Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Trickbot (Link → MS Word)
작성일 2018-06-25 조회 1353

 

 

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 링크

 

[Link 악성 C2]

 - hxxp://yk-centr[.]ru/Rechnungszahlung/Rechnungsanschrift-korrigiert-087252/
 - hxxp://vytyejeu[.]com/Hilfestellung/Rechnung-vom-21/06/2018-0204-5097/
 - hxxp://the-grizz[.]com/gallery/g2data/DOC-Dokument/Erinnerung-an-die-Rechnung=
 - hxxp://xn--yyc-jk4buiz50r[.]com/Zahlung/Rechnungsanschrift-korrigiert-08629/
 - hxxp://www[.]robotizando[.]com[.]br/images/conteudo/RECH/Rechnung-fur-Zahlung-099=
 - hxxp://www[.]gokturklerauto[.]com/OVERDUE-ACCOUNT/Order-80480257473/
 - hxxp://idealbalance[.]hu/DOC/Bezahlen-Sie-die-Rechnung/
 - hxxp://www[.]muccimobilya[.]com/New-Order-Upcoming/618351/
 - hxxp://www[.]nltu[.]edu[.]ua/Fakturierung/Rechnung-0269807/
 - hxxp://zlc-aa[.]org/Order/Please-pull-invoice-70869/
 - hxxp://turbobuicks[.]net/Rechnungsanschrift/Fakturierung-080755/
 - hxxp://xazhuangxiugs[.]com/Zahlung/Fakturierung/
 - hxxp://www[.]silveroks[.]com[.]ua/DOC/Invoice/
 - hxxp://johnsonlam[.]com/RECHNUNG/Rechnung/
 - hxxp://roue[.]com[.]mx/STATUS/HRI-Monthly-Invoice/
 - hxxp://www[.]beautyskin[.]vn/STATUS/574024/
 - hxxp://king-dom101[.]net/DOC/Zahlung-bequem-per-Rechnung-0030071/
 - hxxp://www[.]aone-hotel[.]com/RECHNUNG/Rechnung-053-5799/
 - hxxp://www[.]i-cplus[.]ru/DOC-Dokument/Fakturierung/
 - hxxp://julesheerkens[.]nl/Payment-and-address/Invoice-976267/
 - hxxps://amox[.]de/INVOICE-STATUS/Invoice-02678728-062118/
 - hxxp://zafado[.]com/aspnet_client/Jun2018/Services-06-21-18-New-Customer-WF/
 - hxxp://stellamidia[.]com[.]br/Purchase/Invoice-01836/
 - hxxp://0579dna[.]cn/FORM/Fakturierung-098-503/
 - hxxp://www[.]dormerwindow[.]net/Zahlung/Ihre-Rechnung-010-4114/
 - hxxp://www[.]jhonhusein[.]com/Order/Invoices/
 - hxxp://tutorial9[.]net/ACCOUNT/Invoice-053858/
 - hxxp://sxzxgsi[.]com/Payment-and-address/Customer-Invoice-OU-9111069/
 - hxxp://www[.]cesaco[.]com/Purchase/Invoice-449888/
 - hxxp://www[.]globalholidaystours[.]com/DOC/Order-3897578363/
 - hxxp://shunji[.]org/wordpress/ACCOUNT/Direct-Deposit-Notice/
 - hxxp://www[.]abihayatturkuaz[.]com/STATUS/Invoice-943988/
 - hxxp://www[.]coni[.]med[.]br/New-Order-Upcoming/tracking-number-and-invoice-of-yo=
 - hxxp://www[.]autfaciam[.]com/Client/29203/
 - hxxp://www[.]mwmkzqtg[.]com/INVOICE-STATUS/Payment/
 - hxxp://www[.]citadinos[.]cl/Client/Invoice/
 - hxxp://pekny[.]eu/ACCOUNT/Order-03590180500/
 - hxxp://maedwellresidential[.]mintbig[.]com/Order/Invoice-6195785/
 - hxxp://www[.]brandstories[.]today/Client/Auditor-of-State-Notification-of-EFT-D=
 - hxxp://adrianagaite[.]com[.]ar/New-Order-Upcoming/Invoice-0757615844-06-21-2018=
 - hxxp://vinastone[.]com/New-Order-Upcoming/Invoice-613340/
 - hxxp://cyrylcoffee[.]pl/FILE/HRI-Monthly-Invoice/
 - hxxp://autumnnight[.]cz/Statement/Invoices/

 

 
 
 
메일로 전파되는 링크 클릭 시 MS Word 파일을 다운로드 합니다. 

 

 

[Downloader] 실행파일 (doc)

행위: 악성코드 다운로더
파일 크기: 219,904 bytes
SHA256: f45ecb1b57fcf5d6a157f9935574a8c480ec39223dac678c5d5865151e675647
C2 
 -  hxxp://healthdataknowledge[.]com/uzTxQ/
 - hxxp://ccp[.]al/8YbmKj/
 - hxxp://www[.]renduo[.]net/nJ9v/
 - hxxp://establecimientos[.]sintinovoy[.]sevapp20[.]com/yuKf/
 - hxxp://bingosdovovo[.]com/zScjuy/

 

 

 

다운로드 된 Doc 파일을 실행하면 콘텐츠 사용 버튼 클릭을 유도합니다.

 

 

[그림]  콘텐츠 사용 버튼 활성화 유도

 

 

 

콘텐츠 사용 버튼 클릭 시 내부 스크립트가 활성화 됩니다. 

 

[그림] 난독화 스크립트

 

 

 

난독화 된 스크립트는 더미 코드와 '0x34' XOR 코드가 섞여 있으며, 평문화 시 아래의 코드를 확인할 수 있습니다.

 

[그림] 평문화 스크립트

 

 

 

악성 매크로가 실행되고, C2에서 Trojan 을 다운로드 받아 실행합니다.

 
 
[그림] Malware Download Packet
 
 
 
 
 

[Trojan] Trickbot

 

행위: Trojan
SHA256 : 8ae59b74f2fbaf64c3911018652c9dd5ccdf4d3d51c27b8489be15b2c78134ef
파일 크기: 193,536 bytes

 

 

 

악성코드 다운로드 이후 자동으로 실행되며, 사용자가 모르는 사이에 정보유출, 원격 코드 실행 등 다양한 행위가 이루어지게 됩니다.

 

 

 

[Sniprt APTX 탐지 결과]

 

[그림] APTX Detect

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, VBS, jse, JAR, 문서파일 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 백신 및 소프트웨어는 최신 상태로 유지한다.

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

http://malware-traffic-analysis.net/2018/06/22/index.html

첨부파일 첨부파일이 없습니다.
태그 Malspam  Trickbot