|
[MalSpam] Win32/Trojan.Ursnif (MS Excel) 침해사고분석팀 2017.09.07 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
항상 스팸메일의 사례는 외국의 경우가 많습니다. 외국은 이러한 정보를 다양한 방식으로 공유하기 때문에 비슷한 악성코드에 대해 대처가 가능합니다. 우리나라는 최근 6월 금융감독원 스팸메일 외 공식적으로 공유된 경우가 없기 때문에 많은 사례를 소개해드리지 못하는 점 항상 안타깝게 생각합니다.
이번에는 가깝지만 먼나라 일본의 스팸메일 사례를 소개하겠습니다.
유포 방식: E-Mail 첨부파일 제목: 공공요금청구서 데이터 송부의 건 내용: 9월분 공공요금청구서 데이터를 보내드립니다. 청구서 확인 후 필요사항 입력하여 회신 부탁드립니다.
[그림 1] 악성코드 다운로더를 첨부한 스팸메일
[첨부파일] Trojan URSNIF Downloader 행위: URSNIF Downloader
파일 이름: 支払伝票(2017.09.05)
확장자: .xls
파일 크기: 51,712 bytes
C2: hxxp://berurn[.]com/videos.exe
SHA256: 3f415553b7b22919c75f733c3403aa6f4396d8d62d1178e9b3a4ba54ac53300e
스팸메일로 유포되는 MS Excel 첨부파일에는 Script를 통해 외부에서 악성코드를 다운로드 합니다. 그러기 위해선 아래와 같이 "콘텐츠 사용" 을 허용 해야하며 스팸메일로 전달되는 대부분의 MS 문서에는 "콘텐츠 사용"을 유도하는 글귀를 확인할 수 있습니다.
이전 버전의 Excel을 사용하는 문서는 「콘텐츠 사용」을 클릭하세요
[그림 2] 악성코드 다운로드 하는 MS Excel
'hxxp://berurn[.]com/videos.exe' C2는 악성으로 판단하고 있다.
[그림 3] C2 악성 여부
신뢰하지 못하는 메일에서 다운로드 한 문서는 절대로 콘텐츠 사용을 누르면 안됩니다.
[그림 4] '콘텐츠 사용 - 사용자 - 보안 장비' 의 삼각관계
컨텐츠 사용 버튼을 누른 후 MS Excel 내 스크립트가 실행되고 지정된 C2에서 악성코드를 다운로드 합니다.
[그림 5] 악성코드 다운로드
[Payload] Trojan URSNIF 행위: Trojan (URSN)
파일 이름: videos
확장자: .exe
파일 크기: 562,688 bytes
SHA256: 46da8289c027a187b14826f3648d61c187398ad170ef60ec3311b5dae3b52d61
악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다 2) MS Office 문서를 열 때 보호 모드 막대의 매크로를 활성화하거나 내용을 보기 위해 편집을 활성화하지 않는다 3) 해당 소프트웨어의 최신 버전을 유지한다.
[그림 6] Wins APTX Downloader 탐지 결과
[그림 7] Wins APTX Payload 탐지 결과
출처 [Title] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/ [그림 1] http://malware-traffic-analysis.net/2017/09/06/index.html [그림 3] https://twitter.com/bry_campbell/status/903332131442761728 |
