|
[MalSpam] Win32/Trojan.Trickbot (MS Word) 침해사고분석팀 2017.09.08 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
유포 방식: E-Mail 첨부파일 제목: 은행 공지사항 내용: 개인 신상 정보가 포함한 전자메일이며, 이메일에 첨부 된 정보를 다운로드 하여 보시길 바랍니다.
[그림 1] Trojan Trickbot 스팸메일
[첨부파일] Trickbot Downloader 행위: Trojan TrickBot Downloader
파일 이름: cibc2112457656545_2154
확장자: .doc
파일 크기: 108,546 bytes
C2 (1): hxxp://vkiiski[.]net/kas13.png
C2 (2): hxxp://dupuis-informatique[.]ch/kas13.png SHA256: 2cad210c46f8533a968baca5749a6f2df01c258beab2bc9587d2339c930b6be5
스팸메일로 유포되는 MS Word 첨부파일에는 Script를 통해 외부에서 악성코드를 다운로드 합니다. 그러기 위해선 아래와 같이 "콘텐츠 사용" 을 허용 해야 하며 친절하게도 해당 doc에는 '콘텐츠 사용'을 누르라는 설명이 적혀있습니다.
콘텐츠를 보려면 "편집 허용"을 클릭하여 노란색 막대를 만든 다음 "콘텐츠 활성화"를 클릭하십시오.
[그림 2] 악성코드 다운로드 하는 doc
신뢰하지 못하는 메일에서 다운로드 한 문서는 절대로 콘텐츠 사용을 누르면 안됩니다.
[그림 3] '콘텐츠 사용 - 사용자 - 보안 장비' 의 삼각관계
컨텐츠 사용 버튼을 누른 후 MS Word 내 스크립트가 실행되고 지정된 C2에서 악성코드를 다운로드 합니다.
[그림 4] 악성코드 다운로드
[Payload] Trojan Trickbot 행위: Trojan (Trickbot)
파일 이름: kas13 → qxtfzwzoy
파일 크기: 507,904 bytes
확장자: .png → .exe
SHA256: f4ab1818af8ebd8e5b6763243fefa96c86db69c62f00cb564198ff6149a4e10b
악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다 2) MS Office 문서를 열 때 보호 모드 막대의 매크로를 활성화하거나 내용을 보기 위해 편집을 활성화하지 않는다 3) 해당 소프트웨어의 최신 버전을 유지한다.
[그림 5] Wins APTX(doc Downloader)
참고 [Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/ [그림 1] https://myonlinesecurity.co.uk/trickbot-banking-trojan-delivered-by-spoofed-canadian-imperial-bank-of-commerce-messages/ [그림 3] https://twitter.com/bry_campbell/status/903332131442761728 |
