Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[Malspam] Win32/Trojan.IcedID (MS Word)
작성일 2018-06-20 조회 695

 

 

 

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 내 첨부파일 (MS Word)

 

메일 내용

 - 제목: 급여 요약

 - 내용: 내용없이 pdf 및 doc 파일 첨부

 

 

 

[그림] 급여 안내문을 사칭한 스팸메일

 

 

스팸메일은 급여 안내문으로 위장하여 악성 스크립트가 삽입된 문서를 열람 및 악성 파일 다운로드 유도 실행합니다.

 

 

 

[Downloader] 실행파일 (doc)

 

행위: 악성코드 다운로더
파일 크기:128,000 bytes
SHA256: 1045ced1874d83a68988fad4adb46f5b366a55f2bc65462b25ad051f7a71ed5d
C2 
 - hxxp://planetferguson[.]net/DEAXUW/
 - hxxp://www[.]dltamap[.]com/Qxkn0t/
 - hxxp://www[.]hors-mail[.]ru/oviq4/
 - hxxp://k8ir[.]com/FrFR/
 - hxxp://www[.]comlogica[.]co[.]in/mwDwQEg
 - hxxp://positivebusinessimages[.]com/JJBZ2k

 

 

 

다운로드 된 Doc 파일을 실행하면 콘텐츠 사용 버튼 클릭을 유도합니다.

 

 

[그림]  콘텐츠 사용 버튼 활성화 유도

 

 

 

콘텐츠 사용 버튼 클릭 시 내부 스크립트가 활성화 됩니다. 

 

[그림] 난독화 스크립트

 

 

 

난독화 된 스크립트는 더미 코드와 '0x34' XOR 코드가 섞여 있으며, 평문화 시 아래의 코드를 확인할 수 있습니다.

 

[그림] 평문화 스크립트

 

 

 

악성 매크로가 실행되고, C2에서  Trojan 을 다운로드 받아 실행합니다.

 
 
[그림] Malware Download Packet
 
 
 
 
 

[Trojan] IcedID

 

행위: Trojan
SHA256 : 7b8183ab3656270025f182f56762ba14d2d9466a6b03f61f95e8d981a1f16af5
파일 크기: 580,096 bytes

 

 

 

악성코드 다운로드 이후 자동으로 실행되며, 사용자가 모르는 사이에 정보유출, 원격 코드 실행 등 다양한 행위가 이루어지게 됩니다.

 

 

 

[Sniprt APTX 탐지 결과]

 

[그림] APTX Detect

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, VBS, jse, JAR, 문서파일 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 백신 및 소프트웨어는 최신 상태로 유지한다.

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

http://malware-traffic-analysis.net/2018/06/19/index.html

첨부파일 첨부파일이 없습니다.
태그 IcedID  Backing  Trojan