Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보FIN7 Carbanak 그룹의 새로운 APT 공격도구 Bateleur Word VBA
작성일 2017-11-17 조회 1863

 

<출처 : https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor >

 

 

보안밴더사 proofpoint는 지난 7월 FIN7조직과 CARBANAK조직 사이에 연관된 APT문서 공격 정황을 분석했다.

 

Bateleur Word VBA 악성코드는 Windows 플랫폼을 대상으로하는 백도어로, 악성 Word 문서를 통해 시스템에 설치된다. 공격자는 시스템 정보를 수집하고, 프로세스를 나열 / 종료하고, 자체 업데이트하고, 파일을 실행하고,
powershell 스크립트를 실행하고, 스크린 샷을 캡처하는 등의 작업을 시도한다.

악성코드는 시스템에서 지속성을 유지하기 위해 예약 된 작업을 만든다.

 

 

► 분석 정보

 

- 메일 첨부파일을 통해 유포

<출처 : https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor >

 

- Bateleur JScript 문서 Dropper가 포함된 피싱 전자메일

  OUTLOOK.com 또는 google.com으로 위장해 암호화 된 안전한 사이트로 위장해 피싱사이트로 유도

<출처 : https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor >

 

 

- 악성 Word 문서에는 매크로가 포함, 캡션에 JScript 페이로드가 있고, 실행되면 임시폴더에 내용을 저장 후 스크립트 실행, Reverse Shell script로 난독화 시도 탐지 우회

<출처 : https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor >

 

- JScript는 다음과 같은 작업을 실행한다.

 - 안티 샌드박스 기능
 - 안티 분석 (난독화)
 - 감염된 시스템 정보 검색
 - 실행중인 프로세스 목록 표시
 - 사용자 지정 명령
 - PowerShell 스크립트 실행
 - EXE 및 DLL 로드
 - 스크린샷

 

 

- C&C 통신은 HTTPS 프로토콜 사용, 추가 인코딩이나 난독화는 없음, C&C - HTTP POST URI : /?page=wait

<출처 : https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor >

 

 

 

► Sniper 제품군 대응현황

Sniper-IPS

[3832] Script/JS.Backdoor.Bateleur
[3833] Script/JS.Backdoor.Bateleur.A
[3834] Script/JS.Backdoor.Bateleur.B
[3835] Script/JS.Backdoor.Bateleur.C

 

 

 

► 해결방안 

1) 최신 백신으로 치료한다
2) 백신을 이용하여 정상 치료가 되지 않을 경우는 컴퓨터를 재부팅하여 안전모드를 실시한 후에 백신을 이용하여 치료한다.
3) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다
4) 중요 자료는 백업하여 보관한다

 

 

 

► 참고

 

 

첨부파일 첨부파일이 없습니다.
태그   macro