Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Emotet (MS Word)
작성일 2018-03-22 조회 1344

 

 

 

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 내 링크

 

메일 내용

 - 제목: DHL Shipment 배달 일정

 - 내용: 자세한 일정 확인은 해당 링크를 클릭하십시오

 

 

 

[Mail] MS Word download link

 

행위: Downloader
C2  
 - hxxp://icetest[.]gectcr[.]ac[.]in/Mar-21-10-35-45/View/
 - hxxp://nisargseafood[.]com/Mar-21-10-00-51/Express-Domestic/
 - hxxp://piripiriveiculos[.]com/galerias/Past-Due-Invoice/
 - hxxp://www[.]angelhunter[.]club/Past-Due-Invoices/
 - hxxp://www[.]grandemacelleriaegidio[.]com/Information/
 - hxxp://www[.]i99point[.]com/wp-content/Past-Due-Invoices/
 - hxxp://www[.]parquenaturaldelmontgo[.]com/Rechnung/
 - hxxp://www[.]studiodilauro[.]com/RECHNUNG-24925/
 - hxxp://www[.]tgpitalia[.]com/Mar-21-08-39-37/Quantum-View/
 - hxxp://www[.]visit-cape-verde[.]com/Mar-21-05-59-20/Ship-Notification/
 - hxxp://aeksingolot[.]com/Z86ja4Q/
 - hxxp://mplus-sr[.]jp/029I80m/
 - hxxp://www[.]bharanihomoeoclinic[.]com/k8Ig/
 - hxxp://www[.]breakfasttravel[.]com/F3enp7s/
 - hxxp://www[.]cchc[.]org[.]pe/YTma/

 

 

 

 

스팸메일은 DHL를 사칭하여 악성 링크 접속 및 악성코드 다운로드를 유도합니다.

 

 

 

 

[그림] DHL를 사칭한 스팸메일

 

 

 

 

링크는 DHL 사이트로 기재되어 있지만 실제 클릭 시 다양한 악성 C2에 접속하여 MS Word 파일을 다운로드 합니다.

 

[그림] 1차 악성 C2 (MS Word Download)

 

 

 

 

 

[Payload] MS Word

 

행위: 악성코드 다운로더
파일 크기: 214,016 bytes
SHA256: fa33ed5509519fabc4126386f289e58a8b863358e8173991ad857d3745bc8aa6
C2 
 - hxxp://aeksingolot[.]com/Z86ja4Q/
 - hxxp://mplus-sr[.]jp/029I80m/
 - hxxp://www[.]bharanihomoeoclinic[.]com/k8Ig/
 - hxxp://www[.]breakfasttravel[.]com/F3enp7s/
 - hxxp://www[.]cchc[.]org[.]pe/YTma/

 

 

 

 

링크 클릭 시 스팸메일 종류에 따라 다양한 C2에서 MS Word를 다운로드 합니다.

문서의 내용을 보기 위해선 "콘텐츠 사용" 버튼을 누르라는 문구가 있습니다.

 

 

[그림] 컨텐츠 활성화 클릭 유도

 

 

 

 

공격자의 의도대로 사용 버튼을 누르게 된다면 doc 내부에 있는 Script가 실행됩니다. 

 

 

[그림] 문서 내 난독화 Script

 

 

 

Powershell Script가 실행함과 동시에 C2 서버에 접속하여 악성코드를 다운로드하고 실행합니다.

 

 
 
[그림] Malware Download Packet
 
 
 
 
 
 
 

[Malware] Banking Trojan Trickbot 

 

행위: Trojan
SHA256 : f02048c2d51493b3c428e6bf5231d1bbd6a25a92459cbc70856ff736313f8b49
파일 크기: 139,264 bytes

 

 

 

악성코드 다운로드 이후 자동으로 실행되며, 사용자가 모르는 사이에 정보유출, 원격 코드 실행 등 다양한 행위가 이루어지게 됩니다.

 

 

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 백신 및 소프트웨어는 최신 상태로 유지한다.

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

http://malware-traffic-analysis.net/2018/03/21/index.html

첨부파일 첨부파일이 없습니다.
태그 Emotet  Malspam