AhnLab MDS를 활용한 계정 정보 탈취 악성코드 탐지 (웹 브라우저, 이메일, FTP)

일반적으로 사용자들은 편의를 위해 웹 브라우저나 이메일 / FTP 클라이언트와 같은 프로그램들에서 자동 로그인 기능을 사용하며 결과적으로 각 프로그램들은 설정 데이터에 사용자의 계정 정보들을 저장한다. 이러한 기능은 사용자에게 편의성을 주지만 보안상 문제점도 존재하는데 공격자에 의해 사용자의 계정 정보가 쉽게 탈취당할 수 있기 때문이다.

만약 악성코드나 공격자가 감염 시스템에 대한 제어를 획득한 경우 다양한 도구들을 이용해 사용자의 계정 정보를 탈취할 수 있으며 이러한 계정 정보 탈취 기능을 주요 목적으로 하는 인포스틸러 악성코드도 존재한다. 만약 악성코드가 이미 알려진 악성코드라면 엔드포인트에 설치된 기존 바이러스 백신으로 대응할 수 있다. 하지만 알려지지 않은 악성코드에 대응하려면 AhnLab MDS(Malware Defense System)가 필요하다.

샌드박스 기반 파일 분석 솔루션인 Ahnlab MDS는 가상 환경에서 파일을 실행한 후 발생한 행위를 분석한다. 신종 파일도 알려진 악성 행위를 포함하기 때문에 AhnLab MDS로 탐지할 수 있다. AhnLab MDS는 파일의 행위 또는 파일 자체 분석을 위해 다수의 분석 엔진을 탑재했으며 이를 통해 고도화된 위협을 정밀하게 탐지한다.

1. 개요

웹 브라우저는 PC를 사용하는 사용자들이 가장 많이 그리고 자주 사용하는 프로그램들 중 하나이다. 이는 개인 사용자뿐만 아니라 기업에서 업무를 수행하는 직원들도 동일하다. 웹 브라우저는 웹 서비스를 사용하기 위해 사용하는데 대표적으로 검색 기능 및 이메일 수신/발신이 있다. 이외에도 문서 작업을 포함한 다양한 업무들도 웹 인터페이스가 제공된다면 웹 브라우저만으로 작업이 가능한 경우가 많다.

이메일의 경우 웹 브라우저를 사용하기도 하지만 업무를 하는 직원들은 아웃룩이나 썬더버드와 같은 전용 이메일 클라이언트를 PC에 설치해 사용하기도 한다. 요즘에는 파일 공유를 위해 클라우드 서비스를 많이 사용하는 편이긴 하지만 아직 FTP를 이용하는 사례도 많다.

이러한 프로그램들의 공통점은 대부분 사용자가 로그인하여 본인의 계정으로 서비스를 이용한다는 점이다. 로그인은 매번 컴퓨터를 켤 때마다 할 수도 있지만 웹 브라우저를 포함한 대부분은 자동 로그인을 지원한다. 즉 한 번 로그인하면 이후 계정 정보가 각 애플리케이션의 설정 데이터에 저장되어 지속적인 로그인 과정 없이 이를 사용할 수 있는 것이다.

이러한 편의성과 반대로 만약 공격자가 사용자의 시스템에 대한 제어를 획득하거나 시스템에 악성코드가 설치된다면 이렇게 저장되어 있던 계정 정보가 쉽게 탈취당할 수 있다. 일반적으로 사용자들은 몇 개의 계정만을 사용하여 다양한 서비스에 가입하기 때문에 소수의 로그인한 계정 정보만 탈취당하더라도 사용자의 다양한 정보들이 공격자의 손에 넘어갈 수 있다.

참고로 로그인 시 이메일 주소를 사용할 경우 해당 이메일 주소 또한 공격자에게 넘어가게 되며 공격자는 협박 메일을 보내는데 이를 활용할 수도 있다. 다음은 공격자가 인포스틸러 악성코드에 감염된 시스템에서 수집한 이메일 주소로 보낸 협박 메일이며 캡쳐한 스크린샷과 함께 수집한 정보를 이용해 음란물를 제작하여 이메일 및 SNS를 통해 지인에게 보낼 수 있다는 협박과 함께 원하지 않을 경우 1200 달러를 공격자의 비트코인 지갑 주소로 보내라는 지시가 담겨있다.

2. 알려진 악성코드 사례

인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트같이 애플리케이션에 저장되어 있는 계정 정보나 히스토리 등의 사용자 정보들을 탈취하는 것이 목적인 악성코드이다. 물론 공격자들은 AntiVirus의 파일 진단을 우회하기 위해 외형을 패킹 및 난독화하여 악성코드를 유포한다. 하지만 외형이 변경되었다고 하더라도 악성코드들의 행위는 알려진 악성 행위를 포함하기 때문에 AhnLab MDS로 탐지할 수 있다.

여기에서는 공격에 사용되는 인포스틸러 악성코드들 중 많은 유포량을 차지하고 있는 대표적인 유형들에 대해 AhnLab MDS를 이용해 정보 탈취 행위를 탐지하는 사례들을 정리한다.

A. AgentTesla

AgentTesla는 주로 스팸 메일을 통해 유포되는 인포스틸러 악성코드이다. 알려진 대부분의 웹 브라우저 및 이메일 / FTP 클라이언트 그리고 VNC 프로그램 등 다양한 애플리케이션을 대상으로 정보를 수집한다. 수집한 정보는 이후 SMTP나 FTP 또는 Telegram API를 이용해 C&C 서버로 탈취한다. [1]

여기에서는 AgentTesla 인포스틸러의 다양한 정보 탈취 행위들 중 웹 브라우저와 VNC에 저장된 사용자의 계정 정보들을 탈취하는 행위들을 MDS를 이용해 탐지한 결과들을 정리한다.

B. Lokibot

Lokibot도 AgentTesla와 유사하게 웹 브라우저, 이메일 / FTP 클라이언트뿐만 아니라 파일 / 패스워드 관리 프로그램, 터미널 에뮬레이터 등 다양한 애플리케이션에 저장된 게정 정보를 탈취하는 인포스틸러 악성코드이다. [2]

여기에서는 Lokibot 인포스틸러의 다양한 정보 탈취 행위들 중 이메일 및 FTP 클라이언트에 저장된 사용자의 계정 정보들을 탈취하는 행위들을 MDS를 이용해 탐지한 결과들을 정리한다.

3. APT 공격 사례

지금까지는 불특정 다수에게 유포되는 알려진 악성코드들을 다루었다. 하지만 사용자의 계정 정보를 탈취한다는 것은 공격 단계들 중에서 공격자에게 많은 이점을 줄 수 있는 중요한 과정이다. 예를 들어 공격 대상이 일반 사용자라고 하더라도 이를 활용하여 추후 더 많은 정보를 획득할 수 있으며 기업 사용자의 경우 감염 시스템뿐만 아니라 조직의 내부망을 장악하기 위한 측면 이동 과정에서도 활용될 수 있다.

이에 따라 자격 증명을 획득하는 행위는 APT 공격 그룹에서도 필수적으로 사용하는 단계이다. 중요한 점은 APT 공격자의 특성상 위와 같은 악성코드들을 사용하는 대신 알려지지 않은 악성코드를 직접 제작하여 공격에 사용하는 사례가 많다는 점이다. 하지만 악성코드를 새롭게 제작했다고 하더라도 정보를 탈취하는 행위는 이미 알려진 악성코드들과 유사한 행위가 대부분이다.

가상 환경에서 파일을 실행한 후, 발생한 행위를 분석하는 Ahnlab MDS는 AntiVirus와 달리 파일의 외형에 대한 진단이 불가한 경우에도 이러한 정보 탈취 행위를 탐지하여 알려지지 않은 악성코드에 대해서도 대응할 수 있도록 지원한다. 여기에서는 과거 APT 공격 그룹이 사용자의 계정 정보를 획득하기 위해 사용한 다양한 정보 탈취형 악성코드들을 AhnLab MDS를 이용해 탐지하는 사례들을 다룬다.

A. Andariel

주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져 있다. 2008년부터 국내 대상 공격이 최초로 확인되었으며 주요 공격 대상으로는 국방, 정치기구, 조선, 에너지, 통신 등 안보와 관련된 곳이다. 물론 이외에도 대학교나 운송, ICT 업체 등 국내에 위치한 다양한 기업 및 기관들이 공격 대상이 되고 있다.

Andariel 위협 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용하며, 이외에도 악성코드 설치 과정에서 중앙관리 솔루션을 악용하는 사례도 존재한다. [3] 여기에서는 과거 Andariel 그룹이 TigerRAT을 이용해 설치한 인포스틸러를 다룬다.

TigerRAT은 백도어이다 보니 정보 탈취와 관련된 기능들이 충분히 존재하지는 않는다. 공격자는 추가적인 정보를 수집하기 위해 다른 인포스틸러 악성코드처럼 웹 브라우저들과 아웃룩 클라이언트에 저장되어 있는 사용자의 계정 정보를 탈취하는 악성코드를 사용했다. 해당 악성코드는 크롬, 파이어폭스, 인터넷 익스플로러, 오페라, 네이버 웨일 웹 브라우저 및 아웃룩 클라이언트에서 사용자의 계정 정보를 탈취한 후 커맨드 라인으로 출력해 주는 악성코드이다.

다음은 Andariel 그룹의 APT 공격에 사용된 인포스틸러 악성코드가 웹 브라우저 및 아웃룩 클라이언트에 저장된 사용자의 계정 정보들을 탈취하는 행위들을 AhnLab MDS를 이용해 탐지한 결과이다. 즉 AhnLab MDS가 설치된 환경에서는 공격자가 인포스틸러 악성코드를 추가적으로 설치할 때 정보 탈취 행위를 탐지하여 공격자가 추후 측면 이동 과정을 통해 조직의 네트워크를 장악하고 내부 정보를 탈취하는 단계를 사전에 차단할 수 있다.

B. Kimsuky

북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [4]

Kimsuky 그룹은 공격 과정에서 AppleSeed, AlphaSeed 등 자체 제작한 악성코드들 외에도 TinyNuke(HVNC)나 TightVNC와 같은 원격 제어를 위한 다양한 악성코드를 사용한다. 하지만 이러한 악성코드들은 계정 정보 탈취를 위한 직접적인 기능들은 포함하고 있지 않기 때문에 이를 담당하는 인포스틸러 악성코드를 함께 사용하는 경향이 있다. 다음은 최근 공격에서 사용된 인포스틸러 악성코드로서 웹 브라우저에 저장된 계정 정보 및 쿠키, 히스토리 등 다양한 사용자 정보들을 탈취하여 동일 경로에 json 파일로 생성한다.

Kimsuky 그룹의 APT 공격에 사용된 인포스틸러 악성코드가 웹 브라우저에 저장된 사용자의 계정 정보들을 탈취하는 행위들 또한 AhnLab MDS를 이용해 탐지가 가능하다. 이에 따라 감염 시스템에 존재하는 사용자의 정보 탈취 행위를 사전에 탐지 및 차단할 수 있고 이를 통해 관리자가 공격을 인지하고 다음 단계의 공격을 사전에 막을 수 있다.

4. 결론

공격자는 다양한 방식을 이용해 사용자의 자격 증명 정보를 탈취할 수 있으며 탈취한 정보를 기반으로 측면 이동하여 최종적으로 조직의 네트워크를 장악할 수 있다. 즉 자격 증명 정보는 공격 과정에서 필수적인 단계 중 하나이며 이를 위해 공격자들은 알려진 악성코드들뿐만 아니라 직접 제작한 정보 탈취형 악성코드들을 사용하기도 한다.

샌드박스 기반 파일 분석 솔루션인 Ahnlab MDS는 가상 환경에서 파일을 실행한 후 발생한 행위를 분석한다. 알려진 악성코드들뿐만 아니라 APT 공격에서 공격자가 직접 제작한 알려지지 않은 악성코드들도 결국 실행 과정에서 정보 탈취 행위를 수행하게 된다. AhnLab MDS는 이러한 정보 탈취 행위들을 탐지하여 관리자가 공격을 인지하고 공격자의 다음 공격을 사전에 차단할 수 있다.

행위 진단
– Infostealer/MDP.Behavior.M10087
– CredentialAccess/MDP.infostealer.M10258
– CredentialAccess/MDP.infostealer.M10266
– CredentialAccess/MDP.Outlook.M11577
– CredentialAccess/MDP.IExplore.M11582
– Execution/MDP.Lokibot.M10952
– Execution/MDP.AgentTesla.M11002