[상세보고서] HDRoot v1.0

malwares.com 악성코드 분석팀 분석 자료


< 부제 : I will be back! >


1. 개요


올해 9월에 열린 ISEC에서 강연한 카스퍼스키랩의 연구원은 국내를 타겟으로 하는 APT 그룹 중 하나로 "Winnti"를 꼽은 바 있다. 바로 10월 "Winnti"는 과거에 이슈가 되었던 HDRoot의 변종을 국내 타겟으로 유포한 정황이 포착된다. "Winnti" 그룹은 메일을 이용한 스피어 피싱을 주 공격 방법으로 사용하고 있는 APT 그룹으로 주로 게임사를 타겟으로 한다. 
"Winnti" 그룹에서 사용한 HDRoot 악성코드는 부트킷으로 윈도우가 부팅되기 이전 악성동작을 시작하고 윈도우 로그인 화면이 뜰 때쯤 악성파일이 이미 실행된다. 따라서 단순히 악성 파일만 삭제해도 재부팅시 다시 동작하도록 설계되었다.
HDRoot 악성코드의 세부 동작 과정은 어떻게되고 주 목적은 무엇인지 상세 분석 보고서를 통해 확인해 보자. 



2. 악성코드 파일 정보


파일명 : drop.exe

파일크기 : 266,240 Bytes

특징 : Dropper

SHA-256 : 7A265DC00F5A5A7401C56021190BF3345D7E39EADCF49D4C36F1E63654B021DB

malwares.com 정보 : https://goo.gl/UEyjOI


파일명 : hall32.exe

파일크기 : 147,456 Bytes

특징 : MBR 감염

SHA-256 : 9CD2AE02C9AB9DA01F0D3513EFE6941A380EB4E13A3D8DAF578A3DD716E29527

malwares.com 정보 : https://goo.gl/SAUViw


파일명 : bootmgr.exe

파일크기 : 352,256 Bytes

특징 : Dropper

SHA-256 : 21D66715F809593C277F43947D7005697BBD4F0AF3C2FE16685CBAB639AAB4EA

malwares.com 정보 : https://goo.gl/3cXXbe


파일명 : svchost.exe

파일크기 : 22,016 Bytes

특징 : 패킹, 서비스 등록, 다운로드

SHA-256 : 4CF451FF2C5C7BAE19EDAFF5CFBDD0D73084D8B18197070FC30DF48E08040405

malwares.com 정보 : https://goo.gl/bCOui1




























▶ 보고서 원본 PDF 다운로드: https://goo.gl/bwZaYF


* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.

이 글을 공유하기

댓글

Designed by JB FACTORY