포스팅 내용

악성코드 분석 리포트

사용자 데이터 탈취 협박 메일로 유포중인 Emotet 악성코드 주의!



안녕하세요.

이스트 시큐리티 ESRC입니다.


구정 연휴가 끝나자마자 Emotet 악성코드가 또다시 기승을 부리고 있어 사용자들의 주의가 필요합니다.



[그림1] 악성 메일



이번에 유포된 악성 메일은 어색한 한국어로 작성되어 있으며, 사용자의 사적인 데이터와 재무 데이터를 탈취했다며 사용자에게 금전적인 요구를 하고 있습니다.


어색한 한국어는 번역기를 돌려 작성한 것으로 추정됩니다.


악성메일에는 악성 문서 파일이 포함되어 있습니다.


만약 사용자가 첨부된 악성 문서 파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다.



[그림2] 매크로 실행을 유도하는 악성 DOC 파일



매크로는 가비지 코드와 함께 파워셸을 실행하는 코드를 포함하고 있습니다. 



[그림3] 악성 매크로가 포함된 워드 파일



powershell.exe 프로세스 매개변수로 전달된 난독화 스크립트를 해제하면 다음과 같습니다. 스크립트는 공격자가 접속 가능한 C&C서버를 조회함과 동시에 EMOTET 악성코드 파일을 다운로드합니다.



[그림4] 난독화를 해제한 스크립트



스크립트는 공격자가 접속 가능한 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬 PC에 655.exe로 저장하고 실행합니다.


다운로드된 파일은 C:\Users\P[사용자계정]\[랜덤 숫자].exe’ 형태로 생성됩니다.



[그림5] 다운로드 파일 생성



다운로드 된 악성코드는 사용자로부터 의심을 피하기 위해 ‘%appdata%\Local\shextwce\shextwce.exe’ 경로로 자가 복제를 수행합니다. ‘shextwce.exe’ 파일명은 공격자가 미리 하드 코드한 단어들을 사용하여 랜덤으로 조합되며 분석 시스템 별로 상이할 수 있습니다.


이렇게 실행된 이모텟(Emotet) 악성코드는 사용자 PC에 자가복제 및 자동실행 등록을 하며, 로컬 PC 정보 탈취, 추가 악성코드 다운로드 등의 악성행위를 합니다. 


현재 알약에서는 해당 악성코드에 대하여 Trojan.Downloader.DOC.Gen, Trojan.Agent.Emotet로 탐지 중에 있으며, 변종에 대해서도 지속적인 모니터링을 진행 중에 있습니다. 


공격에 사용된 IoC 데이터는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다. 






티스토리 방명록 작성
name password homepage