영화 캐릭터로 친숙한 이름, 호크아이 악성코드 주의
호크아이 키로거(HawkEye Keylogger)는 주로 스팸 메일을 통해 유포되는 정보 탈취형 악성코드이다. 최근에는 에이전트테슬라(AgentTesla), 폼북(Formbook), 로키봇(Lokibot)이 정보 탈취 유형의 대부분을 차지하지만, 얼마전 까지만 해도 호크아이는 이러한 악성코드들만큼 대량으로 유포되었다.
최근 들어 호크아이 유포가 많이 줄어들긴 했지만, 그럼에도 올해 역시 꾸준히 해당 악성코드가 확인되고 있다. 이번 글에서는 ASEC이 발견한 호크아이 키로거 악성코드 공격 사례와 방법에 대해 소개한다.
호크아이 키로거 악성코드(이하 호크아이)는 다른 정보 탈취형 악성코드와 유사하게 스팸 메일의 첨부 파일을 통해 유포되는 경우가 대부분이다. 다음은 2021년 2월과 3월경 국내 사용자를 대상으로 유포된 스팸 메일들이다.
[그림 1] 2021년 2월 확인된 스팸 메일
[그림 2] 2021년 3월 확인된 스팸 메일
EML 파일이 직접적으로 수집되지 않더라도, 접수된 파일명을 봤을 때 대부분 스팸 메일의 첨부 파일명으로 추정된다.
*EML 파일: 이메일 애플리케이션을 통해 저장된 이메일 파일
– Payment_Advice_GLV225445686.exe
– POinv00393.exe
– 0M5389847667355_030420210000.PDF.exe
– K409476485-03032021B.pdf.exe
– x3984776490246720210313.PDF.exe
– s779800_02102021.PDF.exe
호크아이의 정보 탈취 대상을 보면 기본적인 시스템 정보 외에도 웹브라우저, 이메일 클라이언트 등에 대한 계정 정보들이 있다. 또한 코인 지갑 파일이나 마인크래프트 계정 정보 파일도 대상으로 한다. 참고로 호크아이 정보 탈취 대상은 대부분 과거 버전의 응용 프로그램들이며, 최신 버전의 프로그램에서는 정상적으로 동작하지 않을 수 있다. 이외에도 호크아이에는 키로깅, 클립보드 로깅 및 스크린샷 캡쳐를 탈취하는 기능들이 있다.
호크아이는 내부에 닐소프트(NirSoft)` 사의 웹브라우저패스뷰(WebBrowserPassView)와 메일패스뷰(Mail PassView) 프로그램을 포함하고 있다. 이 프로그램들은 각각 웹브라우저에 저장되어 있는 계정 정보와 이메일 클라이언트에 저장되어 있는 계정 정보를 추출해 보여주는 툴이다. 아래 [그림 3]의 버전 정보를 보면 2013년경에 제작된 버전이며, 이는 호크아이 자체가 과거에 개발되었기 때문에 해당 시점의 버전이 포함된 것으로 추정된다.
[그림 3] 비밀번호 복구 툴
닐소프트의 계정 정보 추출 툴들은 과거 “/stext” 커맨드라인 옵션을 제공하였다. WebBrowserPassView를 더블 클릭으로 실행시키면 GUI(Graphical User Interface) 화면을 보여준다. 하지만, “/stext” 옵션과 함께 복구된 비밀번호를 저장할 텍스트 파일의 경로를 부여하면 사용자가 인지하지 않은 채로, 즉 GUI 화면 없이 툴을 사용할 수 있다. 호크아이는 이를 악용하여 직접 계정 정보 탈취 루틴을 구현하지 않고 기존 존재하는 유틸리티를 활용한다. 참고로 최신 버전에서는 이러한 옵션을 지원하지 않고 있다.
호크아이는 WebBrowserPassView와 Mail PassView를 직접 실행하지 않고 정상 프로그램인 vbc.exe를 실행해 여기에 해당 툴들을 인젝션하는 방식으로 실행시킨다. 다음 [그림 4]의 프로세스 트리를 보면 vbc.exe 실행 시 내부에는 계정 정보 추출 툴이 동작하며, 웹브라우저 계정 정보는 “holderwb.txt” 파일, 메일 클라이언트 계정 정보는 “holdermail.txt” 파일로 저장하는 것을 볼 수 있다. 이후 이렇게 생성된 텍스트 파일을 읽어 공격자 서버(C&C)에 전달한다.
[그림 4] 자사 RAPIT(악성코드 자동분석 인프라)에서 확인되는 프로세스 트리
호크아이는 탈취한 정보를 공격자에게 전달하는 방식으로 3가지를 지원한다. 하나는 에이전트테슬라(AgentTesla)와 스네이크키로거(SnakeKeylogger)에서 자주 사용되는 SMTP 즉 이메일을 통한 방식이며, 다른 하나는 FTP를 이용해 파일을 업로드하는 방식, 마지막으로 HTTP를 이용하는 방식이 있다.
[그림 5] C&C 주소 디코딩 루틴
호크아이는 오래 전부터 존재하던 악성코드이기 때문에 웹브라우저나 다른 응용 프로그램들에 대한 계정 정보 탈취 기능이 최신 버전을 사용하는 환경에서는 동작하지 않을 수 있다. 하지만 키로깅, 클립보드, 스크린샷 로깅과 같은 기능들은 버전과 관련없이 정상적으로 동작하기 때문에 사용자의 정보를 탈취하는 것에는 변함이 없다.
사용자들은 의심스러운 이메일을 수신할 경우 첨부 파일 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트 해 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
출처 : AhnLab