[2019.08.26] Emotet C2 2019.8.22 4AM 기점으로 활동 재개

요약

- Emotet 진화 : 

① 뱅킹 트로잔으로 시작하였으나, 봇넷으로 전파력 향상 및 새로운 기능 탑재 등 한층 업그레이드 됨  

    (크리덴셜 스틸링,네트워크 전염, 이메일을 통한 확산, 주소록 탈취 등 기능 추가)

② 새로운 전파 기술을 적용탐지 우회 능력 향상과 동시에 다양한 악성행위를 행하는 교두보 봇넷 역할에 집중하는 추세

- 전파방법 : 피싱이메일의 악성 링크, 첨부파일

    (최근 보고서들에 따르면 악성 페이로드를 포함하는 모든 스팸 중 60%가 emotet으로 나타남)

- 영향성 : 시스템이 emotet에 감염된 후, 추가적으로 다양한 악성코드를 시스템에 감염시킴

- C2와 통신 : 감염 IoT 장비를 Bot C2로 활용

  신규 감염 시스템 → Bot C2(감염 IoT 장비) → Tier 1 C2 (해킹된 웹 호스트) →  Tier 2 C2

      ① 새로 감염된 장비에는 40+개의 C2 주소가 포함된 페이로드 다운로드 (Bot C2, Tier 1 C2)

      ② emotet 감염된 IoT 장비에 UPnP 모듈이 활성화해 Bot C2로 활용되고, 프록시 역할을 하며 감염장비에서 Tier 1 C2로 커뮤니케이션 포워딩 함

      ③ 주로 해킹된 웹호스트인 Tier 1 C2는 Tier 2 C2 서버로 커뮤니케이션을 포워딩 함.

 

- Emotet 활동 재개 포착 : 브라질, 멕시코, 독일, 일본, 미국 

- 올해 6월 활동 이후 활동 재개 포착 : 비활성이던 Emotet 봇들이 새로운 바이너리를 제공하기 시작 

- 현재 공격은 펼치지 않음 : 공격 전 시스템 환경 구축에 시간이 필요해 즉각적인 공격이 이루어 지지 않은 것으로 보임

                                          (봇넷 새로 구축, AV 봇 제거, anti spam 제품을 우회 테스트 시간 필요, 공격 캠패인전 준비기간 필요 등)

- C2 :

104.131.11.150:8080

104.131.208.175:8080

104.236.151.95:7080

142.93.88.16:443

144.139.247.220:80

159.89.179.87:7080

162.144.119.216:8080

162.243.125.212:8080

170.150.11.245:8080

176.31.200.130:8080

177.242.214.30:80

187.163.180.243:22

195.242.117.231:8080

216.98.148.156:8080

217.13.106.160:7080

31.12.67.62:7080

45.123.3.54:443

45.32.158.232:7080

46.101.142.115:8080

46.105.131.69:443

64.13.225.150:8080

69.45.19.145:8080

70.32.84.74:8080

75.127.14.170:8080

91.83.93.103:7080                    

탐지룰 존재유무

- IBM : HTTP_Emotet_Trojan_CnC

- AhnLab-V3 : Trojan/Win32.Emotet.R248033

- FireEye : Generic.mg.9f31cd80fd32a04e 

- McAfee : Emotet-FKU!9F31CD80FD32

- Symantec : Trojan.Emotet

- TrendMicro : TSPY_EMOTET.THABOCAH

참고자료

출처 : https://www.bleepingcomputer.com/news/security/emotet-botnet-is-back-servers-active-across-the-world/

   https://www.centurylink.com/business/security/black-lotus-labs.html?rid=blacklotuslabs