Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[Malspam]Win32/Ransomware.Sigma (MS Excel)
작성일 2018-03-12 조회 529

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 내 링크

 

메일 내용

 - 제목: 서류 문서

 - 내용: 이력서 제출 메일

 

 

[그림] 이력서로 위장한 스팸메일

 

 

 

스팸메일은 이력서로 가장해 사용자에게 첨부파일 다운로드 및 실행을 유도 합니다.

 

 

 

[Link] Downloader MS Word

행위: Downloader
C2 : hxxp://104[.]250[.]151[.]119/troll.bin
SHA256: 1a8ca3df973d2c6e47fe923bfb6bb848f1785a6f979f19dafbd9d20d78f39e03

 

 

 

링크 클릭 시 스팸메일 종류에 따라 다양한 C2에서 MS Word를 다운로드 합니다.

 

 

[그림] 컨텐츠 활성화 클릭 유도

 

 

 

늘 그래왔듯 컨텐츠 사용을 유도하며, 단순한 클릭으로 인해 발생하는 대가는 그리 단순하지 않습니다.

클릭 시 doc 내부에 있는 난독화된 Script가 실행됩니다.

 

 

[그림] 난독화 된 Script

 

 

 

Script가 실행되므로써 다운로드 행위가 진행됩니다.

현재 C2가 막혀있어 다운로드 행위는 하지 않지만 추후 공격자에 의해 서버가 열리게 된다면 감염의 우려가 있습니다.

 

 

 

[그림] C2 통신

 
 

[Malware] Sigma Ransomware

행위: Ransomware
SHA256 : 5650f296f684d8e7eb89a7914f75075766c533db05f33b7e4d7f10ebe4dbc5a2

 

 

 

악성코드 다운로드 이후 자동 실행이 되며, 특정 대상 파일을 암호화 및 삭제 하는 랜섬웨어에 감염 됩니다.

파일의 복호화가 쉽지 않기 때문에 주의가 필요합니다.

 

 

[그림] Ransomware 감염 시 변경되는 바탕화면

 

 

[그림] Ransomware Note

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 중요 자료는 백업을 하여 자료를 보호한다.

 

 

[그림] Sniper APTX 탐지

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

https://myonlinesecurity.co.uk/regarding-a-career-fake-resume-malspam-delivers-sigma-ransomware/

첨부파일 첨부파일이 없습니다.
태그 Malspam  Ransomware  Sigma