|
[MalSpam] Win32/Trojan.SmokeLoader (Feat. MS Word) 침해사고분석팀 2018.01.24 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
[첨부파일] Malware Downloader 행위: Downloader
파일 이름: resume.doc
크기: 100,864 bytes
C2 : hxxp://80.82.67.217/poop.jpg
SHA256: 3f64519c0d543c39a62ac71893bb7e028b5eb96cfa3b261efb29a880cc8c7a21
악성코드를 다운로드 하는 doc 파일 실행 시 내부 매크로를 사용하기 위해 사용자에게 콘텐츠 사용 여부를 묻습니다. 콘텐츠 사용 클릭 시 다이나믹한 콘텐츠가 진행되게 됩니다.
[그림] Word 콘텐츠 사용
신뢰하지 못하는 메일의 첨부파일은 다운로드 및 실행하지 않아야 합니다. MS는 우리에게 콘텐츠 사용이라는 질문을 던저 마지막 기회를 주지만 그마저 무시된다면 어떤 악성코드가 내 PC에서 만개할 지 모르는 일입니다.
[그림] Click here to enable macors
[그림] C2 통신 Packet
[Payload] Trojan SmokeLoader 행위: Trojan
파일 크기: 286,720 bytes
SHA256: c795650baf72f201a871feffa65760aee2a75e3ce75d3b5871199b8aaef1b870
악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다 2) 메일 첨부파일에 존재하는 js, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다. 3) 중요 자료는 백업을 하여 자료를 보호한다.
Source [Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/ http://malware-traffic-analysis.net/2018/01/22/index.html |
