2020-01-22 08:50 (수)
오픈SSH와 오픈VPN 키 탈취하는 신종 '트릭봇' 악성코드 발견돼
상태바
오픈SSH와 오픈VPN 키 탈취하는 신종 '트릭봇' 악성코드 발견돼
  • 길민권 기자
  • 승인 2019.11.26 16:39
이 기사를 공유합니다

팔로알토네트웍스 유닛42 보안분석가들이 트릭봇(Trickbot) 뱅킹 악성코드가 OpenSSH 개인 키와 OpenVPN 패스워드, 구성 파일을 훔칠 수 있는 패스워드 스틸러 모듈을 업데이트하는 등 지속적으로 진화하고 있다고 밝혔다.

모듈형 악성코드인 트릭봇(Trickster, TrickLoader, TheTrick으로도 알려짐)은 지난 2016년 10월 실제 공격에서 발견된 이래 지속적으로 새로운 기능과 모듈을 업그레이드하고 있다.

처음 발견된 변종은 중요 데이터를 수집해 공격자에게 보내는 뱅킹 악성코드의 기능만을 가지고 있었지만, 더욱 위험한 다른 악성코드 변종으로 시스템을 감염시키는 것이 발견되어 현재는 악명 높은 악성코드 드롭퍼의 역할도 하고 있다.

트릭봇은 패스워드 스틸러 모듈을 업데이트해 OpenSSH와 OpenVPN 애플리케이션을 노리기 시작했다. 팔로알토네트웍스의 유닛42(Unit 42) 연구원들은 지난 11월 8일 해킹된 64비트 윈도우7 기기에서 이를 발견했다.

연구원들이 발견한 pwgrab64 패스워드 스틸러 모듈은 새롭게 추가된 것은 아니다. 2018년 11월 이 변종을 분석 결과 구글 크롬, 모질라 파이어폭스, 인터넷 익스플로러, 마이크로소프트 에지, 마이크로소프트 아웃룩, 파일질라, WinSCP 등 웹 브라우저와 애플리케이션에서 패스워드를 훔치는 기능이 있었다.

지난 2월, 이 패스워드 스틸러 모듈은 VNC, PuTTY, 원격 데스크톱 프로토콜(RDP)을 통해 원격 서버를 인증하는 데 사용하는 계정을 훔치도록 업그레이드되었다.

그리고 현재, 유닛42 연구원들은 트릭봇이 OpenSSH 개인 키와 OpenVPN 패스워드, 구성 파일을 C2 서버로 보내기 위해 HTTP POST 요청을 사용한다는 것을 발견했다.

하지만 감염된 윈도우7 및 10 호스트에서 이 악성코드의 C2 트래픽을 상세히 살펴본 결과 이 악성코드는 아직까지 어떠한 데이터도 실제로 추출하지 않고 있는 것으로 밝혀져 악성코드의 개발자들이 새로운 기능을 테스트하고 있었던 것으로 추측되고 있다.

하지만 이 트릭봇의 새로운 변종은 PuTTY와 같은 SSH 관련 애플리케이션에서 개인 키를 훔쳐 운영자에게 보낼 수 있어 여전히 위험한 상황이다.

유닛42 연구원들은 “업데이트된 트래픽 패턴을 통해 트릭봇이 지속적으로 진화하고 있다는 것을 알 수 있었다. 하지만 마이크로소프트 윈도우의 최신 버전을 사용하는 등 좋은 보안 수칙을 따를 경우 트릭봇 감염을 방해하거나 막을 수 있다.”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★