KISA-Security-Upgrade 파일로 위장한 악성코드
Contents
KISA-Security-Upgrade 파일로 위장한 악성코드
( Document No : DT-20230717-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리 보안대응센터
ㅇ 분석 개요
KISA-Security-Upgrade 파일로 위장한 악성코드는 내포된 압축파일을 해제해 최종 악성코드 파일
을 드롭하여 실행한다. 다양한 업데이트 파일 등으로 유포 될 가능성이 있어 사용자는 인터넷에
서 패키지 파일 및 프로그램 다운을 주의해야 하며 확인되지 않은 프로그램의 실행을 주의해야한
다.
ㅇ 악성코드 도식화
페이지 2 / 16
악성코드 상세 분석 보고서
하우리 보안대응센터
1. KISA-Security-Upgrade.exe
(MD5 : C5E0A2B881A60FB3440BB78E9920DCCD, SIZE : 2,324,753)
개요 :
악성코드는 실행 시 추가적인 악성코드 파일을 드롭하며 실행된다.
ViRobot
Trojan.Win.S.Agent.2324753
상세분석 :
(1) KISA 업그레이드 파일로 위장해 사용자의 실행을 유도한다.
[그림 1] 실행 유도
(2) 다음 경로에 파일을 생성해 추가적인 악성행위를 수행할 데이터를 작성한다.
- 경로 : %APPDATA%\Local\Temp\is-[랜덤 5 자리].tmp\[원본파일이름].tmp
[그림 2] tmp 폴더 생성
[그림 3] 작성되는 데이터
페이지 3 / 16
악성코드 상세 분석 보고서
하우리 보안대응센터
(3) CreateProcessW로 다음 인자를 넘겨주며 드롭파일을 실행한다.
“%TEMP%\is-[랜덤5자리].tm\[원본파일이름].tmp”
/SL5=“$1E065C,1471840,890880,[원본파일경
로]”
[표 1] CreateProcessW로 전달되는 인자값
페이지 4 / 16
악성코드 상세 분석 보고서
하우리 보안대응센터
2. KISA-Security-Upgrade.tmp
(MD5 : 607E97D2264314FD2E626CA48DD580E8, SIZE : 3,227,136)
개요 :
정상 설치 프로그램으로 위장한 윈도우를 생성하며, 내포된 악성 압축 파일과 압축 해제
프로그램을 드로해 …
( Document No : DT-20230717-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리 보안대응센터
ㅇ 분석 개요
KISA-Security-Upgrade 파일로 위장한 악성코드는 내포된 압축파일을 해제해 최종 악성코드 파일
을 드롭하여 실행한다. 다양한 업데이트 파일 등으로 유포 될 가능성이 있어 사용자는 인터넷에
서 패키지 파일 및 프로그램 다운을 주의해야 하며 확인되지 않은 프로그램의 실행을 주의해야한
다.
ㅇ 악성코드 도식화
페이지 2 / 16
악성코드 상세 분석 보고서
하우리 보안대응센터
1. KISA-Security-Upgrade.exe
(MD5 : C5E0A2B881A60FB3440BB78E9920DCCD, SIZE : 2,324,753)
개요 :
악성코드는 실행 시 추가적인 악성코드 파일을 드롭하며 실행된다.
ViRobot
Trojan.Win.S.Agent.2324753
상세분석 :
(1) KISA 업그레이드 파일로 위장해 사용자의 실행을 유도한다.
[그림 1] 실행 유도
(2) 다음 경로에 파일을 생성해 추가적인 악성행위를 수행할 데이터를 작성한다.
- 경로 : %APPDATA%\Local\Temp\is-[랜덤 5 자리].tmp\[원본파일이름].tmp
[그림 2] tmp 폴더 생성
[그림 3] 작성되는 데이터
페이지 3 / 16
악성코드 상세 분석 보고서
하우리 보안대응센터
(3) CreateProcessW로 다음 인자를 넘겨주며 드롭파일을 실행한다.
“%TEMP%\is-[랜덤5자리].tm\[원본파일이름].tmp”
/SL5=“$1E065C,1471840,890880,[원본파일경
로]”
[표 1] CreateProcessW로 전달되는 인자값
페이지 4 / 16
악성코드 상세 분석 보고서
하우리 보안대응센터
2. KISA-Security-Upgrade.tmp
(MD5 : 607E97D2264314FD2E626CA48DD580E8, SIZE : 3,227,136)
개요 :
정상 설치 프로그램으로 위장한 윈도우를 생성하며, 내포된 악성 압축 파일과 압축 해제
프로그램을 드로해 …
IoC
607E97D2264314FD2E626CA48DD580E8
97DE7D4C5115C02D08DE760E1DAFC403
C447624D99292F1465B51D3EFEDA9E73
C5E0A2B881A60FB3440BB78E9920DCCD
http://pita1.sportsontheweb.net
97DE7D4C5115C02D08DE760E1DAFC403
C447624D99292F1465B51D3EFEDA9E73
C5E0A2B881A60FB3440BB78E9920DCCD
http://pita1.sportsontheweb.net