인포스틸러 로그스 분석 보고서
알림
InfoStealer Logs 분석 보고서는 텔레그램을 비롯한 딥웹과 다크웹에서 수집한 다양한 InfoStealer Log(RedLine, Raccoon, Vidar, Meta등)를 분석한 보고서이다. 출처와 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.
서론
이 보고서의 목적은 InfoStealer 악성코드가 탈취한 로그 데이터를 심층 분석하여 사이버 보안 위협 환경에 대한 포괄적인 통찰을 제공하는 것이다. 이는 InfoStealer 악성코드 분석 및 동향 보고가 아닌, 실제 감염 시스템의 데이터를 바탕으로 공격자의 전략, 피해 양상, 그리고 효과적인 대응 방안을 도출하기 위한 분석이다. 특히 이번 분석에서는 전 세계 28,248,895건의 감염 사례를 분석하여 지역별, 시스템별, 사용자 유형별 특징과 패턴을 도출하였다.
1) 데이터 개요
이 보고서는 2024년 8월부터 10월까지 3개월간 InfoStealer 악성코드가 수집한 로그 파일(RedLine – UserInfomation.txt, Raccoon – System Info.txt, Vidar – information.txt 등)에서 추출한 9개 주요 데이터 필드의 상위 30개 항목을 분석한 결과이다. 전체 로그 파일에는 더 많은 정보가 포함되어 있으나, 공격자의 전략과 피해 양상, 그리고 효과적인 대응 방안을 명확하게 도출하기 위해 핵심적인 9개 데이터셋의 TOP 30 데이터만을 분석 대상으로 선정하였다.
|
데이터 |
내용 |
| attack_build_id | 악성코드의 빌드 식별자 |
| attack_file_path | 악성코드의 인젝션 대상 프로세스 및 복사된 파일 경로 |
| victim_pc_av | 피해자 PC의 안티바이러스 정보 |
| victim_pc_country | 피해자의 국가 정보 |
| victim_pc_location | 피해자의 상세 위치 정보 (도시) |
| victim_pc_machinename | 피해 PC의 기기명 |
| os_name | 피해자 PC의 운영체제 정보 |
| user_type | 사용자 유형 (개인/기업) |
| victim_pc_username | 피해자의 사용자명 |
[표1] 분석에 사용된 데이터셋
각 데이터셋의 TOP 30 데이터는 해당 필드에서 가장 높은 빈도를 보이는 항목들로, 전체 데이터의 주요 패턴과 경향성을 대표할 수 있는 표본이다. 이러한 데이터 선별을 통해 InfoStealer 악성코드의 로그의 주요 특징과 피해 패턴을 더욱 명확하게 파악할 수 있었다. 비록 전체 데이터셋의 일부만을 분석 대상으로 삼았지만, 이는 최근 3개월간의 InfoStealer 악성코드의 피해 동향과 대응 방안을 도출하는 데 충분한 통계적 의미를 가지는 것으로 판단된다.
1) 주요 분석 결과
(1) 공격자 프로파일링
attack_build_id 분석 결과, ‘@mach***'(2,294,689건), ‘@+uuz8-qluneu2***'(1,687,579건), ‘russia ***'(1,215,748건)가 상위 3개 빌드로 나타났다. 주목할 만한 점은 빌드 ID의 상당수가 텔레그램 채널명이나 ID를 포함하고 있다는 것이다. 이는 공격자들이 자신들의 활동을 추적하고 관리하기 위한 방법으로 텔레그램을 활용하고 있음을 시사한다.
공격자들은 크게 Russian-speaking 그룹(“russia ***”, “@dmitriylo***”), Cloud-based 그룹(“@watercloud_ad***”, “@prdscloud_m***”), Independent 그룹(“@mach***”, “@sup_n***”) 등으로 분류하였다.

[그림1] InfoStealer 악성코드 공격자 빌드 ID 상위 10개
(2) 인젝션 대상 프로세스 및 감염 경로 분석
attack_file_path 분석을 통해 주요 타깃 (인젝션 및 자기 자신 복사) 경로의 분포를 확인하였다. .NET Framework 관련 경로가 전체의 68.2%로 가장 높은 비중을 차지했으며, Windows 시스템 경로(21.5%), 사용자 임시 폴더(8.7%), 기타(1.6%) 순으로 나타났다. 특히 regasm.exe(44.3%), bitlockertogo.exe(13.8%), msbuild.exe(9.2%) 등 정상적인 시스템 파일이 주로 인젝션 대상 프로세스로 악용되었다. 좀 더 자세한 내용은 4) 심층 분석 및 인사이트 – (2) 정상 프로세스 인젝션 악용 패턴 부분에서 설명한다.