몰래 공격하는 게 목적인 트로이목마에 화면 잠금 기능이?
새로운 사업 모델로서 “협박” 채택한 듯...하지만 아직 개발 단계

[보안뉴스 문가용 기자] 최근 발견된 뱅킹 트로이목마인 트릭봇(TrickBot)에서 새로운 기능이 발견됐다. 트로이목마답지 않게 피해자를 협박하는 기능이라고 보안 업체 웹루트(Webroot)가 보고했다.


트릭봇이 제일 처음 발견된 건 2016년 후반부의 일이다. 당시 악명 높던 다이어(Dyre) 트로이목마의 개발자들이 만든 것으로, 현재까지 꾸준한 업데이트를 통해 활발히 사용되고 있는 중이다. 업데이트가 있을 때마다 기능도 새롭게 생겼지만 표적도 늘어났다.

작년에도 트릭봇은 한 차례 업데이트를 겪음으로써 웜처럼 증식할 수 있게 되었다. 특히 SMB를 활용함으로써 로컬 네트워크에서 빠르게 번지는 위협으로 변모한 것이다. 이 SMB 활용법은 작년 셰도우 브로커스(Shadow Brokers)라는 해커들이 NSA의 익스플로잇이라고 주장하며 공개한 문건을 통해 널리 퍼져나간 바 있다.

웹루트가 최근 발견한 새로운 트릭봇 변종은 %APPDATA%\TeamViewer\ 폴더에 설치되며 실행되면서부터 Modules라는 폴더를 새롭게 생성한다. 그리고 이 폴더에는 암호화된 플러그그 앤 플레이 모듈들과 환경설정 파일들이 저장된다.

사실 트릭봇의 모듈들에 대해서는 과거부터 꾸준히 보고되어 온 바 있다. 이 Modules 폴더에 저장되는 모듈들 역시 대부분 알려져 있는 것들이다. 하지만 spreader_x86.dll 모듈은 처음 발견된 것으로, “두 개의 추가 파일이 담겨 있는 대형 rdata 섹션이 있는 ‘증식’ 모듈”이라고 한다. “SsExecutor_x86.exe라는 실행파일과 screenLocker_x86.dll이라는 모듈로 구성되어 있습니다.”

spreader_x86.dll 모듈은 이름 그대로 멀웨어가 퍼져가도록(spread) 해준다. 이제는 새롭지도 않은 NSA 익스플로잇 방법들이 활용되는 것으로 웹루트는 분석했다. “이 모듈은 네트워크 내에서 횡적으로 움직여 엠베드 된 실행파일들을 여러 시스템에 설치하기 위해 만들어졌습니다. 하지만 아직 완성단계에 있는 것으로 보이지는 않습니다.”

이 모듈에 저장되어 있는 SsExecutor_x86.exe는 익스플로잇이 완전히 진행된 후에 실행되도록 설계됐다. “실행되면 복제된 바이너리로의 링크를 모든 사용자 계정의 스타트업 경로에 추가하는 방식으로 레지스트리를 조작합니다. 그렇게 해서 시스템 내 오래 머물러 있도록 하는 것이죠.”

한편 ScreenLocker_x86.dll은 델피로 작성됐다. 피해자의 화면을 잠그는 것으로, 트릭봇 역사상 처음 도입된 기능이다. “두 가지 기능을 엑스포트 합니다. 하나는 DLL을 로딩하는 것이고, 또 다른 하나는 이름이 MyFunction이긴 한데 미완성 단계입니다.”

트릭봇에 화면 잠금 기능이 도입되었다는 건 공격자들의 사업 모델 자체가 변형되었다는 뜻이다. 트릭봇은 ‘몰래’ 작동하는 것이 기본인데, 화면을 잠근다는 건 피해자들의 눈에 띄겠다는 의도로, 웹루트는 “랜섬웨어와 비슷한 형식의 수익 구조를 구상 중에 있는 것으로 보인다”고 분석한다.

“피해자의 은행 계좌 크리덴셜을 훔치기 전에 화면을 잠가버리면 오히려 훔치려는 시도가 방해를 받죠. 아마도 훔치는 데에 실패하면 화면을 잠그고 사용자를 협박해 돈을 빼내려는 것으로 보입니다.”

웹루트는 “횡적으로 움직이는 데 성공한 이후가 아니면 화면 잠금 기능이 발동되지 않는다는 것에 주목해야 한다”며 “이는 패치가 늦거나 되지 않은 시스템들을 주요 표적으로 삼고 있다는 뜻으로, 데이터 백업도 되지 않았을 가능성이 높은 조직들을 협박했을 때 효과가 높다는 걸 잘 이해하고 있다는 의미가 된다”고 설명한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>