분석 정보/악성코드 분석 정보

[악성코드 분석] 뱅킹 악성코드 Dyreza의 후속작, TrickBot 분석

TACHYON & ISARC 2017. 4. 14. 09:51

TrickBot 분석




1. 개요 


2014년도에 활발히 활동했던 뱅킹 악성코드 Dyreza의 후속작으로 보이는 악성코드 Trickbot이 발견되었다. 해당 악성코드는 아래 그림과 같이 'TrickBot'으로 뮤텍스를 생성하여 이러한 이름이 붙여졌으며, 본 보고서는 이 Trickbot을 분석하여 Dyreza의 후속작으로 판단하는 이유와 해당 악성코드의 목적을 알아본다.


[그림 1] TrickBot 뮤텍스[그림 1] TrickBot 뮤텍스






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

TrickBot.exe

파일크기

412,160 byte

진단명

Trojan/W32.TrickBot.412160

악성동작

정보수집, 다운로드

해쉬(MD5)

F26649FC31EDE7594B18F8CD7CDBBC15

 



2-2. 유포 경로

해당 악성코드는 Rig 익스플로잇 킷(Exploit-kit) 또는 악성 워드(Word) 파일을 통해 유포된것으로 알려진다.





2-3. 실행 과정

해당 악성코드는 실행 시 %AppData% 경로에 실행된 파일 이름 그대로 복사되어 재실행되고, 아래 그림과 같이 작업 스케줄러에 자신을 등록한다.


[그림 2] 작업 스케줄 등록[그림 2] 작업 스케줄 등록





3. 악성 동작

해당 악성코드는 악성행위 준비동작 과정에서 아래 그림과 같이 공격 대상 OS의 환경에 때라 다른 페이로드를 로드한다. 이는 Dyreza와 유사한 동작 중 하나이다.


[그림 3] 페이로드 선택[그림 3] 페이로드 선택





아래 그림에서 HTTP 프로토콜을 이용하여 C&C 서버와 통신하며, 해당 악성코드의 주기능은 시스템 정보 수집과 추가 모듈 다운로드이다.


[그림 4] C&C 명령 전달[그림 4] C&C 명령 전달




추가로 다운로드 되는 모듈은 주로 브라우저에 인젝션되어 동작하는 금융정보 대상 악성 모듈이며, Dyreza의 코드 패턴과 유사한 코드이다..


[그림 5] 인젝션 대상 브라우저[그림 5] 인젝션 대상 브라우저







4. 결론

해당 악성코드는 많은 점이 Dyreza와 유사하지만, 실질적인 악성 행위는 동적으로 모듈을 다운로드하여 수행한다. 이로써 전보다 더욱 은밀하고 유연하게 동작할 수 있다고 볼 수 있다. 이러한 악성코드 감염 예방을 위해 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면