Hunted! ole & hwp !
Contents
티스토리 뷰
Malware
Hunted! ole & hwp !분석가E 2018. 10. 1. 15:16
Virustotal에서 의심스러운 hwp파일 하나가 헌팅되었다.
In Virustotal, one suspicious hwp file was hunted.
파일 내용은 contents 문자열 하나만 존재하고 비어있다.
There is only one contents string and the file contents are empty.
OLE 파일 내부에 E8로 시작하는 의심스러운 쉘코드와 문자열이 존재한다.
There is a suspicious shellcode and string inside the OLE file that starts with the value E8.
쉘코드는 디코딩 해주는 루틴과 인코딩된 영역으로 나누어 진다.
The shellcode is divided into a decoded routine and an encoded region.
쉘코드는 추가 악성파일을 다운로드한다. 다운로드 주소는 아래와 같다.
The shellcode downloads additional malicious files. Download address is as follows.
path : %AppData%\Local\Temp\svrc.exe
Malware : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/goal[.]php?miracles=1
악성코드는 다운로더이고 Ahnlab에서 hwdoor로 진단한다.
The malicious code is a downloader and it diagnoses hwdoor in Ahnlab.
Path : C:\Users\[Users]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\alibaba.exe
Additional Malware : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/goal[.]php?miracles=2
추가 HWP파일을 다운받고 실행한다.
Download and run additional HWP files.
Hwp : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/pool.tar
HWP 파일은 개인의 운세 정보가 들어있다.
The HWP file contains personal fortune information.
Alibaba.exe는 악성코드이며 뮤텍스를 생성하고 C2와 통신해 악성행위를 수행한다.
Alibaba.exe …
Malware
Hunted! ole & hwp !분석가E 2018. 10. 1. 15:16
Virustotal에서 의심스러운 hwp파일 하나가 헌팅되었다.
In Virustotal, one suspicious hwp file was hunted.
파일 내용은 contents 문자열 하나만 존재하고 비어있다.
There is only one contents string and the file contents are empty.
OLE 파일 내부에 E8로 시작하는 의심스러운 쉘코드와 문자열이 존재한다.
There is a suspicious shellcode and string inside the OLE file that starts with the value E8.
쉘코드는 디코딩 해주는 루틴과 인코딩된 영역으로 나누어 진다.
The shellcode is divided into a decoded routine and an encoded region.
쉘코드는 추가 악성파일을 다운로드한다. 다운로드 주소는 아래와 같다.
The shellcode downloads additional malicious files. Download address is as follows.
path : %AppData%\Local\Temp\svrc.exe
Malware : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/goal[.]php?miracles=1
악성코드는 다운로더이고 Ahnlab에서 hwdoor로 진단한다.
The malicious code is a downloader and it diagnoses hwdoor in Ahnlab.
Path : C:\Users\[Users]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\alibaba.exe
Additional Malware : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/goal[.]php?miracles=2
추가 HWP파일을 다운받고 실행한다.
Download and run additional HWP files.
Hwp : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/pool.tar
HWP 파일은 개인의 운세 정보가 들어있다.
The HWP file contains personal fortune information.
Alibaba.exe는 악성코드이며 뮤텍스를 생성하고 C2와 통신해 악성행위를 수행한다.
Alibaba.exe …
IoC
002132D1AACD5F8DCD28FAC86BD25C2EE666B4726DED3E263F43482E1436A1A7
211.218.126.236
26B8951C0979286D2994C115B06D7A28C0DB67432809B32CCF5FCB2199576641
43630A9BC54FF36E1DE8ACE53C233063C78DEA17
6900BBD0B505126C4461AE21BB4CF85D
6CBBC2B7CC6D72422B18AB7B81E2EF78A0474838
74BF82F2FAA1FCE36A8F3509B20FF30AA055911CF78EAC51181644D2BEB10B33
B47FB0011F61EC4BDDA75034E93F7E90E6BF6FCF
C0B45C9E3D484763F664E5A41C835017
D057088D0DE3D920EA0939217C756274018B6E89CBFC74F66F50A9D27A384B09
D37124B137C2087D7A908FD136A4866E
D3B74F326DF051BE9D50B33A934AABB9
F4CD9C9AE3C1DA1A3AD02E04252490321104256A
http://211.218.126.236/ct/data/icon/files/goal.php?miracles=1
http://211.218.126.236/ct/data/icon/files/goal.php?miracles=2
http://211.218.126.236/ct/data/icon/files/pool.tar
http://youngs.dgweb.kr/skin15/include/bin/forlab.php
211.218.126.236
26B8951C0979286D2994C115B06D7A28C0DB67432809B32CCF5FCB2199576641
43630A9BC54FF36E1DE8ACE53C233063C78DEA17
6900BBD0B505126C4461AE21BB4CF85D
6CBBC2B7CC6D72422B18AB7B81E2EF78A0474838
74BF82F2FAA1FCE36A8F3509B20FF30AA055911CF78EAC51181644D2BEB10B33
B47FB0011F61EC4BDDA75034E93F7E90E6BF6FCF
C0B45C9E3D484763F664E5A41C835017
D057088D0DE3D920EA0939217C756274018B6E89CBFC74F66F50A9D27A384B09
D37124B137C2087D7A908FD136A4866E
D3B74F326DF051BE9D50B33A934AABB9
F4CD9C9AE3C1DA1A3AD02E04252490321104256A
http://211.218.126.236/ct/data/icon/files/goal.php?miracles=1
http://211.218.126.236/ct/data/icon/files/goal.php?miracles=2
http://211.218.126.236/ct/data/icon/files/pool.tar
http://youngs.dgweb.kr/skin15/include/bin/forlab.php