악성코드 샘플 분석 dgrep.exe(동적분석만)

Dgrep.exe 파일을 윈도우 7 64bit 환경에서 관리자 권한으로 실행 시킨 후 분석했습니다.

 

Process Explorer

• 실행결과 dgrep.exe>cmd.exe>PING.exe가 실행되는 것을 확인할 수 있었습니다.
• rundll21.exe>wiseman.exe가 실행되는 것을 확인할 수 있었습니다.
• dgrep.exe>cmd.exe는 빠르게 사라졌습니다.

Process Monitor

• dgrep.exe 프로세스가 하는 동작을 살펴보면 cmd를 실행하는 것을 확인할 수 있습니다.

 

cmd.exe

• cmd에서는 PING.exe를 실행하는 것을 알 수 있습니다.

 

• 또한 C:/Users/user/AppData/Local/Temp 디렉토리에 bqrinw.exe를 생성하고 실행하는 것을 확인할 수 있습니다.
• 여러번 dgrep.exe를 실행해서 확인한 결과 해당 디렉토리에 생성되는 exe파일의 이름은 랜덤하게 결정되는 것을 확인했습니다.

 

bqrinw.exe

• bqrinw(랜덤하게 생성되는 이름).exe에서는 SetDispositionInformationFile Operation을 통해 실행된 dgrep.exe파일을 삭제하는 것을 볼 수 있습니다.
• wiseman.exe를 생성하고 이를 호출하기 위한 rundll32.exe를 생성하고 실행한다는 것을 확인할 수 있습니다.

 

rundll32.exe

• wiseman.exe를 실행하는 것을 확인할 수 있습니다.
• 또한 SetDispositionInformationFile Operation을 통해 실행된 bqrinw.exe파일을 삭제하는 것을 확인할 수 있습니다.

 

wiseman.exe

• 해당 프로세스는 레지스트리만 계속 수정하는 것 이외에 Windows Operation을 실행하는 행동은 포착하지 못했습니다.

 

System Explorer

• dgrep.exe를 실행하기 전 후를 Snapshot을 찍어 비교해 본 결과 C:/ 디렉토리에는 1.txt, wiseman.exe가 생성된 것을 확인할 수 있었습니다.
• C:/xcrfh디렉토리에는 hxenk.xnh, ReadMe.txt가 생성된 것을 확인할 수 있었습니다.

 

Autoruns

• dgrep.exe를 실행하기 전 후를 Snapshot을 찍어 비교해 본 결과 특이사항은 발견되지 않았습니다.

 

Cport 

• 실행된 프로세스에 의한 의심되는 port는 없었습니다.

 

Wireshark

• 107.163.241.197, 107.163.241.198로 TCP 통신하기 위해서 각각  12354, 6520포트로 연결 요청을 보내지만 Retransmission 메시지로 보아 해당 서버에서 응답하지 않아 연결에 실패한 것으로 보입니다.

 

결론

• 윈도우 7 64bit 환경에서 백도어, 트로이목마, 웜으로 동작할 가능성이 있는 악성코드이며 현재 별다른 악성 행위를 하지 않는 것으로 보여집니다. 하지만 api.wisemansupport.com, 107.163.241.197, 107.163.241.198이 다시 활성화된다면 다시 동작할 수 있는 악성코드 입니다.

대응방법

• 해당 악성코드는 윈도우 10, 11 환경에서 동작중인 Microsoft Defender에 의하여 설치조차 불가능하고 설치했더라도 Defender가 가동중이라면 실행되지 않는 프로그램이며 Microsoft Defender가 가동중이지 않더라도 Chrome, Edge와 같은 브라우저의 보안 설정이 켜져있다면 다운로드 자체가 불가능하니 사용중인 브라우저와 운영체제의 보안 설정을 항상 가동하는 것으로 해당 악성코드에 대응할 수 있습니다.