Zeus 기반의 Floki bot 관련 이슈

지난 11년 5월에 유출이 됐었던 Zeus 기반의 Floki bot이 다시 기승을 부리고 있습니다.
Floki bot은 제우스 기반의 은행 업무 트로이 목마입니다.
유출된 Zeus 소스 코드를 사용하여 여러 가지 변종이 만들어졌으며,
많은 암거래가 이루어진 트로이 목마입니다.

이번 Floki bot은 Anti-Virus 프로그램에 의한 탐지를 피하기 위해 Explorer.exe에 DLL Injection과 같은
새로운 기능을 구현했습니다.

Floki bot에 유출이 되었을 경우 Malware는 다음의 파일을 파일시스템에 추가합니다.
- Malware.exe
- %Userprofile%\Application Data\nyob\ubezral.exe

트로이 목마는 Windows 레지스트리에 시작 키를 추가하여 재부팅시 지속성을 보장합니다.
- %Userprofile%\시작 메뉴\프로그램\시작 프로그램\ubezral.lnk

컴퓨터가 바이러스에 당하게되면 Malware가 자체 실행 파일을 보내는데, 이 폴더에는 임의로 이름이 저장되고, 그 뒤 explorer.exe를 타겟 시스템에게서 정보를 빼내기 위해 삽입하는 과정을 거칩니다.

다음은 악성코드를 주입한 사례입니다.

Malware는 80 개 포트를 통해 C&C(Command & Control) 통신을 수행합니다. 악성 코드에 인기있는 POS(Point-of-Sale) 트로이 BlackPOS와 같은 메모리 스크래핑 기능이 포함되어 있으며, Malware는 시스템 정보를 자체 C&C 서버로 보냅니다.

이와 같이 은행을 겨냥한 트로이목마의 경우 3가지 단계를 거치게 됩니다.

1단계 : 개발 소프트웨어와 결합해 컴퓨터에 침투한 뒤 안티바이러스 소프트웨어의 구동을 중지시키는 것으로 시작하며, 악성코드는 이후 C&C 서버에 감염상황을 보고한 후 암호화된 파일을 다운로드 합니다

2단계 : 연산코드에 명령을 내리고 패치하기 위해 모든 온라인 뱅킹 소프트웨어 및 보안과 관련된DLL 리스트를 검색합니다. 삽입된 코드는 암호, 계좌정보 및 거래내역의 형태로 나타나는 문자열을 수집하며, 수집된 데이터는 원격 서버로 전송됩니다.

3단계 : 손상된 컴퓨터의 디렉토리에 저장된 디지털 인증서를 수집합니다. 사이버 공격자는 이렇게 수집한 스크린샷, 암호 및 디지털 인증서를 기반으로 사용자의 금융 계정에 접근할 수 있습니다.

이러한 트로이 목마의 피해를 최소화 하기위해 우선적으로 해야할 일은
첫째, 사용하고 있는 PC의 윈도우 및 백신 프로그램을 최신버전으로 업그레이드 해야합니다.
둘째, C&C 서버로 보내지는것을 차단하기 위해 사내에서 사용하는 방화벽, 네트워크 구간에서 차단하면 피해를 최소화 할 수 있습니다.

이번에는 Floki bot에 관한 이슈를 올렸습니다.
다음에도 유익한 정보 올릴 수 있도록 하겠습니다.
감사합니다.