"EMOTET"의 새로운 변종을 확인. Windows API를 이용하여 샌드 박스 탐지 및 분석을 회피

웹이앱을만났을때 | 2017.11.29 00:43 | 조회 90

트렌드 마이크로는 2017 년 9 월 기사 에서 처음 온라인 은행 사기 도구 (은행 토로 장)였다 "EMOTET (에모텟토) '가 다양한 악성 코드를 유포하는 악성 코드로 진화하고 다시 활발 해지고 금융 기관 이외의 산업과 새로운 지역으로 공격을 확대 한 사례에 대해보고했습니다. 이번에는 기존의 행동에 더 변경 샌드 박스 탐지 및 악성 코드 분석을 회피하기위한 새로운 루틴을 도입 한 변종 ( "TSPY_EMOTET.SMD10"로 검색)에 대해 설명합니다.

EMOTET는 지금까지 분석 해결을 위해 RunPE 기술이 이용되고 있었지만, 이번에 확인 된 변종은 "CreateTimerQueueTimer"함수의 사용에 변경되어 있습니다. CreateTimerQueueTimer는 타이머 큐 타이머 를 만들 Windows API 입니다. 타이머는 지정된 시간에 콜백 함수를 호출 할 수있는 간단한 개체입니다. 이 API의 원래 기능 은 타이머 루틴을 작성하여 프로세스 체인의 한 부분으로 일이지만, 문제의 변종으로, API의 콜백 함수가 EMOTET 불법 활동에 이용됩니다. RunPE의 이용은 일반적으로지고 있지만, Windows API의 이용은 아직별로 알려져 있지 않고, 보안 검사에 의해 검출 된 가능성이 낮기 때문 EMOTET이 RunPE에서 Windows API를 사용으로 변경 한 것으로 간주 있습니다.

그림 1
그림 1 : CreateTimerQueueTimer API 문서 (출처 " CreateTimerQueueTimer 함수 ")

그림 2
그림 2 : "TSPY_EMOTET.SMD10"는 여러 단계를 거쳐 전개된다. 다음 단계에서 실행되는 0x428310 불법 활동이 그 이전 단계에서 CreateTimerQueueTimer에 주입되는

또한 CreateTimerQueueTimer을 악용하는 악성 코드가 확인 된 것은 이번이 처음이 아닙니다. "PONY (포니) '과' VAWTRAK (바우 트랙) "다운로드 " HANCITOR (항시타) "이 사용하는 악성 매크로에서도이 Windows API가 이용되고있었습니다.

■ 샌드 박스 탐지 및 악성 코드 분석 회피 기술

문제의 변종이 발견 회피 기술로 새로운 거동이 확인되고 있습니다. 악성 코드 중에는 감지를 피하기 위해 일정 기간 대기하도록 설계되어있는 것이 있습니다. 따라서 분석 환경에서 절전 기간을 매우 빠르게 변화하고 악의적 인 활동을 검사합니다. 이러한 분석 환경을 판별하기 위해이 변종은 CreateTimerQueueTimer을 이용하여 0x3E8 밀리 초 (1 초)마다 확인 감지하는 것이 가능하게되어 있습니다.

여러 단계를 거쳐 열기 "TSPY_EMOTET.SMD10"의 실행 과정에는 자신이 샌드 박스에서 실행되고 있는지를 확인하는 기능이 포함되어 있습니다. 샌드 박스에서 실행되고 있다고 감지 한 경우 다음 단계의 악성 활동은 진행되지 않습니다.

"TSPY_EMOTET.SMD10"은 다음과 같은 경우에 자신이 샌드 박스 환경에서 실행되고 있다고 판별합니다.

  • NetBIOS 이름이 TEQUILABOOMBOOM이다
  • 사용자 이름이 Wilber에서 NetBIOS 이름이 SC 또는 CW로 시작
  • 사용자 이름이 admin으로 DnsHostName이 SystemIT의 경우 C : \\ Symbols \ aagmmc.pdb 같은 디버깅 보조 소프트웨어를 나타내는 파일이
  • 사용자 이름이 admin이고 NetBIOS 이름이 KLONE_X64-PC이다
  • 사용자 이름이 John Doe이다
  • 사용자 이름이 John C : \\ take_screenshot.ps1와 C : \\ loaddll.exe 두 파일이 존재
  • C : \\ email.doc C : \\ 123 \\ email.doc C : \\ 123 \\\ email.docx라는 파일이 존재
  • C : \\ a \\ foobar.bmp C : \\ a \\ foobar.doc C : \\ a \\ foobar.gif라는 파일이 존재

그림 3
그림 3 : 파일 이름이 "sample", "mlwr_smple."또는 "artifact.exe"의 경우 분석 환경으로 간주 부정 활동은 계속되지 않는다

전개 과정에서 "TSPY_EMOTET.SMD10"관리자 권한이없는 경우 다른 프로세스에서 실행됩니다. 프로세스 관리자 권한이있는 경우 다음을 수행합니다.

  1. 악성 코드를 상주시키기 위해, PC를 시작할 때마다 자동 실행되는 서비스를 만들
  2. 서비스에 대한 설명을 "인터넷 연결 공유에 사용하는 타사의 프로토콜 플러그 인에 대한 지원을 제공합니다"로 변경
  3. 서비스를 시작하는
  4. 프로세스 이름과 시스템 정보 등의 시스템 정보를 수집하는
  5. 수집 한 정보를 AES-128 알고리즘 및 SHA1 해시 알고리즘으로 암호화
  6. 암호화 된 정보를 명령 및 제어 (C & C) 서버 전달하는

그림 4
그림 4 : 시스템 프로세스 정보를 수집 (왼쪽) 메모리에 저장 (오른쪽)

그림 5
그림 5 : C : \\ WOW64 \ 하에서 실행되는 현재 응용 프로그램 및 시스템 정보를 수집하는

그림 4
그림 6 : EMOTET의 C2 IP (빨간색)와 포트 (노란색 테두리)

■ 감염 흐름

그림 7
그림 7 : 확인 된 변종의 감염 흐름

이 변종 감염 흐름은 피싱 메일에서 시작됩니다. E 메일에 포함 된 악성 URL을 클릭하면 악성 매크로가 포함 된 문서 파일이 다운로드됩니다.

그림 8
그림 8 : EMOTET 관련 피싱 메일

그림 9
그림 9 : 잘못된 매크로가 포함 된 문서

그림 10
그림 10 : 잘못된 매크로가 "cmd.exe"다음 "powershell.exe"를 호출 암호화 및 난독 화 된 명령을 실행

이 명령은 hxxp : // bonn-medien [.] de / RfThRpWC /에서 "TSPY_EMOTET.SMD10"이 다운로드되고 다운로드 된 PE 파일이 원격의 Web 사이트에서 실행됩니다.

그림 11
그림 11 : bonn-medien [.] de / RfThRpWC /에서 "TSPY_EMOTET.SMD10"다운로드 Powershell의 네트워크 트래픽

기업 및 개인 사용자가 피싱 공격에 대항하는 모범 사례에 따라 EMOTET 같은 위협으로 인한 피해를 줄일 수 있습니다. 개인 정보를 요구할 개인이나 법인에 항상 조심하십시오. 많은 기업은 신중하게 다뤄야 같은 개인 정보 및 인증 정보를 안이하게 고객에게 요구하는 것은 아닙니다. 만약疑わしけれ하면 문제가 발생하는 것을 사전에 방지하기 위해 해당 기업에 문의하자. 또한 일반적인 규칙으로서, 비록 그것이 '신뢰할 수있는'소스로부터 보내져 온 것이었다하더라도 링크를 클릭하거나 파일을 다운로드하거나해서는 없습니다. 또한 기업 메일 게이트웨이에 제대로 된 보안 정책을 도입함으로써 데이터의 송출 등 악성 트래픽을 필터링, 검증 및 차단하고 네트워크 인프라를 보호 된 상태로 유지할 수 수 있습니다.

■ 트렌드 마이크로의 대책

EMOTET 같은 위협에 대응하기 위해서는, 게이트웨이, 엔드 포인트, 네트워크 및 서버에 이르기 다층적이고 적극적인 보안 대책이 필요합니다. 기업용 엔드 포인트 제품 " 바이러스 버스터 ™ 기업 판 XG '와 중소기업 용 클라우드 기반 엔드 포인트 보안 서비스" 바이러스 버스터 비즈니스 보안 서비스 "잘못된 파일이나 스팸 메일을 감지하고 관련 악성 URL을 차단 에 의해 강력한 보호를 제공합니다. 또한 " Deep Discovery ™ Email Inspector "잘못된 첨부 파일이나 URL을 감지하고 기업 사용자를 보호합니다.

" Trend Micro Hosted Email Security ™ "는 트렌드 마이크로 클라우드에서 운영하는 서비스를 이용하기 위해 기능을 지속적으로 업데이트되는 스팸 메일, 악성 프로그램, 스피어 피싱, 랜섬웨어, 표적 형 사이버 공격 등 항상 최신의 정보로 차단할 수 있습니다. Microsoft Exchange, Microsoft Office 365 , Google Apps 등의 SaaS 및 온 프레미스 메일 환경을 보호합니다.

" 바이러스 버스터 ™ 기업 판 XG '는 크로스 제너레이션 (XGen) 보안 방식을 통해 글로벌 위협 인텔리전스를 기반으로 다양한 고급 보안 기술 외에도 차세대 AI 기술의 하나 인 첨단 기계 학습 형 검색을 활용 실행 전 · 실행 후 모두 지원하는 독특한 접근 방식에서 알 수없는 파일이 위협하는지 여부를 판별합니다.

■ 침입의 흔적 (Indicators of Compromise, IoCs)

관련 SHA256 값

  • "W2KM_POWLOAD.AUSJTV" 
    455be9278594633944bfdada541725a55e5ef3b7189ae13be8b311848d473b53

  • "W2KM_EMOTET.DG" 
    3f75ee07639bbcebf9b904debae1b40ae1e2f2cbfcef44caeda21a9dae71c982

  • "TSPY_EMOTET.SMD10" 
    fbff242aeeff98285e000ef03cfa96e87d6d63c41080d531edcb455646b64eec

명령 및 제어 (C & C) 서버

  • 164 [] 208 [] 152 [] 175 : 8080
  • 66 [] 234 [] 234 [] 36 : 8080
  • 62 [] 210 [.] 86 [] 114 : 8080
  • 162 [] 243 [] 154 [] 25 : 443
  • 37 [] 187 [.] 57 [] 57 : 443
  • 94 [] 199 [] 242 [] 92 : 8080
  • 178 [] 254 [] 33] 12 : 8080
  • 136 [] 243 [] 202 [] 133 : 8080

C & C는 공개 키 
--BEGIN RSA PUBLIC KEY-- 
MGcCYDeWo1m4l56rx8uAsn + gsDBAYoJARIdddsLOaiOf4oxe0GGy3IruKSmi 
RSMfzj93sIHm88vzhJOeUkLES + RuDXUwSfob8u8bx5TjoSmY2kdmx5rgkp8U 
NqD3z + P0m6bAxwIDAQAB 
--END RSA PUBLIC KEY--

참고 기사 :


출처 : http://blog.trendmicro.co.jp/archives/16492

facebook twitter
194개(1/10페이지)
강좌
번호 제목 글쓴이 조회 날짜
194 SNS 공유기능 웹이앱을만났을때 37 2017.12.07 18:10
>> "EMOTET"의 새로운 변종을 확인. Windows API를 이용하여 사진 웹이앱을만났을때 91 2017.11.29 00:43
192 포토샵 램 메모리 부족현상 해결법 웹이앱을만났을때 141 2017.11.21 02:00
191 홈페이지형 블로그 제작 사진 첨부파일 웹이앱을만났을때 612 2017.09.11 15:16
190 포토샵강의 웹이앱을만났을때 746 2017.08.23 17:31
189 일러스트 강의 웹이앱을만났을때 749 2017.08.22 13:36
188 robots.txt 설정법 웹이앱을만났을때 780 2017.08.19 01:24
187 salesforce 개발 쉽게 하는 법 웹이앱을만났을때 1114 2017.06.26 13:44
186 백스페이스 방지 php 웹이앱을만났을때 1640 2017.04.18 15:23
185 페이징 웹이앱을만났을때 1873 2017.03.17 20:45
184 그누보드 모바일 버젼 안쓸려면 웹이앱을만났을때 2270 2017.01.25 01:21
183 [포토샵] 배경 없애기 웹이앱을만났을때 2359 2017.01.19 07:28
182 아이패드에 동영상 파일 옮기기 사진 첨부파일 웹이앱을만났을때 2639 2017.01.18 14:18
181 xcopy 폴더까지 copy 하는 법 웹이앱을만났을때 2411 2017.01.06 17:06
180 그누보드 input 텍스트 아래로 처지는 현상 해결법 웹이앱을만났을때 2417 2017.01.02 11:14
179 그누보드에서 관리자 암호 초기화 하는 법 웹이앱을만났을때 2452 2016.12.21 11:34
178 제로보드 관리자 암호 초기화 하는 법 웹이앱을만났을때 2450 2016.12.21 11:05
177 [androidStudio] 안드로이드스튜디오에서 구 이클립스 소스 불러 첨부파일 웹이앱을만났을때 2672 2016.12.07 14:45
176 카카오톡 옐로우 아이디 등록법 웹이앱을만났을때 2739 2016.12.06 17:03
175 [javascript] div 추가삭제에서 삭제기능이 안될때 웹이앱을만났을때 2706 2016.11.22 17:48