[오늘의 보안] AgentTesla 악성코드

 

<3줄 요약>

- 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황 발견
- 다른 이메일 계정을 통해 발신한다는 제목으로 수신자를 속여 악성파일(.BAT)의 실행 유도
- xcopy 명령을 통해 BAT 파일을 복사하고, 정상 powershell.exe를 png 확장자로 위장

 

BAT 파일: 실행시 윈도우 응용프로그램인 cmd.exe에 의해 구동되는 스크립트 파일 유형

AgentTesla: 인포스틸러 악성코드로, 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보 유출

파일리스(Fileless) 기법: 일반적인 악성코드는 실행파일(PE)형태를 가지지만, 파일리스는 운영체제에서 제공하는 스크립트 엔진을 사용해 악성행위를 수행

 

 

 

https://asec.ahnlab.com/ko/57256/

스팸 메일로 유포되는 정보탈취 악성코드(AgentTesla) - ASEC BLOG

AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. 

[그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다. 다른 이메일 계정을 통해 발신한다는 제목으로 수신자를 속여 악성파일(.BAT)의 실행을 유도했다. 첨부된 zip 압축 파일 내부에는 [그림 2] 와 같이 배치 스크립트 파일(.BAT)이 포함되어 있다. BAT 파일은 실행시 윈도우 응용프로그램인 cmd.exe 에 의해 구동되는 스크립트 파일 유형이다.

[그림 1] 피싱 메일 본문

[그림 2] 첨부된 zip 파일 내부의 악성 스크립트(.bat)

 

[그림 3]은 BAT 파일 스크립트로 난독화 되어있다. 해당 BAT 파일은 실행시 [그림 4]의 EDR 탐지화면과 같이 xcopy 명령을 통해 BAT 파일을 복사하고, 정상 powershell.exe 를 png 확장자로 위장하여 복사한다.

[그림 3] 악성 BAT 파일

[그림 4] cmd.exe 로 부터 실행된 xcopy 명령 (bat파일 복사, powershell.exe 를 png 확장자로 위장하여 복사) (EDR)

 

이후 png 확장자로 위장된 powershell.exe(Lynfe.png)를 통해 파워쉘 명령을 실행한다. [그림 5]의 EDR 탐지화면과 같이 파워쉘 프로세스 이름이 png 확장자로된 프로세스(Lynfe.png)로 표기되며, 해당 프로세스가 파워쉘 명령 실행한다.

[그림 5] cmd.exe 로 부터 실행된 파워쉘 스크립트(EDR)

 

[그림6]은 디코딩한 파워쉘 명령이다. 파워쉘 명령은 BAT 파일 내부에 인코딩된 데이터를 복호화(gzip, reverse) 하여 DLL 페이로드를 만든 후, 파워쉘 프로세스에 로드한다. 로드된 DLL은 [그림 7]과 같이 디코딩한 쉘코드를 실행하며, 해당 쉘코드는 추가적인 디코딩 루틴을 수행 후, AgentTesla 악성코드를 메모리에서 최종적으로 실행한다.

[그림 6] 디코딩된 파워쉘 명령어(BAT 파일 내부에 인코딩된 닷넷 DLL을 로드)

[그림 7] 닷넷 DLL 기능(디코딩한 쉘코드를 실행)

 

[그림 8]은 최종적으로 파워쉘 프로세스(Lynfe.png) 에서 실행되는 AgentTesla 악성코드의 기능으로 특정 브라우져(Edge)의 계정정보 탈취 기능에 해당한다. 이와 같이 여러 경로에서 계정정보 관련한 데이터를 탈취하며, [표 1]은 탈취 정보의 수집경로의 일부이다.

[그림 8] 최종 페이로드 AgentTesla 기능 (계정정보 탈취)

계정정보 관련 데이터 수집 경로 일부

“Sputnik\Sputnik\User Data” “Elements Browser\User Data” “\NETGATE Technologies\BlackHawk\” “BraveSoftware\Brave-Browser\User Data” “\Waterfox\” “uCozMedia\Uran\User Data” “Opera Software\Opera Stable” “Microsoft\Edge\User Data” “\Comodo\IceDragon\” “CatalinaGroup\Citrio\User Data” “7Star\7Star\User Data” “Fenrir Inc\Sleipnir5\setting\modules\ChromiumViewer” “Yandex\YandexBrowser\User Data” “\Thunderbird\” “Chedot\User Data” “Iridium\User Data” “Kometa\User Data” “Chromium\User Data” “QIP Surf\User Data” “\Mozilla\Firefox\” “\Mozilla\SeaMonkey\” “\K-Meleon\” “liebao\User Data” “CocCoc\Browser\User Data” “\Mozilla\icecat\” “Amigo\User Data” “Vivaldi\User Data” “Orbitum\User Data” “MapleStudio\ChromePlus\User Data” “360Chrome\Chrome\User Data” “Google\Chrome\User Data” “Comodo\Dragon\User Data” “Epic Privacy Browser\User Data” “\Flock\Browser\” “\Postbox\” “Coowon\Coowon\User Data” “\Moonchild Productions\Pale Moon\” “\8pecxstudios\Cyberfox\” “Torch\User Data” “CentBrowser\User Data”

[표 1] 계정정보 관련 데이터 수집 경로 일부

 

[그림 9]는 정보탈취 행위의 EDR 탐지화면으로 png 파일을 위장한 파워쉘프로세스가 브라우져 계정정보에 접근함을 증적을 통해 알 수 있다.

[그림 9] AgentTesla 의 계정정보 탈취 증적 (EDR)

 

정보 탈취 행위를 수행한 후, 파워쉘 프로세스(Lynfe.png) 에서 실행되는 AgentTesla 는 [그림 10]과 같이 수집한 데이터를 공격자가 제어하는 ​​FTP 서버로 전송한다.

[그림 10] 최종 페이로드 AgentTesla 기능 (FTP를 통해 C2로 탈취한 정보를 전송)

이처럼 스팸메일을 통해 유포되는 AgentTesla 정보탈취 악성코드의 감염 흐름을 EDR 증적 데이터를 활용하여 설명하였다. 공격자는 EXE 파일이 생성되지 않는 정교한 파일리스 기법을 사용하였으며, 유포 이메일 또한 다른 이메일 계정을 통해 발신한다는 제목으로 교묘히 위장하였다. 첨부파일을 열어볼 때는 악성코드가 실행 가능한 확장자가 존재하는지 항상 주의하여야 하고 보안 제품을 이용한 모니터링을 통해 공격자로부터의 접근을 파악하고 통제할 필요가 있다.

[행위 진단]
CredentialAccess/EDR.Event.M11362

[파일 진단]
Trojan/BAT.Agent.SC192347

[IOC]
6d9821bc1ca643a6f75057a97975db0e