포스팅 내용

악성코드 분석 리포트

상품 구매를 희망하는 내용의 악성 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지속적으로 상품, 주문, 화물과 같은 무역 관련 내용이 담긴 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 악성 메일은 바이어로서 상품 구매를 희망한다는 내용으로, 상품 리스트로 위장한 악성 파일의 실행을 유도합니다.


[그림 1] 상품 구매 희망을 원하는 내용으로 위장한 악성 메일


이용자가 무심결에 첨부 파일 '60278411.DOC'를 실행할 경우, 상품 관련 내용이 아닌 아무런 의미가 없는 텍스트만 보여줍니다.


[그림 2] 의미 없는 내용이 담긴 '60278411.DOC' 악성 파일


하지만 'EQNEDT32.exe' 프로세스에서 MS-Office 취약점(CVE-2017-11882)에 의해 'http://sulrev[.]cf/0000000000/60000'에 있는 악성코드를 다운로드한 뒤, 임시폴더(%TEMP%)에 'test.exe' 파일 이름으로 드롭하는 기능을 가진 쉘코드를 실행합니다.


[그림 3] 'EQNEDT32.exe'에서 실행되는 쉘코드


악성코드를 다운로드한 뒤 임시폴더에 저장하는 코드는 다음과 같습니다.


[그림 4] 악성코드 다운로드 코드


다운로드 되어 실행되는 악성코드 'test.exe'는 정상 프로세스에 인젝션한 이후, 감염 기기의 화면을 스크린샷으로 저장한 뒤, C&C에 전송하는 기능을 가집니다. 다음은 감염 기기 스크린샷을 수집하는 화면입니다.


[그림 5] 감염 기기 화면 스크린샷 수집 화면


C&C에 수집한 데이터를 전송하는 화면은 다음과 같습니다.


[그림 6] C&C에 전송하는 코드



따라서 이용자가 무심결에 첨부파일을 실행하였을 경우 악성코드에 감염되어 금전적인 피해나 개인 정보 유출 피해가 발생할 수 있어 주의가 필요합니다. 따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하여 바랍니다.


해당 악성코드는 현재 알약에서 'Exploit.CVE-2017-11882, Trojan.Agent.FormBook'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage