웹 브라우저 자동 로그인 기능에 저장된 계정을 노리는 RedLine Stealer

안랩 ASEC 분석팀은 최근 한 기업의 내부 망 침해 사고 조사에서 기업 망 접근에 사용된 VPN 계정이 재택 근무 중인 한 직원의 개인 PC에서 유출된 것임을 확인했다.

피해가 발생한 기업에서는 재택 근무 중에 사내 망에 접근할 수 있도록 VPN 서비스를 제공하고 있었으며, 해당 기업의 직원들은 지급된 노트북 또는 개인 PC로 VPN 연결 후 업무를 수행했다. 피해 직원은 웹 브라우저에서 제공하는 비밀번호 관리 기능을 이용해 VPN 사이트에 대한 계정/패스워드를 웹 브라우저에 저장하고 사용했다. 그러던 중 계정 정보를 노리는 악성코드에 감염돼 다수의 사이트 계정과 패스워드가 유출됐으며, 이 중에는 기업의 VPN 계정도 포함돼 있었다.

유출된 VPN 계정은 약 3개월 후 해당 기업 내부 망 해킹에 사용됐다. 

웹 브라우저의 비밀번호 관리 기능 

웹 브라우저는 사용자 편의를 위해 웹 사이트 방문 중 로그인 양식에 입력한 계정과 비밀번호를 보관하고, 재 방문 시 자동으로 입력해주는 기능을 제공한다. Chromium 기반 웹 브라우저(Edge, Chrome)에서는 기본적으로 비밀번호 관리 기능이 활성화돼 있다.

 

그림. Chrome의 비밀번호 저장 제안 팝업

 

로그인 시 입력된 정보는 브라우저의 비밀번호 관리 기능에 의해 Login Data 파일에 저장된다.

웹 브라우저	파일 경로
Chrome	C:\Users\<사용자 이름>\AppData\Local\Google\Chrome\User Data\Default\Login Data
Edge	C:\Users\<사용자 이름>\AppData\Local\MicrosoftEdge\User\Default\Login Data
Opera	C:\Users\<사용자 이름>\AppData\Roaming\Opera Software\Opera Stable\Login Data
Whale	C:\Users\<사용자 이름>\AppData\Local\Naver\Naver Whale\User Data\Default\Login Data

표. Chromium 기반 웹 브라우저의 Login Data 경로

Login Data는 SQLite 데이터베이스 파일로, 계정 및 패스워드 정보는 logins 테이블에 저장된다. logins 테이블에는 계정 및 패스워드외에도 저장 시간, 로그인 사이트 URL, 접근 횟수가 저장된다.

사용자가 사이트에 대한 계정/패스워드 정보 저장을 거부한 경우에는 이를 기억하기 위해 blacklisted_by_user 필드가 1로 설정되고, username_value 와 password_value 필드는 계정 및 패스워드 없이 origin_url 정보만 logins 테이블에 기록된다.

그림. Login Data의 logins 테이블

 

그림. logins 테이블에 저장된 데이터 예시

 

계정 정보 유출

피해 직원 PC는 가정내에서 온 가족이 사용하는 시스템으로, 안전하게 관리되고 있지 않았던 것으로 확인됐다. 다양한 악성코드에 오래전부터 감염돼 있었으며, 타사 백신이 설치돼 있었으나, 제대로 탐지 및 치료되지 않았다.

감염된 악성코드 중에는 Redline Stealer 계열 악성 코드가 포함돼 있었다. Redline Stealer는 웹 브라우저에 저장된 계정 정보를 수집하는 인포스틸러 유형의 악성 코드로 2020년 3월 러시아 다크웹에서 처음 등장했다. REDGlade라는 이름의 사용자는 여러 해킹 포럼에 Redline Stealer에 포함된 다양한 기능을 설명하며 $150~$200에 해당 해킹 도구를 판매하는 홍보 글을 게시하기도 했다.

그림. Redline Stealer 텔레그램 페이지

Redline Stealer는 다크웹에서 구매자를 가리지 않고, 불특정 다수에게 판매된 악성 코드이므로, 악성 코드 제작자와 공격자를 직접적으로 연관 시키기는 어렵다. 또한 다크웹에서는 악성 코드외에도 Redline Stealer를 사용해 유출한 자격증명 정보도 판매되고 있었다.

Redline Stealer는 2020년 3월경 처음으로 등장했으며, COVID-19 이슈를 악용한 피싱 메일이 이용됐다. 이후 피싱 메일, Google 광고 악용, 사진 편집 프로그램 위장 등 다양한 방식으로 악성 파일이 유포된 것으로 알려져 있다.

이번 사건에서 Redline Stealer는 음정 보정 프로그램인 Waves사의 SoundShifter의 크랙 프로그램으로 위장하여 온라인상에 유포돼 있었다. 사용자는 소프트웨어 이름과 crack 및 free 등을 검색어로 입력해 파일을 검색하고 다운로드했으며, 다운로드한 파일을 직접 실행해 악성 파일에 감염됐다.

그림. google에서 “waves soundshifter crack” 을 검색한 기록

Redline Stealer 악성 코드는 주요 기능은 다음과 같다.

주요 기능	설명
정보 수집	– 브라우저에 저장된 정보 수집/탈취 – 로그인 계정/패스워드 – 쿠키 – 자동완성  – 신용카드 정보 – 공격 대상 브라우저 – Chromium 기반 모든 브라우저  – Gecko 기반 모든 브라우저 – 가상화폐 지갑 정보 – 시스템에 저장된 시드 파일
시스템 정보 수집	– 시스템의 IP주소, 운영체제 정보 등 기본 시스템 정보 수집 – 시스템의 프로세서, 메모리 크기, 그래픽 장치 등 하드웨어 정보 수집 – 시스템에 설치된 소프트웨어 및 브라우저 정보 수집 – 설치된 백신 프로그램, 프로세스 정보 수집
C&C	– SOAP 프로토콜 통신을 통한 피해 시스템 제어 – 파일 업로드 및 다운로드 – 임의의 URL 접근 및 파일 실행

표. Redline Stealer의 주요 기능

브라우저의 계정 정보 보관 기능은 매우 편리한 기능이지만, 악성코드 감염시 쉽게 계정 정보가 노출될 우려가 있으므로, 가급적 사용하지 않아야 하며, 출처가 명확한 프로그램만 사용할 것을 권고한다. 

 

[관련 게시글 정보]

S/W 다운로드 위장, 다양한 종류의 악성코드 유포 – ASEC BLOG

ASEC 분석팀에서는 기존 다수의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는 CryptBot 악성코드에 대하여 언급하며 사용자의 주의를 당부하였다. 이러한 악성 사이트로부터 유포되는 악성코드는 CryptBot 악성코드가 대다수이지만, 간혹 타 악성코드가 유포되곤 한다. 본 블로그에서는 동일 유형의 악성코드 유포 중 CryptBot을 제외한 타 악성코드에 대하여 언급하고자 한다. 기존의 블로그에서도 언급했듯이 해당 악성코드는 검색엔진에 특정 상용 소프트웨어의 Cr…

유튜브를 통해 유포 중인 RedLine 인포스틸러 – ASEC BLOG

ASEC 분석팀은 최근 RedLine 인포스틸러 악성코드가 크랙 프로그램 다운로드 링크로 위장한 유튜브 사이트를 통해 유포 중인 것을 확인하였다. RedLine은 정보 유출 악성코드로서 웹 브라우저 및 FTP 클라이언트 프로그램에 저장되어 있는 사용자 계정 정보나 스크린샷, 코인 지갑 주소 등 사용자 정보를 C&C 서버에 유출하는 기능을 갖는다. RedLine 악성코드가 최초로 확인된 것은 2020년 3월경으로 코로나 바이러스 이슈를 이용한 스팸 메일을 통해 유포된 것이 첫번째 사례이다. 이후부터 꾸준히 다양한 경로를 통해 유포되고…

 

FQDN

certe[.]exe[.]com

cio[.]exe[.]com

orrore[.]exe[.]com

IP

18[.]188[.]253[.]6