Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Hancitor (MS Word)
작성일 2018-03-09 조회 1152

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 내 링크

 

메일 내용

 - 제목: 서류 문서

 - 내용: 청구서 관련 확인 메일

 

 

[그림] 청구서 확인으로 위장한 스팸메일

 

 

 

스팸메일은 청구서 대한 확인 링크로 가장해 사용자에게 첨부파일 다운로드 및 실행을 유도 합니다.

 

 

 

[Link] Downloader MS Word

행위: Downloader
C2
 - batcommunications[.]com/?gDuMEUZe=Q2IRYLQMfWCQYNZTQHCB3LUw
SHA256: 1d63cfe0c0b6c80212aafef737fc63f63415634c74ac3159966f63c31c1a08d4

 

 

[그림] C2 통신

 

 

 

 

 

링크 클릭 시 스팸메일 종류에 따라 다양한 C2에서 MS Word를 다운로드 합니다.

 

 

[그림] 컨텐츠 활성화 클릭 유도

 

 

 

 

늘 그래왔듯 컨텐츠 사용을 유도하며, 단순한 클릭으로 인해 발생하는 대가는 그리 단순하지 않습니다.

클릭 시 doc 내부에 있는 난독화된 Script가 실행됩니다.

 

 

[그림] Emotet Download C2

 

 

난독화된 Script가 동작하면 악성 서버와 통신을 시도합니다. 

이때 감염PC를 식별할 수 있는 IP, GUID, INFO 등을 악성서버에 전송하게 됩니다.

 

 

 

[Malware] Zeus Panda

행위: Banking Trojan
C: cirewandbut[.]com/ls5/forum.php
SHA256: b148c9c73420619ac3efa018261da3f29b5bf86e2b1aded5895cc26dd74dd159

 

 

 

이후 추가 다운로드되는 악성코드를 자동 실행이 되며, 레지스트리에 자동 등록되어 주기적인 실행이 가능합니다. 

또한, 악성 C2로 내부의 정보를 전송하여 Trojan의 행위를 수행하게 됩니다.

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 중요 자료는 백업을 하여 자료를 보호한다.

 

 

[그림] Sniper APTX 탐지

 

[그림] Sniper APTX 탐지

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

http://www.malware-traffic-analysis.net/2018/03/07/index2.html

첨부파일 첨부파일이 없습니다.
태그 Malspam  Hancitor  ZeusPanda