Article
피싱 메일 통해 대량 유포중인 이모텟 악성코드…정보탈취 위험 - 데일리시큐
1월 말부터 이모텟(emotet) 악성코드가 대량으로 유포중에 있어 각별한 주의가 요구된다.이메일에는 별다른 내용 없이 첨부되어 있는 압축파일의 패스워드만 적혀있다.압축파일 내에는 매크로가
www.dailysecu.com
피싱 메일 통해 대량 유포중인 이모텟 악성코드…정보탈취 위험
데일리시큐, 길민권, 2022.02.02 18:16
Resurch
▶ 이모텟
- 모듈형 구조의 매우 정교한 멀웨어로, 먼저 메인 컴포넌트를 설치한 후, 추가 악성코드를 실행
- 다형성 멀웨어 → 안티바이러스 제품들의 탐지를 피하기 위해 식별 가능한 특성들을 계속해서 변화시킴
- 피싱을 통해 윈도우 기반 시스템을 타깃으로 삼고, 특이점이 없는 이메일을 발송하여 사회적 공학을 통해 확산
▶ 이모텟의 자가 복제 방법
- 시스템이 구동될 때마다 이모텟이 자동 실행될 수 있도록 예약 태스크를 생성
- 시스템 루트 디렉토리 안에 무작위로 생성된 이름으로 파일을 생성하여 이모텟을 등록
- 디렉토리 안에 페이로드들을 ‘flashplayer.exe’와 같이 정상적으로 보이는 이름으로 저장
▶ Rundll32.exe
- DLL (Dynamic Link Library) 파일을 다른 응용 프로그램에서 실행할 수 있도록하는 응용 프로그램
- 컴퓨터의 일반 사용자는 Rundll32.exe와 직접 상호 작용하지 않음
- Windows 운영 체제 전체에 여러 DLL 파일이 있지만 Rundll32.exe를 통하지 않고는 이러한 라이브러리에 액세스 할 수 없음
- 모든 애플리케이션이 해당 라이브러리에 액세스 할 수있는 게이트웨이 역할을 함
Summary
- 이모텟(emotet) 악성코드 대량 유포중
- 악성코드는 이메일로 유포되며 이메일에는 압축파일의 패스워드와 파일만 들어있음
- 압축 파일 내에는 엑셀이 포함되며 사용자의 ‘사용’ 버튼을 유도함
- 엑셀 파일에는 악성코드가 포함되어 있으며 매크로는 특정 사이트에서 html을 hta 형으로 실행함
- 난독화된 html은 내부의 파워쉘 스크립트를 실행하며 이는 png 형의 파일을 내려받아 실행하고, 내부에 보함된 12개 링크 중
- 접속이 성공하는 주소에 접속해 QWER.dll 파일을 내려받아 실행
- dll은 이모텟 악성코드로 rundll32를 통해 실행되어 사용자 정보 탈취 등 악성행위를 실행
