Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Trickbot (MS Word)
작성일 2017-09-04 조회 1369

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

유포 방식: E-Mail 첨부파일

 

메일 내용

 - 제목: Royal Bank of New Secure Message

 - 내용: 친애하는 고객님

          고객님은 안전한 메시지를 받았습니다.

          MS word 첨부파일을 다운로드하여 보시길 바랍니다. 

          이 메시지의 유효성에 대해 궁금한 점이 있으면 발신자에게 직접 문의하십시오.

          궁금한 점이 있으시면 RBS 은행의 보안 이메일 지원 데스크(0131 521 2231)로 문의하십시오.

 

외국 사례라 와닿지 않을 수도 있지만 우리가 사용하는 주 거래은행에서 다음과 같은 내용으로 메일이 온다면

누구나 열어볼 것이라고 장담합니다. 이 글을 쓰고 있는 필자 또한 열어보지 않을 것이라는 장담을 할 수 없습니다.

언제나 신뢰하지 못하는 사용자의 메일은 주의해야 합니다.

 

 

[그림 1] 은행 계정 정보 확인을 가장한 스팸메일 (myonlinesecurity)

 

 

[첨부파일] Trickbot Downloader

행위: Trojan TrickBot Downloader
파일 이름: RBS2737953_7488.doc
파일 크기: 102,912 bytes
C2 (1): hxxp://beardedcollie[.]ch/kas7.png 
C2 (2): hxxp://6-express[.]ch/kas7.png
확장자: .doc
SHA256: f18939a5269e73ecf9da726db9ee9fcdb81d642c0233c5a617822c405c880e1c

 

 

스팸메일로 유포되는 MS Word 첨부파일에는 Script를 통해 외부에서 악성코드를 다운로드 합니다. 그러기 위해선 아래와 같이 "콘텐츠 사용" 을 허용 해야 하며 친절하게도 해당 doc에는 '콘텐츠 사용'을 누르라는 설명이 적혀있습니다.

 

콘텐츠를 보려면 "편집 허용"을 클릭하여 노란색 막대를 만든 다음 "콘텐츠 활성화"를 클릭하십시오.

 

 

신뢰하지 못하는 메일에서 다운로드 한 문서는 절대로 콘텐츠 사용을 누르면 안됩니다.

 

 

[그림 2] '콘텐츠 사용 - 사용자 - 보안 장비' 의 삼각관계

 

 

 

[그림 3] 악성코드 다운로드 하는 doc

 

 

 

컨텐츠 사용 버튼을 누른 후 MS Word 내 스크립트가 실행되고 지정된 C2에서 악성코드를 다운로드 합니다. (현재 C2가 죽어있습니다.)

 

 

[그림 4] 악성코드 다운로드

 

 

 

[Payload] Trojan Trickbot

행위: Trojan (Trickbot)
파일 이름: kas7
파일 크기: 500,224 bytes
확장자: .png → .exe
SHA256: 0a8a65f81001f20152e3b7591b01cfc82d3af55dd6a45187f8cdf38e15c23875

 

악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

2) MS Office 문서를 열 때 보호 모드 막대의 매크로를 활성화하거나 내용을 보기 위해 편집을 활성화하지 않는다

3) 해당 소프트웨어의 최신 버전을 유지한다.

 

 

 

[그림 5] Wins APTX(doc Downloader)

 

 

[그림 6] Wins APTX(Trojan TrickBot)

 

 

참고

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

[그림 1] https://myonlinesecurity.co.uk/new-secure-message-royal-bank-of-scotland-delivers-trickbot-banking-trojan/

[그림 2] https://twitter.com/bry_campbell/status/903332131442761728

첨부파일 첨부파일이 없습니다.
태그