Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Emotet (MS Word)
작성일 2018-03-06 조회 1175

 

 

 

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 내 링크

 

메일 내용

 - 제목: 서류 문서

 - 내용: 청구서 관련 확인 메일

 

 

[그림] 청구서 확인으로 위장한 스팸메일

 

 

 

스팸메일은 청구서 대한 확인 링크로 가장해 사용자에게 첨부파일 다운로드 및 실행을 유도 합니다.

 

 

 

[Link] Downloader MS Word

행위: Downloader
C2
 - hxxp://avico[.]net[.]pl/Rechnung-Nr-07438/
 - hxxp://boat-transport[.]info/Scan/
 - hxxp://catchwrestlingcomics[.]com/Open-invoices/
 - hxxp://ci-consult[.]de/Scan/
 - hxxp://clmfx[.]net/Informationen/
 - hxxp://dzm-ubolt[.]ru/Informationen/
 - hxxp://encuentromatrimonialcali[.]org/Overdue-payment/
 - hxxp://flyintrip[.]ru/Rechnung-Nr-00235/
 - hxxp://formatt[.]com[.]ua/CARD/JYQG497173970XRO/Feb-26-2018-36189271/PW-XDV/
 - hxxp://glukhovaolga[.]ru/Invoice-4542659/
 - hxxp://haydn-ingenieure[.]com/Scan/
 - hxxp://karuseltisak[.]hr/Rechnung/
 - hxxp://lichtblick[.]care/Corporation/OLYO10402904777NAX/37604377764/HRGS-BGPE-Feb-28-2018/
 - hxxp://mydummysite[.]com[.]au/Dokumente-vom-Notar/
 - hxxp://santexnik54[.]ru/Rechnungs-Details/
 - hxxp://simple8[.]dk/Rechnungs-Details/
 - hxxp://sp5zip[.]kei[.]pl/INFO/EZ241957090R/Feb-28-2018-53795/TPQ-YXNRR/
 - hxxp://stametal[.]gr/Invoice/
 - hxxp://stroyprivoz[.]ru/Dokumente-vom-Notar/
 - hxxp://todgroup[.]org/LLC/PJI09061052OAEEMS/56192/YJA-RIT/
 - hxxp://www[.]abexport[.]com/1ZQqbk/
 - hxxp://www[.]afxmixing[.]com/Scan/
 - hxxp://www[.]sosebi[.]it/Informationen/
 - hxxp://xn-----8kcfckfdi2c8aygjkf7s[.]xn--p1ai/Informationen/
 - hxxp://xn--rinconveleo-beb[.]com/PAYMENT/QOKO3649729NXPGN/55905945473/SSZS-JEH/
SHA256: 1fa89fc30aeb12427c5486137ffb18dca89806755379da8e5bdf010e0e6b1264

 

 

[그림] C2 통신

 

 

 

 

 

링크 클릭 시 스팸메일 종류에 따라 다양한 C2에서 MS Word를 다운로드 합니다.

 

 

[그림] 컨텐츠 활성화 클릭 유도

 

 

 

 

늘 그래왔듯 컨텐츠 사용을 유도하며, 단순한 클릭으로 인해 발생하는 대가는 그리 단순하지 않습니다.

클릭 시 doc 내부에 있는 난독화된 Script가 실행됩니다.

 

[그림] 난독화 된 Script

 

 

[그림] Emotet Download C2

 

 

 

 

[Malware] Emotet

행위: Trojan
C2
 - hxxp://abexport[.]com/1ZQqbk
SHA256
 - 1be3c5a54c962af1d266f0bb97ca2340e76885825159d1a78ed88a508978f29f
 - 17a0d59255046ed2cff22cd5980fcc86c69e059839fec07d705051ac2e178693

 

 

 

악성코드 다운로드 이후 자동 실행이 되며, 레지스트리에 자동 등록되어 주기적인 실행이 가능합니다. 

또한, 악성 C2로 내부의 정보를 전송하여 Trojan의 행위를 수행하게 됩니다.

 

[그림] C2 Post 전송

 

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 중요 자료는 백업을 하여 자료를 보호한다.

 

 

[그림] Sniper APTX 탐지

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

http://malware-traffic-analysis.net/2018/03/01/index.html

첨부파일 첨부파일이 없습니다.
태그 Malspam  Emotet