2019-12-06 21:32 (금)
안티 바이러스 탐지 회피하는 신종 Dridex 변종 발견돼
상태바
안티 바이러스 탐지 회피하는 신종 Dridex 변종 발견돼
  • 길민권 기자
  • 승인 2019.07.01 16:47
이 기사를 공유합니다

hand-2722107_640.jpg
안티 바이러스 탐지를 우회하는 새로운 Dridex 변종이 피싱 이메일에서 발견되었다. 이 변종은 안티바이러스 소프트웨어가 탐지하기 어려운 파일 서명을 사용해 감염된 기기에서 악성 코드탐지를 우회한다. 각별한 주의가 필요하다. 2011년 처음 등장한 Dridex는 거의 10년 만에 처음으로 변형되었다.

전문가는 새로운 기술을 탐지하는 기술이 발전할수록 공격자 또한 새로운 탐지 기술을 우회하기 위해 공격 툴을 업데이트한다고 강조한다. 또 연구원들은 이 악성코드가 매크로가 내장된 악성 문서의 형태로 배포된다고 전했다.

일단 Dridex 악성코드가 피해자 기기에 다운로드되면 Dridex는 피해자의 뱅킹 정보를 노리며 환경에 따라 다양한 상호작용을 통해 매크로가 활성화될 수 있다. 안티 바이러스 프로그램은 주로 파일 서명(MD5 또는 SHA256 해시)을 사용해 악성 애플리케이션을 탐지한다.

Dridex는 새로이 생성해 서명된 64비트 DLL을 사용했으며 이 파일은 기존에 안티 바이러스 소프트웨어가 탐지했었던 것과 상이한 파일 서명이다. 이 DLL은 합법적인 MS 바이너리를 통해 로드되어 정식 소프트웨어 제품의 일부로 나타나도록 해 탐지가 더욱 어렵다.

또 다른 점은 이 악성코드가 완화 기술을 우회하기 위해 애플리케이션 화이트리스트 기술을 사용한다는 점이다. 이 전략은 사용자가 명령 프롬프트로 Windows Management Instrumentation 작업을 수행하도록 해주는 소프트웨어 유틸리티인 WMIC를 악용한다.

Windows Management Instrumentation는 데이터 관리 및 윈도우 기반 OS의 작업을 위한 인프라다. 특히 이 악성코드는 WMIC의 애플리케이션 화이트리스트 프로세스 내 취약한 실행 정책을 노린다.

애플리케이션 화이트리스트는 컴퓨터 환경 내에서 실행이 허가된 애플리케이션을 지정하는 프로세스다. 많은 회사에서 악성 애플리케이션으로부터 시스템을 보호하기 위해 이 기술을 사용한다.

해당 취약점은 악성 VBS가 포함된 XLS 스크립트가 로드될 수 있도록 화이트리스트에서 허용한다. 회사에서 윈도우 스크립트 호스트가 비활성화되어 있거나 차단되어 있을 경우, 이 변종은 화이트리스트 기술을 악용한다.

Dridex는 악성 VBS가 포함된 XLS 파일을 사용해 WMIC를 통해 악성코드를 실행한다. 연구원들은 아직까지는 Dridex의 배후에 있는 공격자에 대한 정보가 없지만 계속 조사를 진행 중이라 밝혔다.

현재 알약에서는 해당 악성코드에 대해 'Trojan.GenericKD.41400500, Trojan.GenericKD.41401309'으로 탐지 중에 있다.

★정보보안 대표 미디어 데일리시큐!★