Malware/malware analysis

ModeLoader #Anderial #Lazarus

์œค์ •_ 2024. 3. 12. 17:58

ModeLoader

[ ๊ฐœ์š” ]
- Andariel ๊ทธ๋ฃน์ด ์ฃผ๋กœ ์‚ฌ์šฉํ•˜๋Š” JS ์•…์„ฑ์ฝ”๋“œ
- ํŒŒ์ผ ์ž์ฒด์ ์œผ๋กœ ์ƒ์„ฑ๋˜๋Š” ๊ฒƒ์ด ์•„๋‹ˆ๋ผ mshta๋ฅผ ํ†ตํ•˜์—ฌ ์™ธ๋ถ€๋กœ๋ถ€ํ„ฐ ๋‹ค์šด๋กœ๋“œ๋˜์–ด ๋™์ž‘
  * ์ฃผ๋กœ ์ž์‚ฐ ๊ด€๋ฆฌ ์†”๋ฃจ์…˜์„ ์•…์šฉํ•˜์—ฌ mshta๋ฅผ ๋™์ž‘ (Andariel ๊ทธ๋ฃน์€ ๊ณผ๊ฑฐ Innorix Agent๋ถ€ํ„ฐ ์•…์„ฑ์ฝ”๋“œ ์œ ํฌ๋ฅผ ์œ„ํ•ด ๊ตญ๋‚ด ์—…์ฒด์˜ ์ž์‚ฐ ๊ด€๋ฆฌ ์†”๋ฃจ์…˜๋“ค์„ ์ง€์†์ ์œผ๋กœ ์•…์šฉ)
- ์ดˆ๊ธฐ ์นจํˆฌ์šฉ์œผ๋กœ, ์ถ”ํ›„ ๋ฏธ๋ฏธ์นด์ธ ์™€ ๊ฐ™์€ ์ถ”๊ฐ€ ์•…์„ฑ์ฝ”๋“œ๋ฅผ ๋‹ค์šด๋กœ๋“œ

[ ๋ถ„์„ ๋‚ด์šฉ ]
- ๋‚œ๋…ํ™”๋œ ๋ฌธ์ž์—ด ๋ฆฌ์ŠคํŠธ์—์„œ ์ถ”์ถœ(๋ณตํ˜ธ)ํ•˜์—ฌ ์‚ฌ์šฉ
- C&C ์„œ๋ฒ„์— ์ ‘์†ํ•˜์—ฌ ๋‹ค์šด๋กœ๋“œํ•œ ์‘๋‹ต ๋ฐ์ดํ„ฐ์— ๋”ฐ๋ผ ํ–‰์œ„๋ฅผ ์ˆ˜ํ–‰
  1) ์‘๋‹ต ๋ฐ์ดํ„ฐ๊ฐ€ โ€™kill'์ธ ๊ฒฝ์šฐ: ์‹คํ–‰ ์ฐฝ ์ข…๋ฃŒ
  2) ์‘๋‹ต ๋ฐ์ดํ„ฐ๊ฐ€ โ€™kill'์ด ์•„๋‹Œ ๊ฒฝ์šฐ: ์‘๋‹ต ๋ฐ์ดํ„ฐ๋ฅผ ์‹คํ–‰์‹œํ‚ด
- ์ž์ฒด ๋””์ฝ”๋”ฉ ํ•จ์ˆ˜๋ฅผ ์ด์šฉํ•˜๋ฉฐ ํŠน์ • key string ์กด์žฌ
- ์ผ์ • ์‹œ๊ฐ„์ด ์ง€๋‚˜๋ฉด ์ž๋™์œผ๋กœ ์ข…๋ฃŒ๋˜๋„๋ก ์„ค์ •(setTimeout)


IoC

MD5
2C69C4786CE663E58A3CC093C6D5B530

C&C ์ฃผ์†Œ
- hxxp://www.mssrv.kro.kr/modeRead.php
- hxxp://www.mssrv.kro.kr/modeWrite.php



[ Reference ]
ASEC, "๊ตญ๋‚ด ์ž์‚ฐ ๊ด€๋ฆฌ ์†”๋ฃจ์…˜์„ ์•…์šฉํ•˜์—ฌ ๊ณต๊ฒฉ ์ค‘์ธ Andariel ๊ทธ๋ฃน (MeshAgent)", 2024.03.11

'Malware > malware analysis' ์นดํ…Œ๊ณ ๋ฆฌ์˜ ๋‹ค๋ฅธ ๊ธ€

[Hancitor ๋ถ„์„ (2)] ์•”๋ณตํ˜ธํ™” API ๋ถ„์„ ๋ฐ ๋ฐ์ดํ„ฐ ์ถ”์ถœ  (0) 2025.01.09
[Hancitor ๋ถ„์„ (1)] ์–ธํŒจํ‚น(Unpacking) ๋ฐ IAT ์ถ”์ถœ  (1) 2025.01.07
2023๋…„ 11์›” ์ฒญ๊ตฌ๋‚ด์—ญ.zip #APT37  (2) 2023.12.21
์•ฝ๋ ฅ ์–‘์‹.doc #Kimsuky #FlowerPower  (1) 2023.12.16
์งˆ๋ฌธ์ง€.doc #Lazarus  (1) 2023.12.12

'Malware/malware analysis'์˜ ๋‹ค๋ฅธ๊ธ€

  • ํ˜„์žฌ๊ธ€ModeLoader #Anderial #Lazarus

๊ด€๋ จ๊ธ€

๋Œ“๊ธ€

ํ‹ฐ์Šคํ† ๋ฆฌํˆด๋ฐ”