하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

UPS 청구서를 가장한 피싱메일 주의
등록일 :
2020.05.13

□ 개요​

파일 오픈시 악성 스크립트를 활성화하도록 유도하고 다른 악성코드를 다운로드 받아 감염시키는 파일이다. 

 

□ 내용

세계적인 물류 운송업체 UPS 로 사칭한 피싱메일이 유포되고 있어 사용자의 주의가 요구된다. 

 

[그림 1] 악성 엑셀 문서가 첨부된 이메일​

 

문서 파일을 열면 2개의 그림과 1개의 버튼이 삽입되어 있다.

[그림 2] 그림과 버튼이 삽입된 문서

레이아웃이 변경되거나 버튼을 클릭하면 셀 B50에 존재하는 문자열을 복호화하고 WMIC를 이용하여 파워쉘 스크립트를 실행한다.
- 값 : WMIC process call create <파워쉘 스크립트>

[그림 3] WMIC를 이용하여 파워쉘 스크립트 실행하는 매크로 실행

파워쉘 스크립트에 암호화되어있는 스크립트를 복호화하고 실행한다.

[그림 4] 암호화 되어있는 스크립트 복호화

C&C서버와 통신하여 데이터를 받아와 복호화하고 %temp%폴더에 존재하는 폴더 또는 파일에서 1개를 랜덤으로 선택하여 뒤에서 4자리를 제거한 이름으로 파일을 생성한다. [표 1]과 같이  생성되는 파일 이름이 “.” 이거나 기존에 존재하는 폴더 이름과 동일하면 파일 생성에 실패한다.
- C&C : hxxps://par***og[.]com/part?=[SID값]

[그림 5] C&C에서 데이터 다운로드 및 생성될 폴더 이름 결정

 

[표 1] 생성되는 파일이름 결정

[그림 5]에서 다운로드받은 데이터를 특정 구분자 기준으로 나누고 Base64 디코딩과 XOR 복호화를 수행하여 복호화된 데이터값을 [표 1]에서 결정된 파일에 쓴다.
- XOR 키 값 : (offset 1 에서 1바이트 값)
- 구분자 : “!”
- 파일 : %temp%\([표 1]에서 결정된 파일 이름)

[그림 6] 다운로드된 데이터 복호화 및 파일 생성

생성된 파일을 레지스트리에 등록한다. 현재 C&C 접속이 되지 않아 생성된 파일을 확인할 수는 없지만 regsvr32명령어를 사용하는 것으로 봐서 DLL 파일로 추정된다.
- 값 : regsvr32 %temp%\([표 1]에서 결정된 파일 이름)

[그림 7] 레지스트리 등록

□ 바이로봇 업데이트 내역 
VBS.S.Downloader


 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top