AhnLab Security Emergency response Center(ASEC)은 유튜브를 통해 유포되는 정보 탈취형 악성코드 분석 보고서를 공개하였다.
보고서에서 언급하였듯이, 정보 탈취형 악성코드는 다양한 플랫폼을 통해 유포되고 있으며 유출된 정보는 사용자에게 직간접적인 피해를 준다. 정보 탈취형 악성코드에 감염된 경우 피해를 최소화 하기위해 어떤 정보를 어디로 유출했는지 파악하는 것이 중요하다.
안랩 EDR 제품에서는 정보 탈취형 악성코드가 어떤 정보를 탈취하고, 어디로 유출했는지에 대한 기록이 남아있어, 이를 추적하고 추가 피해를 발생하지 않도록 하는데 큰 도움이 된다. 해당 악성코드는 기존 공개한 분석 내용 처럼 PC에 저장된 다양한 정보를 탈취한다. 탈취한 정보는 ApplicationData, LocalApplicationData, CommonApplicationData 경로 중 임의의 경로에 44 폴더를 생성하고 하위에 복사 후 압축하여 전송한다. 현재 전송되는 주소에는 연결할 수 없는 상태이다.
[그림 1] EDR 탐지 화면
[그림 2] 프로세스 트리 요약
[그림 3] 압축파일생성탐지
[그림 4] 파일 생성 탐지
[그림 5] 컴퓨터정보수집탐지
[그림 6] WMI 쿼리탐지
[그림 7] 클립보드 데이터 수집
[그림 8] 화면캡처
[그림 9] 탈취 파일 확인
안랩 EDR 제품을 통해 앞서 소개한 내용 외에 더 많은 정보 탈취 내용을 확인할 수 있으며, 어떤 정보를 어디로 탈취했는지를 추적하는데 도움이 될 수 있다. 다양한 플랫폼을 통해 악성코드가 설치될 수 있기 때문에 불법 프로그램을 다운로드 받는 행위를 지양해야 하며, 신뢰하지 않는 수신인으로부터 발송된 메일 열람을 자제해야 한다. 모든 위협에 선제적 대응을 하더라도 실수 한번으로 발생할 수 있는 위협에 대해 안랩 EDR 제품을 통해 이를 대응할 수 있다.
[파일 진단]
– Infostealer/Win.CALIBER.R513735 (2022.09.06.00)
[IOC]
MD5
– 6649fec7c656c6ab0ae0a27daf3ebb8e
C2
– hxxps://discordapp[.]com/api/webhooks/947181971019292714/gXE5T4ZQQF0yGOhuBSDhTkFXB0ut9ai71IZmOFvsdIaznalhyvQP0h45xCss-8W7KQCo
– hxxps://discord[.]com/api/webhooks/940299131098890301/RU4T0D4gNAYM0BZkAMMKQRwGBORfHiJUJ5lJ20Gd-s2yCIX9lXCbyB6yZ6zHUA5B-H42
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지