도에 활발히 활동했던 뱅킹 악성코드 Dyreza의 후속작으로 보이는 악성코드 Trickbot이 발견되었다. 해당 악성코드는 아래 그림과 같이 'TrickBot'으로 뮤텍스를 생성하여 이러한 이름이 붙여졌으며, 본 보고서는 이 Trickbot을 분석하여 Dyreza의 후속작으로 판단하는 이유와 해당 악성코드의 목적을 알아본다.


[그림 1] TrickBot 뮤텍스[그림 1] TrickBot 뮤텍스






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

TrickBot.exe

파일크기

412,160 byte

진단명

Trojan/W32.TrickBot.412160

악성동작

정보수집, 다운로드

해쉬(MD5)

F26649FC31EDE7594B18F8CD7CDBBC15

 



2-2. 유포 경로

해당 악성코드는 Rig 익스플로잇 킷(Exploit-kit) 또는 악성 워드(Word) 파일을 통해 유포된것으로 알려진다.





2-3. 실행 과정

해당 악성코드는 실행 시 %AppData% 경로에 실행된 파일 이름 그대로 복사되어 재실행되고, 아래 그림과 같이 작업 스케줄러에 자신을 등록한다.


[그림 2] 작업 스케줄 등록[그림 2] 작업 스케줄 등록





3. 악성 동작

해당 악성코드는 악성행위 준비동작 과정에서 아래 그림과 같이 공격 대상 OS의 환경에 때라 다른 페이로드를 로드한다. 이는 Dyreza와 유사한 동작 중 하나이다.


[그림 3] 페이로드 선택[그림 3] 페이로드 선택





아래 그림에서 HTTP 프로토콜을 이용하여 C&C 서버와 통신하며, 해당 악성코드의 주기능은 시스템 정보 수집과 추가 모듈 다운로드이다.


[그림 4] C&C 명령 전달[그림 4] C&C 명령 전달




추가로 다운로드 되는 모듈은 주로 브라우저에 인젝션되어 동작하는 금융정보 대상 악성 모듈이며, Dyreza의 코드 패턴과 유사한 코드이다..


[그림 5] 인젝션 대상 브라우저[그림 5] 인젝션 대상 브라우저







4. 결론

해당 악성코드는 많은 점이 Dyreza와 유사하지만, 실질적인 악성 행위는 동적으로 모듈을 다운로드하여 수행한다. 이로써 전보다 더욱 은밀하고 유연하게 동작할 수 있다고 볼 수 있다. 이러한 악성코드 감염 예방을 위해 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




댓글

댓글쓰기

악성 파일 정보 관련된 글

관련글 더보기