Breaking
사이버 보안(Cybersecurity)
CIS, 백서 통해 트릭봇 작동원리 및 공격방식 경고
2019-05-28 17:49:10
김지연
▲트릭봇은 사용자의 은행 정보를 탈취하는 악성코드다(사진=ⓒ게티이미지)

[라이헨바흐=김지연 기자] 인터넷보안센터(CIS)가 최근 발행한 백서를 통해 트릭봇(TrickBot) 멀웨어에 대해 경고했다. 

트릭봇은 트로이목마 바이러스처럼 사용자의 재무 데이터에 접근, 해당 은행 정보를 탈취하는 악성코드다. 이와 관련 트릭봇의 역할과 공격방식 등에 대해 소개한다.

트릭봇 

트릭봇은 맨인더브라우저(man-in-the-browser, MiTB) 방식을 활용해 타깃 목표물의 온라인 뱅킹 계정에 대한 로그인 자극 증명을 탈취하고, 동일한 멀웨어의 다른 모듈과 버전을 유포시킨다. 특히 악성 스팸인 멀스팸 방식으로 확산돼 있다. CIS는 이 멀스팸이 스펨 이메일을 통해 악성 프로그램을 여러 가능한 목표 대상물에 확산시킬 수 있다고 설명했다.

트릭봇을 사용해 멀스팸을 실행시키면, 대개 스팸 이메일이 타깃 목표물에 익숙한 타사 브랜드로 위장될 수 있어 많은 희생자를 유혹하는 매개체가 될 수 있다. 이러한 사기성 스팸 이메일에는 잘 알려진 재무 및 회계 기업의 담당자 이름과 감염된 워드 및 엑셀 파일이 마치 구매송장처럼 첨부돼있어 겉으로는 전혀 알 수가 없다.

그리고 수신자가 이같은 첨부 파일을 열게 되면, 대상 컴퓨터에 멀웨어가 침투할 수 있도록 VB스크립트 및 파워셸스크립트를 작동시키는 매크로가 실행된다. 이어 사용자가 트릭봇을 기기안으로 다운로드하도록 유도한다. 

이같은 방식으로 마침내 트릭봇이 목표 대상물에 성공적으로 침투하면, 시스템을 조사해 멀웨어가 시험 환경에 있지 않은지 확인한 다음 모든 활성 바이러스 백신 프로그램을 비활성시킨다. 마지막으로 모든 단계가 끝나면 스스로 '%AppData%' 폴더 안으로 들어간다.

트릭봇은 이처럼 멀웨어 방식과 가장 흔하게 연관돼있지만, 이외에도 몇 가지 트릭을 더 가지고 있다. 또한 이모텟(payload)의 보조 페이로드로도 배포되는데, 이모텟은 다른 유형의 뱅킹 트로이목마를 대상으로 삼는 모듈식 뱅킹 트로이목마다. 이외 목표물의 서버메시지블록(SMB)의 공격 기능으로도 작용해 전체 네트워크에 전파되기도 한다.

HTTP 다운로드 모듈 요청

트릭봇은 일반적으로 모든 공개 IP 주소를 수집하도록 설계된 여러 웹사이트에 HTTP 요청을 보낸다. 이러한 요청은 트릭봇이 대상을 식별하고 필요한 자격 증명을 탈취할 수 있도록 공격 명령 서버(command-and-control server, C&C 서버)로 전송된다. 

그리고 목표물에 지정된 후에는 C%C 서버로부터 구성 파일과 함께 첨부된 동적연결라이브러리(DLL) 모듈을 다운로드하도록 지시받는다. C&C 서버는 또한 트릭봇이 보낸 대상 시스템에 대한 정보도 수신받는데, 여기에는 멀웨어가 만료된 후 더 많은 모듈을 다운로드하는데 사용될 수 있는 새 IP 주소가 들어있다.

▲웹인젝트에는 리디렉션 공격과 서버사이드 인젝션 공격이 있다.

웹인젝트 공격

트릭봇이 온라인 뱅킹 세션 공격에 사용하는 웹인젝트(악성툴)에는 '리디렉션 공격'과 '서버사이드 인젝션'의 2가지 유형이 존재한다. 

웹 페이크 인젝션이라고 불리는 이 리디엑션 공격 방식은 피해자가 사기성 은행 웹사이트에 접근하도록 속이는 수법이다. 방문자의 로그인 자격 증명을 자신의 은행 계좌로 도용하기 위해 합법적인 은행 사이트의 복제본 형식으로 노출시키는 것. 이들 가짜 은행 웹사이트는 주로 공격자가 호스팅하는 악의적인 서버에서 발견되는데, 이 서버에는 도용한 모든 로그인 정보가 수집돼있다.

반면 서버사이드 인젝션은 '폼그래빙' 기법을 통해 중요한 은행 정보가 도용될 수 있는 사용자 웹페이지에 클라이언트 측 코드를 추가, 은행 서버의 응답을 가로채는 방식이다. 폼그래빙은 사용자의 HTML 입력으로부터 중요한 정보를 수집하는 방식이다.

4가지 파일 탈취 유형

CIS는 정보 탈취를 감행하는 파일 탈취자 형식을 ▲로더DII·인젝트DII ▲Sinj ▲Dinj ▲디포스트 등 4가지 유형으로 보고했다.

먼저 로더DII·인젝트DII는 팝업 및 추가 필드 같은 웹인젝트를 활용해, 은행 웹사이트의 활동을 모니터링하고 사용자가 실수로 트릭봇 공격자에게 재무 정보를 보내도록 유도하는 방식이다.

Sinj는 트릭봇이 목표로 삼는 뱅킹 사이트에 대한 정보를 저장하는 곳으로, 리디렉션 공격을 사용해 합법적인 사이트를 탐색하는 사용자들을 자신들의 은행 웹사이트 복사본으로 유인한다. 반면 Dinj는 Sinj와 유사하긴 하지만 트릭봇이 목표로 삼는 은행 사이트에 대한 정보도 저장한다는 점에서, 리디렉션 공격이 아닌 서버사이드 인젝션 공격을 활용하는 것이 특징이다.

디포스트는 도난당한 데이터의 IP 주소와 포트를 저장한다. 뱅킹 정보를 탈취할때는 앞서 언급된 두 가지 웹인젝트 유형과 유사하게 기능하지만, 디포스트만이 가진 고유한 방식도 있다. 바로 '탈출작전'으로, 가령 디포스트 파일에 나열된 사이트에 대한 은행 정보를 입력하는 사용자의 경우, 사용자 자격 증명은 은행이 아닌 디포스트의 IP로 전송된다. 트릭봇이 탈취한 데이터 역시 때로는 디포스트 IP 주소로 저장될 때도 있다.

트릭봇 공격 예방

MS-ISAC는 이처럼 사용자의 은행 정보를 탈취하는 트릭봇 공격의 위협을 완화할 수 있는 예방 조치를 소개했다.

먼저 서버는 시그너처와 소프트웨어의 자동 업데이트로 바이러스 백신 프로그램을 구현하고, 전자 서명되지 않은 모든 매크로는 비활성화시켜야 한다. 또한 전자 메일 게이트웨이에 필터를 설치해, 악성 스팸 전자 메일을 받지 않도록 해야 한다. 소프트웨어의 모든 업데이트 및 패치도 즉시 테스트하는 것이 바람직하다.

이외에도 레코드 및 디지털 서명을 통해 들어오는 모든 스팸 메일의 유효성을 검사해, '도메인 기반 메시지 인증, 보고, 준수(DMARC)' 시스템을 구현할 수 있어야 한다. DMARC는 수상한 이메일을 걸러내 스팸과 피싱을 막는 기능을 한다.

[라이헨바흐=김지연 기자]