Dyre라고도 알려진 Dyreza는 민감한 금융 정보를 훔치기 위해 온라인 뱅킹 거래를 표적으로 삼는 악명 높은 유형의 맬웨어, 특히 뱅킹 트로이목마입니다. Dyreza의 정교함은 SSL 암호화를 우회하여 일반 텍스트의 민감한 데이터에 대한 액세스를 허용하는 능력에 있습니다.
Dyreza의 기원과 첫 번째 언급
Dyreza 뱅킹 트로이목마는 2014년 사이버 보안 회사인 PhishMe의 연구원들에 의해 발견되면서 처음으로 알려졌습니다. 이는 ZIP 파일에 악성 코드가 첨부된 '전신 송금 보고서'를 통해 의심하지 않는 피해자를 표적으로 삼는 정교한 피싱 캠페인에서 확인되었습니다. "Dyreza"라는 이름은 트로이 목마 바이너리 내에서 발견된 문자열 "dyre"에서 파생되었으며 "za"는 "Zeus Alternative"의 약어로 악명 높은 Zeus Trojan과 유사함을 나타냅니다.
Dyreza에 대한 자세한 설명
Dyreza는 특히 은행 웹사이트를 표적으로 삼아 감염된 시스템에서 자격 증명 및 기타 민감한 정보를 캡처하도록 설계되었습니다. 이는 "브라우저 후킹"이라는 기술을 사용하여 웹 트래픽을 가로채고 조작합니다. 이 트로이 목마는 SSL(Secure Socket Layer) 암호화를 우회하여 암호화된 웹 트래픽을 읽고 조작할 수 있다는 점에서 다른 뱅킹 트로이 목마와 다릅니다.
Dyreza의 주요 배포 방법은 피해자를 속여 트로이 목마를 다운로드하고 실행하도록 속이는 피싱 이메일이며, 종종 무해한 문서나 zip 파일로 위장합니다. 일단 설치되면 Dyreza는 사용자가 관심 있는 웹사이트(일반적으로 은행 웹사이트)로 이동할 때까지 기다린 후 활성화되고 데이터 캡처를 시작합니다.
Dyreza의 내부 구조와 작동
Dyreza는 피해자의 컴퓨터에 설치되면 'man-in-the-browser' 공격을 사용하여 웹 트래픽을 모니터링합니다. 이를 통해 악성코드는 웹 양식에 추가 필드를 삽입하여 사용자를 속여 PIN 번호 및 TAN과 같은 추가 정보를 제공하도록 할 수 있습니다. Dyreza는 또한 "webinjects"라는 기술을 사용하여 웹 페이지의 콘텐츠를 변경하고 종종 더 많은 데이터를 수집하기 위해 양식에 필드를 추가합니다.
Dyreza의 SSL 우회는 브라우저 프로세스에 연결하여 트래픽이 SSL로 암호화되기 전이나 해독된 후에 트래픽을 가로채는 방식으로 이루어집니다. 이를 통해 Dyreza는 SSL이 제공하는 보호 기능을 완전히 우회하여 데이터를 일반 텍스트로 캡처할 수 있습니다.
Dyreza의 주요 특징
- SSL 암호화 우회: Dyreza는 웹 트래픽이 암호화되기 전이나 해독된 후에 웹 트래픽을 가로채서 일반 텍스트로 데이터를 캡처할 수 있습니다.
- Man-in-the-Browser 공격: Dyreza는 웹 트래픽을 모니터링하여 웹 양식을 조작하여 사용자를 속여 추가적인 민감한 정보를 제공하도록 할 수 있습니다.
- Webinjects: 이 기능을 통해 Dyreza는 웹 페이지의 콘텐츠를 변경하여 더 많은 데이터를 수집할 수 있습니다.
- 다중 벡터 접근 방식: Dyreza는 피싱 이메일, 익스플로잇 키트 등 다양한 방법을 사용하여 시스템에 침투합니다.
다이레자의 종류
Dyreza에는 뚜렷한 유형이 없지만 야생에서는 다양한 버전이 관찰되었습니다. 이러한 버전은 공격 벡터, 대상 및 특정 기술이 다르지만 모두 동일한 핵심 기능을 공유합니다. 이러한 변형은 일반적으로 다른 유형이 아닌 다른 캠페인이라고 합니다.
Dyreza 관련 사용, 문제점 및 해결 방법
Dyreza는 민감한 은행 정보를 훔칠 수 있는 능력으로 인해 개인 사용자와 조직 모두에 심각한 위협을 가합니다. Dyreza 및 유사한 트로이 목마의 위험을 완화하는 주요 방법은 강력한 사이버 보안 관행을 이용하는 것입니다. 여기에는 최신 바이러스 백신 소프트웨어 유지, 피싱 위험에 대한 사용자 교육, 침입 탐지 시스템 사용이 포함됩니다.
Dyreza 감염이 의심되는 경우 감염된 시스템을 네트워크에서 연결 해제하여 추가 데이터 손실을 방지하고 신뢰할 수 있는 바이러스 백신 도구를 사용하여 시스템을 청소하는 것이 중요합니다. 조직의 경우 고객에게 알리고 모든 온라인 뱅킹 비밀번호를 변경해야 할 수도 있습니다.
유사 악성코드와의 비교
Dyreza는 Zeus 및 Bebloh와 같은 다른 뱅킹 트로이 목마와 많은 특성을 공유합니다. 이들 모두는 맨인더브라우저(man-in-the-browser) 공격을 사용하고, webinject를 사용하여 웹 콘텐츠를 변경하며, 주로 피싱 캠페인을 통해 배포됩니다. 그러나 Dyreza는 뱅킹 트로이 목마에서 흔히 볼 수 있는 기능이 아닌 SSL 암호화를 우회하는 기능으로 차별화됩니다.
| 악성 코드 | 맨인더브라우저 | 웹인젝션 | SSL 우회 |
|---|---|---|---|
| 디레자 | 예 | 예 | 예 |
| 제우스 | 예 | 예 | 아니요 |
| 베블로 | 예 | 예 | 아니요 |
Dyreza 관련 미래 전망과 기술
사이버 범죄자가 더욱 정교해짐에 따라 Dyreza와 같은 뱅킹 트로이 목마의 위협도 계속 진화하고 있습니다. 미래의 사이버 보안 기술은 이러한 위협의 조기 탐지를 개선하고 피싱 이메일 및 기타 공격 벡터를 식별하는 기술을 개선하는 데 중점을 둘 것입니다.
머신 러닝과 AI는 위협을 나타낼 수 있는 패턴과 이상 현상을 식별하는 능력 때문에 사이버 보안에 점점 더 많이 사용되고 있습니다. 이러한 기술은 Dyreza와 같은 위협의 미래 진화에 대처하는 데 매우 중요할 수 있습니다.
Dyreza와 프록시 서버의 연결
프록시 서버는 Dyreza와 같은 악성 코드가 명령 및 제어 서버와의 통신을 숨기는 데 자주 사용됩니다. 여러 프록시를 통해 트래픽을 라우팅함으로써 사이버 범죄자는 자신의 위치를 숨기고 트래픽을 추적하기 어렵게 만들 수 있습니다.
반면에 프록시 서버도 솔루션의 일부가 될 수 있습니다. 예를 들어, 알려진 악성 IP 주소를 차단하거나 의심스러운 트래픽 패턴을 탐지 및 차단하도록 구성할 수 있으므로 강력한 사이버 보안 전략의 중요한 부분이 됩니다.
관련된 링크들
Dyreza에 대한 자세한 내용과 이에 대한 보호 방법을 알아보려면 다음 리소스를 방문하세요.
