Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Emotet (MS Word)
작성일 2017-09-28 조회 1648

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

유포 방식: E-Mail 첨부파일

제목: re: Invoice reminder

내용: 링크에서 파일을 확인 후 문의하시길 바랍니다. 감사합니다.

 

[그림] Trojan Emotet 스팸메일 (Myonlinesecurity)

 

 

[첨부파일] Emotet Downloader

행위: Downloader
파일 이름: _37209_WJ_NLR_2017 (26 Sep 17) Invoice Notice.doc
파일 크기: 66,048bytes
C2 (1): hxxp://kevinhughesdesigns[.]com/taqp/, 
C2 (2)hxxp://lovenduski[.]com/wEsjhNd/
C2 (3)hxxp://aperfectimage[.]pl//HWmw/
C2 (4)hxxp://luxmedia[.]com[.]pl/portfolio/ogZ/
C2 (5)hxxp://lymanite[.]com/RwaYgamD/
SHA256: 75eb214657020fd9b6f2d533d3c12724cf1de2adbb925d7abfd744e6ff73633d

 

 

다운로드 후 MS Word 파일을 실행하면 해당 C2에서 악성코드를 다운로드합니다.

 

 

[그림] 악성코드 다운로드 하는 doc

 

 

일반적인 다운로더와는 다르게 다양한 난독화가 이루어져 있습니다.

 

[그림] doc 문서내 매크로

 

ActiveDocument.CustomDocumentProperties("xuTFwxm") 
ActiveDocument.CustomDocumentProperties("AyprZdY") 
ActiveDocument.BuiltInDocumentProperties("Comments")

 

doc 파일의 속성값과 요약 Comment의 값을 참조하여 각 값을 불러옵니다.

 

[그림] 변수 xuTKxwm

 

 

[그림] 변수 AyprZdy

 

[그림] 요약 메모 내 Base64 Encoding 문자열

 

 

Base64 Decoding 이후 다시 한 번 난독화 되어있으며, 해당 값은 ASCII Decimal 변환으로 C2 및 각 스크립트를 확인할 수 있습니다.

 

[그림] Base64 Decoding

 

[그림] 2차 평문화

 

이와 같은 순서로 C2 접속 후 악성코드를 다운로드 합니다.

 

 

 

[Payload] Trojan Emotet

행위: Trojan (Emotet)
파일 이름: zsp.exe
파일 크기: 91,136bytes
SHA256: abab9fb142b923675dcc2b278ba84a1cbb45fa378a2f97cc9705154ca20b03bc

 

악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.

 

실행 이후 Syswow64 폴더에 자기복제 이후 서비스 등록을 진행합니다. 이와 같은 행위를 하는 이유는 원격으로 공격자가 접속하게 되면 시스템의 모든 권한을 획득할 수 있기 때문입니다.

 

[그림] SysWOW64 자가 복제

 

[그림] 악성코드 서비스 등록

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

2) MS Office 문서를 열 때 보호 모드 막대의 매크로를 활성화하거나 내용을 보기 위해 편집을 활성화하지 않는다

3) 해당 소프트웨어의 최신 버전을 유지한다.

 

 

[그림] Wins APTX

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

[그림 1] https://myonlinesecurity.co.uk/emotet-banking-trojan-delivered-by-fake-invoice-reminder-emails-appearing-to-come-from-a-known-contact/

 

첨부파일 첨부파일이 없습니다.
태그 MalSpam  Emotet  Malware  SpamMail