티스토리 뷰

728x90
반응형

[Malware analysis] 암호 걸린 첨부 파일을 이용한 Emotet


참조

https://jeongzzang.com/162

https://www.virustotal.com/gui/file/c6837f0ac871c07b7e1330f74ba054bffcf4b9d45e482669cfa35f7447229353/detection

https://www.virustotal.com/gui/file/57f5134f5273a79ff5d44d820975ee70ddedf209d190f5d210e5efde5fca06a8/detection


10월 20일에 작성한 암호가 걸린 첨부 파일 내 이모텟이 유포되는 것을 확인할 수 있었다.

오늘도 성격이 같은 유형의 악성코드를 간략히 정리한다.


아래 그림을 보게 되면 .zip 파일로 암호를 요구하는 것을 확인 할 수 있다.


해당 암호 입력 후 압축 해제 시 doc 워드 파일을 확인 할 수 있으며, 이전 게시물과 같이 콘텐츠 사용을 이용하는 것을 확인 할 수 있다.


살펴보면 아래와 같은 걸 확인 할 수 있으며 계속 살펴보겠다.


매그로 진행 시 파워쉘을 이용하는 것을 확인 할 수 있으며, 이전 게시물과 같은 유형인 걸 확인 할 수 있다.


Base64 디코딩 후 살펴보면 아래와 같은 도메인을 확인 할 수 있다.

alexdepase.coach/wp-admin/lc4ZVsh

amiral.ga/wp-content/cUFTze5/

iebf.org.uk/wp-admin/QF/

onlineapps.com.au/wp-includes/ZROO26A9/

gazeindia.com/wp-content/kOCbnAdSdG/

alarmpistoolcom/wp-admin/3dk0z92i4/

factum24.pro/cgi-bin/dYNq4D/ 



e-spaic.pt

agenciainfluenciar.com.br

dmlinks.bid

hsecaravans.co.uk

wndz.hk

protrek-vietnam.vn

gshock-vietnam.vn



윈도우 부팅 시 자동 실행 등록을 통해 C2 Server 지속적인 연결을 시도하는 것을 확인할 수 있다.


정보를 C2로 전송하는 것을 확인할 수 있다.

유포지 : 172.67.219.205[US], 104.27.186.18[US], 104.27.187.18[US], 104.27.186.177[US], 172.67.179.87[US], 104.27.187.177[US], 85.187.128.34[US], 70.32.23.56[US], 188.208.140.21[US], 149.210.209.195[NL], 208.109.13.165[US], 161.97.75.68[NL], 107.180.71.232[US], 172.67.177.103[US], 104.18.61.182[US], 104.18.60.182[US], 87.247.241.226[GB], 49.234.138.140[CN], 112.78.1.97[VN]

C2 IP : 61.118.67.173[JP], 91.121.200.35[FR]



728x90
반응형
댓글
댓글쓰기 폼
반응형
250x250
공지사항
«   2020/12   »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
Total
167,463
Today
4