드로퍼형 악성코드.pdf

3줄 요약

1. 실행 시 winlogdate.exe 파일 드롭
2. 레지스트리 수정으로 로그인 마다 실행
3. 통신 및 원격 접속으로 개인정보 탈취

분석 파일#

• 파일: [ link ]
• 비밀번호: malware
• 주의: 격리된 환경에서만 실행

발퀄 및 건너짚기가 남발하는 문서임니당

1. 정적 분석#

(1) 기본 정보#

HxD로 열면 헤더 부분의 MZ를 확인 가능
-> PE포맷을 가진 윈도우 실행 프로그램
-> 헤더 확인 결과 2014년 생성된 MicroSoft Visual C++ 기반 32bit 실행파일

(2) IAT#

IAT테이블 확인 결과 KERNAL32.dll과 SHELL32.dll 두개의 라이브러리 이용

1. KERNAL32.dll

   • 파일 관련: GetTempPath, CreateFile, GetCurrentDirectory, CreateDirectoryA…
   • 프로세스 관련: VirtualFree, VirtalAlloc, GetCommandLineA, CreteProcessA, WaitForSingleObject..

2. SHELL32.dll

   • ShellExcuteA만 사용 중

=> 드로퍼형 악성코드일 가능성이 높을 것으로 추측

CreateProcessA, VirtualFree, VirtalAlloc: 프로세스 생성
CreateFile: 파일 생성
ShellExcuteA: 파일, URL, 애플리케이션을 열거나 실행
WaitForSingleObject: 객채의 상태가 변경될 때 까지 대기하는 함수

(3) 리소스#

리소스 섹션이 ***70.39%***로, 총 용량 중 대부분을 차지 중 이에 내부에 어떤 리소스가 존재하는지 확인 한 결과

Icon 영역에서는 엑셀 파일 아이콘을 발견, Binary 영역에서는 엑셀 파일과 용도를 알 수 없는 파일을 발견함

해당 파일을 dump하여 확인한 결과

• 포맷: PE
• 파일명: winlogdate.exe
• 명령줄 인터프리터를 설정하는 COMSPEC와 프로그램 데이터가 저장되는 APPDATA 환경변수 호출 등을 확인

API 정보와, 리소스 정보를 종합했을 때 이 프로그램은 엑셀로 위장한 악성코드로,
실행했을 때 winlogdate.exe라는 파일을 드랍하여 실행하는 dropper형

2. 동적 분석#

5340.exe 파일 실행 시, 그 즉시 바로 종료 됨 리소스 사용량에서 큰 변화는 없었지만 Process Monitor로 확인한 결과 Appdata의 특정 경로에 winlogdate.exe파일을 생성한 것을 확인.

winlogdate.exe 파일도 실행해 본 결과, HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 레지스트리를 조작하여 로그인 할 때마다 Update명령을 실행함 을 알 수 있음

또한 104.26.7.37이라는 외부 주소와 통신하고 있는 것을 확인

추가적으로 winlogdate.exe의 PE 정보를 분석한 결과 ws2_32.dll, wtsapi32.dll 라이브러리의 InternetConnectA(네트워크 연결), WTSQuerySessionInformationA(원격 데스크탑 프로그램) 과 같은 API를 호출하는 것을 확인

동적 분석 결과, 실제로 winlogdate.exe를 드랍하는 드로퍼 형 악성코드로
winlogdate.exe는 인터넷 연결 및 원격 데스크탑 서비스를 사용하여 사용자의 개인 정보를 탈취하는 악성프로그램