[상세보고서] HDRoot v1.0

malwares.com 악성코드 분석팀 분석 자료

< 부제 : I will be back! >

1. 개요

올해 9월에 열린 ISEC에서 강연한 카스퍼스키랩의 연구원은 국내를 타겟으로 하는 APT 그룹 중 하나로 "Winnti"를 꼽은 바 있다. 바로 10월 "Winnti"는 과거에 이슈가 되었던 HDRoot의 변종을 국내 타겟으로 유포한 정황이 포착된다. "Winnti" 그룹은 메일을 이용한 스피어 피싱을 주 공격 방법으로 사용하고 있는 APT 그룹으로 주로 게임사를 타겟으로 한다. 

"Winnti" 그룹에서 사용한 HDRoot 악성코드는 부트킷으로 윈도우가 부팅되기 이전 악성동작을 시작하고 윈도우 로그인 화면이 뜰 때쯤 악성파일이 이미 실행된다. 따라서 단순히 악성 파일만 삭제해도 재부팅시 다시 동작하도록 설계되었다.

HDRoot 악성코드의 세부 동작 과정은 어떻게되고 주 목적은 무엇인지 상세 분석 보고서를 통해 확인해 보자. 

관련 기사 보러가기 : [보안뉴스] 카스퍼스키랩이 말하는 한국 타깃 해커조직 5곳

                                [보안뉴스] 국제 사이버 범죄 조직 Winnti, 부트킷 공격으로 한국 노려

2. 악성코드 파일 정보

파일명 : drop.exe

파일크기 : 266,240 Bytes

특징 : Dropper

SHA-256 : 7A265DC00F5A5A7401C56021190BF3345D7E39EADCF49D4C36F1E63654B021DB

malwares.com 정보 : https://goo.gl/UEyjOI

파일명 : hall32.exe

파일크기 : 147,456 Bytes

특징 : MBR 감염

SHA-256 : 9CD2AE02C9AB9DA01F0D3513EFE6941A380EB4E13A3D8DAF578A3DD716E29527

malwares.com 정보 : https://goo.gl/SAUViw

파일명 : bootmgr.exe

파일크기 : 352,256 Bytes

특징 : Dropper

SHA-256 : 21D66715F809593C277F43947D7005697BBD4F0AF3C2FE16685CBAB639AAB4EA

malwares.com 정보 : https://goo.gl/3cXXbe

파일명 : svchost.exe

파일크기 : 22,016 Bytes

특징 : 패킹, 서비스 등록, 다운로드

SHA-256 : 4CF451FF2C5C7BAE19EDAFF5CFBDD0D73084D8B18197070FC30DF48E08040405

malwares.com 정보 : https://goo.gl/bCOui1

▶ 보고서 원본 PDF 다운로드: https://goo.gl/bwZaYF

* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.