펌웨어 업데이트로 위장한 드로퍼 악성코드
Contents
펌웨어 업데이트로 위장한 드로퍼 악성코드
( Document No : DT-20220708-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리 보안대응센터
ㅇ 분석 개요
공유기 펌웨어 설치파일로 위장한 악성코드는 실행 시 팝업창을 생성해 정상파일로 위장하여
백그라운드에서 동작한다. 이후 C&C 서버와의 통신을 통해 추가적인 악성 행위를 수행한다.
ㅇ 악성코드 도식화
페이지 2 / 15
악성코드 상세 분석 보고서
하우리 보안대응센터
1. Sample.vir
(MD5 : 851E33373114FEF45D0FE28C6934FA73, SIZE : 407,552)
개요 : 실행 시 공유기 펌웨어 업그레이드를 위장하며 내장된 데이터를 복호화 후 실행하여 악성
행위를 수행한다.
ViRobot
Trojan.Win32.S.Agent.407552.CI
상세분석 :
(1) 암호화된 문자열을 복호화 한 뒤 해당 문자열로 뮤택스를 생성한다.
- 뮤택스 : Windows update {2021-1020-02-03-A}
[그림 1] 중복실행 방지를 위한 뮤택스 생성
(2) 원본 파일에서 암호화 된 데이터는 HexString 으로, 해당 문자열의 앞 4byte 를 XOR 키로
사용해 복호화를 진행한다.
[그림 2] 복호화 루틴
페이지 3 / 15
악성코드 상세 분석 보고서
하우리 보안대응센터
(3) 네 개의 스레드를 실행시켜 악성데이터 복호화 및 실행, 공유기 펌웨어 업그레이드 위장
팝업창 생성 등의 행위를 수행한다.
[그림 3] 스레드 생성 및 실행
(4) 암호화 된 데이터를 복호화 하여 다음 경로에 파일을 생성한다.
- 경로 : %APPDATA%\Roaming\Media\wmi-ui-e101ad46.db
[그림 4] wmi-ui-e101ad46.db …
( Document No : DT-20220708-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리 보안대응센터
ㅇ 분석 개요
공유기 펌웨어 설치파일로 위장한 악성코드는 실행 시 팝업창을 생성해 정상파일로 위장하여
백그라운드에서 동작한다. 이후 C&C 서버와의 통신을 통해 추가적인 악성 행위를 수행한다.
ㅇ 악성코드 도식화
페이지 2 / 15
악성코드 상세 분석 보고서
하우리 보안대응센터
1. Sample.vir
(MD5 : 851E33373114FEF45D0FE28C6934FA73, SIZE : 407,552)
개요 : 실행 시 공유기 펌웨어 업그레이드를 위장하며 내장된 데이터를 복호화 후 실행하여 악성
행위를 수행한다.
ViRobot
Trojan.Win32.S.Agent.407552.CI
상세분석 :
(1) 암호화된 문자열을 복호화 한 뒤 해당 문자열로 뮤택스를 생성한다.
- 뮤택스 : Windows update {2021-1020-02-03-A}
[그림 1] 중복실행 방지를 위한 뮤택스 생성
(2) 원본 파일에서 암호화 된 데이터는 HexString 으로, 해당 문자열의 앞 4byte 를 XOR 키로
사용해 복호화를 진행한다.
[그림 2] 복호화 루틴
페이지 3 / 15
악성코드 상세 분석 보고서
하우리 보안대응센터
(3) 네 개의 스레드를 실행시켜 악성데이터 복호화 및 실행, 공유기 펌웨어 업그레이드 위장
팝업창 생성 등의 행위를 수행한다.
[그림 3] 스레드 생성 및 실행
(4) 암호화 된 데이터를 복호화 하여 다음 경로에 파일을 생성한다.
- 경로 : %APPDATA%\Roaming\Media\wmi-ui-e101ad46.db
[그림 4] wmi-ui-e101ad46.db …
IoC
851E33373114FEF45D0FE28C6934FA73
9AC572BDCA96A833A40EDCAA91E04C2B
http://fedra.p-e.kr
http://leomin.dothome.co.kr/update/?mode=login
9AC572BDCA96A833A40EDCAA91E04C2B
http://fedra.p-e.kr
http://leomin.dothome.co.kr/update/?mode=login