포스팅 내용

악성코드 분석 리포트

악성 이메일을 통해 계속적으로 유포되고 있는 이모텟(Emotet) 악성코드 주의!


안녕하세요.

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지난주(9/26)부터 악성 이메일을 통한 이모텟(Emotet) 악성코드가 꾸준히 유포되고 있어 주의가 필요합니다.



악성문서파일이 첨부되어 있는 이메일은 한가지 내용이 아닌 다양한 형태의 소재로 내용이 작성되어 있습니다.


- '[설문 참여] PC 로그인 지연현상 발생여부 설문조사', 

- xxxxx건의 출원을 위한 영문 명세서 검토 요청 및 서명서류

- '回复: RE: MV.PAN BEGONIA(SPQB-073) - 본선 동정'



[그림 1] 수신된 악성 이메일



첨부된 악성문서파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다.


[그림 2] 악성문서 실행화면



매크로는 가비지 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있습니다. 파워쉘 실행 코드는 아래의 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬PC에 752.exe로 저장하고 실행합니다.


**파워쉘 코드에 의해 연결되는 C&C서버 목록

http://siwanaloaded[.]com/wp-content/woRGfyvdNm/

http://solocorba[.]com/wp-content/nt9mkg1ox_f71fh-971704144/

http://cms.namfai-hk[.]com/fvrky/fsSwBVAf/

http://www.rudboyscrew[.]com/wp-admin/3nbrwa_4s6ehs-92/

http://web1ngay[.]com/viethan/wp-content/uploads/q3kqsizsud_fojv0iq-7570766/


최종적으로 다운로드되는 악성코드의 주요행위는 시스템 정보 수집과 임의파일 추가 다운로드입니다.


수집하는 시스템 정보는 OS version 정보와 SessionID값이며 추가적으로 프로세스 목록들을 수집하여 서버에 전송합니다.


 

[그림 3] 프로세스 목록 수집 코드



[그림 4] 수집한 정보 전송 코드



전송되는 데이터는 암호화하여 공격자가 사전에 지정한 서버(45[.]79.188.67)에 업로드되며, 업로드 경로는 아래의 경로에서 임의의 3개를 선택하여 생성합니다.


**업로드 경로 리스트

'teapot', 'pnp', 'tpt', 'splash', 'site', 'codec', 'health', 'balloon', 'cab', 'odbc', 'badge', 'dma', 'psec', 'cookies', 'iplk', 'devices', 'enable', 'mult', 'prov', 'vermont', 'attrib', 'schema', 'iab', 'chunk', 'publish', 'prep', 'srvc', 'sess', 'ringin', 'nsip', 'stubs', 'img', 'add', 'xian', 'jit', 'free', 'pdf', 'loadan', 'arizona', 'tlb', 'forced', 'results', 'symbols', 'report', 'guids', 'askbar', 'child', 'cone', 'glitch', 'entries', 'between', 'bml', 'usbccid', 'sym', 'enabled', 'merge', 'window', 'scripts', 'raster', 'acquire', 'json', 'rtm', 'walk', 'ban'


이렇게 감염된 시스템에서 수집한 정보를 전송한 뒤, 공격자 서버를 통해 추가 파일을 다운로드하고 실행합니다. 추가 다운로드된 파일을 실행 시, 공격자의 명령에 따라 메모리에 로드되거나 파일이 드롭&실행됩니다.


 

[그림 5] 추가파일 다운로드 코드



Emotet 악성코드는 주로 위와 같은 악성문서파일을 포함하는 이메일을 통해 유포가 이뤄지고 있으므로, 출처가 불분명한 메일에 있는 첨부파일 및 링크에 대해서는 접근을 삼가해야 하며, 검증되지 않은 파일을 실행하기 전에는 신뢰할 수 있는 백신 프로그램을 활용하여 악성 여부를 체크해주시기 바랍니다.


현재 알약에서는 해당 emotet 악성코드에 대해 Trojan.Agent.Emotet 으로 탐지하고 있으며, 관련 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.



티스토리 방명록 작성
name password homepage