AhnLab Security Emergency response Center(ASEC)에서는 매주 주간 악성코드 통계를 정리하여 게시하고 있다.
이 중 지속적으로 유포되고 있는 인포스틸러 악성코드인 AgentTesla를 EDR을 활용하여 어떻게 탐지되는지 추적과 대응 방법에 대해 공유하고자 한다.
AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 안랩 EDR 제품에서는 특정 유형의 PE 가 사용자 계정 정보 파일에 접근하는 행위를 위협으로 탐지한다.
계정 정보 탈취 행위 탐지의 상세 정보에서 다이어그램을 확인하면 AgentTesla 의 행위를 추적 할 수 있다.
[그림 3]을 확인해보면 AgentTesla는 %appdata%경로에 파일을 복사하고, Windows Defender 에 탐지되지 않도록 예외 파일로 등록한다. 또한 작업 스케줄러를 통해 지속적으로 실행되도록 설정하는 것을 확인 할 수 있다.
그 후 재귀 실행을 하여 웹브라우저에 저장된 사용자 계정 정보 등을 탈취하고 공격자 IP에 SMTP 포트로 수집된 데이터를 전송한다.
위와 같이 확인된 정보로 자동실행 등록 삭제, 파일 삭제 등의 피해 PC에 대한 조치를 하고, 사용자 정의 규칙 정책을 추가하면 효과적으로 내부 확산을 방지 할 수 있다.
먼저 앞서 확보한 정보로 EPP -> 정책 -> EDR 사용자 정의 규칙 -> 추가 -> 새로 만들기 탭을 이용하여 사용자 정의 규칙을 생성해야 한다.
규칙 이름을 식별하기 쉽게 설정하고, 해당 행위는 악성 샘플에서 확인된 정보로 생성하므로 위험도를 High 로 설정한다. 위협 항목에 표시될 진단명, 진단 메시지를 설정 한 후 행위 기반 규칙을 선택한다.
다음으로 [그림 4] 에서 확인한 IP 인 213.165.67.115:587 을 네트워크 동적조건으로 추가한다. 네트워크 연결 동적 조건은 정상 프로세스에서도 매우 빈번하게 발생하여 이를 정적 조건 없이 사용하게 될 경우 성능 상 문제가 생길 수 있어 정적 조건을 추가하는 것을 권장한다.
저장을 하게 되면 AgentTesla의 C2로 연결 시 탐지하는 규칙이 생성된다. 이 규칙을 에이전트에 적용하기 위해서 새로운 EDR 사용자 정의 규칙 정책을 추가해야 한다.
사용자 정의 규칙 정책은 EPP -> 정책 -> 보안 제품 정책 -> 추가 -> EDR 정책 -> EDR 사용자 정의 규칙 정책 에서 추가 할 수 있다.
사용자 정의 규칙 정책 추가 화면에서 추가 버튼을 통해 앞서 [그림 7]에서 생성한 행위 기반 규칙을 추가한다.
추가가 되면 자동 대응 아래의 미사용을 눌러 해당 규칙이 발생했을때의 자동 대응 처리를 지정 할 수 있다.
이렇게 생성된 정책을 적용하면 추후 다른 PC에서 해당 C2에 연결될 경우 자동으로 차단 및 대응이 가능하다.
이처럼 EDR 제품을 활용하면 악성코드의 행위를 추적하고, 추가 확산을 방지할 수 있는 대응을 할 수 있다.
[파일 진단]
Trojan/Win.PWSX-gen (2023.05.31.02)
[행위 진단]
Infostealer/EDR.Event.M2460
[IOC]
928eaefb92ff4d1ed3453bde534e6554
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지