티스토리 뷰

Malware

Hunted! ole & hwp !

분석가E 2018. 10. 1. 15:16


Virustotal에서 의심스러운 hwp파일 하나가 헌팅되었다.
In Virustotal, one suspicious hwp file was hunted.

파일 내용은 contents 문자열 하나만 존재하고 비어있다.
There is only one contents string and the file contents are empty.

OLE 파일 내부에 E8로 시작하는 의심스러운 쉘코드와 문자열이 존재한다.
There is a suspicious shellcode and string inside the OLE file that starts with the value E8.

쉘코드는 디코딩 해주는 루틴과 인코딩된 영역으로 나누어 진다.
The shellcode is divided into a decoded routine and an encoded region.

쉘코드는 추가 악성파일을 다운로드한다. 다운로드 주소는 아래와 같다.
The shellcode downloads additional malicious files. Download address is as follows.
path : %AppData%\Local\Temp\svrc.exe
Malware : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/goal[.]php?miracles=1

악성코드는 다운로더이고 Ahnlab에서 hwdoor로 진단한다.
The malicious code is a downloader and it diagnoses hwdoor in Ahnlab.
Path : C:\Users\[Users]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\alibaba.exe
Additional Malware : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/goal[.]php?miracles=2


추가 HWP파일을 다운받고 실행한다.
Download and run additional HWP files.
Hwp : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/pool.tar

HWP 파일은 개인의 운세 정보가 들어있다.
The HWP file contains personal fortune information.


Alibaba.exe는 악성코드이며 뮤텍스를 생성하고 C2와 통신해 악성행위를 수행한다.
Alibaba.exe is a UPX-packed malicious code that creates mutexes and communicates with C2 to perform malicious actions.

C2  디코딩 루틴
Decoding C2
C2 : youngs.dgweb[.]kr/skin15/include/bin/forlab.php

시스템 정보 탈취
steal system information.




IOC
a.hwp
MD5 : D3B74F326DF051BE9D50B33A934AABB9
SHA-1 : 6CBBC2B7CC6D72422B18AB7B81E2EF78A0474838
SHA-256 : 74BF82F2FAA1FCE36A8F3509B20FF30AA055911CF78EAC51181644D2BEB10B33

svrc.exe
MD5 : D37124B137C2087D7A908FD136A4866E
SHA-1 : F4CD9C9AE3C1DA1A3AD02E04252490321104256A
SHA-256 : 002132D1AACD5F8DCD28FAC86BD25C2EE666B4726DED3E263F43482E1436A1A7

alibaba.exe
MD5 :6900BBD0B505126C4461AE21BB4CF85D
SHA-1 : 43630A9BC54FF36E1DE8ACE53C233063C78DEA17
SHA-256 : D057088D0DE3D920EA0939217C756274018B6E89CBFC74F66F50A9D27A384B09

이달의 운세.hwp
MD5 : C0B45C9E3D484763F664E5A41C835017
SHA-1 : B47FB0011F61EC4BDDA75034E93F7E90E6BF6FCF
SHA-256 : 26B8951C0979286D2994C115B06D7A28C0DB67432809B32CCF5FCB2199576641

C2
svrc.exe : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/goal[.]php?miracles=1
alibaba.exe : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/goal[.]php?miracles=2
이달의 운세.hwp : hxxp://211[.]218[.]126[.]236/ct/data/icon/files/pool.tar


댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함