[Malware analysis] 암호 걸린 첨부 파일 내 워드문서를 통한 인포스틸러(Emotet) 악성코드

[Malware analysis] 암호 걸린 첨부 파일 내 워드문서를 통한 인포스틸러(Emotet) 악성코드

참조

- 암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드

> https://asec.ahnlab.com/1395

> https://jeongzzang.com/150

> https://jeongzzang.com/148

> https://jeongzzang.com/97

과거와 동일한 형태로 MS 워드 문서의 매크로를 통하여 인포스틸러인 이모텟이 유포되는 것을 확인할 수 있었다.

위 워드 파일의 매크로 부분을 살펴보면 아래와 같이 짜여진 것을 확인할 수 있는데 이후 확인할 것이다.

다음으론 워드 문서를 이용할 땐 매크로 활성화를 위하여 콘텐츠 사용 탭이 보여지는 것을 확인할 수 있다.

즉 매크로 [콘텐츠 사용]을 유도, 악성 매크로가 실행되면 매크로 코드는 파워쉘 프로세스를 사용하여 외부 주소로 추가 악성파일을 다운로드 시도한다.

콘텐츠 사용을 확인 후 매크로를 살펴보면 인코딩 된 매크로가 디코딩 되며 powershell을 이용하는 것을 확인할 수 있다.

파워쉘 프로세스로 전달되는 Command Line을 디코딩 시, 추가 악성코드 다운로드 URL을 확인할 수 있다.

이후 base64로 인코딩 된 내용을 디코딩 하게 되면 아래와 같이 표시 되는 것을 확인할 수 있다.

위 파일이 아래의 파일을 드롭하는 것을 확인할 수 있으며, 두 파일을 동일한 것을 알 수 있다.

드롭 된 파일은 랜덤한 이름을 가지는 것을 알 수 있었으며, 위도우 부탱 시 자동 실행 등록을 통해 C2 Server 지속적인 연결을 시도하는 것을 확인할 수 있다.

실행중인 프로세스 목록과 사용자 정보등을 수집하는 것을 확인할 수 있었다.

이후 해당 데이터를 조합한 후 CryptDuplicateHash(), CryptEncrypt()을 이용하여 인코딩을 진행하는 것을 확인할 수 있었다.

C2 전송을 위한 부분으로 큰 재귀함수로 이루워져 있었다. 여러 C2 주소와 연결을 시도하며 해당 주소가 막혀 있을 경우에는 데이터 수집을 다시하며 인코딩 후 C2 연결까지 재귀로 실행되는 것을 확인할 수 있다.

[21일 C2 주소 확인 시 연결 실패 확인]

정보를 C2로 전송하는 것을 확인할 수 있다. 또한 해당 파일의 리소스 섹션 부분에 실제 악성 데이터가 있는 것을 확인 할 수 있다.

C2 Domain : vs128.evxonline.net, vz02.adhoc.gr

C2 IP : 208.180.207.205[US], 51.38.50.144[CN], 221.147.142.214[KR/KT], 188.40.170.197[DE]

[10월 20일 C2 연결 되었을 때 10월 21일 C2 주소 막힘]

[10월 23일 연결 된 C2 주소]