Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보글 잘쓰는 것도 해킹 기법중 하나다? 국세청 사칭으로 전파되는 RAT - 1
작성일 2019-05-30 조회 1390


 

취약적을 통해 내부로 침투하여 악성코드를 설치하거나, 혹은 정교회된 해킹 기법으로 잠입하는 기술들은 소위 말하는 전문적인 블랙 해커에 의해 진행되는 것이 맞습니다. 아무나, 혹은 누구나 할 수 있는 것이 아니기 때문입니다. 하지만 최근들어 정교하게 위장된 한글 스팸메일 혹은 스피어메일이 들어오면서, 이제 어떤 글귀나 소재가 사람들의 마음을 더 많이 움직여 악의적인 첨부파일을 실행하게 만드느냐 또한, 고도화된 사회공학적 공격 방식이라고 생각합니다. 결론적으로 글을 잘 쓰는 것 또한 고도화된 사회공학적 해킹 실력이라고 할 수 있겠습니다.

 

 

각 시즌마다 스팸메일로 들어오는 컨셉들이 다릅니다. 5월에는 종합소득세 신고기간이기 때문에 연말과 마찬가지로 국세청을 사칭하는 메일들이 매우 많이 들어오고 있습니다. 바로 아래와 같이 말이죠.

 

 

 

흔히들 보이스피싱이나 스팸메일 사례를 보면 저걸 누가 당할까 라는 생각을 가질수도 있습니다. 하지만 어떠한 상황이 맞아 떨어지는 순간 그 보이스피싱이나 스팸메일은 세상 그 어떤 해킹 도구보다 강력해지기 마련입니다. 아마 직장인들이나 개인사업자 등 세금에 민감하신 분들은 관심가지고 읽게 되겠지요.

 

 

 

첨부파일에 있는 htm 파일을 클릭하면 엑셀 파일 하나는 다운로드 할 수 있게 됩니다. 현재까지(19.05.30, 14시) 악성 엑셀 파일을 다운로드 할 수 있습니다. 

 

 

악성 엑셀파일 정보

C2 : hxxp://losabetos[.]com.sv/eTaxInvoice_8466345.xls
Hash: be3e8f4518163790fa9dccafd510ed752617b28dfe0a8833ec38b493d6630dc2

 

 

 

 

 

 

콘텐츠 사용을 누르라는 경고 문구를 확인할 수 있으며, 이 버튼을 누르는 순간 우리의 컴퓨터는 감염이 되었습니다. 그 악성코드가 랜섬웨어, RAT, Backdoor 등 어떤 것이든 상관 없이 벌써 감염이 되었다는 사실. 한 번의 클릭 실수로 너무나도 많은 것을 잃게 됩니다.

 

 

 

 

엑셀 내부 스크립트를 살펴보면 악성C2에 접근하여 파일을 다운로드 및 실행하도록 설계되어있습니다. 다운로드 되는 파일은 최종 악성코드를 다운로드 하고 복호화 해주는, 즉 중간다리 역할의 응용프로그램입니다. 

 

 

Ammyy 악성코드 다운로더 (m4)

C2 : http://66[.]42[.]45[.]55/m4 
Hash : 2527295523f67e0a87c7e6049f2b7954f494b33e18254618ae02528e1f9b1d4b

 

 

 

m4 다운로더는 내문서에 '100'이라는 이름으로 저장되며, 실행 이후 암호화 된 실제 악성코드를 다운로드 합니다. 

 

 

 

 

 

 

 

 

Ammyy RAT

C2 : hxxp://172[.]104[.]104[.]166/01.dat
hash : 22640706d3b06bfdabeceb6205daf5ccc79d707fdeb89189749fbdc63b918db9

 

다운로드 되는 01.dat는 암호화 되어있는 상태로 다운로드 되기 때문에 Virustotal 에서도 탐지할 수 있는 백신이 아무것도 없는 상태입니다.

 

 

 

하지만 100.exe를 통해 복호화 키로 정상적인 복화화 작업이 종료되면, 실제 확인할 수 있는 악성코드로 변환되어 

Ammyy RAT의 역할을 진행하게 됩니다.

 

 

 

스팸메일을 통한 사회공학적 해킹 기법이 증가하는 만큼 사용자 입장에서도 주의와 관심이 필요합니다.

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, VBS, jse, JAR, 문서파일 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 백신 및 소프트웨어는 최신 상태로 유지한다.

 

 

 

 

첨부파일 첨부파일이 없습니다.
태그 스팸메일  국세청  RAT  Ammyy