웹 브라우저 자동 로그인 기능에 저장된 계정을 노리는 RedLine Stealer

안랩 ASEC 분석팀은 최근 한 기업의 내부 망 침해 사고 조사에서 기업 망 접근에 사용된 VPN 계정이 재택 근무 중인 한 직원의 개인 PC에서 유출된 것임을 확인했다.

피해가 발생한 기업에서는 재택 근무 중에 사내 망에 접근할 수 있도록 VPN 서비스를 제공하고 있었으며, 해당 기업의 직원들은 지급된 노트북 또는 개인 PC로 VPN 연결 후 업무를 수행했다. 피해 직원은 웹 브라우저에서 제공하는 비밀번호 관리 기능을 이용해 VPN 사이트에 대한 계정/패스워드를 웹 브라우저에 저장하고 사용했다. 그러던 중 계정 정보를 노리는 악성코드에 감염돼 다수의 사이트 계정과 패스워드가 유출됐으며, 이 중에는 기업의 VPN 계정도 포함돼 있었다.

유출된 VPN 계정은 약 3개월 후 해당 기업 내부 망 해킹에 사용됐다. 

웹 브라우저의 비밀번호 관리 기능 

웹 브라우저는 사용자 편의를 위해 웹 사이트 방문 중 로그인 양식에 입력한 계정과 비밀번호를 보관하고, 재 방문 시 자동으로 입력해주는 기능을 제공한다. Chromium 기반 웹 브라우저(Edge, Chrome)에서는 기본적으로 비밀번호 관리 기능이 활성화돼 있다.

그림. Chrome의 비밀번호 저장 제안 팝업

로그인 시 입력된 정보는 브라우저의 비밀번호 관리 기능에 의해 Login Data 파일에 저장된다.

웹 브라우저파일 경로
ChromeC:\Users\<사용자 이름>\AppData\Local\Google\Chrome\User Data\Default\Login Data
EdgeC:\Users\<사용자 이름>\AppData\Local\MicrosoftEdge\User\Default\Login Data
OperaC:\Users\<사용자 이름>\AppData\Roaming\Opera Software\Opera Stable\Login Data
WhaleC:\Users\<사용자 이름>\AppData\Local\Naver\Naver Whale\User Data\Default\Login Data
표. Chromium 기반 웹 브라우저의 Login Data 경로

Login Data는 SQLite 데이터베이스 파일로, 계정 및 패스워드 정보는 logins 테이블에 저장된다. logins 테이블에는 계정 및 패스워드외에도 저장 시간, 로그인 사이트 URL, 접근 횟수가 저장된다.

사용자가 사이트에 대한 계정/패스워드 정보 저장을 거부한 경우에는 이를 기억하기 위해 blacklisted_by_user 필드가 1로 설정되고, username_value 와 password_value 필드는 계정 및 패스워드 없이 origin_url 정보만 logins 테이블에 기록된다.

그림. Login Data의 logins 테이블

그림. logins 테이블에 저장된 데이터 예시

계정 정보 유출

피해 직원 PC는 가정내에서 온 가족이 사용하는 시스템으로, 안전하게 관리되고 있지 않았던 것으로 확인됐다. 다양한 악성코드에 오래전부터 감염돼 있었으며, 타사 백신이 설치돼 있었으나, 제대로 탐지 및 치료되지 않았다.

감염된 악성코드 중에는 Redline Stealer 계열 악성 코드가 포함돼 있었다. Redline Stealer는 웹 브라우저에 저장된 계정 정보를 수집하는 인포스틸러 유형의 악성 코드로 2020년 3월 러시아 다크웹에서 처음 등장했다. REDGlade라는 이름의 사용자는 여러 해킹 포럼에 Redline Stealer에 포함된 다양한 기능을 설명하며 $150~$200에 해당 해킹 도구를 판매하는 홍보 글을 게시하기도 했다.

그림.  Redline Stealer 텔레그램 페이지

Redline Stealer는 다크웹에서 구매자를 가리지 않고, 불특정 다수에게 판매된 악성 코드이므로, 악성 코드 제작자와 공격자를 직접적으로 연관 시키기는 어렵다. 또한 다크웹에서는 악성 코드외에도 Redline Stealer를 사용해 유출한 자격증명 정보도 판매되고 있었다.

Redline Stealer는 2020년 3월경 처음으로 등장했으며, COVID-19 이슈를 악용한 피싱 메일이 이용됐다. 이후 피싱 메일, Google 광고 악용, 사진 편집 프로그램 위장 등 다양한 방식으로 악성 파일이 유포된 것으로 알려져 있다.

이번 사건에서 Redline Stealer는 음정 보정 프로그램인 Waves사의 SoundShifter의 크랙 프로그램으로 위장하여 온라인상에 유포돼 있었다. 사용자는 소프트웨어 이름과 crack 및 free 등을 검색어로 입력해 파일을 검색하고 다운로드했으며, 다운로드한 파일을 직접 실행해 악성 파일에 감염됐다.

그림. google에서 “waves soundshifter crack” 을 검색한 기록

Redline Stealer 악성 코드는 주요 기능은 다음과 같다.

주요 기능설명
정보 수집– 브라우저에 저장된 정보 수집/탈취
– 로그인 계정/패스워드
– 쿠키
– 자동완성 
– 신용카드 정보
– 공격 대상 브라우저
– Chromium 기반 모든 브라우저 
– Gecko 기반 모든 브라우저
– 가상화폐 지갑 정보
– 시스템에 저장된 시드 파일
시스템 정보 수집– 시스템의 IP주소, 운영체제 정보 등 기본 시스템 정보 수집
– 시스템의 프로세서, 메모리 크기, 그래픽 장치 등 하드웨어 정보 수집
– 시스템에 설치된 소프트웨어 및 브라우저 정보 수집
– 설치된 백신 프로그램, 프로세스 정보 수집
C&C– SOAP 프로토콜 통신을 통한 피해 시스템 제어
– 파일 업로드 및 다운로드
– 임의의 URL 접근 및 파일 실행
표. Redline Stealer의 주요 기능

브라우저의 계정 정보 보관 기능은 매우 편리한 기능이지만, 악성코드 감염시 쉽게 계정 정보가 노출될 우려가 있으므로, 가급적 사용하지 않아야 하며, 출처가 명확한 프로그램만 사용할 것을 권고한다. 

[IOC 정보]

침해된 시스템에서는 Redline Stealer 악성 코드로 판단할 수 있는 흔적들은 확인됐으며, 악성 파일은 삭제되어 악성 파일의 Hash는 확보할 수 없었다. 

cio.exe.com
orrore.exe.com
certe.exe.com
18.188.253.6

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

[관련 게시글 정보]

5 3 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments