Fedex를 이용한 스피어피싱

압축파일을 하나 던져 주면서 "자세한 내용을 보려면 첨부된 파일을 열어보어라."라고 한다.

해당 압축파일은 패스워드가 걸려 있지 않은 zip파일이며 zip안에는 js파일이 하나 들어있다.

FileName	Label_00594831.zip
MD5	c097a0e10cfcb30b6fb81ac72452c6e7
SHA-1	9fde521ab6b1ba477d0b96df2c46d31b20124e22

[표1] 압축파일 정보

FileName	Label_00594831.doc.js
MD5	f35820c6003536e8e706f8059963157f
SHA-1	7eccb24fb6d61fbbe6bfe953c8d7e93e91690b0d

[표1] 악성 스크립트 정보

js파일을 열어보면 난독화가 되어 있는데, 비교적 복호화가 쉬운 자바스크립트이다. 결국엔, eval을 사용하여 자바스크립트를 복호화 시키는데, eval을 alert으로 바꿔주면서 복호화가 가능하다.

스크립트 내용을 보면 teknel.com.ar, bip.zgo.bielsko.pl, lotuswinsingh.com, levi.loback.net, adescbrasil.com.br 이라는 URL에 접속하여 카운터를 남기고 리스폰스값을 얻어와 HTTP Status가 200이라면 .exe로 파일을 저장하는 것으로 보인다. 스크립트를 실행해봤는데 WScript가 정의되어 있지 않아서 그냥 프로그래밍으로 다운받았다.

nopsled@smleeo3o:~/Documents/python/etc/malware (=｀ω´=)$ python download.py teknel.com.ar response is 0! bip.zgo.bielsko.pl M Z 2bdcad34fd8cea92232efcb6e5c78bf7 69980031b6e366543c522491917a3e8b8b749f8a lotuswinsingh.com M Z 1d13484ab080bac5d2c40e9e33226478 e3d8dab6f3b852dc693dff3b28dc5065bc7aac2c levi.loback.net M Z d48ef4bb0549a67083017169169ef3ee 7a502160f3492e76ea4147c6684432191657443e adescbrasil.com.br response is 0!

5개의 사이트중, response 0,1부분이 MZ로 실행 가능한 파일임을 알려준다. 게다가 hash값이 모두 다른것으로 보아 모두 다른 실행가능한 파일이라는 것.

nopsled@smleeo3o:~/Documents/python/etc/malware (=｀ω´=)$ file * bip.zgo.bielsko.pl.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit download.py:            ASCII Java program text levi.loback.net.exe:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit lotuswinsingh.com.exe:  PE32 executable for MS Windows (GUI) Intel 80386 32-bit

바이너리 추가 분석은 추후에 더 업로드 하겠음. 혹여나, 궁금하신분들을 위해 파이썬으로 프로그래밍한 소스코드 업로드 했습니다. 다운로드는 하단에서 해주세요. 참고로 저만 쓰려고 만든거라 소스코드가 더럽습니다.

download.py

다음에 포스팅에서 보아요.

추가내용 : 분석시작 했는데 올바른 PE파일이 아니거나(bip.zgo.bielsko.pl.exe) CreateProcessW를 이용하여 프로세스를 생성하지만 프로그래밍 오류로 인하여 실행이 불가능(lotuswinsingh.com.exe, levi.loback.net.exe)하다 판단 됨.