dgrep.exe 악성코드 분석 실습 기록

분석 환경: VMware Workstation 17 Pro
운영체제: Windows 7 Professional K 64bit

1. 분석 대상 및 환경 소개

1-1. 분석 대상 파일

  • 파일명: dgrep.exe

1-2. 분석 환경 구성

  • 가상환경: VMware Workstation 17 Pro
  • OS: Windows 7 Professional K 64bit
  • 분석 툴: Virustotal, PEiD, Exeinfo PE, RL!dePacker, BinText, PEView, Process Monitor, Process Explorer, Autoruns, Cports, Wireshark 등

2. 기초 분석

2-1. Virustotal 진단 결과

  • 71개 엔진 중 66개가 악성으로 탐지
  • 주요 진단명: Backdoor, Trojan, Downloader, Packed, Win32

2-2. 파일 해시 및 패킹 정보 확인

  • 추정된 패커: SVK-Protector v1.11, UPX
  • 관련 IP 및 URL: 107.163.241.198, api.wisemansupport.com

3. 정적 분석

3-1. 패킹 여부 확인

  • Exeinfo PE: UPX 패킹 확인
  • PEiD: SVKP 1.11 패킹 확인 → 복합 패킹 추정

3-2. 언패킹 작업 (RL!dePacker v1.5)

  • 언패킹 후, PEiD로 재확인 → Microsoft Visual C++로 제작된 실행파일로 식별됨

3-3. 문자열 분석 (BinText)

  • ping 127.0.0.1 -n 2
  • C:\Wiseman.exe, rundll32.exe, RedTom21@HotMail.com 등 발견

3-4. 라이브러리 및 헤더 확인 (PEView)

  • MZ 시그니처 존재 → 실행파일 확인
  • TimeDateStamp: 2015.10.09
  • .UPX0 섹션 → 패킹된 흔적
  • WS_32.dll 등 네트워크 관련 DLL 포함

4. 동적 분석

4-1. 파일 실행 후 반응

  • dgrep.exe 실행 후 바탕화면에서 사라짐

4-2. 프로세스 분석 (Process Explorer)

  • 초기: dgrep.exe, cmd.exe, PING.exe
  • 이후: rundll32.exe, Wiseman.exe 생성 → 계속 실행 상태 유지

4-3. 행위 분석 (Process Monitor)

  • Temp 경로에 랜덤 파일(tqlhb.exe) 생성 및 실행
  • SetDispositionInformationFile 함수로 원본 dgrep.exe 삭제
  • cmd.exe → PING.exe 호출 확인
  • C:\Wiseman.exe, rundll32.exe 실행 확인

4-4. 시스템 변화 확인 (System Explorer Snapshot)

  • 생성 파일 및 폴더:
    • C:\twral\ReadMe.txt, jdjuz.duj, wiseman.exe, 1.txt
    • 일부 파일/폴더명은 랜덤 생성

4-5. 자동 실행 등록 (Autoruns)

  • EvrMgr, Wiseman → 자동 실행 프로그램에 등록됨

5. 네트워크 분석

5-1. Cports 결과 확인

  • rundll32.exe → 107.163.241.197, 107.163.241.108 접속 시도
  • Wiseman.exe → 3.35.144.12 접속 시도
  • 모두 SYN_SENT 상태 → 세션 성립 실패

5-2. Wireshark 패킷 캡처

  • 107.163.241.198 (포트 12354), 3.35.144.12 (api.wisemansupport.com)
  • SYN 패킷 후 RST 응답 → 연결 실패 확인
  • nslookup 결과 api.wisemansupport.com → 3.35.144.12 확인

6. 결론

  • dgrep.exe는 Backdoor, Trojan, Dropper 유형으로 추정되는 악성코드
  • 실행 즉시 자가 삭제, 랜덤 파일 생성, 자동 실행 등록 등 다단계 악성 행위 수행
  • 현재는 명령 서버와의 연결 실패로 비활성 상태
  • 하지만 관련 도메인 및 IP가 복구된다면 악성 행위가 재개될 가능성이 있음
    → 추후 행위 분석을 위한 지속적인 관찰 및 환경 분리 필요
저작자표시 비영리 동일조건 (새창열림)

'리팩토링' 카테고리의 다른 글

Snort 개요  (0) 2023.10.09
악성코드 샘플 분석 실습2  (0) 2023.10.09
샘플 분석 환경 구성  (0) 2023.03.28
악성코드 정적분석, 동적 분석  (0) 2023.03.14
Virustotal  (0) 2023.03.09

티스토리툴바