TrickBot 분석
1. 개요
2014년도에 활발히 활동했던 뱅킹 악성코드 Dyreza의 후속작으로 보이는 악성코드 Trickbot이 발견되었다. 해당 악성코드는 아래 그림과 같이 'TrickBot'으로 뮤텍스를 생성하여 이러한 이름이 붙여졌으며, 본 보고서는 이 Trickbot을 분석하여 Dyreza의 후속작으로 판단하는 이유와 해당 악성코드의 목적을 알아본다.
![[그림 1] TrickBot 뮤텍스](https://t1.daumcdn.net/cfile/tistory/2207F64458F01BF604)
2. 분석 정보
2-1. 파일 정보
구분 | 내용 |
파일명 | TrickBot.exe |
파일크기 | 412,160 byte |
진단명 | Trojan/W32.TrickBot.412160 |
악성동작 | 정보수집, 다운로드 |
해쉬(MD5) | F26649FC31EDE7594B18F8CD7CDBBC15 |
2-2. 유포 경로
해당 악성코드는 Rig 익스플로잇 킷(Exploit-kit) 또는 악성 워드(Word) 파일을 통해 유포된것으로 알려진다.
2-3. 실행 과정
해당 악성코드는 실행 시 %AppData% 경로에 실행된 파일 이름 그대로 복사되어 재실행되고, 아래 그림과 같이 작업 스케줄러에 자신을 등록한다.
![[그림 2] 작업 스케줄 등록](https://t1.daumcdn.net/cfile/tistory/2272CE3E58F01C6B0C)
3. 악성 동작
해당 악성코드는 악성행위 준비동작 과정에서 아래 그림과 같이 공격 대상 OS의 환경에 때라 다른 페이로드를 로드한다. 이는 Dyreza와 유사한 동작 중 하나이다.
![[그림 3] 페이로드 선택](https://t1.daumcdn.net/cfile/tistory/277DAF4658F01C9107)
아래 그림에서 HTTP 프로토콜을 이용하여 C&C 서버와 통신하며, 해당 악성코드의 주기능은 시스템 정보 수집과 추가 모듈 다운로드이다.
![[그림 4] C&C 명령 전달](https://t1.daumcdn.net/cfile/tistory/254A734458F01CAD2D)
추가로 다운로드 되는 모듈은 주로 브라우저에 인젝션되어 동작하는 금융정보 대상 악성 모듈이며, Dyreza의 코드 패턴과 유사한 코드이다..
![[그림 5] 인젝션 대상 브라우저](https://t1.daumcdn.net/cfile/tistory/2241A14058F01CD204)
4. 결론
해당 악성코드는 많은 점이 Dyreza와 유사하지만, 실질적인 악성 행위는 동적으로 모듈을 다운로드하여 수행한다. 이로써 전보다 더욱 은밀하고 유연하게 동작할 수 있다고 볼 수 있다. 이러한 악성코드 감염 예방을 위해 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
![[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/245EDD4558F01CF502)
![[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/2764EC4358F01D0502)
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석] 회사 메일을 이용한 피싱 메일 C&C 감염 주의 (0) | 2017.06.01 |
|---|---|
| [악성코드 분석] ‘게임 핵’ 으로 위장한 악성코드 감염 주의 (0) | 2017.05.26 |
| [악성코드 분석] Neutrino bot 분석 (0) | 2017.03.21 |
| [악성코드 분석] 금융정보 탈취 악성코드 분석 (0) | 2017.03.07 |
| [악성코드 분석] 바이러스와 웜 형태의 악성코드 'Mamianune' 상세 분석 (0) | 2017.02.24 |