메일의 첨부파일로 전달되는 뱅킹 악성코드

1. 개요


메일의 첨부파일을 통해 악성코드가 배포되는 정황이 포착되어 분석을 진행했다. 

※ 스피어 피싱 : 지인, 업체가 발송한 메일로 가장해 특정 사용자만을 노리는 표적 공격



2. 전체 동작


< Figure 1. 전체 동작 >


해당 악성코드는 보내는 사람으로 "신뢰할 수 있는 사람의 메일 주소"를 기입해 사용자로 하여금 메일 열람을 유도한다. 열람된 메일에는 매크로 동작이 가능한 워드 문서 파일 (DOC)을 포함하고 있고 사용자는 해당 첨부 파일을 열람하게 된다. 


기본적으로 마이크로 소프트의 워드 프로세스는 매크로 동작을 차단하고 있으나 사용자가 매크로를 활성화할 경우 외부 서버에 접근해 악성파일을 다운로드 한다. 현재 해당 파일 다운로드는 지원하지 않으나 malwares.com을 통해 확인한 결과 Dridex 또는 Shifu와 같은 인터넷 뱅킹을 타겟으로 하는 악성코드가 다운로드되어 실행된다. 


3. 샘플 정보

파일명 : DOC201114-201114-001.DOC

파일크기 : 75,264 Bytes

SHA-256 : 907356530876B0B10AE25620687843BF5027F62BDDD2787863E26D36351B5247

malwares.com 분석 정보 : [Link]


4. 분석 과정

< Figure 2. 첨부파일이 포함된 악성 이메일 >


"보낸 사람" 메일주소로 신뢰성을 확보하는 방식으로 특정 사용자를 공격하는 스피어 피싱을 사용했다. 제목에서 사용되는 "More Scans"는 이러한 형태의 악성 메일을 발송하는 해커 그룹에서 자주 사용하는 메일 제목이다. 


< Figure 3. 첨부된 문서 파일 실행시 자동 차단되는 매크로 >


이메일에 첨부된 악성 문서 파일을 열람할 경우 Figure 3과 같이 매크로 실행 차단 기능에 의해 정상 동작이 이뤄지지 않는다. 하지만 사용자는 신뢰할 수 있는 사용자가 보낸 문서이기 때문에 또는 문서 내용이 보이지 않는다는 점에 "매크로 때문인가?" 라는 의문을 갖을 수 있고 "옵션"에서 매크로 차단 기능을 해제할 수 있다. 매크로 차단 기능을 해제하면 악성 문서 파일내에 포함되어 있는 매크로가 동작해 외부 서버에 접속 및 다운로드를 시도하게 된다. 


< Figure 4. DBD 시도 >

다운로드를 시도하는 사이트는 다음과 같은 형태의 경로를 갖는다. 

* <해킹된 사이트>/786585d/08g7g6r56r.exe


따라서 디렉토리 경로 및 파일명을 키워드로 malwares.com에서 검색하면 유사 변종 악성코드에서 해당 악성 파일을 다운받을 수 있는 외부 서버 목록을 확인할 수 있다. 


* 유사 변종 악성 파일 


 SHA-256

 malwares.com 분석 정보

 26C2B5342953B73CD2E73AFF7DC49A880ECDD3725D3882C95C8BA6990A5C4BCF

[Link]

 267FB3839B85254F14FB8F19FC9A6EC67B28659BD15CE949CCB441DF24D26CC0

[Link]

 A6F1217017A989F1343C3B6543189B0925B703EA3C367C584B8002FC8F5DF65B

[Link]

 59963616AAA3B72228A786CDF5343BE527A5502B136B2C5F7F45E47B0FE8663F

[Link]

 EA05DD2CE2721B4FADDAB320F0424BE7C1C57A9433D337175358E472044D66DD

[Link]

 2D198392E831739F7F76ADE37C08E66BD9F55E6E6FCC97F60C1A11CE8EEF4988

[Link]


* 해킹된 서버 목록

seaclocks.co.uk

blog.sipirit.de

mosaicombrosia.com

esecon.com.br

apartmanimilunovic.com

members.chello.nl

outage.com

ketoanthuchanh.org

w04z5e8ry.homepage.t-online.de

emirelo.com

www.cnbhgy.com

nosha-pasika.lviv.ua

arm.tv

hotyo.1pworks.com

204.197.242.166

149.156.208.41





이 글을 공유하기

댓글(0)