exe malware including hwp, disguised as a Vietnamese event estimate
Contents
티스토리 뷰
exe malware including hwp, disguised as a Vietnamese event estimate.분석가E 2019. 12. 3. 22:59
exe파일 내부에 hwp 파일이 존재하는 악성코드가 헌팅되었다.
퇴근을 해야하니 빠르고 간략하게 분석하고 치우자.
Stage 1. Dropper (베트남 녹지원 상춘재 행사 견적서.hwp .exe )
exe파일이 헌팅되었고 리소스 영역에는 추가 악성코드와 hwp파일이 존재한다. 또한 문자열 테이블에는 "베트남 녹지원 상춘재 행사 견적서.hwp" 라는 문자열이 존재한다. 이 문자열은 드랍하는 hwp파일의 이름이다.
악성코드가 실행하면 HWP파일과 DLL 파일을 드랍하고 실행한다. DLL파일은 NewAct.dat라는 이름의 dll이며 regsvr32.exe를 통해 DllInstall 함수를 실행하게 된다.
Stage 2. Dropped Malware (NewACt.dat)
드롭된 dll파일의 DllInstall함수가 실행되면 같은 폴더 내에있는 *.wsf파일을 삭제한다. (이 공격에서 wsf파일은 사용되지 않았다. 아마 과거 코드의 흔적이 남아있는것으로 추정된다.) 이후 checkdrive라는 export함수를 실행한다.
checkdrive 함수가 시작되면 OS버전이 64비트인지 확인한 후 64비트인경우 서버로 부터 추가 악성코드를 다운받고 실행한다. (lyric64)
64비트가 아닌경우 악성코드 자신을 explorer.exe 프로세스에 DLL 인젝션을 수행한다.
Stage 3. DllMain(injected explorer.exe)
인젝션된 DLL파일은 DllMain을 실행한다. DLL메인은 프로세스 명을 확인하고 explorer.exe인 경우 뮤텍스 생성, 악성행위를 위한 쓰레드 생성 등의 행위를 수행한다. 프로세스이름이 explorer.exe가 아니면서 rundll32.exe도 아닌경우 rundll32.exe를 …
exe malware including hwp, disguised as a Vietnamese event estimate.분석가E 2019. 12. 3. 22:59
exe파일 내부에 hwp 파일이 존재하는 악성코드가 헌팅되었다.
퇴근을 해야하니 빠르고 간략하게 분석하고 치우자.
Stage 1. Dropper (베트남 녹지원 상춘재 행사 견적서.hwp .exe )
exe파일이 헌팅되었고 리소스 영역에는 추가 악성코드와 hwp파일이 존재한다. 또한 문자열 테이블에는 "베트남 녹지원 상춘재 행사 견적서.hwp" 라는 문자열이 존재한다. 이 문자열은 드랍하는 hwp파일의 이름이다.
악성코드가 실행하면 HWP파일과 DLL 파일을 드랍하고 실행한다. DLL파일은 NewAct.dat라는 이름의 dll이며 regsvr32.exe를 통해 DllInstall 함수를 실행하게 된다.
Stage 2. Dropped Malware (NewACt.dat)
드롭된 dll파일의 DllInstall함수가 실행되면 같은 폴더 내에있는 *.wsf파일을 삭제한다. (이 공격에서 wsf파일은 사용되지 않았다. 아마 과거 코드의 흔적이 남아있는것으로 추정된다.) 이후 checkdrive라는 export함수를 실행한다.
checkdrive 함수가 시작되면 OS버전이 64비트인지 확인한 후 64비트인경우 서버로 부터 추가 악성코드를 다운받고 실행한다. (lyric64)
64비트가 아닌경우 악성코드 자신을 explorer.exe 프로세스에 DLL 인젝션을 수행한다.
Stage 3. DllMain(injected explorer.exe)
인젝션된 DLL파일은 DllMain을 실행한다. DLL메인은 프로세스 명을 확인하고 explorer.exe인 경우 뮤텍스 생성, 악성행위를 위한 쓰레드 생성 등의 행위를 수행한다. 프로세스이름이 explorer.exe가 아니면서 rundll32.exe도 아닌경우 rundll32.exe를 …
IoC
03c35e4c6a641373db665e7d58cea421188fbc82
1050935f6acee3afda3876478718632b968c986eb9c59fc2e27599c1515515f5
328ba7f982d3d775b7c51756daf14496
35d60d2723c649c97b414b3cb701df1c
4db3f34d439e3d7a04df74e109012da671495c08
6dfce07abc39e5d6aebd74a1850ad65cc6ce10a8540b551c4f6d441ec4cf48ab
6fb5916d8c10589d23fbc7417c5f92476fb9718c702af9eefaac33af1348d4eb
9944ce9354fb8961826339770ffc118000058271
e54b370d96ca0e2ecc083c2d42f05210
http://antichrist.or.kr/data/cheditor/dir1/f.php
1050935f6acee3afda3876478718632b968c986eb9c59fc2e27599c1515515f5
328ba7f982d3d775b7c51756daf14496
35d60d2723c649c97b414b3cb701df1c
4db3f34d439e3d7a04df74e109012da671495c08
6dfce07abc39e5d6aebd74a1850ad65cc6ce10a8540b551c4f6d441ec4cf48ab
6fb5916d8c10589d23fbc7417c5f92476fb9718c702af9eefaac33af1348d4eb
9944ce9354fb8961826339770ffc118000058271
e54b370d96ca0e2ecc083c2d42f05210
http://antichrist.or.kr/data/cheditor/dir1/f.php