TrickBot
- Windows 시스템을 대상으로 하는 뱅킹 트로이 목마 중 하나
2016년, Dyreza라는 또 다른 뱅킹 트로이 목마에서 영감을 얻어 많은 기능을 갖춘 최신 트로이 목마 중 하나이다.
실제 금융권을 대상으로 적지않은 감염시도가 발생한다.
단말기 사용자는 TrickBot에 감염 되었을 때 증상을 알아 차릴 수 없다.
그러나, 멀웨어가 Trickbot의 명령 및 제어(C&C) 인프라와 통신하여 데이터를 유출하고 작업을 수신하기 때문에 네트워크 관리자는 트래픽의 변화를 확인할 수 있다.
TrckBot은 예약된 작업을 실행하여 지속적으로 가동될 수 있다.
TrickBot은 뱅킹 트로이 목마답게 은행 정보 도용에 중점을 둔다.
일반적으로 악성 스팸메일(첨부파일, URL 등)을 통해서 확산되며 다른 경로(EternalBlue 등)를 통해서도 감염될 수 있으므로 주의가 필요하다.
만약, TrickBot이 EternalBlue 취약점을 경로로 회사 네트워크에 감염된다면 확산되는 특징으로 인해 이전에 치료된 시스템을 다시 감염시킬 수 있다.
따라서 보안 담당자는 각 시스템을 하나씩 격리하고 패치 및 치료해야한다.
TrickBot 감염을 탐지하기 위해 선제적으로 메일로부터 첨부파일, URL등을 통해 다운받아지는 파일에 대해 바이러스 검사할 필요가 있으며
감염시 발생하는 C&C 서버와의 통신을 IDS에서 탐지하여 감염사실을 알 수 있다.
보안이 잘 되어있는 기업에서는 메일서버와 업무망이 분리가 되어있기 때문에 첨부파일은 가상단말 또는 분리된 망에서 실행하는것이 안전하다.
반응형
'지식공유 > 정보보안' 카테고리의 다른 글
| SMTP 메일보안 25번, 587번 포트 (0) | 2023.09.02 |
|---|---|
| 리눅스 Sendmail 스팸 릴레이 제한설정 (0) | 2023.02.15 |
| POP메일과 웹 메일 (0) | 2023.02.15 |
| CIDR 계산 방법 (0) | 2023.02.10 |
