웹 브라우저는 PC를 사용하는 사용자들이 가장 많이 그리고 자주 사용하는 프로그램들 중 하나이다. 사용자들은 주로 검색이나 이메일 수신/발신, 인터넷 쇼핑 등의 웹 서비스를 이용하기 위해 사용하며 이는 개인 사용자뿐만 아니라 기업에서 업무를 수행하는 직원들도 동일하다.
일반적으로 이러한 서비스를 이용하기 위해서는 자신의 계정으로 로그인하는 과정이 필요한데, 각각의 서비스를 매번 사용할 때마다 로그인하는 것은 불편함이 있다 보니 대부분의 웹 브라우저는 자동 로그인 기능을 지원한다. 즉 한 번 로그인하면 이후 계정 정보가 각 애플리케이션의 설정 데이터에 저장되어 지속적인 로그인 과정 없이 이를 사용할 수 있는 것이다.
하지만 이러한 편의성과 반대로 만약 공격자가 사용자의 시스템에 대한 제어를 획득하거나 시스템에 악성코드가 설치된다면 이렇게 저장되어 있던 계정 정보가 쉽게 탈취당할 수 있다. 일반적으로 사용자들은 몇 개의 계정만을 사용하여 다양한 서비스에 가입하기 때문에 소수의 로그인한 계정 정보만 탈취당하더라도 사용자의 다양한 정보들이 공격자의 손에 넘어갈 수 있다.
1. 인포스틸러 악성코드 사례
인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트같이 애플리케이션에 저장되어 있는 계정 정보나 히스토리 등의 사용자 정보들을 탈취하는 것이 목적인 악성코드이다. 이러한 악성코드들로는 AgentTesla, Lokibot, SnakeKeylogger, RedLine 등이 있으며 전체 악성코드들 중에서 과거부터 많은 비율을 차지하고 있다.
물론 공격자들은 AntiVirus의 파일 진단을 우회하기 위해 이렇게 알려진 악성코드의 외형을 패킹 및 난독화하여 악성코드를 유포한다. 또한 정상 프로세스에 인젝션하여 실제 악성 행위가 정상 프로세스에서 동작하도록 하기도 한다. 하지만 외형이 변경되었다고 하더라도 그리고 정상 프로세스에 인젝션되어 동작한다고 하더라도 악성코드들의 행위는 알려진 악성 행위를 포함하기 때문에 AhnLab EDR로 탐지할 수 있다.
AgentTesla는 주로 스팸 메일을 통해 유포되는 인포스틸러 악성코드이다. 알려진 대부분의 웹 브라우저 및 이메일 / FTP 클라이언트 그리고 VNC 프로그램 등 다양한 애플리케이션을 대상으로 정보를 수집한다. 수집한 정보는 이후 SMTP나 FTP 또는 Telegram API를 이용해 C&C 서버로 탈취한다. [1]
AgentTesla의 정보 탈취 대상 웹 브라우저들로는 Chromium 기반 웹 브라우저(구글 크롬, MS Edge)들과 FireFox 등이 있다. 인포스틸러 악성코드들은 일반적으로 설정 정보가 저장된 경로에서 데이터 파일들을 읽어 복호화하여 계정 정보를 구한다.
다음은 정상 프로세스인 MSBuild.exe 프로세스에 인젝션된 AgentTesla가 웹 브라우저에 저장된 자격 증명 정보를 탈취하는 행위를 탐지한 사례이다. 해당 환경은 구글 크롬과 MS 엣지 웹 브라우저에 계정 정보가 저장되어 있었다. AhnLab EDR은 정상 프로세스 내에서 동작하는 AgentTesla가 웹 브라우저들에 저장된 자격 증명 정보를 탈취하는 행위를 다음과 같이 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.
2. APT 공격 사례
사용자의 계정 정보를 탈취한다는 것은 공격 단계들 중에서 공격자에게 많은 이점을 줄 수 있는 중요한 과정이다. 예를 들어 공격 대상이 일반 사용자라고 하더라도 이를 활용하여 추후 더 많은 정보를 획득할 수 있으며 공격이 성공할 때까지 초기 침투 과정으로 사용하거나 피해자가 기업 사용자의 경우 조직의 내부 네트워크를 장악하기 위한 측면 이동 과정에서도 활용할 수 있다.
이에 따라 자격 증명을 획득하는 행위는 APT 공격 그룹에서도 필수적으로 사용하는 단계이다. 즉 불특정 다수에게 유포되는 알려진 악성코드들 외에 APT 공격 그룹도 인포스틸러 악성코드들을 자주 사용한다. 중요한 점은 APT 공격자의 특성상 위와 같은 악성코드들을 사용하는 대신 알려지지 않은 악성코드를 직접 제작하여 공격에 사용하는 사례가 많다는 점이다. 하지만 악성코드를 새롭게 제작했다고 하더라도 정보를 탈취하는 행위는 이미 알려진 악성코드들과 유사한 행위가 대부분이다.
다음은 Andariel 그룹이 제작한 정보 탈취 악성코드로서 구글 크롬, 파이어폭스, 인터넷 익스플로러, 오페라와 함께 네이버 웨일 웹 브라우저를 탈취 대상으로 했다. [2] 해당 악성코드는 커맨드 라인 도구로서 추출한 계정 정보를 커맨드 라인으로 출력하였으며 공격자는 백도어를 이용해 결과를 C&C 서버에 전달하였을 것으로 추정된다. 참고로 과거 유포된 유형임에 따라 현재 기준으로는 정상적으로 동작은 하지 못하지만 새로운 공격에서는 최신 버전을 지원할 것으로 보인다.
AhnLab EDR은 의심스러운 프로그램이 웹 브라우저에 저장된 자격 증명 정보를 탈취하는 행위를 다음과 같이 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.
3. 결론
공격자는 다양한 방식을 이용해 사용자의 자격 증명 정보를 탈취할 수 있으며 탈취한 정보를 기반으로 측면 이동하여 최종적으로 조직의 네트워크를 장악할 수 있다. 즉 자격 증명 정보는 공격 과정에서 필수적인 단계 중 하나이며 이를 위해 공격자들은 알려진 악성코드들뿐만 아니라 직접 제작한 정보 탈취형 악성코드들을 사용하기도 한다.
웹 브라우저는 대부분의 사용자가 기본적으로 사용하는 프로그램이며 편의성을 위해 자동 로그인 기능을 사용하는 경우가 많다. 만약 어떠한 경로를 통해 시스템에 인포스틸러 악성코드가 감염될 경우 저장되어 있는 계정 정보가 탈취당할 수 있다. 웹 브라우저에 저장되어 있는 자격 증명 정보를 탈취하는 방식은 단순하게 계정 정보가 저장되어 있는 파일들을 읽어와 복호화하는 방식이기 때문에 AntiVirus와 같은 제품 단독으로는 이러한 행위를 완벽하게 차단하는 데 한계가 있다.
AhnLab EDR (Endpoint Detection and Reponse)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.
행위 진단
– CredentialAccess/MDP.WebBrowser.M11628
– CredentialAccess/MDP.WebBrowser.M11633
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지