웹 페이지를 조작하는 Dridex, BokBot 악성코드

코드 인젝션(code injection)

Dridex는 뱅킹 트로이목마로 금융 관련 개인정보를 탈취한다. 은행 등 주요 금융기관의 고객을 표적으로 한다.

드라이덱스는 파일 업로드/다운로드/실행, 네트워크 트래픽 감시, 스크린샷, 봇넷(botnet)에 연결 등 일반적인 트로이목마의 기능을 모두 수행한다. 그러나 코드 인젝션을 통해, https로 보호되는 웹 트래픽을 직접 변조한다는 점에서 가장 강력한 뱅킹 악성코드의 하나로 평가받는다.

드라이덱스는 자신을 주요 브라우저의 프로세스에 주입하고(browser process injection), 피해자가 보고있는 웹 페이지에 임의의 HTML code를 주입해서 변조한다(HTML code injection, web injection). 예를 들어 은행 사이트의 로그인 페이지를 변조해서, 입력한 내용을 해커의 서버로 전송하도록 조작한다.

local proxy server 이용

BokBot은 IcedID로도 불리는데, 역시 https로 보호된 페이지를 변조하는 강력한 뱅킹 악성코드이다. 이에 대해서는 CrowdStrike에서 상세한 분석 보고서(참2)를 발표했다.

BokBot은 https 트래픽을 가로채기 위해 프록시 모듈을 사용한다. 먼저 브라우저 프로세스에 자신을 주입해서, 모든 트래픽을 가로채 proxy module로 보낸다. 프록시 모듈은 표적으로 삼은 은행과의 트래픽일 경우, 이를 엿보고 조작한다. 피싱(phishing) 사이트로 redirect 하기도 한다.

https 트래픽을 가로채기 위해서는 SSL 인증서가 필요한데, BokBot은 이를 자체적으로 발행한다. 그래도 여전히 문제는 남는다. 이 인증서는 공인된 CA(인증기관)에서 발급된 것이 아니기 때문에, 브라우저에서 인증서 오류를 일으킨다. 이 문제를 해결하기 위해 BokBot은 인증서 검증 절차를 가로채서, 항상 true 값을 반환하도록 만든다. 결국 브라우저에선 아무런 눈치도 채지 못한다.

Trickbot에도 채용

BokBot의 프록시 모듈은 trickbot에도 채용됐다. 트릭봇은 근래 많이 발견되는 트로이목마인데, Emotet 등 다른 악성코드와 서로 다운로드하는 등 협업 체제를 구축하고 있다.


관련 자료
  1. 구글 검색 결과를 조작하는 악성코드

참고 자료
  1. DRIDEX and how to overcome it.
  2. Interception: Dissecting BokBot’s “Man in the Browser”
  3. Trickbot Trojan Gets IcedID Proxy Module to Steal Banking Info

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다