Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보영국과 미국 금융정보 탈취 변종 EMOTET Trojan 분석
작성일 2017-05-18 조회 355

 

 

 

 

Emotet은 2014년 6월 cybersecurity 커뮤니티에 의해 처음 보고 되었다.
처음 버전은 2014년 6월부터 2014년 12월까지 독일 및 오스트리아 은행 고객을 대상으로 공격을 시도했다.
2015년 1월말 보고에 따르면 Emotet은 디버깅우회기술을 추가하여 스위스 은행까지 공격 범위를 확대하였다.
그리고 2017년 4월중순까지 잠잠하던 Emotet은 변형 Emotet 악성코드로 대규모 영국 스팸 캠페인에 사용되었다.

 

 

 

 

또한 4월 24일 미국의 FSLTT 공무원 대상 공격에도 사용된 것이 확인 되었다. 해당 공격에는 금융 정보 탈취 기능이 새로이 추가되었다.Emotet은 악성스펨메일을 통해 악성코드를 사용자PC에서 실행시키는데, 변종에 따라 그 방법은 진화하고 있다.

 

영국에서는 가짜 전화청구서 첨부파일에 악성링크를 포함시켜 사용자의 접속을 유도한 반면, 대응이 이루이지고 나서는 미국 변종에서는 Javascript에 링크가 포함된 악성PDF 첨부파일 링크를 포함시키는 공격으로 변화하였다.
또한 404 HTTP Not Found 메시지로 위장해 스팸리스트와 스팸메일본문등을 봇에게 전달하는 치밀함을 보여주고 있다.

 


Bot은 탐지를 우회하기 위해 인코딩된 문자열을 통해 C2와 통신하는데 HTTP Header의 Cookie 필드를 이용해 메시지를 전송한다.


Emotet은 스펨기능을 이용해 다수의 사용자에게 공격을 시도할 수 있어 공격 파급력이 크고, 스펨메일에 링크된 취약점 파일은 최근 Ms-word 취약점인 CVE-2017-0199와 같은 취약점과 결합될 수 있어 주의해야 한다.

 

 

 

-Wins Sniper 대응 방안

Sniper-IPS

[3490] Win32/Trojan.Emotet.89088

[3491] Win32/Trojan.Emotet.85757

[3492] Win32/Trojan.Emotet.85757.A

[3493] Win32/Trojan.Emotet.85757.B

[3494] Win32/Trojan.Emotet.85757.C

 

Sniper-UTM

[838861162] Win32/Trojan.Emotet.89088

[838861163] Win32/Trojan.Emotet.85757

[838861164] Win32/Trojan.Emotet.85757.A

[838861165] Win32/Trojan.Emotet.85757.B

[838861166] Win32/Trojan.Emotet.85757.C

 

 

-분석

Win32/Trojan.Emotet.89088는 사용자 정보를 탈취해 악성 스팸메일을 유포하는 Trojan 악성코드이다.
난독화된 JS파일을 통해 유포되는 Win32/Trojan.Emotet.89088는 디버깅을 우회하기 위해 DLL파일을 C2로부터 나누어 받는다.(모듈화기법)
추가 악성코드는 다음과 같은 사용자 계정정보 탈취를 시도한다.
(Google 계정, Internet Explorer에 저장된 FTP 계정, Google Talk, Office Outlook, IncrediMail, Group Mail)
스팸메일리스팅을 위해 사용자의 PST 파일에 접근해, 저장된 이메일 주소록을 탈취한다.
C2로부터 스펨메일리스트를 전달받아 악성 URL이 포함된 스펨메일을 유포한다.


1. 난독화된 JS파일이 Wscript를 통해 StandAlone 실행


2. JS파일을 이용해 아래의 C2서버를 통해 악성코드 다운로드
"hxxp://willemberg.co.za/TwnZ36149pKUsr/"
"hxxp://meanconsulting.com/K44975X/"
"hxxp://microtecno.com/i17281nfryG/"
"hxxp://thefake.com/Y96158yeXR/"
"hxxp://cdoprojectgraduation.com/eaSz15612O/"
3. 시스템 임시 폴더에 "random name.exe" 생성
4. 디버깅을 우회하기 위해 DLL파일을 C2로부터 나누어 받아 실행(모듈화기법)
5. 추가 악성코드는 사용자 계정정보 탈취(Google 계정, Internet Explorer에 저장된 FTP 계정, Google Talk, Office Outlook, IncrediMail, Group Mail)
6. PST 파일 접근해, 저장된 이메일 주소록 탈취
7. 탈취한 계정정보 및 이메일 주소록을 C2로 전송
8. Cookie에 Base64 인코딩하여 전송
9. C2는 전송받은 데이타를 스펨메일 리스트화
10. Bot은 Cookie에 스펨전송요청을 Base64로 인코딩해서 보냄
11. 스팸메시지와 스펨메일 리스트는 C&C로부터 404 Not Found 메시지 안에 암호화되어 전송


12. 전달받은 Bot은 SMTP프로토콜을 이용해 Base64인코딩된 문자열로 스펨메일 전송
13. 스펨메일에 첨부된 다운로드 URL은 악성MS-Word 문서 유포("hxxp:// hand-ip.com/Cust-Document-5777177439/")

 

취약시스템
Windows All Versions

 

위험도
CVSS Score : 9.1
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N

 

공격영향
계정탈취,스펨메일유포,임의코드 실행

 

해결방안
1. 최신 백신으로 치료한다.
2. 수동 치료시, 아래와 같은 부분을 점검한다.
  1) 시작 프로그램에 알려지지 않은 시작 프로그램이 등록되어 있는지 확인 후 삭제
  2) 인터넷 예약된 작업에 불필요한 예약된 작업이 존재하는지 확인 후, 삭제
  3) %TMP% 하위에 확인되지 않은 실행 파일(exe, bat)이 존재하는지 확인 후, 삭제

 

참조

Fortinet
Deep Analysis of New Emotet Variant ? Part 1
http://blog.fortinet.com/2017/05/09/deep-analysis-of-new-emotet-variant-part-1

Fortinet
Deep Analysis of New Emotet Variant ? Part 2
http://blog.fortinet.com/2017/05/09/deep-analysis-of-new-emotet-variant-part-2

CYPHORT
New Emotet likes Cookies, C2 Server Responds with Fake 404
https://www.cyphort.com/emotet-cookies-c2-fakes-404/

첨부파일 첨부파일이 없습니다.
태그   Banker  Banking