[Malware analysis] MBRLocker 악성코드를 생성하는 Dropper

[Malware analysis] MBRLocker 악성코드를 생성하는 Dropper

참조

> https://securitynews.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/

> https://www.boannews.com/media/view.asp?idx=87385&kind=14

본글은 코로나 이슈를 이용하여 악성행위를 하는 악성코드로 4월초 해당 파일에 대해 확인해 본적이 있다.

분석 내용을 블로그에 남기기 위하여 새로 분석해본다.

(그림 1)을 살펴보면 해당 파일에 대해 확인할 수 있다.

(그림 1)

(그림 2)를 살펴보면 RCData(리소스스크립트) 부분에 스크립트를 확인할 수 있다.

(그림 2)

COVID-19.exe 실행시 (그림 3)와 같이 보여지며, 추가적으로 COVID-19 폴더내 파일 이동과 Temp 폴더에 파일 생성을 확인할 수 있다.

(Updata.vbs, wallpaper.jpg, cursor.cur, end.exe, mainWindow.exe, run.exe, Coronavirus.bat)

(그림 3)

성공적으로 설치되었다는 메시지와 함께 윈도우 재부팅 명령에 의한 재부팅이 발생되는 것을 알 수 있다.

(그림 4)

재부팅 이전 Temp 폴도 내 coronavirus.bat 확인 시 (그림 4)와 같이 보여진다. 

①을 보면 C:\COVID-19 폴더 생성 및 하위 경로로 파일 이동  ②은 윈도우 OS 시작 시, 파일 실행 관련 등의 레지슽트리 값 설정  ③은 윈도우 5초 이내 재부팅 명령

해당 Reg.exe을 통한 레지스트리 값 설정을 살펴보면 아래와 같다.

Disabletaskmgr 값 설정 (1) : 작업관리자 비활성화 EnableLUA 값 설정 (0) : 사용자 계정 컨트롤러(UAC) 끄기 Wallpaper 지정(C:\COVID-19\wallpaper.jpg) : 바탕화면 배경화면 wallpaper.jpg 로 지정 NoChangingWallPaper 값 설정 (1) : 바탕화면 배경 변경 불가 Cursors Arrow 지정(C:\COVID-19\cursor.cur) : 마우스 커서 cursor.cur 로 지정 Updata.vbs, run.exe, end,exe : 윈도우 OS 시작 시, 파일 실행을 위한 헤지스트리 값 수정

(그림 5)

다음으로 run.exe 파일을 통해 run.bat 배치 파일을 생성하는데(Temp\랜섬한문자4자리.tmp) 이를 통해 레지스트리가 재부팅 과정에 손상될 가능성이 있는 레지스트리 값을 다시 설정 수행하며 mainWindow.exe 파일을 실행하는 것을 확인할 수 있다.

(그림 6)

시작프로그램 등록 파일도 확인할 수 있다.

(그림 7)

재부팅 후 배경화면은 wallpaper로 변경이 되는데 해당 jpg파일은 단순히 이미지 화면만 있는거 같고 따로 쉘코드나 메시지 내용은 없는것을 확인할 수 있다.

(그림 8)

MainWindow.exe는 바탕화면 COVID-19 바이러스의 이미지 화면과 아래 두개의 버튼을 확인할 수 있다.

해당 Help와 Remove virus의 두개의 버튼과 코로나 바이러스가 컴퓨터에 감염되었다는 메시지를 포함한 팝업창을 확인할 수 있다.

또한, (그림 10)을 보면 일정 시간이 지난 후 Updata.vbs 특정 메시지가 포함 된 팝업 창을 띄우는 것을 확인할 수 있다. 

(그림 9)

(그림 10)

end.exe을 살펴보면 새 코드로 덮어 쓴 MBR 코드를 살펴볼수 있으며, 정상 MBR과 덮어씌워진 MBR을 확인할 수 있다.

마지막으로 재부팅 시 부트코드스트랩에 의해서 "Created By Angel Castillo. Your Computer Has Been Trashed." 메시지와 Discord 가 보이는것을 알 수 있었다. 

(그림 11)