Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Trojan.Injector (MS Word)
작성일 2017-11-16 조회 1910

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

유포 방식: E-Mail 첨부파일

제목: 신규 주문 # SF1779 REIVSED

내용: 첨부 파일에 써있는 대로 주문을 처리하고 확인해주세요.

 

[그림] Trojan Injector 스팸메일

 

 

[첨부파일] Injector Downloader

행위: Trojan Injector Downloader
파일 이름: CVE_2017_0199.doc
파일 크기: 6,343 bytes
C2 : hxxp://austria-at[.]com/wsdl/hat.hta
SHA256: d80f42dbbe077cf814c2151477e46b22c5e1b76f7c23a4138cf0fa8eead5bd4e

 

 

2017년 4월 등장한 CVE-2017-0199, MS Office RTF 취약점을 활용한 공격입니다. 해당 취약점은 4월에 등장하였지만 여전히 자주 애용되는 취약점 중 하나입니다. 문서 내 C2 도메일을 통해 악성코드를 다운로드 합니다.

 

[그림] CVE-2017-0199 제로데이 공격 (TrendMicro)

 

악성코드는 rtf 파일로 되어있고 실행 시 파일 내 오브젝트에 포함된 Doc 문서가 열립니다.

 

문서는 열림과 동시에 참조 링크 업데이트 경고창을 띄워주고 "예"를 클릭 시 링크로 설정된 악성서버에 접속하게 됩니다.

 

[그림] 참조 링크 업데이트 경고

 

 

[그림] 악성 hta 다운로드하는 doc

 

아래와 같이 객체에 설정된 값을 확인 하는 방법은 "Alt + F9" 또는 객체 선택 후 "마우스 우클릭 -> 객체 -> 연결" 을 하시면 됩니다.

 

[그림] 악성 hta 다운로드 Link

 

[그림] "연결"에서 객체 값 확인

 

이후 접속된 악성 서버에서 "hat.hta" 파일을 받아 실행합니다.

[그림] 악성 hta 다운로드 패킷

 

 

[Payload] Injector Downloader

행위: Injection Downloader
파일 이름: hat.hta
파일 크기: 1,368 bytes
C2hxxp://austria-at[.]com/hta/quote.exe
SHA256: 3d8912e75871731c865db312c8a41c94ba761051d8d1eceea43407d802a1a0ea

 

실행된 hat.hta 파일은 PowerShell 스크립트를 이용해 실제 악성 행위를 하는 "quote.exe"를 "solimetal.exe"로 변경하여 Temp경로에 다운로드 합니다.

 

 

[그림] Injector 다운로드 스크립트

 

[그림] Injector 다운로드 패킷

 

[그림] Temp 경로에 다운로드

 

[Payload] Trojan Injection

행위: Trojan (Injection)
파일 이름: quote.exe -> solimetal.exe
파일 크기: 1,042,769 bytes
확장자: .exe
SHA256: 5e2335475e523429265ae231583c32e279a02672a88436814367996b352df71f

 

악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

2) MS Office 문서를 열 때 보호 모드 막대의 매크로를 활성화하거나 내용을 보기 위해 편집을 활성화하지 않는다

3) 해당 소프트웨어의 최신 버전을 유지한다.

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

[그림 1] https://myonlinesecurity.co.uk/new-ordersf1779-reivsed-using-2017-0199-exploit-delivers-malware/

[그림 2] http://www.trendmicro.co.kr/kr/support/hotline/articles/20170417060301.html

첨부파일 첨부파일이 없습니다.
태그 MalSpam  Trojan