사이버위협분석/악성 이메일 분석

이미지 저작권 위반을 사칭한 피싱 악성 메일 분석

경험한사람 2024. 6. 13. 06:05

 

"본 블로그의 모든 정보는 합법적이고 윤리적인 보안 연구와 교육 목적으로만 사용되어야 합니다. 불법적인 해킹 및 악의적인 활동에 사용될 경우, 그 책임은 전적으로 사용자에게 있습니다."

 

이미지 저작권 위반을 과장한 피싱 악성 메일 분석 분석

 
 
  개요 
    사진 무단 도용에 따른 사용 금지를 요청하는 피싱 메일이며, 메일 본문의  '저작권 위반내용 확인하기' 링크 클릭 시 암호 압축된 악성파일이 자동으로 다운로드되며, 압축 해제 및 실행 시  악성파일(랜섬웨어)에 감염 됨.

    ※ 랜섬웨어란? 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말한다.
 
□  동작방식  
    1. 공격자로부터  사진 무단 도용에 따른 사용 금지를 요청하는 피싱 이메일 수신
    2. 메일 본문에 악성링크 클릭 시 암호압축(확장자 : zip)된 파일 자동 다운로드
    3. 압축 해제 시 보이는 악성파일은 XLS, HWP 아이콘 모양으로 위장하고 있으며 실행 시 악성파일(랜섬웨어)에 감염됨.

 
□  분석결과 
   1. 공격자로부터  사진 무단 도용에 따른 사용 금지를 요청하는 피싱 이메일 수신

[그림1] 악성 메일 수신

 

 

 2. 이메일 헤더(Header)에 포함된 발신지 메일서버 IP 확인

[그림2] 이메일 해더 분석

 

 

 3. 발신지 메일서버 Spamhaus 조회 결과 스팸메일 발신지 등록이력 없음(* 이전 스팸메일 발송이력은 없음)

     - 통상적으로 해당 메일서버를 통해 불특정 다수를 대상으로 대량 메일이 발송되는 경우에만 RBL 차단 등록함.

    ※ RBL(Realtime Black List)이란, 스팸성 메일을 많이 발송하는 메일 서버 IP의 리스트로써 실시간으로 갱신됩니다. 특정 단체 또는 회사에서 메일 호스팅 사업자 또는 자체 메일 서버를 운영 중인 기업이나 개인에게 제공(공조대응)할 목적으로 RBL 정보를 상호 공유 및 관리 함.

 

   https://check.spamhaus.org/results?query=194.163.135.205    

[그림3] Spamhaus 조회 결과

 


 4. 메일 본문 '저작권 위반내용 확인하기' 링크 클릭 시 ZIP 확장자로 압축된 악성파일이 자동으로 다운로드 됨.

[그림4] 메일 본문 링크 클릭
[그림5] 악성파일 자동 다운로드

 

 

 5. 웹페이지 소스코드 분석결과 atob 함수를 사용하여 Base64로 인코딩 된 문자열을 디코딩하고, 이를 바이너리 데이터로 변환 후 Blob 객체로 만들어 EpwaMYLXRP 함수를 통해 파일 다운로드를 시도함.
      - 특정 웹사이트에서 악성파일을 다운로드하지 않고 접속한 웹페이지에서 파일을 생성함.

[그림6] 웹페이지를 통한 악성파일 자동 다운로드 코드

 

 

6. Base64로 인코딩 된 문자열을 디코딩 시 ZIP 파일 바이너리 내 EGG 확장자로 압축된 악성파일이 포함 됨.

     - 파일 헤더(Header) 'PK'는 ZIP 확장자를 의미 함.

         https://www.base64decode.org/ko/  

[그림7] Base64 디코딩

 

 
7.  iframe을 적용하여 실행되는 코드는 화면에 포시 되지 않도록 함.

<iframe style='display: none;' width='0' height='0' frameborder='0'></iframe>

 
 
8. ZIP 압축 해제 > EGG 압축해제 시 보이는 악성파일은 한글(HWP), 엑셀(XLS) 아이콘 모양으로 위장하고 있음
    - 윈도우10에서 기본적으로 파일 확장자가 숨김처리되는 것을 활용하여 아이콘 변조 후 실행을 유도함.

[그림8] 정상 파일로 위장한 악성파일

 
 
9. "파일 확장자" 보기 기능 적용 시 한글(HWP), 엑셀(XLS)이 아닌 악성 실행파일(EXE)인 것으로 확인됨.
     - 파일이 2개인 이유는 윈도우OS 실행환경에 맞춤으로 감염을 32비트/64비트

[그림9] 파일 확장자 보기

 
10. 바이러스토탈(https://www.virustotals.com) 검사 결과 30개 백신회사에서 악성파일로 진단함.

[그림10] 바이러스토탈 검사 결과

 
11. 악성파일 실행 시 랜섬웨어에 PC가 감염되어 모든 오피스(엑셀, 한글, PPT, TXT 등)  문서가 암호화됨.

[그림11] 랜섬웨어에 감염된 PC 화면

 
□  대응방안  
    1. 의심스러운 이메일 본문 링크는 클릭하지 않는다.

         - 혹시, 실수로 다운로드 받았다 하더라도 다운로드 받은 파일을 실행하지 않는다.
    2. 악성 이메일 발신지 IP와 이메일주소를 차단한다.
         - 발신자 메일주소 : info@finnai.co.ke

         - 발신지 메일서버 IP : 194.163.135.205

    3. 악성파일 유포지 URL 및 IP를 차단한다.
         - URL : hxxps://sobrancelhasrb.suabeleza.club

         - IP : 162.241.203.45
    4. 백신 프로그램 설치 및 최신업데이트 유지한다.

 
이상.  끝.