매일 같이 변하는 멀웨어 트릭봇...원래는 은행 공격하는 멀웨어였는데
최근 UAC라는 윈도우 보안 기능 회피하기 시작...방어자 입장에서 무척 까다로워
[보안뉴스 문가용 기자] 트릭봇(TrickBot)이라는 악명 높은 트로이목마가 다시 한 번 진화했다. 그리고 탐지 솔루션을 회피하는 기술을 하나 더 갖췄다. 윈도우 10에 있는 사용자 계정 제어(User Account Control, UAC) 기능을 우회하고, 멀웨어를 다수의 워크스테이션과 엔드포인트로 배포하는 기능이 더해졌다고 한다.
[이미지 = iclickart]
이를 발견한 건 보안 업체 모피섹 랩스(Morphisec Labs)의 연구원들이다. 지난 해 3월 확보한 트릭봇 샘플에서 윈도우 10 WS리셋 UAC 바이패스(Windows 10 WSReset UAC Bypass)를 사용해 UAC를 우회하도록 만들어진 코드가 발견되었다고 한다. UAC는 윈도우의 보안 기능 중 하나로, 허가를 받지 않은 사용자, 소프트웨어, 애플리케이션 등이 OS를 변경시킬 수 없도록 한다.
트릭봇은 이전부터 “계속해서 진화하는 위협”으로 유명했다. 버전이 새로 나올 때마다 탐지하기가 어려워졌다. 모피섹의 보안 전문가인 아놀드 오시포브(Arnold Osipov)는 자사 블로그를 통해 “트릭봇 운영자들은 거의 매일처럼 트릭봇을 개편한다”며 “트릭봇을 배포하는 전략도 부지런히 연구하기 때문에 방어하는 입장에서는 정말 골치가 아프다”고 토로했다.
모피섹은 트릭봇에 새롭게 추가된 기능이 어떤 식으로 작동하는지를 상세히 밝혔다. “WS리셋 UAC 바이패스가 먼저 시스템을 점검해 윈도우 7 기반인지, 윈도우 10 기반인지를 확인합니다. 윈도우 7이면 공격을 멈추고 윈도우 10이면 WS리셋 UAC 바이패스를 활성화시킵니다. WS리셋 UAC 바이패스는 MS의 공식 서명이 들어간 WSReset.exe라는 프로세스를 활용한 것으로, 원래는 윈도우 스토어(Windows Store)의 옵션 사항을 변경시키는 데 사용되는 것입니다.”
어떤 옵션을 바꿀까? 공격자들은 WSReset.exe 프로세스의 autoElevate라는 특성을 true로 바꾼다고 한다. 오시포브는 “이 때문에 WS리셋 UAC 바이패스가 권한 상승에 악용될 수 있다”고 썼다. 그 다음 트릭봇은 자신 안에 저장된 문자열들을 복호화 해서 WS리셋 UAC 바이패스를 실제로 사용하기 시작한다. 이 때 reg.exe라는 프로세스를 통해 키들을 추가하기도 한다. 이 키들은 WS리셋 UAC 바이패스를 활용하는 데 필요한 요소들이다.
이렇게 UAC를 우회하는 데 성공했으면, 그 다음으로 트릭봇은 WSReset.exe을 실행한다. 그 결과 트릭봇이 높은 권한을 가지고 실행되며, UAC 프롬프트가 하나도 뜨지 않는다고 한다. “이 때 ShellExecuteExW라는 API가 활용됩니다. 실행파일과 API, 두 가지를 활용하면서 공격자는 무엇을 얻게 되냐면, 네트워크에 연결된 다양한 워크스테이션과 엔드포인트에 대한 접근 권한입니다. 즉 트릭봇이 네트워크 내 여러 시스템에 막 퍼져나가는 것이죠.”
트릭봇이 처음 개발된 건 2016년의 일이다. 처음에는 다이어(Dyre)라는 뱅킹 트로이목마의 뒤를 잇는 또 다른 뱅킹 멀웨어였다. 하지만 위에서 언급했다시피 끊임없는 발전과 수정을 통해 다목적 멀웨어로 서서히 변했고, 구조도 모듈 바탕으로 바뀌었다. 특히 일반 사용자가 아니라 기업이나 기관을 전문적으로 노리는 멀웨어가 되었다. 그런 후 현재까지 활발하게 사이버 공간을 누비고 있으며, 아직까지도 변화는 계속해서 진행되고 있다.
2019년 한 해 동안에만 다양한 버전의 트릭봇이 발견됐고, 이를 통해 공격자들이 꾸준하게 한두 기능을 추가적으로 더해가는 걸 볼 수 있었다. 그러면서 원격 데스크톱 크리덴셜을 훔치는 기능, 오픈SSH(OpenSSH)와 오픈VPN(OpenVPN) 애플리케이션들로부터 데이터를 훔치는 기능 등이 덧붙기도 했다.
또한 작년에는 트릭봇 운영자들이 북한의 유명 APT 그룹인 라자루스(Lazarus)와 밀접한 파트너십을 맺고 있다는 사실이 드러나기도 했다. 당시 트릭봇 운영자들이 라자루스에 앵커(Anchor)라는 공격용 프레임워크를 제공한 것으로 나타난 것이다. 거래 내용은 아직까지 정확히 밝혀지지 않았다.
보안 전문가들은 트릭봇이 작년과 비슷한 행보를 보일 것으로 예상하고 있다. 즉 멀웨어 자체는 계속해서 진화하고, 운영자들은 다른 범죄 단체와의 파트너십을 늘려갈 것이라는 뜻이다. 이 예상을 뒷받침 하려는 듯 보안 업체 센티넬랩스(SentinelLabs)는 연초부터 “파워트릭(PowerTrick)이라는 백도어가 트릭봇에 추가되었다”는 내용을 발표하기도 했다.
3줄 요약
1. 꾸준한 발전이 특징인 트릭봇, 이번에 윈도우 10 보안 기능 우회하는 기술 탑재.
2. 우회할 뿐만 아니라 권한도 높이고 여러 엔드포인트에 접근해 트릭봇에 감염시킴.
3. 여러 범죄 단체와의 파트너십을 올해에도 계속 모색할 것.
[국제부 문가용 기자(globoan@boannews.com)]
최근 UAC라는 윈도우 보안 기능 회피하기 시작...방어자 입장에서 무척 까다로워
[보안뉴스 문가용 기자] 트릭봇(TrickBot)이라는 악명 높은 트로이목마가 다시 한 번 진화했다. 그리고 탐지 솔루션을 회피하는 기술을 하나 더 갖췄다. 윈도우 10에 있는 사용자 계정 제어(User Account Control, UAC) 기능을 우회하고, 멀웨어를 다수의 워크스테이션과 엔드포인트로 배포하는 기능이 더해졌다고 한다.
[이미지 = iclickart]
이를 발견한 건 보안 업체 모피섹 랩스(Morphisec Labs)의 연구원들이다. 지난 해 3월 확보한 트릭봇 샘플에서 윈도우 10 WS리셋 UAC 바이패스(Windows 10 WSReset UAC Bypass)를 사용해 UAC를 우회하도록 만들어진 코드가 발견되었다고 한다. UAC는 윈도우의 보안 기능 중 하나로, 허가를 받지 않은 사용자, 소프트웨어, 애플리케이션 등이 OS를 변경시킬 수 없도록 한다.
트릭봇은 이전부터 “계속해서 진화하는 위협”으로 유명했다. 버전이 새로 나올 때마다 탐지하기가 어려워졌다. 모피섹의 보안 전문가인 아놀드 오시포브(Arnold Osipov)는 자사 블로그를 통해 “트릭봇 운영자들은 거의 매일처럼 트릭봇을 개편한다”며 “트릭봇을 배포하는 전략도 부지런히 연구하기 때문에 방어하는 입장에서는 정말 골치가 아프다”고 토로했다.
모피섹은 트릭봇에 새롭게 추가된 기능이 어떤 식으로 작동하는지를 상세히 밝혔다. “WS리셋 UAC 바이패스가 먼저 시스템을 점검해 윈도우 7 기반인지, 윈도우 10 기반인지를 확인합니다. 윈도우 7이면 공격을 멈추고 윈도우 10이면 WS리셋 UAC 바이패스를 활성화시킵니다. WS리셋 UAC 바이패스는 MS의 공식 서명이 들어간 WSReset.exe라는 프로세스를 활용한 것으로, 원래는 윈도우 스토어(Windows Store)의 옵션 사항을 변경시키는 데 사용되는 것입니다.”
어떤 옵션을 바꿀까? 공격자들은 WSReset.exe 프로세스의 autoElevate라는 특성을 true로 바꾼다고 한다. 오시포브는 “이 때문에 WS리셋 UAC 바이패스가 권한 상승에 악용될 수 있다”고 썼다. 그 다음 트릭봇은 자신 안에 저장된 문자열들을 복호화 해서 WS리셋 UAC 바이패스를 실제로 사용하기 시작한다. 이 때 reg.exe라는 프로세스를 통해 키들을 추가하기도 한다. 이 키들은 WS리셋 UAC 바이패스를 활용하는 데 필요한 요소들이다.
이렇게 UAC를 우회하는 데 성공했으면, 그 다음으로 트릭봇은 WSReset.exe을 실행한다. 그 결과 트릭봇이 높은 권한을 가지고 실행되며, UAC 프롬프트가 하나도 뜨지 않는다고 한다. “이 때 ShellExecuteExW라는 API가 활용됩니다. 실행파일과 API, 두 가지를 활용하면서 공격자는 무엇을 얻게 되냐면, 네트워크에 연결된 다양한 워크스테이션과 엔드포인트에 대한 접근 권한입니다. 즉 트릭봇이 네트워크 내 여러 시스템에 막 퍼져나가는 것이죠.”
트릭봇이 처음 개발된 건 2016년의 일이다. 처음에는 다이어(Dyre)라는 뱅킹 트로이목마의 뒤를 잇는 또 다른 뱅킹 멀웨어였다. 하지만 위에서 언급했다시피 끊임없는 발전과 수정을 통해 다목적 멀웨어로 서서히 변했고, 구조도 모듈 바탕으로 바뀌었다. 특히 일반 사용자가 아니라 기업이나 기관을 전문적으로 노리는 멀웨어가 되었다. 그런 후 현재까지 활발하게 사이버 공간을 누비고 있으며, 아직까지도 변화는 계속해서 진행되고 있다.
2019년 한 해 동안에만 다양한 버전의 트릭봇이 발견됐고, 이를 통해 공격자들이 꾸준하게 한두 기능을 추가적으로 더해가는 걸 볼 수 있었다. 그러면서 원격 데스크톱 크리덴셜을 훔치는 기능, 오픈SSH(OpenSSH)와 오픈VPN(OpenVPN) 애플리케이션들로부터 데이터를 훔치는 기능 등이 덧붙기도 했다.
또한 작년에는 트릭봇 운영자들이 북한의 유명 APT 그룹인 라자루스(Lazarus)와 밀접한 파트너십을 맺고 있다는 사실이 드러나기도 했다. 당시 트릭봇 운영자들이 라자루스에 앵커(Anchor)라는 공격용 프레임워크를 제공한 것으로 나타난 것이다. 거래 내용은 아직까지 정확히 밝혀지지 않았다.
보안 전문가들은 트릭봇이 작년과 비슷한 행보를 보일 것으로 예상하고 있다. 즉 멀웨어 자체는 계속해서 진화하고, 운영자들은 다른 범죄 단체와의 파트너십을 늘려갈 것이라는 뜻이다. 이 예상을 뒷받침 하려는 듯 보안 업체 센티넬랩스(SentinelLabs)는 연초부터 “파워트릭(PowerTrick)이라는 백도어가 트릭봇에 추가되었다”는 내용을 발표하기도 했다.
3줄 요약
1. 꾸준한 발전이 특징인 트릭봇, 이번에 윈도우 10 보안 기능 우회하는 기술 탑재.
2. 우회할 뿐만 아니라 권한도 높이고 여러 엔드포인트에 접근해 트릭봇에 감염시킴.
3. 여러 범죄 단체와의 파트너십을 올해에도 계속 모색할 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
