SnakeKeylogger 악성코드의 EDR 탐지

1. 개요

SnakeKeylogger는 닷넷 언어로 제작된 Infostealer 유형의 악성코드로, 이메일, FTP, SMTP 또는 Telegram 등을 이용한 데이터 유출 방법을 가지고 있는 것이 특징이다. SnakeKeylogger는 과거부터 스팸 메일로 꾸준히 유포되고 있으며, 해당 악성코드에 대한 분석을 ASEC Blog에서도 다룬 바[1] 있다.

이번 글에서는 앞서 포스팅 한 글에서 분석된 SnakeKeylogger의 악성 행위를 자사 EDR 제품의 다이어그램을 통해 그 증적을 확인하고 탐지 내용에 대해 설명한다.

2. EDR 제품 탐지

안랩 EDR 제품에서는 악성코드의 행위가 기록으로 남아 침투 경로 및 악성 행위를 쉽게 파악할 수 있다.

2.1 인젝션

최초 이메일의 첨부파일로 유포되는 “BankTran.exe”는 내부적으로 암호화된 SnakeKeylogger를 가지고 있으며, 실행 시점에 해당 악성코드를 복호화 하여 인젝션한다.

즉, “BankTran.exe”는 SnakeKeylogger를 로드하는 Loader이자 Injector 역할만을 수행한다.

아래 다이어그램은 “BankTran.exe”가 정상 프로세스 RegSvcs.exe를 실행시키고 해당 프로세스에 SnakeKeylogger를 Fileless 기법으로 인젝션하는 과정을 보여준다.

[그림 1] RegSvcs.exe에 SnakeKeylogger 악성코드를 인젝션하는 행위 탐지

인젝션 과정에서 ntdll.dll을 수동으로 매핑하는 행위가 탐지되었다.

이러한 행위는 Native API를 후킹하고 있는 보안 제품을 우회하기 위해 악성코드에서 주로 사용하는 방법이며, 정상적인 DLL 로드 방식이 아니다.

AhnLab EDR 제품에서는 [그림 1]처럼 비정상적인 방법으로 DLL을 로드하는 행위를 탐지하고 있다.

또한, SnakeKeylogger가 인젝션되는 RegSvcs.exe는 .NET 프레임워크에 포함된 MS 정상파일이다. 해당 로더는 이러한 정상 프로세스에 SnakeKeylogger 악성코드를 인젝션한다.

특히, 메모리 상에서 악성코드를 복호화하여 인젝션하는 방식을 사용하여 파일이 생성되지 않는 Fileless 방식을 이용한다.

이러한 악성 행위 역시 AhnLab EDR 제품에서는 Fileless 기법으로 탐지하고 있다.

 

2.2 정보 탈취

RegSvcs.exe라는 정상 프로세스의 가면을쓴 SnakeKeylogger는 사용자의 PC에서 각종 정보를 수집한다.

수집하는 정보 목록은 간략하게 이메일, 브라우저 등이다. 

AhnLab EDR 제품에서는 아래 이미지처럼 특정 정보에 접근하는 행위를 탐지한다. 

[그림 2] 사용자 PC에 존재하는 여러 개인정보에 접근하는 행위 탐지

 

2.3 SMTP 전송

SnakeKeylogger는 사용자 PC에서 수집한 정보를 공격자에게 전달한다. 전달 하는 방법 또한 여러가지를 지원하는데, Telegram, FTP, SMTP 등의 방법이 존재한다.

본 사례의 악성코드의 경우에서는 공격자가 탈취한 방법을 SMTP 방식으로 전달받기를 선택한 것으로 보이며, 이러한 악성 행위 역시 AhnLab EDR 제품에서 탐지하고 있다.

[그림 3] 탈취한 정보를 SMTP로 전달하기 위해 네트워크에 접속하는 행위 탐지

 

3. 결론

AhnLab EDR 제품을 통해 SnakeKeylogger 악성코드를 로드 및 인젝션 하는 행위와 이후 정보를 탈취하는 악성 행위까지의 과정을 알 수 있다. 관리자는 이러한 방식을 통해 악성코드가 실행된 흐름을 파악할 수 있으며 공격에 노출된 이후에도 공격 대상이 된 시스템에서 공격자의 증적 자료로써 침해 사고 조사에 필요한 데이터를 확인할 수 있다. 

 

행위진단

– Behavior/EDR.Event.M3374
– Suspicious/DETECT.T1561.M2706
– Infostealer/EDR.Event.M2460
– Infostealer/DETECT.T1081.M3351
– Connection/EDR.T1048.003.M11903