인포스틸러 로그스 분석 보고서

인포스틸러 로그스 분석 보고서

알림

 

 

InfoStealer Logs 분석 보고서는 텔레그램을 비롯한 딥웹과 다크웹에서 수집한 다양한 InfoStealer Log(RedLine, Raccoon, Vidar, Meta등)를 분석한 보고서이다. 출처와 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

 

서론

 

 

이 보고서의 목적은 InfoStealer 악성코드가 탈취한 로그 데이터를 심층 분석하여 사이버 보안 위협 환경에 대한 포괄적인 통찰을 제공하는 것이다. 이는 InfoStealer 악성코드 분석 및 동향 보고가 아닌, 실제 감염 시스템의 데이터를 바탕으로 공격자의 전략, 피해 양상, 그리고 효과적인 대응 방안을 도출하기 위한 분석이다. 특히 이번 분석에서는 전 세계 28,248,895건의 감염 사례를 분석하여 지역별, 시스템별, 사용자 유형별 특징과 패턴을 도출하였다.

 

 

 

 1)   데이터 개요

 

 

이 보고서는 2024년 8월부터 10월까지 3개월간 InfoStealer 악성코드가 수집한 로그 파일(RedLine – UserInfomation.txt, Raccoon – System Info.txt, Vidar – information.txt 등)에서 추출한 9개 주요 데이터 필드의 상위 30개 항목을 분석한 결과이다. 전체 로그 파일에는 더 많은 정보가 포함되어 있으나, 공격자의 전략과 피해 양상, 그리고 효과적인 대응 방안을 명확하게 도출하기 위해 핵심적인 9개 데이터셋의 TOP 30 데이터만을 분석 대상으로 선정하였다.

 

 

 

데이터

내용

attack_build_id 악성코드의 빌드 식별자
attack_file_path 악성코드의 인젝션 대상 프로세스 및 복사된 파일 경로
victim_pc_av 피해자 PC의 안티바이러스 정보
victim_pc_country 피해자의 국가 정보
victim_pc_location 피해자의 상세 위치 정보 (도시)
victim_pc_machinename 피해 PC의 기기명
os_name 피해자 PC의 운영체제 정보
user_type 사용자 유형 (개인/기업)
victim_pc_username 피해자의 사용자명

[표1] 분석에 사용된 데이터셋

 

 

각 데이터셋의 TOP 30 데이터는 해당 필드에서 가장 높은 빈도를 보이는 항목들로, 전체 데이터의 주요 패턴과 경향성을 대표할 수 있는 표본이다. 이러한 데이터 선별을 통해 InfoStealer 악성코드의 로그의 주요 특징과 피해 패턴을 더욱 명확하게 파악할 수 있었다. 비록 전체 데이터셋의 일부만을 분석 대상으로 삼았지만, 이는 최근 3개월간의 InfoStealer 악성코드의 피해 동향과 대응 방안을 도출하는 데 충분한 통계적 의미를 가지는 것으로 판단된다.

 

 

 

1)   주요 분석 결과

 

 

 

(1) 공격자 프로파일링

 

 

attack_build_id 분석 결과, ‘@mach***'(2,294,689건), ‘@+uuz8-qluneu2***'(1,687,579건), ‘russia ***'(1,215,748건)가 상위 3개 빌드로 나타났다. 주목할 만한 점은 빌드 ID의 상당수가 텔레그램 채널명이나 ID를 포함하고 있다는 것이다. 이는 공격자들이 자신들의 활동을 추적하고 관리하기 위한 방법으로 텔레그램을 활용하고 있음을 시사한다.

 

공격자들은 크게 Russian-speaking 그룹(“russia ***”, “@dmitriylo***”), Cloud-based 그룹(“@watercloud_ad***”, “@prdscloud_m***”), Independent 그룹(“@mach***”, “@sup_n***”) 등으로 분류하였다. 

 

 


[그림1] InfoStealer 악성코드 공격자 빌드 ID 상위 10개

 

 

(2)  인젝션 대상 프로세스 및 감염 경로 분석

 

 

attack_file_path 분석을 통해 주요 타깃 (인젝션 및 자기 자신 복사) 경로의 분포를 확인하였다. .NET Framework 관련 경로가 전체의 68.2%로 가장 높은 비중을 차지했으며, Windows 시스템 경로(21.5%), 사용자 임시 폴더(8.7%), 기타(1.6%) 순으로 나타났다. 특히 regasm.exe(44.3%), bitlockertogo.exe(13.8%), msbuild.exe(9.2%) 등 정상적인 시스템 파일이 주로 인젝션 대상 프로세스로 악용되었다. 좀 더 자세한 내용은 4) 심층 분석 및 인사이트 – (2)  정상 프로세스 인젝션 악용 패턴 부분에서 설명한다.