티스토리 뷰

[Malware analysis] 5개월만에 돌아온 Emotet Malware


조 

- 매크로를 이용한 워드 파일 Emotet Malware

https://jeongzzang.com/148

- 과거 Emotet Malware 분석

https://jeongzzang.com/97


뉴스 내용과 같이 과거 Emotet 악성코드와 최근 유포되는 Emotet 악성코드와 인자 값이 필요하지 않는지 확인 차 분석을 진행하였다.

(그림 1)와 같이 5개월만에 돌아온 유포중인 Emotet 샘플 파일 확보 후 분석을 진행하였다. 

(그림 1)


구조 확인 시 (그림 2)와 같은 문자열을 확인할 수 있다.

(그림 2)


(그림 3)와 같은 방식을 이용하여 dll을 로딩하는 것을 확인할 수 있다.

(그림 3)


(그림 4)를 보게되면 인코딩 된 악성 데이터를 복사한 후 (그림 2)에서 확인한 문자열과 디코딩 루프를 통하여 디코딩 된 악성 데이터를 확인할 수 있다.

(그림 4)


디코딩 된 악성 데이터 추출 후 분석 시 (그림 5)와 같은 여러 분기문을 확인할 수 있다.

(그림 5)


분석 진행 시 (그림 6)와 같이 dll & api 로딩 하는 것을 확인할 수 있다. 참고로 fs:[30] - PEB를 이용하여 로딩한다.

(그림 6)


뉴스 내용과 같이 과거 Emotet 악성코드와는 다르게 인자 값을 요구하지 않는 것을 확인할 수 있다.

계속 진행 시 복잡한 분기가 진행 되는데 파일 경로를 얻거나 파일명을 얻어 확장자와 파일명 분리등을 진행하면서 원본 파일을 삭제하고 새로운 경로에 파일을 복사하는 것을 확인할 수 있다. 이후 생성 여부와 상관없이 iscsicli.exe Zone.Identifier을 삭제하는 것을 확인할 수 있다.

또한, (그림 7)을 보게되면 과거 Emotet와 같이 레지스트리를 통한 서비스 생성을 하는 것을 확인할 수 있다. EnumServicesStatusEx(), OpenService(), QueryServiceConfig2(), ChangeServiceConfig2() API를 이용하여 과거 Emotet과 똑같이 랜덤한 설명을 넣는 것 까지 같은 걸 확인할 수 있다.

이후 다른 분기들은 진행하지 않고 종료하는 것을 확인할 수 있다.

(그림 7)


등록된 서비스(iscsicli) attach 후 분석 시 나머지 분기문을 통해 수집된 정보를 POST 메소드를 통하여 정보유출을 하는 것을 확인할 수 있었다.


댓글
댓글쓰기 폼
공지사항
«   2020/08   »
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
Total
151,721
Today
2