Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Emotet (MS Word)
작성일 2018-06-01 조회 894

 

 

 

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 내 링크

 

메일 내용

 - 제목: UPS Shipment 배송 추적

 - 내용: 배송 사고로 배송이 지연되었으니 배송 추적 확인을 위해 해당 링크를 클릭하십시오

 

 

 

[Mail] MS Word download link

 

행위: MS Word 다운로드
C2  
 - hxxp://ravefoto[.]de/wpp-app/ups[.]com/WebTracking/SF-601968981704/

 

 

 

 

스팸 메일은 UPS를 사칭하여 악성 링크 접속 및 악성 Word 파일 다운로드를 유도합니다.

 

 

 

 

[그림] UPS를 사칭한 스팸메일 (malware-traffic-analysis)

 

 

 

 

링크는 UPS 사이트로 기재되어 있지만 실제 클릭 시 악성 C2에 접속하여 MS Word 파일을 다운로드 합니다.

 

 

[그림] 1차 악성 C2 (MS Word 다운로드)

 

 

 

 

 

[Payload] MS Word

 

행위: 악성코드 다운로더
파일 크기: 112,128 bytes
SHA256: b4fdb77c5b6eede55fa1025dcbd522ada24dc6fef82efbeac60934cb6a8e8005
C2 
 - hxxp://theonetruematt[.]com/qFljsvx/

 

 

 

 

다운로드된 MS Word를 열면 문서의 내용을 보기 위해 "콘텐츠 사용" 버튼을 누르라는 문구가 있습니다.

 

 

[그림] 콘텐츠 활성화 클릭 유도

 

 

 

 

공격자의 의도대로 사용 버튼을 누르게 된다면 doc 내부에 있는 Script가 실행됩니다. 

 

 

[그림] 문서 내 난독화 Script

 

 

 

 

Powershell Script 실행과 동시에 C2 서버에 접속하여 악성코드를 다운로드하고 실행합니다.

 

 
[그림] Malware Download Packet (1)
 
 
 
 
[그림] Malware Download Packet (2)
 
 
 
 

[Malware] Emotet Banking Trojan

 

행위: Trojan
SHA256 : 5f321fc562f81d55a5a712ba24d8748543cfc51eca79a28b0bcd03542ca8aece
파일 크기: 143,360 bytes

 

 

 

악성코드 다운로드 이후 자동으로 실행되며, 사용자가 모르는 사이에 정보 유출, 원격 코드 실행 등 다양한 행위가 이루어지게 됩니다.

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 백신 및 소프트웨어는 최신 상태로 유지한다.

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

http://malware-traffic-analysis.net/2018/03/21/index.html

첨부파일 첨부파일이 없습니다.
태그 Emotet  Trojan  Malspam