|
[MalSpam] Win32/Trojan.Trickbot (MS Word) 침해사고분석팀 2017.09.05 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
유포 방식: E-Mail 첨부파일
외국 사례라 와닿지 않을 수도 있지만 우리가 사용하는 주 거래은행에서 다음과 같은 내용으로 메일이 온다면 누구나 열어볼 것이라고 장담합니다. 이 글을 쓰고 있는 필자 또한 열어보지 않을 것이라는 장담을 할 수 없습니다. 언제나 신뢰하지 못하는 사용자의 메일은 주의해야 합니다.
[첨부파일] Trickbot Downloader 행위: Trojan TrickBot Downloader
파일 이름: Secure.doc
파일 크기: 49,664 bytes
C2 (1): hxxp://gestionbd[.]com/fr/QMjJrcCrHGW9sb6uF.png
확장자: .doc
SHA256: 406047bbbad09cafeb623eb2c1057441ae6db7f19f630acf9a02f9c48e7f40a7
스팸메일로 유포되는 MS Word 첨부파일에는 Script를 통해 외부에서 악성코드를 다운로드 합니다. 그러기 위해선 아래와 같이 "콘텐츠 사용" 을 허용 해야 하며 친절하게도 해당 doc에는 '콘텐츠 사용'을 누르라는 설명이 적혀있습니다.
콘텐츠를 보려면 "편집 허용"을 클릭하여 노란색 막대를 만든 다음 "콘텐츠 활성화"를 클릭하십시오.
신뢰하지 못하는 메일에서 다운로드 한 문서는 절대로 콘텐츠 사용을 누르면 안됩니다.
[그림 1] '콘텐츠 사용 - 사용자 - 보안 장비' 의 삼각관계
[그림 2] 악성코드 다운로드 하는 doc
컨텐츠 사용 버튼을 누른 후 MS Word 내 스크립트가 실행되고 지정된 C2에서 악성코드를 다운로드 합니다. (현재 C2가 죽어있습니다.)
[그림 3] 악성코드 다운로드
[Payload] Trojan Trickbot 행위: Trojan (Trickbot)
파일 이름: QMjJrcCrHGW9sb6uF
파일 크기: 502,784 bytes
확장자: .png → .exe
SHA256: e2ee8c46af39bc11f1680ceada5147f49144bb636db6941fdac35f2ca69c7ff4
악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다 2) MS Office 문서를 열 때 보호 모드 막대의 매크로를 활성화하거나 내용을 보기 위해 편집을 활성화하지 않는다 3) 해당 소프트웨어의 최신 버전을 유지한다.
[그림 4] Wins APTX(doc Downloader)
[그림 5] Wins APTX(Trojan TrickBot)
참고 [Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/ [그림 1] https://twitter.com/bry_campbell/status/903332131442761728 |
