보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

압축 파일 실행 주의! 에이전트테슬라 악성코드 유포 중

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2022-10-26

정보 탈취형 악성코드 에이전트테슬라(AgentTesla)가 악성 VB스크립트(VBScript)를 통해 유포되고 있다. 스크립트 파일에는 여러 번 난독화된 코드가 다수 존재한다.. 주간 악성코드 통계에서 꾸준히 상위권을 유지 중인 에이전트테슬라는 지난 5월 윈도우 도움말 파일(*chm)을 악용했으며, 유포 방식을 계속 변경하고 있다. 에이전트테슬라가 실행되는 과정을 자세히 알아보자.

 

 

 

에이전트테슬라는 메일에 첨부된 압축파일의 형태로 유포되는 것이 일반적이다. 최근 국내 기업 사칭 메일을 이용한 사례도 확인됐다. 

 


[그림 1] 악성코드 실행을 유도하는 사칭 이메일

 

​압축파일의 내부에는 VB스크립트가 존재하며, 파일명으로는 주로 송장이나 주문서, 제안서 등이 사용된다. 현재까지 확인된 파일명은 [1]과 같다.


[표 1] 확인된 파일명

 

VB스크립트 파일에는 [그림 2]처럼 주석과 더미 코드가 다수 존재한다.


[그림 2] VB스크립트 파일

 

주석 및 더미 코드 외에 코드 아래에는 현재 실행된 VB스크립트 파일의 문자열을 2글자씩 제외하며 인식하는 코드가 있다.


[그림 3] VB스크립트 내부 코드

 

해당 코드 실행 시 주석 문자열이 복호화돼 새로운 스크립트 코드가 실행된다. 복호화된 코드는 난독화된 셸코드 및 추가 파워셸 명령어를 포함한다.


​[그림 4] 복호화된 VB스크립트 코드

 

[그림 4]의 스크립트 코드가 실행되면 난독화된 셸코드인 ‘Ch8’의 값이 HKCU\Software\Basilicae17\Vegetates 에 저장된다.




[그림 5] 레지스트리에 저장된 값


그런 다음, ‘O9’ 변수의 값을 파워셸로 실행한다. ‘O9’ 변수에는 파워셸 명령어가 저장돼 있는데, [그림 6]처럼 난독화되어 있다.

 


[그림 6] 실행되는 파워셸 명령어

 

파워셸 코드는 ‘$Quegh’ 변수에 저장된 난독화된 값을 3글자씩 제외하는 방식으로 복호화한다. (ex.  UnsIPujEFolXInt -> IEX)

 

복호화된 명령어 역시 난독화되어 있으며, 최종적으로 실행되는 코드는 [그림 7]과 같다.


[그림 7] 최종적으로 실행되는 파워셸 명령어

 

앞서 HKCU\Software\Basilicae17\Vegetates에 저장한 난독화된 셸코드를 base64로 복호화해 실행한다. 실행된 셸코드는 정상 프로세스인 CasPol.exe에 에이전트테슬라 악성코드를 인젝션한다. 이때 에이전트테슬라는 사용자 PC 정보를 수집해 CO_[user]/[PC].zip으로 압축한 후 메일을 통해 유출한다.

공격자가 에이전트테슬라를 유포하는 데 사용한 메일 정보는 다음과 같다.

 

 

·         From : hasan@edp-bkv.com
·         To : kingpentecost22@gmail.com

 

 

·         pw : Fb56****65fr


[그림 8] 유출된 정보

자세한 내용은 ASEC 블로그에서 확인할 수 있다.
  • AhnLab 로고
  • 콘텐츠기획팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기