* 출처는 안랩입니다.
최근 안랩이 스네이크 키로거(SnakeKeylogger) 악성코드가 이메일로 유포 중인 사레를 확인했다. 스네이크 키로거는 닷넷(.NET) 언어로 제작된 인포스틸러(InfoStealer) 유형의 악성코드로,
이메일, FTP, SMTP 또는 텔레그램(Telegram) 등을 악용해 데이터를 유출한다는 것이 특징이다.
스네이크 키로거의 유포 과정을 자세히 알아보자.
[그림 1] 피싱 이메일 본문
최초로 유포되는 방식은 일반적으로 [그림 1]과 같이 이메일 형태를 띤다. 사람들에게 대체로 민감한 주제인 금전 관련 내용으로 관심을 끌어 첨부된 실행 파일(BankTran.exe)을 실행하도록 유도한다.
BankTran.exe는 오토잇(AutoIt) 스크립트로 컴파일된 실행 파일(PE)이다. 내부 오토잇 스크립트 추출 시 오토잇 스크립트 한 개와 바이너리 파일 2개 등 총 파일 3개가 추출된다. 각 파일의 이름과 역할은 [표 1]과 같다.
파일명 |
종류 |
역할 |
{Unknown}.au3 |
Obfuscated AutoIt Script (Loader) |
teres를 로드 |
teres |
ShellCode (Injector) |
quinquenniad 를 복호화 및 인젝션 |
quinquenniad |
.NET PE (Encrypted SnakeKeylogger) |
SnakeKeylogger 악성코드 |
[표 1] 추출되는 파일, 종류, 역할
이제부터 오토잇 스크립트에서 정상 프로세스에 스네이크 키로거가 인젝션되는 과정을 살펴보자.
[그림 2] 추출된 오토잇 스크립트
* 전체내용은 아래에서 확인하세요
https://www.ahnlab.com/ko/contents/content-center/35654