네커스 타고 새롭게 등장한 트릭봇, 웜 기능도 가지고 있어
아직 활발히 공격이 진행되지는 않고 있어...연구 계속되는 중

[보안뉴스 문가용 기자] 워너크라이와 낫페트야 사태가 사이버 범죄자들을 크게 자극시킨 것으로 보인다. 특히 멀웨어를 ‘전 세계적’인 단위로 빠르게 퍼져나가게 한 ‘웜 방식’의 증식이 많은 관심을 끈 것이 분명하다. 웜 방식의 증식을 따라하려는 시도가 많이 개발되고 있다는 소식이다.


보안 업체인 플래시포인트(Flashpoint)는 지난 주 트릭봇(Trickbot)이라는 뱅킹 트로이목마에 관한 내용을 발표하며, 해당 멀웨어에 웜 증식 모듈이 있었다는 사실도 공개했다. 트릭봇은 국제적인 금융 기관으로부터 발생된 것처럼 보이는 스푸핑된 인보이스 형태로 배포되고 있었다.

트릭봇은 시스템을 감염시키는 데에 성공하고 나면 SMB를 통해 로컬 네트워크를 타고 빠르게 퍼져나간다. 플래시포인트가 발견한 새 증식 모듈은 NetServerEnum 윈도우 API와 Lightweight Directory Access Protocol(LDAP)을 통해 감염된 도메인을 스캔해서 취약한 서버나 컴퓨터를 탐지해낸다.

다행히 아직까지 트릭봇이 실제적으로 SMB를 통해 퍼져나가는 사례는 보고된 바가 없다. 플래시포인트는 이에 대해 “아직 공격자들도 웜의 증식 메커니즘에 대해 전부 이해하고 있는 건 아닌 듯 하다”고 분석하고 있다. “멀웨어 제작자들이 이런 사례를 활발히 연구하고 있는 것은 분명하지만, 그렇다고 완전히 무기화 시킬 수 있는 능력을 가진 건 아니라고 봅니다.” 플래시포인트의 멀웨어 분석 전문가 비탈리 크레메즈(Vitali Kremez)의 설명이다.

이어서 크레메즈는 “아직 실험 단계에 있는 것으로 보인다”며 “로컬 네트워크 영역 내에서 횡적으로 움직이는 법에 대해 해커들도 상당히 목이 마른 것 같다”고 한다. “네트워크 내에서 횡적으로 빠르게 움직일 수만 있다면 감염의 파괴력이 훨씬 커지죠. 공격 효과도 빠르게 늘어나는 것이고요.”

트릭봇은 2016년도 중반쯤부터 미국 외 국가들의 금융 기관들 및 은행을 주로 노려가며 악명을 떨치던 멀웨어로, 한 동안 자취를 감췄다가(적어도 매체들에서는) 최근 다시 나타난 바 있다. 새롭게 등장한 트릭봇은 미국의 금융 기관과 은행들까지도 노렸으며, 네커스(Necurs)라는 봇넷을 힘입어 영국, 뉴질랜드, 캐나다, 덴마크 등의 금융 기관들도 공략하고 나섰다.

네커스 봇넷은 세계에서 가장 큰 봇넷 중 하나로 약 1백만 대의 감염된 시스템을 거느리고 있으며, 24시간 항시 작동 중이나 다름없는 상태를 유지하고 있다. 네커스 봇넷 자체는 이미 수년 동안 활동해왔으며, 다양한 종류의 멀웨어를 세계에 퍼트렸다. 게다가 최근엔 디도스 공격 기능까지 갖추고 있다고 한다.

그런데 여기에 플래시포인트의 새로운 분석 결과가 등장한 것으로, 표적과 ‘봇넷 파워’만 바뀐 줄 알았는데 증식 방법도 새롭게 업그레이드되어 나타났다는 걸 알 수 있다.

현재 네커스를 등에 업은 멀웨어 캠페인은 최소 세 가지인 것으로 보인다. 하나는 트릭봇이고, 또 다른 하나는 호주의 통신사로부터 온 것처럼 보이는 이메일 및 윈도우 스크립트 첨부파일, 마지막 하나는 악성 매크로가 심긴 가짜 문서 파일을 동반한 공격이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>