정보 유출 맬웨어 공격자들은 탐지를 피하기 위해 끊임없이 기술을 개선하고 있으며, 이러한 위협은 점점 더 커지고 있습니다. 이러한 위협 중 일부는 다음과 같습니다. 뱀 키로거 개인과 기업을 표적으로 삼아 신원 정보를 훔치는 악성코드가 가장 활발하게 활동하는 것으로 나타났습니다.
그것의 알려진 다단계 감염 체인 및 은밀한 메모리 내 실행SnakeKeylogger는 감지되지 않은 채로 민감한 데이터를 수집하도록 설계되었습니다.
최근 Seqrite Labs에서는 SnakeKeylogger를 손상된 시스템에 최종 페이로드로 전달하는 흥미로운 악성 캠페인을 관찰했습니다.
감염 벡터:
초기 감염 벡터는 악성 스팸 이메일입니다. .img가 [디스크 이미지 파일] 파일을 첨부 파일로 다운로드합니다. .img 파일을 열면 파일 내 데이터에 액세스할 수 있는 가상 드라이브가 생성됩니다. 이 .img 파일 안에 있는 파일은 실행 파일(Stage1)로, PDF 문서처럼 위장하고 있으며, 파일 아이콘과 이름은 중요한 PDF 문서와 유사하도록 신중하게 선택되어 있어 수신자가 해당 파일을 열 가능성을 높입니다.
공격 체인:
Snake Keylogger는 체계적인 접근 방식을 통해 자격 증명 및 기타 민감한 데이터를 수집합니다. 이러한 접근 방식은 다음과 같습니다.
- 인코딩된 페이로드 다운로드 및 복호화, 은밀한 실행을 보장합니다.
- 난독화된 DLL을 메모리에 직접 로드디스크 기반 감지를 피합니다.
- 악성코드 주입 진짜 프로세스, 특히 .Net Framework 관련 프로세스로 전환합니다.
- 기본 Outlook 프로필 확인 저장된 이메일 자격 증명을 추출합니다.
- 여러 브라우저와 이메일 클라이언트에서 로그인 데이터 수집저장된 비밀번호를 훔칩니다.
- FileZilla에서 저장된 FTP 자격 증명 추출, 이는 추가적인 활용에 사용될 수 있습니다.
기술적 분석 –
1단계(다운로더 및 로더):
이 파일은 약 64KB 크기의 x10비트 .Net 컴파일 실행 파일입니다.
1단계는 다운로더 및 로더 역할을 합니다. 실행 시 원격 서버에 연결하여 일부 미디어 파일을 가져오려고 시도합니다.
URL을 처음 보면 서버에서 간단한 미디어 파일(*.mp3)을 가져오는 것처럼 보입니다. 하지만 자세히 살펴보면 이는 미디어 파일이 아니라 위장된 인코딩된 페이로드임을 알 수 있습니다.
페이로드는 디스크에 저장된 파일이 아닌 응답 스트림으로 검색됩니다. 배열 변수 "array"에 바이트 배열로 저장됩니다.
Apache 서버가 악성코드 배포에 악용되고 있습니다.
URL을 자세히 조사한 결과, Apache 2.4.58(Windows) 서버가 악성 캠페인 실행에 악용되고 있음을 확인했습니다. 공격자는 hxxp://103.72.56.30/PHANTOM/에 호스팅된 암호화된 악성 페이로드를 적극적으로 유지 관리 및 업데이트하고 있습니다.
보시다시피 공격자는 /PHANTOM/ 디렉터리 내에 파일을 정기적으로 업로드하고 순환시킵니다. 이 전술[TA0042]은 서비스형 맬웨어(MaaS) 공격이나 지속적인 피싱 및 맬웨어 배포 캠페인에서 흔히 사용되며, 공격자는 안정적인 인프라를 유지하면서 페이로드를 업데이트할 수 있습니다[T1608].
1단계 분석으로 돌아가면, 스트림을 가져온 후에는 복호화 루틴을 따라 페이로드를 디코딩합니다.
검색된 페이로드(배열)는 각 바이트에서 3을 빼서 디코딩되고, 그 결과는 배열 변수 "array2"에 저장됩니다. 디코딩된 페이로드에 PE 파일 헤더가 있음을 알 수 있습니다. 디코딩된 스트림, 즉 "array2"를 덤프하고 디코딩된 페이로드를 조사하기 시작했습니다. 그 결과, 해당 파일은 Stage2 DLL 파일이며 메모리에 동적으로 로드되는 것을 확인했습니다.
2단계(Xspilbxpui.dll)
DiE(Detect it Easy) 도구로 분석한 결과, 해당 파일은 .NET으로 컴파일된 32비트 DLL 파일임을 확인할 수 있습니다. 이 파일은 역공학을 방지하기 위해 고도로 난독화, 보호 및 암호화되어 있어 실제 기능과 실행 흐름을 파악하기 어렵습니다.
이 샘플에서 흥미로운 점은 API 모니터링을 우회하기 위해 고도의 난독화와 중간 코드 생성과 함께 대리자를 사용했다는 것입니다.
감염 경로의 이 단계에서 맬웨어는 프로세스 할로잉(process hollowing) 기법을 사용하여 InstallUtil.exe를 표적으로 삼아 은밀하게 페이로드를 실행합니다. "InstallUtil.exe"는 서버 리소스를 설치 및 제거하는 데 사용되는 합법적인 Windows 유틸리티입니다. 프로세스 할로잉은 새로운 프로세스를 일시 중단된 상태로 생성하고, 해당 프로세스의 합법적인 메모리 영역을 매핑 해제한 후, 프로세스가 재개되기 전에 빈 공간에 악성 코드를 삽입하여 공격자의 페이로드를 실행하는 정교한 기법입니다.
주입된 페이로드는 WIFI 연결 세부 정보와 함께 시스템 데이터를 훔치려는 SnakeKeylogger 변종입니다.
주입된 InstallUtil.exe 프로세스는 자격 증명 수집 맬웨어와 일치하는 동작을 보이며, 민감한 사용자 데이터를 저장하는 광범위한 애플리케이션을 표적으로 삼고 있습니다.
SnakeKeylogger는 Microsoft Outlook 9375 및 Outlook 0413111+가 사용자 프로필 구성을 저장하는 중요한 레지스트리 위치 {3CFF88d00104B2A6676B2013A2016}에 접근합니다. 이 구성에는 이메일 계정 정보, 메일 서버 설정, 그리고 암호화될 수 있는 자격 증명이 포함됩니다. 손상된 이메일 계정은 다중 인증(MFA)을 우회하거나, 피해자를 사칭하거나, 조직 내에서 추가 공격을 실행하는 데 악용될 수 있습니다.
SnakeKeylogger가 타겟으로 하는 애플리케이션의 카테고리와 목록은 다음과 같습니다.
| 웹 브라우저(Chromium 및 기타 변형) | |||
| Google Chrome | Xpom 브라우저 | 쿠원 브라우저 | 슈퍼버드 브라우저 |
| 마이크로 소프트 에지 | 7스타 브라우저 | 코코크 브라우저 | 블랙호크 브라우저 |
| 비발디 | 블리스크 브라우저 | 오비텀 브라우저 | 카탈리나그룹 시트리오 |
| 슬림 젯 | 킨자 브라우저 | 스푸트니크 브라우저 | 에픽 프라이버시 브라우저 |
| 이리듐 | 토치 브라우저 | 리바오7 브라우저 | Avast 보안 브라우저 |
| Chromium | 코모도 드래곤 | QIP 서핑 브라우저 | QQ 브라우저(텐센트) |
| UC브라우저 | 용감한 브라우저 | 니크롬 브라우저 | 메이플스튜디오 크롬플러스 |
| 360 브라우저 | 시트리오 브라우저 | 오페라 / 오페라 GX | 우란 브라우저(uCozMedia) |
| 펜리르 주식회사 슬레이프니르5 | |||
이러한 애플리케이션은 비밀번호, 쿠키, 자동 완성 데이터를 "로그인 데이터" 파일에 저장합니다. SnakeKeylogger는 이 민감한 데이터를 쿼리하고 읽으려고 시도합니다.
| Mozilla 기반 브라우저 |
| 모질라 파이어 폭스 |
| 워터 폭스 |
| 이유로 |
| 코모도 IceDragon |
| 사이버폭스(8pecxstudios) |
| 페일 문(Moonchild Productions) |
이러한 저장소는 "프로필"에 로그인, 북마크, 세션 데이터 및 기록을 저장합니다.
| 이메일 클라이언트 |
| 썬더버드(프로필) |
| 우편함(프로필) |
여기에는 이메일 자격 증명과 서버 구성이 저장됩니다.
| 인스턴트 메시징/커뮤니케이션 앱 |
| 피진(.purple/accounts.xml) |
이러한 저장 기능은 구성 파일에 채팅 자격 증명을 저장합니다.
| FTP 클라이언트 |
| FileZilla의 |
최근 액세스한 FTP 서버 목록과 "recentservers.xml" 파일에 저장된 사용자 이름 및 비밀번호에 액세스하려고 합니다.
파일 해시(MD5):
851A5FFAC3EE2DA08557108239F90FAB
FD7634082A916C3BD8C94C8493FC83E2
9AD19A4E2D41E214D7BF04F74151DDBD
07B21AAE60698970EBDC2E854B3ACFED
아래는 MITRE 공격입니다. SnakeKeylogger의 전술, 기술 및 절차(TTP):
| 전술 | 기법/ 하위 기술 |
순서 |
| 초기 액세스(TA0001) | T1566.001 | 스피어피싱 첨부 파일 |
| 실행(TA0002) | T1204.002 | 악성 파일 실행 |
| 방어회피(TA0005) | T1140 | 파일이나 정보의 난독화를 해제하고 디코딩합니다. |
| T1027 | 난독화된 파일이나 정보. | |
| T1218.004 | 시스템 바이너리 프록시 실행: InstallUtil. | |
| T1202 | 간접 명령 실행. | |
| 자격 증명 액세스(TA0006) | T1555 | 비밀번호 저장소의 자격 증명. |
| -T1555.003 | 웹 브라우저의 자격 증명. | |
| -T1555.004 | 이메일 클라이언트의 자격 증명. | |
| -T1555.005 | 비밀번호 관리자의 자격증명. | |
| 디스커버리(TA0007) | T1083 | 파일 및 디렉토리 검색. |
| T1012 | 쿼리 레지스트리. | |
| 컬렉션(TA0009) | T1114.002 | 클라이언트 애플리케이션을 통한 이메일 수집. |
| 명령 및 제어(TA0011) | T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜. |
| T1105 | Ingress 도구 전송. | |
| 자원개발(TA0042) | T1608.001 | 단계 기능: 맬웨어 업로드 |
결론 :
SnakeKeylogger 캠페인은 의심하지 않는 사용자에게 악성 첨부 파일을 전송하는 스팸 이메일로 시작하는 고도로 구조화된 공격 체인을 보여줍니다. 공격자는 암호화된 형태의 악성코드를 호스팅하기 위한 안정적인 인프라를 유지하여 페이로드를 원활하게 배포하고 업데이트합니다. 감염은 여러 단계를 거치며 진행되며, 파일 형식 기만, 프로세스 할로잉, 암호화된 페이로드 실행 등의 기법을 활용하여 탐지를 회피합니다.
이 맬웨어의 주요 목표는 Outlook 프로필 자격 증명, 이메일 구성 및 기타 저장된 인증 세부 정보를 비롯한 민감한 데이터를 수집하는 것입니다. 이러한 데이터는 비즈니스 이메일 침해(BEC)나 추가 침입에 악용되거나 지하 시장에서 판매될 수 있습니다.
저자 :
프라실 문
루마나 시디키
