회사에서 악성프로그램을 포함한 메일이 유입이 되어 분석을 하였다.
결론 : HSBC 은행 위장 악성프로그램 배포 목적의 이메일
분석도구
이메일헤더분석 : https://mxtoolbox.com/
동적분석 : IDA pro, ghydra, PEView, HxD
정적분석 : SysAnalyzer, x64dbg
1. 메일분석
결론부터 말하자면 해당 건은 inmotion 업체의 호스팅 서비스를 받아서 HSBC 발송자로 위장하여 악성프로그램이 포함된 이메일을 발송한 것으로 확인되었다.
이메일 헤더를 분석하여 발송지의 도메인이 다른것을 확인하였다. (ded5695.inmotionhosting.com)이며 해당 주소를 들어가게되면 도메인 포워딩이 된다(hovskycopr.com)
포워딩된 사이트의 디렉토리 경로 검색을 시도하자 다음과 같은 파일들이 확인되었으며 호스팅 업체의 기본 세팅 파일로 확인되었다. 이외에 별도의 기능은 없었다.
Return-Path를 확인하여 실제 메일 회신 시 info@hsbc.com으로 되돌아 가는 것으로 보아 정보 획득의 목적이 있는 피싱 메일의 유형은 아닌 것으로 확인된다.
2. 파일분석
임시폴더에 동작에 필요한 라이브러리(System.dll 등)을 생성하며 IPC 채널을 생성하여 리모트 통신을 가능하게하는 ‘ole32.dll’을 로드하는 것으로 확인되었다. C&C 통신에 필요한 파일 설정으로 추정된다.
추가적으로 시스템 종료 관련 API를 사용하기 위한 ‘SeShutdownPrivilege’ 특권을 활성화 시도 로직이 발견되었다.
견적서 파일을 위장한 드로퍼 악성 프로그램 유형으로 판단된다
첨부파일은 img 확장자로 Drive에서 마운트되어 실행을 할 수 있다. 보통 파일 전송시 확장자가 다름으로 주의가 더 필요하다. 안에 내용물을 확인하게되면 .com 즉 MS-DOS 응용프로그램이다. 공격자는 URL의 .com 도메인으로 착각을 주기위하여 이름을 위장한 것을 확인된다.
악성 프로그램을 IDA PRO를 통하여 분석 결과 주요 로직이다 특수폴더에 접근하여 작성 및 수정을 반복하는 로직이 확인되었다.
동적분석을 하면서 확인결과 System.dll이라는 파일명을 가진 라이브러리를 생성한다. Windows에서 기본제공되는 라이브러리가 아니다
실제로 TMP 폴더안에 System.dll이 생성되었다.
정적분석툴의 하나인 PEView를 통하여 라이브러리에서 어떤 라이브러리를 임포트 하는지 어떤 함수를 사용하는지 확인을 해보았다. 특이하게도 통신에 쓰이는 ole32.dll을 로드하는것으로 확인된다. 해당 악성메일은 견적을 확인하기위하여 PDF를 열어라는 식으로 파일 실행을 유도했다. 상식적으로 PDF에서 외부와의 통신이 필요하지는 않다.
정적분석을 계속 진행한 결과 시스템 종료 관련 API를 사용하기위한 SeShutdownPrivilege 활성화 로직이 확인되었다.
실제 회사에서 사용되는 환경을 구성하여 가상머신에서 파일을 SysAnalyzer를 통하여 5분간 데이터 수집 결과 특이한 행동은 하지 않았다.
요즘 회사에서 악성메일훈련솔루션을 통하여 발송자의 메일주소를 확인하라는 가이드를 한다. 그러나 위와 같이 별도의 발신자 변조를 확인하지않는 정책을 가진 메일 서버의 경우 언제든지 위장하여 메일을 발송할 수 있다.
구글에서 email API로 외부로 메일을 발송할 수 있는데 구글은 발송자의 변경을 금지하여 원래 발신자 이름으로 발송하게된다.
최선의 보안대책으로는 업무와 관련없는 이메일은 열어보지도 첨부파일을 클릭 및 실행해보지도 않아야 한다. 무조건적으로 발송자의 주소를 신뢰해서는 안된다.