[malware] QakBot 뱅킹 악성코드 - 수많은 AD(Active Directory)계정의 강제 잠금

안녕하세요. 나롱이 입니다.

오늘은 QakBot에 대한 악성코드에 대해 알아보려고 합니다.

2009년에 처음 발견되었다고 하는데 현재 수많은 변종과 기능이 추가됨으로써 위협 요소중에 하나로 떠오르고 있습니다.

다음글은 Hacking News 에서 발췌한 글로 번역하여 작성드리오니 참고 부탁드립니다.

<이미지 출처: http://www.informationsecuritybuzz.com/expert-comments/qakbot-malware-taking-enterprise-networks/>

#QakBot malware

IBM 보안 연구소에서 QakBot 악성코드가 많은 회사 도메인의 AD계정을 강제로 막아버리는 현상을 발견하였다.

엑티브디렉터리는 MS에서 개발한 윈도우 도메인 네트워크를 위한 디렉터리서비스이다. 대부분의 서버시스템에서 해당 서비스를 프로세싱하고 있다.

공격은 Qbot 뱅킹 악성코드에서 만들어 졌다. 이 악성코드는 처음 2009년에 발견되었으며 이후 꾸준한 업데이트가 이루어 졌다. 이 비지니스 악성코드는 뱅킹 계정을 주로 타켓으로 하고 있는것으로 알려져 있다. 악성코드의 특징은 공유드라이브나 외부저장매체를 통해 자가복제하는 기능을 가지고 있으며, 감염된 시스템이나 모든 금융과 관련된 웹사이트 정보 기록의 모니터링이 가능하다.

IBM에서 전하길 이번 악성코드에서 AD 네트워크로 구성된 AD를 락다운 시키는 영향을 준다는것을 처음 발견하였다고 한다.

"QakBot의 모듈은 다양한 컴포넌트를 수행하는 멀티스레드 멀웨어이다. 예를들어 온라인 뱅킹의 인증을 탈취, 백도어 기능, SOCKS proxy, 많은 안티바이러스의 기능 또한 무력화시킨다. 한편으로 기술 회피기능과 관리자 권한상승, 현재 QakBot 변종은 보안소프트웨어가 엔드포인트(단말 PC)에서 중지하는 기능을 가지고 있다."

QakBot 뱅킹 멀웨어는 악성코드가 전파된후 드롭퍼 된다음, 안티바이러스(백신)의 감지를 회피하기 위해 약 10~15분의 지연시간을 가지고 악성코드가 실행되게 된다. 이 Dropper는 실행되어있는 explorer.exe 프로세스에 QakBot DLL을 삽입하여, 실시간 상주하게된다.

이 멀웨어 드롭퍼는 Ping 코멘트를 날려 여섯번의 응답을 받게 된다. 한번 ping 요청이 끝나면 main QakBot 드롭퍼의 콘텐츠는 윈도우 autoconv.exe 명령어 수행을 통해 덮어씌여지기된다.

#AD(Active Directory)란?

윈도 2000 서버 이상의 제품군에서 지원하는 디렉터리 서비스. 윈도 NT 서버에서 업그레이드된 확장 기능을 지원하는 디렉터리 서비스로 진보된 계층적 디렉터리 서비스를 지원한다. 또한, 사용자, 사용자 그룹, 네트워크 데이터 등을 통합 관리하는 기능을 지원한다. 액티브 디렉터리는 LDAP를 만족하며, 인터넷의 DNS상에 구현되고, LDAP를 만족하는 클라이언트는 액티브 디렉터리에 액세스할 수 있다. 또한, 다른 기종으로 구성되어 있는 기업의 네트워크에서 기능을 발휘할 수 있으며, NDS나 NIS+를 포함한 다른 디렉터리 서비스를 포함하므로 기업의 네트워크 운영 체계, 전자 우편 시스템, 그룹웨어가 각각 가지고 있던 디렉터리의 통합 관리도 가능하다.

<출처: http://terms.naver.com/entry.nhn?docId=859865&cid=42346&categoryId=42346>

원본 및 출처 : QakBot malware locked out numerous of Active Directory users- https://latesthackingnews.com/2017/06/04/qakbot-malware-locked-numerous-active-directory-users/