피싱 이메일은 사이버 공격에서 새로운 기법이 아니며, 피해자의 컴퓨터를 침해하는 고전적인 전략 중 하나입니다. 사이버 범죄자는 송장, 결제, 금융, 주문 등의 키워드를 사용하여 중요한 이메일 첨부 파일처럼 보이도록 위장하여 피해자가 이메일 첨부 파일(주로 DOC 및 XLS 파일)을 열도록 유도합니다. Quick Heal Security Labs는 이러한 유형의 공격 중 하나를 관찰하여 피해자를 침해했습니다.
개요 :
이 공격에서 공격자는 먼저 다음을 보냅니다. 피싱 이메일 중요한 이메일로 위장하고 엑셀 문서를 첨부 파일로 포함하고 있었습니다. 본 조사에서 추적된 피싱 이메일은 다음과 같습니다.
그림 1: 엑셀 파일을 첨부한 피싱 이메일
이 엑셀 문서를 열면 피해자에게 백그라운드에서 악성 VBA 매크로 코드를 실행하기 위해 "매크로 활성화" 콘텐츠를 요청합니다.
그림 2: 매크로 활성화를 요청하는 프롬프트
VBA 매크로 사용이 증가했습니다. 피싱 공격 이러한 추세는 새로운 것이 아닙니다. 이 공격을 쉽게 탐지할 수 있는 방법이 있습니다. 따라서 공격자들은 공격 기법을 변경하여 최근 Excel 4.0 매크로를 사용하고 있습니다.
Excel 4.0 매크로 기법은 오래되었지만 모든 버전의 Excel에서 Excel 4.0 매크로를 실행할 수 있으므로 여전히 효과적입니다. 이 기법에서는 매크로가 VBA 프로젝트에 저장되지 않고 Exec(), Halt(), Auto_Open() 등의 함수가 포함된 스프레드시트 셀 내부에 배치됩니다. 공격자는 피해자를 속이기 위해 스프레드시트의 숨김 기능을 활용하여 매크로를 그 안에 저장합니다.
다음은 실제 매크로 코드가 다른 엑셀 시트 내부에 숨겨져 있고, 숨기기 해제 옵션을 사용하면 그림 3과 같이 해당 시트를 볼 수 있는 예입니다.
그림 3: Excel 시트 숨기기 해제
아래 그림은 정확한 코드와 실행 흐름을 보여줍니다.
그림 4: 매크로 코드 실행
Auto_Open()은 통합 문서가 열리는 즉시 코드를 실행하는 데 사용되는 함수입니다.
그림 4에서 볼 수 있듯이, Auto_Open 함수는 Macro1()을 실행합니다. 즉, 코드 실행은 4번째 행인 Macro1부터 시작됩니다. 그 후 Macro2(2단계)를 호출하고, 다음 명령어인 33(14번째 행)이 실행됩니다. 3단계에서는 1st 스테이지 페이로드가 다운로드 중입니다. % temp %를 사용하는 폴더 msiexec.exe를 그림 5에 표시된 대로 프로세스가 진행됩니다.
DaVinci에는 msiexec.exe를 합법적인 Microsoft 프로세스이며 바이너리 중 하나입니다. 땅의 생활 이는 Windows Installer 구성 요소에 속합니다. 많은 보안 솔루션이 이를 허용된 프로세스로 간주하여 동작 탐지 기술로 탐지하기 어렵게 만들기 때문에 해커는 이 프로세스를 이용하여 페이로드를 다운로드합니다.
그림 5: 1의 다운로드st 스테이지 페이로드
실행 가능한 분석:
페이로드를 다운로드한 후, msiexec.exe를 또한 페이로드를 실행하고 추가 활동을 수행하는 역할도 합니다. 1st 스테이지 페이로드는 여러 파일을 드롭하는 데 사용되는 드로퍼일 뿐입니다. % temp %를 폴더. 마지막으로, 최종 단계 페이로드 역할을 하는 .dll 파일을 생성하여 추가적인 악성 활동을 수행하는 데 사용됩니다.
최종 단계 페이로드는 Rundll32.exe에 의해 실행되며, 함수 이름 인수는 "sega"입니다. 실행 중인 작업 수, 시스템 ID, 사용자의 도메인 소속 여부, 드라이브 사용량 등 시스템 정보를 수집하기 시작합니다.
그림 6: 공격 실행 흐름
최종 탑재물이 떨어집니다. PowerShell 스크립트 사용자가 도메인에 속하는지 여부를 확인하는 역할을 합니다. 삭제된 PowerShell 스크립트는 다음 위치에 저장됩니다. % temp %를 난독화된 형식의 위치.
피해자의 컴퓨터에서 필요한 정보를 수집한 후, 페이로드는 간단한 URL 인코딩을 사용하여 데이터 인코딩을 시작하고 POST 방식을 사용하여 데이터를 C2 서버로 전송합니다.
그림 7: POST 방식을 이용한 데이터 전송
디코딩된 데이터의 스크린샷은 다음과 같습니다.
그림 8: 디코딩된 데이터
C2 서버는 세부 정보를 받은 후 명령으로 응답합니다.
응답에 따르면, 페이로드는 "명령"과 함께 net.exe를 실행하면서 피해자의 컴퓨터에서 작업을 수행합니다.넷 사용자 /도메인” 그리고 정보를 수집하여 C2 서버로 다시 전송합니다.
다음 기능 중 일부는 C2 서버로 데이터를 전송하는 데 사용됩니다.
그림 9: C2 통신 API 호출
이 페이로드는 또한 페이로드를 한 번만 실행하기 위해 글로벌 뮤텍스를 생성합니다.
그림 10: 글로벌 뮤텍스 생성
이 맬웨어의 주요 목적은 시스템 데이터를 훔치는 데 사용할 수 있는 백도어를 만드는 것이며, 시스템이 도메인에 있는 경우 백도어 네트워크를 생성하기 위해 측면 이동을 수행할 수 있습니다.
결론 :
피해자를 감염시키기 위해 사회 공학적 기법을 사용하는 것이 일반적인 수법이며, 해커들은 Excel 4.0 매크로나 msiexec.exe와 같은 정품 Windows 프로세스를 사용하여 바이러스 탐지를 피하기 위해 끊임없이 기술을 변경합니다. 퀵 힐(Quick Heal)과 Seqrite 엔터프라이즈 보안 솔루션 사용자를 악성 이메일 첨부 파일로부터 보호하고 원격 명령 및 제어 서버 통신을 식별하는 데에도 도움이 될 수 있습니다. 따라서 다음을 유지해야 합니다. 엔드 포인트 보안 솔루션 항상 업데이트됩니다.
IOC:
78EA9835C2D7F6760315EA043807B8C8
34B769FA431AC1945BE9CC33D4CC2426
DDAE8B7AA9A93CE17610EB063F5838CE
6675C63A2534FD65B3B2DA751F2B393F
주제 전문가:
안잘리 라우트, 아니루다 돌라스
