AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다.
[그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다. 다른 이메일 계정을 통해 발신한다는 제목으로 수신자를 속여 악성파일(.BAT)의 실행을 유도했다. 첨부된 zip 압축 파일 내부에는 [그림 2] 와 같이 배치 스크립트 파일(.BAT)이 포함되어 있다. BAT 파일은 실행시 윈도우 응용프로그램인 cmd.exe 에 의해 구동되는 스크립트 파일 유형이다.
[그림 1] 피싱 메일 본문
[그림 2] 첨부된 zip 파일 내부의 악성 스크립트(.bat)
[그림 3]은 BAT 파일 스크립트로 난독화 되어있다. 해당 BAT 파일은 실행시 [그림 4]의 EDR 탐지화면과 같이 xcopy 명령을 통해 BAT 파일을 복사하고, 정상 powershell.exe 를 png 확장자로 위장하여 복사한다.
[그림 3] 악성 BAT 파일
[그림 4] cmd.exe 로 부터 실행된 xcopy 명령 (bat파일 복사, powershell.exe 를 png 확장자로 위장하여 복사) (EDR)
이후 png 확장자로 위장된 powershell.exe(Lynfe.png)를 통해 파워쉘 명령을 실행한다. [그림 5]의 EDR 탐지화면과 같이 파워쉘 프로세스 이름이 png 확장자로된 프로세스(Lynfe.png)로 표기되며, 해당 프로세스가 파워쉘 명령 실행한다.
[그림 5] cmd.exe 로 부터 실행된 파워쉘 스크립트(EDR)
[그림6]은 디코딩한 파워쉘 명령이다. 파워쉘 명령은 BAT 파일 내부에 인코딩된 데이터를 복호화(gzip, reverse) 하여 DLL 페이로드를 만든 후, 파워쉘 프로세스에 로드한다. 로드된 DLL은 [그림 7]과 같이 디코딩한 쉘코드를 실행하며, 해당 쉘코드는 추가적인 디코딩 루틴을 수행 후, AgentTesla 악성코드를 메모리에서 최종적으로 실행한다.
[그림 6] 디코딩된 파워쉘 명령어(BAT 파일 내부에 인코딩된 닷넷 DLL을 로드)
[그림 7] 닷넷 DLL 기능(디코딩한 쉘코드를 실행)
[그림 8]은 최종적으로 파워쉘 프로세스(Lynfe.png) 에서 실행되는 AgentTesla 악성코드의 기능으로 특정 브라우져(Edge)의 계정정보 탈취 기능에 해당한다. 이와 같이 여러 경로에서 계정정보 관련한 데이터를 탈취하며, [표 1]은 탈취 정보의 수집경로의 일부이다.
[그림 8] 최종 페이로드 AgentTesla 기능 (계정정보 탈취)
| 계정정보 관련 데이터 수집 경로 일부 |
|---|
|
“Sputnik\Sputnik\User Data” |
[표 1] 계정정보 관련 데이터 수집 경로 일부
[그림 9]는 정보탈취 행위의 EDR 탐지화면으로 png 파일을 위장한 파워쉘프로세스가 브라우져 계정정보에 접근함을 증적을 통해 알 수 있다.
[그림 9] AgentTesla 의 계정정보 탈취 증적 (EDR)
정보 탈취 행위를 수행한 후, 파워쉘 프로세스(Lynfe.png) 에서 실행되는 AgentTesla 는 [그림 10]과 같이 수집한 데이터를 공격자가 제어하는 FTP 서버로 전송한다.
[그림 10] 최종 페이로드 AgentTesla 기능 (FTP를 통해 C2로 탈취한 정보를 전송)
이처럼 스팸메일을 통해 유포되는 AgentTesla 정보탈취 악성코드의 감염 흐름을 EDR 증적 데이터를 활용하여 설명하였다. 공격자는 EXE 파일이 생성되지 않는 정교한 파일리스 기법을 사용하였으며, 유포 이메일 또한 다른 이메일 계정을 통해 발신한다는 제목으로 교묘히 위장하였다. 첨부파일을 열어볼 때는 악성코드가 실행 가능한 확장자가 존재하는지 항상 주의하여야 하고 보안 제품을 이용한 모니터링을 통해 공격자로부터의 접근을 파악하고 통제할 필요가 있다.
[행위 진단]
CredentialAccess/EDR.Event.M11362
[파일 진단]
Trojan/BAT.Agent.SC192347
[IOC]
6d9821bc1ca643a6f75057a97975db0e
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지
[…] AgentTesla는 주로 스팸 메일을 통해 유포되는 인포스틸러 악성코드이다. 알려진 대부분의 웹 브라우저 및 이메일 / FTP 클라이언트 그리고 VNC 프로그램 등 다양한 애플리케이션을 대상으로 정보를 수집한다. 수집한 정보는 이후 SMTP나 FTP 또는 Telegram API를 이용해 C&C 서버로 탈취한다. [1] […]
[…] AgentTesla는 주로 스팸 메일을 통해 유포되는 인포스틸러 악성코드이다. 알려진 대부분의 웹 브라우저 및 이메일 / FTP 클라이언트 그리고 VNC 프로그램 등 다양한 애플리케이션을 대상으로 정보를 수집한다. 수집한 정보는 이후 SMTP나 FTP 또는 Telegram API를 이용해 C&C 서버로 탈취한다. [1] […]
[…] AgentTesla는 주로 스팸 메일을 통해 유포되는 인포스틸러 악성코드이다. 알려진 대부분의 웹 브라우저 및 이메일 / FTP 클라이언트 그리고 VNC 프로그램 등 다양한 애플리케이션을 대상으로 정보를 수집한다. 수집한 정보는 이후 SMTP나 FTP 또는 Telegram API를 이용해 C&C 서버로 탈취한다. [1] […]