[상세보고서] W32.Moker v 1.0

malwares.com 악성코드 분석팀 분석 자료

< 부제 : 백화점형 악성코드는 봇넷만의 전유물이 아니다!!! >

1. 개요

APT 공격에 사용되는 새로운 유형의 악성코드가 발견되었다. 그 이름은 Moker!!! 

왜 Moker가 새로운 유형일까?

Moker가 지금까지 발견된 APT 공격 악성코드와 비슷하다고 생각하면 큰 오산이다.  

Moker는 과거 악성코드들이 많이 사용하던 파일 패치, explorer.exe와 같은 윈도우즈 필수 프로세스 인젝션은 기본이고 거기에 윈도우즈가 자랑하던 UAC를 우회해 실행되는 등 막강한 기능을 탑재하고 있다. 

뿐만 아니라 자동 분석을 탐지하기 위한 다양한 기능에 악성코드 분석을 어렵게 하기 위한 코드 난독화까지 없는게 없는 악성코드라 할 수 있다. 

또한 Moker는 현재 진행형이라는 점이 앞으로 Moker를 주의깊게 봐야하는 이유이다. 

UAC (User Account Control) : 윈도우즈 운영체제 중 윈도우 비스타부터 추가된 기능으로 사용자가 사용자 관리 엑세스

                                                  가 필요한 작업을 수행하려고 할 때 동의 메시지를 표시해 사용자가 프로그램을 설치, 실

                                                  행을 관리할 수 있는 보안 요소

2. 악성코드 파일 정보 

파일명 : Moker.exe

파일크기 : 94,208 Bytes

특징 : 디버깅 탐지, 코드 난독화, 로더

SHA-256 : C6EEF5FCCCEF671BBC6AF65983974AF14B1243EDAD0F73B45924AFF4B19FE115

malwares.com 정보 : https://goo.gl/jd39hx

파일명 : Moker_Child.exe

파일크기 : 114,320 Bytes

특징 : 자동 분석 탐지, 코드 난독화, 인젝션, 파일 패치, UAC 우회

SHA-256 : F9216083A2861EE2F96F6952AC99D5B2DA8AF3B1E756A1C842597229E540DB61 

malwares.com 정보 : https://goo.gl/A9AvG3

▶ 보고서 원본 PDF 다운로드: https://goo.gl/6nANeY

* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.