emotet 분석

MD5: 68b984c9b809ffecf96bb491e6d3d18a1f46c3a23cc4ed43c2a516a53ecb8aee

NAME: AF9919705489DL.doc

SIZE: 172,686 byte

 

MD5: B50565651A1701AA7C3BDF2B925ADDAE

NAME: J3sat8nxa.exe

SIZE: 258,048 byte

 

C2: [50.121.220.50, 54.37.42.48, 51.75.33.122]

 

 

1. AF9919705489DL.doc

 

1) 원본파일은 doc파일이며 내부의 VB script가 삽입 되어있고 난독화 된 문자열을 내부로직을 통해 복호화를 시킨다.

WMI

Split 복호화

 

2) VB Script 내에는 없지만 문서 내의 숨겨두었던 Powershell payload도 같은 방식으로 복호화를 진행한다.

Powershell Payload

 

3) Base64 디코딩을 하고 패킷을 숨기기위해 TLS 통신을 하고 아래의 URL에서 PE를 다운로드 후 실행한다.

 - Drop : %userprofile%\yeDzbq5\PF2qP2U\J3sat8nxa.exe

Powershell Code

---

2.  J3sat8nxa.exe

 

 

 

1) Dummy Code를 지나면 Virtualalloc 함수를 통해 공간을 할당하고 data 섹션의 내부 PE를 배치 시킨다.

PE 배치

 

2) PE 배치 이후  ~\System32\ 내부의 파일명들을 전부 수집을 하고 확장자를 제거 후 메모리에 저장시킨다.

   - C:\\Windows\\System32\\

파일명 수집

 

 

3) 경로를 구하기 전 연산을 통해 결과 값을 구하고 그 결과 값으로 이전에 수집해 두었던 파일명을 추출한다.

   - 첫번째 경로: GetTickCount / 3 / 0x07A5

   - 두번째 경로: GetTickCount / 7 / 0x07A5

   - 전체 경로: %appdata%\local\[Random]\[Random]

경로 연산

 

4) 연산 경로의 자가복제를 시키고 이후 생성된 자가복제 파일을 실행 시킨다.

Create Process

 

5) 자가복제 이후 악성행위가 시작이 된다 재부팅 이후 자동 재 시작을 위해 레지스트리에 등록을 한다.

  - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[Randomfile]

reg 등록

 

6) 암호화를 하기 위해 Hash와 Key를 생성한다.

Create Key

 

7) 감염자 PC의 정보를 수집한다.

  - 윈도우 디렉토리, 컴퓨터 이름, 볼륨 정보, 윈도우 버전, 부팅 시간, 프로세스 목록...

정보 수집

프로세스 목록

 

8) 감염자 PC의 수집된 데이터들을 이전에 만들어 두었던 Key로 암호화를 시킨다.

암호화 전

암호화 후

 

9) C2 통신을 하기 전 boundary 값을 구한다. 

   - GetTickCount *4 = %DWORD*4

Boundary

 

10)boundary 값을 구하고 HTTP 메세지를 형성시킨다. 그 이후 암호화된 수집 데이터를 payload에 담아준다.

HTTP 구성

 

11) 공격자의 C2와 통신을 하기 전 HTTP Header를 구성하고 POST 파라미터로 수집된 정보를 전송시킨다. C2의 주소는 3개이며 순차적으로 전송을 시킨다.

C2 통신

 

12) 메모리를 할당하고 공격자의 C2로 부터 추가 파일을 다운로드 받는다.

추가 다운로드

13) 다운로드 된 바이너리는 난독화가 되어 있으며 C2로 전송하기전 사용했던 Key를 이용해 복호화를 진행시킨다.

난독화

복호화

 

현재 C2는 Alive 상태이며 추가 행위가 지속적으로 가능하다.