|
[MalSpam] Win32/Trojan.Trickbot (MS Word) 침해사고분석팀 2017.09.01 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
유포 방식: E-Mail 첨부파일
메일 내용 - 제목: 중요 - 신규 계정 문서 - 내용: 첨부 된 보안 문서를 다운로드하여 검토 후 office@santander.co.uk로 이메일을 보내주십시오.
[그림 1] 계정 공지사항을 가장한 스팸메일 (myonlinesecurity)
[첨부파일] Trickbot Downloader 행위: Trojan TrickBot Downloader
파일 이름: Account_Documents_31082017.doc
파일 크기: 76,800 bytes
C2 (1): hxxp://evaluator-expert[.]ro/sergio.png
C2 (2): hxxp://www.events4u[.]cz/sergio.png 확장자: .doc
SHA256: 2419210bdd20b352b357573e72eb82bafa801b078f25517546bd348e2e93a505
스팸메일로 유포되는 MS Word 첨부파일에는 Script를 통해 외부에서 악성코드를 다운로드 합니다. 그러기 위해선 아래와 같이 "콘텐츠 사용" 을 허용 해야 하며, 'Loading Content ...' 글귀를 통해 해당 버튼을 누를 수 있도록 유도하고 있습니다.
신뢰하지 못하는 메일에서 다운로드 한 문서는 절대로 콘텐츠 사용을 누르면 안됩니다.
[그림 2] '콘텐츠 사용 - 사용자 - 보안 장비' 삼각관계
[그림 3] 악성코드 다운로드 하는 doc
컨텐츠 사용 버튼을 누른 후 MS Word 내 스크립트가 실행되고 지정된 C2에서 악성코드를 다운로드 합니다.
[그림 4] 악성코드 다운로드
[Payload] Trojan Trickbot 행위: Trojan (Trickbot)
파일 이름: sergio→ bicprcv
파일 크기: 472,576 bytes
확장자: .png → .exe
SHA256: 5cc61af06afd858f5d3aadfc68f685085f37edc9d13e962000f05720e9465987
악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다 2) MS Office 문서를 열 때 보호 모드 막대의 매크로를 활성화하거나 내용을 보기 위해 편집을 활성화하지 않는다 3) 해당 소프트웨어의 최신 버전을 유지한다.
[그림 5] Wins APTX(doc Downloader)
[그림 6] Wins APTX(Trojan TrickBot)
참고 [Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/ [그림 1] https://myonlinesecurity.co.uk/fake-santander-bank-important-new-account-documents-delivers-trickbot-banking-trojan/ [그림 2] https://twitter.com/bry_campbell/status/903332131442761728
|
