분석 정보/악성코드 분석 정보

[악성코드 분석] Trickbot 악성코드 분석 보고서

TACHYON & ISARC 2020. 10. 6. 10:37

Trickbot 악성코드는 모듈형 악성코드로 로더와 모듈이 존재한다. 로더는 악성 모듈을 다운받고 실행하는데, 과거에 Trickbot악성코드는 금융 정보를 탈취하는 기능을 가진 악성 모듈이 유포되어 Banker 악성코드로도 유명하다. 현재 유포되는 모듈 중에는 웹 브라우저에 저장된 사용자 계정 정보를 탈취하기 때문에 사용자의 주의가 필요하다.

 

이번 보고서에서는 ‘Trickbot’ 악성코드의 주요 악성 동작에 대해 알아본다.

 

해당 악성코드는 먼저 “%AppData%/TimeEr” 폴더를 생성하고 로더의 설정 파일을 생성한다. 생성된 설정 파일은 C2 서버 목록이 존재하며, C2 서버와 연결이 될 경우 “%AppData%/TimeEr/Data” 폴더에 암호화된 악성 모듈과 모듈의 구성 파일을 함께 생성한다.

 

[그림  1]  생성된 모듈과 구성파일

 

그리고 Trickbot 로더는 다운로드된 악성 모듈을 사용하기 위해 정상 svchost.exe 프로세스를 생성하고 악성 모듈을 로드한다. 다운로드된 pwgrab32 모듈은 브라우저에 저장된 사용자의 계정정보를 탈취하는 모듈이다.

 

[그림  2]  사용자 계정 정보 탈취

 

networkDll32 모듈은 시스템의 기본적인 네트워크 정보를 수집하기 위해 아래 [ 1]에 해당하는 네트워크 커맨드를 이용하고 현재 실행 중인 프로세스 목록을 확인한다. 또한 NewBCtestnDll32 모듈은 소켓 통신을 수행한다.

 

[그림  3]  실행 중인 프로세스 목록 수집

 

 

[표  1]  네트워크 관련 명령어

 

이번 보고서에서 알아본 ‘Trickbot’ 악성코드는 과거부터 현재까지 지속적으로 유포되는 모듈형 악성코드로 최근 Emotet 악성코드로부터 Trickbot 악성코드가 다운로드된다고 알려져 있고, 이외에도 피싱 이메일의 첨부파일, 취약점 등을 통해 유포된다고 알려지기 때문에 주의가 필요하다.

 

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야 한다. 그리고 안티바이러스 제품을 설치해 최신 버전으로 업데이트할 것을 권고한다.

 

위의 악성코드는 잉카인터넷 안티바이러스 TACHYON Endpoint Security 5.0 제품에서 진단 및 치료가 가능하다.

 

 

[그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면