Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Emotet (Link → MS Word)
작성일 2018-07-03 조회 935

 

 

 

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 링크

 

 

[ Link 악성 C2 ]

 

 - hxxp://all4mums[.]ru/Client/Past-Due-invoice/
 - hxxp://chinaspycam[.]com/includes/languages/english/html_includes/En/DOC/Account-20064/
 - hxxp://chouett-vacances[.]com/Payment-and-address/Invoice-70195027-070118/
 - hxxp://cqfsbj[.]cn/DOC/Auditor-of-State-Notification-of-EFT-Deposit/
 - hxxp://minami[.]com[.]tw/DOC/Account-55907/
 - hxxp://nagoyamicky[.]com/cacheqblog/Payment-and-address/Invoice-3838804/
 - hxxp://own-transport[.]com/pub/OVERDUE-ACCOUNT/tracking-number-and-invoice-of-your-order/
 - hxxp://www[.]caglarturizm[.]com[.]tr/INVOICE-STATUS/Please-pull-invoice-47924/
 - hxxp://www[.]customaccessdatabase[.]com/En/Purchase/HRI-Monthly-Invoice/
 - hxxp://www[.]gracetexpro[.]com/Greeting-eCard/
 - hxxp://www[.]jxprint[.]ru/Order/Payment/
 - hxxp://www[.]legionofboomfireworks[.]com/Statement/Direct-Deposit-Notice/
 - hxxp://www[.]marcoantoniocasares[.]com/Purchase/Pay-Invoice/
 - hxxp://www[.]perezdearceycia[.]cl/wp-content/FILE/Invoice-23382229-070218/
 - hxxp://www[.]sewamobilbengkulu[.]web[.]id/4th-July-2018/
 - hxxp://zlc-aa[.]org/New-Order-Upcoming/588052/
 - hxxp://clubvolvoitalia[.]it/r3z6/
 - hxxp://ericconsulting[.]com/7I3eUNF/
 - hxxp://www[.]goldenfell[.]ru/media/5DzF30jL/
 - hxxp://jmamusical[.]jp/wordpress/wp-content/L8J0igh/
 - hxxp://www[.]mobsterljud[.]se/VJkuLg/
 - hxxp://74[.]79[.]26[.]193:990/whoami[.]php
 - hxxp://canariasmotor[.]top

 

 
 
 
메일로 전파되는 링크 클릭 시 MS Word 파일을 다운로드 합니다. 
 
 
 
[그림]  링크 클릭 시 doc 문서 다운로드

 

 

 

 

[Downloader] 실행파일 (doc)

 

행위: 악성코드 다운로더
파일 크기: 232,192 bytes
SHA256: 4b3159ce83df623e093304b48ebf600a4932a2dc8067792b5dec5248d29c4ccf
C2  
 - hxxp://clubvolvoitalia[.]it/r3z6/
 - hxxp://ericconsulting[.]com/7I3eUNF/
 - hxxp://www[.]goldenfell[.]ru/media/5DzF30jL/
 - hxxp://jmamusical[.]jp/wordpress/wp-content/L8J0igh/
 - hxxp://www[.]mobsterljud[.]se/VJkuLg/

 

 

 

다운로드 된 Doc 파일을 실행하면 콘텐츠 사용 버튼 클릭을 유도합니다.

 

 

[그림]  콘텐츠 사용 버튼 활성화 유도

 

 

 

콘텐츠 사용 버튼 클릭 시 내부 스크립트가 활성화 됩니다. 

 

[그림] 난독화 스크립트

 

 

 

난독화 된 스크립트는 더미 코드와 '0x24' XOR 코드가 섞여 있으며, 하나의 함수를 평문화 시 아래의 코드를 확인할 수 있습니다. 코드 내 모든 함수의 평문화가 진행되면 악성 행위를 하는 스크립트로 동작합니다.

 

[그림] 평문화 스크립트

 

 

 

악성 매크로가 실행되고, C2에서 Trojan 을 다운로드 받아 실행합니다.

 
 
[그림] Malware Download Packet
 
 
 
 
 
 

[Trojan] Trickbot

 

행위: Trojan
SHA256 : da4e4afbc50adfaa1b0e3d9288ec77346d9b4ebc6bc8538c7801ef4412b19b71
파일 크기: 208,896 bytes
파일 경로: C:/Users/[username]/AppData/Local/Microsoft/[random file name].exe

 

행위: Trojan
SHA256 : 47280253fad49f9f5ebacb420b30985fc68f22fd3a6e51f41571648ce77a8edd
파일 크기: 203,776 bytes
파일 경로: C:/Users/[username]/AppData/Local/Microsoft/[random file name].exe

 

행위: Trojan
SHA256 : 2527c9eb597bd85c4ca2e7a6550cc7480dbb3129dd3d6033e66e82b0988ee061
파일 크기: 223,744 bytes
파일 경로: C:/Users/[username]/AppData/Roaming/[existing directory path]/[random file name].exe

 

 

악성코드 다운로드 이후 자동으로 실행되며, 사용자가 모르는 사이에 정보유출, 원격 코드 실행 등 다양한 행위가 이루어지게 됩니다.

 

 

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, VBS, jse, JAR, 문서파일 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 백신 및 소프트웨어는 최신 상태로 유지한다.

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

http://malware-traffic-analysis.net/2018/07/02/index.html

첨부파일 첨부파일이 없습니다.
태그 Emotet  Trojan  MalSpam