지난 2017 8 20일 안랩은 클라우드 기반의 악성코드 위협 분석 및 대응 시스템인 ASD(AhnLab Smart Defense)를 통해 이모텟(Emotet) 악성코드가 스팸 봇넷을 통해 유포되고 있음을 확인하였다.

 

이모텟 악성코드는 미국, 영국, 캐나다와 같이 해외에서 주로 발견되는 금융 정보 탈취형 악성코드이다. 이모텟은 악성 매크로가 포함된 워드문서가 첨부된 스팸 메일(MalSPAM)을 통해 유포되며, 유포되는 이모텟 악성코드의 주요 기능은 컴퓨터 호스트 이름 정보, 실행 중인 프로세스 리스트 등 사용자 정보를 유출하는 기능과 C&C 서버로부터 추가 악성 모듈을 다운로드하여 실행시키는 악성코드 로더의 역할을 수행한다.

 

분석 당시 C&C 서버가 차단되어 있어 추가 악성 모듈을 확보하기 어려운 상황이지만, C&C 서버로부터 다운로드 받는 모듈이라고 알려진 파일이 ASD 인프라에 확보되어 본 글에서는 해당 모듈에 대한 분석 내용을 공유하고자 한다. 참고로 C&C 서버로부터 다운로드 받는다고 알려진 추가 모듈에 대한 목록은 [-1]과 같다.

 

공유 폴더를 통한 악성코드 전파 모듈

스팸 메일 전송에 사용되는 모듈

브라우저에 인젝션되어 금융 정보 탈취에 사용되는 모듈

[-1] C&C 서버로부터 다운받는 추가 모듈 목록

 

확보된 모듈의 주요 행위는 네트워크 공유 폴더를 통해 이모텟 악성코드를 전파하는 기능을 수행한다.

 

네트워크 공유 폴더 목록 획득

공유 폴더 접속을 위한 brute force(이하 브루트-포스) 공격 시도

접속 성공 시 공유 폴더 경로에 이모텟 악성코드 자가 복제

이모텟 악성코드를 공격 대상 공유 폴더에 복사 및 원격 실행

[-2] 공유 폴더를 통한 악성코드 전파 모듈

 


 

네트워크 공유 폴더 목록 획득

 

WNetOpenEnumW, WNetEnumResource API 호출을 통해서 시스템 내 공유된 폴더 목록과 NetUserEnum API를 통해서 사용자 계정 리스트를 가져온다.

 


[그림-1] 네트워크 공유 폴더 목록 획득 코드 일부분 (1)

 

[그림-2] 네트워크 공유 폴더 목록 획득 코드 일부분 (2)

 

공유 폴더 접속을 위한 브루트-포스 공격 시도

 

NetUserEnum API를 호출하여 계정을 확보한 이후 해당 모듈은 네트워크 공유 폴더 접속을 위한 브루트-포스 공격을 시도한다.

 

먼저 WNetAddConnection2W API를 통해 네트워크 공유 폴더에 접근한다. 이때 접속을 시도하는데 이용되는 패스워드의 경우에는 난독화된 상태로 하드 코딩 되어 있는 1000개의 암호 목록 [-3]이 사용되며, 접속 계정은 네트워크 자원을 통해 얻은 ID 혹은 해당 계정으로 접근 실패 시 Administrator가 사용된다.

 

[그림-3] 공유 폴더 접속을 위한 브루트-포스 공격 시도

 

123456,password,12345678,qwerty,123456789,12345,1234,111111,1234567,dragon,123123,baseball,abc123,football,monkey,letmein,696969,

shadow,master,666666,qwertyuiop,123321,mustang,1234567890,michael,654321…,freepass

[-3] 1000개의 암호 목록 일부

 

참고로 [-3]에서 언급한 1000개의 암호 목록은 Github‘1000-most-common-passwords.txt라는 이름으로 업로드 되어있다.

(https://github.com/DavidWittman/wpxmlrpcbrute/blob/master/wordlists/1000-most-common-passwords.txt)

공유 폴더 사용자는 유추하기 쉬운 패스워드 사용을 사용하지 않아야 하며, 패스워드를 주기적으로 변경하여 공유 폴더를 통한 악성코드 감염에 주의해야 한다.

 

이모텟 악성코드를 공격 대상 공유 폴더에 복사 및 원격 실행

 

이모텟 악성코드는 공격 대상의 네트워크 공유 폴더에 접근이 되면 GetTickCount API를 통해 얻은 난수값을 생성할 서비스 이름 및 파일명으로 사용한다. 이후 CopyFileW, CreateServiceW API를 호출하여 네트워크로 연결된 사용자의 PC에 이모텟 악성코드를 실행한다.

 

[그림-4] 공격 대상의 공유 폴더에 이모텟 악성코드 복사 및 원격 실행 코드 일부분

 

현재 이모텟 악성코드에 대한 연구가 계속되고 있으며, 이모텟 악성코드에 대한 추가 분석 내용은 ASEC Report 3분기에서 공개될 예정이다.

(http://www.ahnlab.com/kr/site/securityinfo/asec/asecReportView.do?groupCode=VNI001)

 

또한 공유 폴더를 통한 이모텟 악성코드 전파에 사용되는 모듈 이외에 다른 모듈에 대한 내용도 확인이 되면 ASEC 블로그에 내용을 공개하도록 하겠다.

 

V3 제품군에서는 이모텟 악성코드와 관련된 모듈을 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

-       Trojan/Win32.Emotet (2017.09.20.00)

신고
Posted by myunguk.han