포스팅 내용

악성코드 분석 리포트

특정 통신사업자를 사칭한 피싱 메일로 Emotet 악성코드 유포중!



안녕하세요 ESRC 입니다. 

국내 기간통신사업자를 사칭한 피싱 메일을 통해 Emotet 악성코드가 유포중에 있어 기업 사용자들의 각별한 주의가 필요합니다. 


금일 발견된 피싱 메일은 회선 절체 작업, 운영보고서 등 기업 운영에 관련된 내용을 사칭하고 있으며, 본문에는 별다른 내용 없이 첨부파일 클릭을 유도합니다. 




[그림1] 피싱 메일



사용자가 피싱메일에 첨부된 악성 문서파일을 실행하게 되면, 다음과 같은 안내를 사용자에게 보여주어 [콘텐츠 사용] 버튼을 눌러 매크로 기능을 활성시키도록 유도합니다. 



[그림2] 피싱메일에 첨부된 악성문서파일



악성 매크로는 쓰레기 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있습니다. 



[그림3] 워드파일에 포함된 악성 매크로 



powershell.exe 프로세스 매개변수로 전달된 난독화 스크립트는 공격자가 접속 가능한 C&C서버를 조회하는 동시에 EMOTET 악성코드 파일을 다운로드합니다.



[그림4] 난독화를 해제한 스크립트



스크립트는 공격자가 접속 가능한 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬 PC에 '779.exe' 이름으로 저장하고 실행합니다.


다운로드 된 파일은 ‘C:\Users\[사용자계정]\[랜덤 숫자].exe’ 형태로 생성됩니다.



[그림5] 다운로드 파일 생성



다운로드 된 악성코드는 사용자로부터 의심을 피하기 위해 ‘%appdata%\Local\shextwce\shextwce.exe’ 경로로 자가 복제를 수행합니다. 


‘shextwce.exe’ 파일명은 공격자가 미리 하드 코드한 단어들을 사용하여 랜덤으로 조합되며 분석 시스템 별로 상이할 수 있습니다.


이렇게 실행된 이모텟(Emotet) 악성코드는 사용자 PC에 자가복제 및 자동실행 등록을 하며, 로컬 PC정보탈취, 추가악성코드 다운로드 등의 악성행위를 합니다. 


현재 알약에서는 해당 악성파일에 대해 Trojan.Downloader.DOC.Gen, Trojan.Agent.Emotet로 탐지중에 있습니다. 


공격에 사용된 IoC 데이터와 추가 분석데이터는 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 제공할 예정입니다.





티스토리 방명록 작성
name password homepage