[Malware analysis] 암호 걸린 첨부 파일을 이용한 Emotet

[Malware analysis] 암호 걸린 첨부 파일을 이용한 Emotet

참조

> https://jeongzzang.com/162

> https://www.virustotal.com/gui/file/c6837f0ac871c07b7e1330f74ba054bffcf4b9d45e482669cfa35f7447229353/detection

> https://www.virustotal.com/gui/file/57f5134f5273a79ff5d44d820975ee70ddedf209d190f5d210e5efde5fca06a8/detection

10월 20일에 작성한 암호가 걸린 첨부 파일 내 이모텟이 유포되는 것을 확인할 수 있었다.

오늘도 성격이 같은 유형의 악성코드를 간략히 정리한다.

아래 그림을 보게 되면 .zip 파일로 암호를 요구하는 것을 확인 할 수 있다.

해당 암호 입력 후 압축 해제 시 doc 워드 파일을 확인 할 수 있으며, 이전 게시물과 같이 콘텐츠 사용을 이용하는 것을 확인 할 수 있다.

살펴보면 아래와 같은 걸 확인 할 수 있으며 계속 살펴보겠다.

매그로 진행 시 파워쉘을 이용하는 것을 확인 할 수 있으며, 이전 게시물과 같은 유형인 걸 확인 할 수 있다.

Base64 디코딩 후 살펴보면 아래와 같은 도메인을 확인 할 수 있다.

alexdepase.coach/wp-admin/lc4ZVsh amiral.ga/wp-content/cUFTze5/ iebf.org.uk/wp-admin/QF/ onlineapps.com.au/wp-includes/ZROO26A9/ gazeindia.com/wp-content/kOCbnAdSdG/ alarmpistoolcom/wp-admin/3dk0z92i4/ factum24.pro/cgi-bin/dYNq4D/  e-spaic.pt agenciainfluenciar.com.br dmlinks.bid hsecaravans.co.uk wndz.hk protrek-vietnam.vn gshock-vietnam.vn

윈도우 부팅 시 자동 실행 등록을 통해 C2 Server 지속적인 연결을 시도하는 것을 확인할 수 있다.

정보를 C2로 전송하는 것을 확인할 수 있다.

유포지 : 172.67.219.205[US], 104.27.186.18[US], 104.27.187.18[US], 104.27.186.177[US], 172.67.179.87[US], 104.27.187.177[US], 85.187.128.34[US], 70.32.23.56[US], 188.208.140.21[US], 149.210.209.195[NL], 208.109.13.165[US], 161.97.75.68[NL], 107.180.71.232[US], 172.67.177.103[US], 104.18.61.182[US], 104.18.60.182[US], 87.247.241.226[GB], 49.234.138.140[CN], 112.78.1.97[VN]

C2 IP : 61.118.67.173[JP], 91.121.200.35[FR]