16주차 - 악성코드 샘플분석 2차

0. 과제 및 과정 소개

16주차 과제 발표에 사용한 PPT파일을 첨부합니다. 이 과제는 AI스쿨 리팩토링 보안 과정의 일부로 2024년 3월 23일에 발표되었으며 실제 악성코드 샘플(dgrep.exe)을 기반으로 정적 및 동적 분석을 수행하였습니다.

 

만약 리팩토링 교육과정에 참여하고자 하신다면 아래 AI스쿨 공식 카페에 방문해 주세요.

 

https://cafe.naver.com/itscholar

정보보안전문가 취업카페 스칼라 : 네이버 카페

 

1. 기초분석 - VirusTotal

분석 대상은 dgrep.exe 실행 파일이며, ExeInfo 툴을 통해 아래와 같은 해시값을 추출하였습니다.

sha1: d3e4a46b95a3a54c762f0e1696e9167528bd1cf30b190e4893b44f0259e7893c

 

Detection 정보

VirusTotal 진단 결과

 

해당 해시 값을 바탕으로 VirusTotal에 검색한 결과, 총 70개 엔진 중 65개가 악성으로 진단했습니다.

 

VirusTotal 백신엔진 주요 탐지 결과

 

대부분의 백신들은 이 파일이 트로이 목마, 백도어, 다운로더일 가능성이 높다고 판단했습니다.

 

Details 정보

VirusTotal Details - Basic Properties

 

핵심 정보를 정리하면 다음과 같습니다.

 

항목	내용	상세
SHA-1	d3e4a46b95a3a54c762f0e1696e9167528bd1cf30b190e4893b44f0259e7893c	분석 고유 식별자. 추후 모든 플랫폼에서 이 값으로 탐색이 가능합니다.
파일 형식	Win32 EXE / PE32 executable (GUI)	GUI 기반의 윈도우 실행 파일입니다.
컴파일러	Microsoft Visual C++	코드 컴파일 환경으로 악성코드에 자주 사용됩니다.
PEID Packer	SVK-Protector v1.11	일반적인 분석 회피용 패커에 해당합니다. 디버깅 방지 목적으로 보입니다.
추가 패커 정보	UPX (3.03) + Yoda’s Crypter (28.1%)	이중 패커로 분석 방지 목적이 있어 보입니다. 내부 쉘코드 은닉 가능성이 있습니다
Magic	PE32, UPX compressed	패킹된 PE 파일로, 섹션 분석이 필요합니다.
DetectItEasy	Protector: SVK Protector, Packer: UPX	둘 모두 탐지되었다는 점에서 패커가 확실합니다.

 

패커, 패킹이란?
패커(Packer)는 실행 파일을 암호화하거나 압축해 외형을 숨기는 도구로, 악성코드는 이를 활용해 탐지 우회를 시도합니다. 이 과정을 패킹(Packing)이라 하며, 다중 패커를 사용하는 경우 분석 난이도는 더욱 높아집니다.

 

패킹 처리되어 이름이 UPX로 나오는 Sections 항목

 

일반적인 exe 파일의 Entry Point는 .text에서 시작합니다. .text는 실행 가능한 코드가 위치하는 기본 섹션으로, 컴파일된 함수들이 주로 여기에 배치됩니다. 그런데 위에서 Entry Point는 .mmmym이라는 섹션에 위치하고 있습니다. 이렇게 실행 시작점이 다른 경우, 아래와 같은 상황을 고려해야 합니다.

 

• 패킹(UPX, ASPack 등)
• 코드 인젝션 또는 쉘코드 삽입
• 의도적인 분석 회피 로직

 

또한 섹션명에 패커에 해당하는 UPX가 보입니다. 개중에 UPX0은 Raw Size가 0으로 나타나고 있습니다. 이는 실제 데이터가 없다는 뜻이므로 패킹 특성상 더미데이터에 해당합니다. 반면 UPX1은 Entropy와 Raw Size로 보아 압축 또는 암호화된 코드 존재 가능성이 있습니다.

 

Relations 정보

접속 URLs

 

URL 중 http 경로로 접근을 꾀하고 있습니다. 이중 admatching이라는 경로와 wisemansupport라는 경로가 눈여겨집니다. 해당 URL로 여러 번 접근하는 것으로 보아 외부 서버와의 통신을 확인할 수 있습니다. 

 

Behavior 정보

Behavior 파일 생성 항목

주 의심 정보는 아래와 같습니다.

파일 경로	분석 및 의심 행위
%TEMP%\*.exe (예: C:\Users\...\Temp\dfgdrg.exe, 등 다수)	무작위 실행 파일이 다수 생성되었습니다.. Dropper나 unpacking 루틴에서 흔히 사용되는 분석 회피 패턴으로 생각해볼 수 있습니다.
C:\1.txt, C:\wiseman.exe	루트 경로에 텍스트 파일 생성되었지만, 이는 정상 프로그램에서는 거의 발생하지 않는 예시입니다.
C:\*.dwv, C:\*.bod, C:\*.acv, C:\*.ors, C:\*.svc, C:\*.ecm 등	의심스러운, 거의 사용되지 않는 확장자입니다. 이는 암호화 파일, 인코딩된 페이로드, C2 통신 로그일 가능성이 높습니다.

 

 

 

파일 경로	분석 및 의심 행위
C:\DelUS.bat	배치 파일(BAT)은 자동화된 명령 수행용입니다. 흔히 자가 삭제 스크립트로 사용됩니다. 악성코드 흔적 제거 가능성이 매우 높습니다.
C:\Users\Administrator\AppData\...IE5	Internet Explorer 캐시 기록(Histories, Cookies, Temp Files) → 사용자의 웹 활동 정보를 수집하고 있습니다.
C:\Windows\latin.ini	ini는 설정파일이나, 악성코드에서 숨겨진 설정/페이로드 정보 저장에 사용되기도 합니다.
C:\WINDOWS\Temp\scs2.tmp, scs3.tmp	.tmp 파일은 임시 데이터로 위장한 실행 중 생성물일 가능성이 높으며, 종종 악성코드의 중간 페이로드가 들어있습니다.
C:\WINDOWS\nskSetup.exe	두 번째 실행파일로 추정됩니다. 외부 URL과 연동된 nskSetup.exe를 통해 다운로드된 추가 악성 행위 발생 가능성이 있습니다.
C:\Documents and Settings\...\drwtsn32.log	Dr. Watson은 시스템 에러 로깅 도구입니다. 의도적으로 시스템 오류 발생 후 흔적을 감추기 위한 로그 조작 또는 백업용일 가능성이 있습니다.

 

랜덤한 실행 파일을 TEMP 경로에 대량 생성하고, 비정상 확장자의 파일을 드라이브에 기록하는 행위는 드롭퍼 또는 랜섬웨어의 전형적인 행동 패턴입니다.

드롭퍼(Dropper)는 실행 시 내부에 숨겨진 악성코드를 다른 파일로 풀어놓고 실행하는 프로그램입니다. 보통 탐지를 피하기 위해 압축하거나 암호화된 형태로 악성코드를 포함하며, 실행되면 시스템에 다른 악성 파일을 설치하거나 실행합니다.

 

레지스트리 생성 결과

 

경로	설명
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\EvtMgr	자동 실행 등록입니다. 재부팅 시 악성코드가 다시 실행되도록 설정하는 전형적인 지속성(Persistence) 기법에 해당합니다.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect	인터넷 보안 영역 관련 설정을 변경했습니다. 인트라넷 영역 신뢰도 설정 등 보안 우회 가능성이 높습니다.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\Intranet\{GUID}	네트워크 환경 기록을 조작하고 있습니다. 은폐 시도로 보입니다.
HKLM\SYSTEM\CurrentControlSet\Control\Class\{4d36e972-e325...}\0005~0007\Linkage\FilterList	네트워크 필터를 수정하고 있습니다.

 

시작 프로그램 등록을 통한 지속성 확보, 보안 설정 조작, 네트워크 정보 위조 등 다방면으로 은닉 및 우회 기법이 사용된 것으로 보이며, 이는 전형적인 트로이목마(Trojan) 계열의 행위와 유사합니다.

 

프로세스 생성 결과

 

프로세스 경로	의심되는 항목
C:\Users\<USER>\AppData\Local\Temp\file.exeC:\wiseman.exe	메인 실행 파일입니다. 최초 실행 또는 복사본 실행 구조로 보입니다.
C:\Users\<USER>\AppData\Local\Temp\wcknuy.exe	로더로 활용된 파일입니다. file.exe를 인자로 재실행하고 있습니다.
rundll32.exe c:\qqmsyncm\dtmujr.tud",XML_MemFree	.dll이 아닌 비정상 확장자를 실행하는 방식입니다. 우회 실행을 시도한 것으로 보입니다.
cmd.exe /c ping 127.0.0.1 -n 2 & ...	ping 명령을 활용해 실행 타이밍을 지연시키는 방식입니다. 분석 회피 기법 중 하나입니다.
taskkill /f /im attrib.exe	속성 변경 도구를 강제 종료하고 있습니다. 파일 은닉이나 삭제 방지를 위한 동작일 수 있습니다.
%TEMP%\cnuck.exe, honhq.exe, ixokebl.exe	무작위 이름으로 TEMP에 생성된 추가 실행 파일입니다. 드롭퍼 또는 다단계 로더에 해당합니다.

 

 

기초분석 결과 소결

이 샘플은 크게 다음과 같이 나눠 볼 수 있습니다.

1. 패킹 처리
2. 다단계 드롭퍼 구조
3. 트로이 목마 계열

이 파일은 TEMP 경로에 다수의 실행 파일을 생성하고, 자동 실행 등록, 네트워크 설정 변경, 명령어 지연 실행, 자가 삭제 명령까지 수행하는 점에서 분석 회피 및 지속 실행을 동시에 노린 정형화된 악성코드 구조로 볼 수 있습니다. 또한 rundll32, cmd, ping 명령을 통한 우회 실행 방식과 난독화된 실행 파일명은 고전적인 행위 기반 탐지 회피 기법에 해당하며, 보안 정책이 느슨한 환경에서는 쉽게 우회될 수 있습니다.

 

그러므로 위 방향성에 맞춰 탐색하되, 다른 가능성들 또한 염두에 두고 분석하는 것이 유리합니다.

 

1. 정적분석(Static Analysis)

1-1. ExeInfo PE & PEiD

패킹 정보의 확인 - UPXLock과 Pavol Cerven

 

ExeInfo PE로 확인한 결과, UPXLock이라는 패킹 정보를 확인할 수 있습니다. 패킹된 경우, 먼저 언패킹을 해야 정보를 제대로 확인할 수 있습니다. 언패킹 도구는 다양한 종류가 있습니다. 패커 식별 도구 중 PEiD로도 간단한 경우는 패킹이 가능하지만 drgep.exe는 PEiD 패킹이 되지 않았습니다. 

언패커 도구의 일종 GUnPacker

패킹 결과

 

GUnPacker로 패킹을 해제한 결과, 이제 패킹 정보가 정상적으로 도출되었습니다. 해당 파일은 C++ 6.0으로 생성되었으며, UPX0으로 기존 UPX에서 언패킹된 것을 확인할 수 있었습니다. 위에서 Entrypoint도 바뀐 것을 확인했습니다.

 

1-2. Bintext

cmd 키워드 검색 결과

 

cmd 키워드 기준 추출된 문자열은 다음과 같이 해석 가능합니다.

문자열	상세
cmd.exe /c ping 127.0.0.1 -n 2 & ...	명령어 실행 지연을 위한 ping 기반 sleep 우회 기법입니다. 분석 회피 목적이 뚜렷합니다.
c:\wiseman.exe	드롭된 메인 실행 파일 경로입니다. 앞서 프로세스/레지스트리 분석과 일치합니다.
c:\windows\system32\rundll32.exe "%s","XML_MemFree"	DLL 우회 실행 기법을 암시합니다. %s 포맷은 런타임 삽입될 가능성 있습니다.
RedTom21@HotMail.com	인코딩되지 않은 이메일 주소입니다. C2 연락 또는 제작자의 흔적일 가능성이 있습니다.

 

Bintext Kernel 검색 결과

 

포함된 API 함수를 분석해보면 악성코드일 가능성이 더 높아집니다.

API 함수	역할	악성 코드 연관성
LoadLibraryA, GetProcAddress	동적으로 DLL 및 함수 로딩	흔히 동적 API 호출에 사용됨 – 탐지 우회 목적입니다
VirtualAlloc, VirtualProtect, VirtualFree	메모리 할당 및 권한 변경	쉘코드 실행이나 암호화된 코드 로딩에 자주 사용됩니다
ExitProcess, DeleteObject	종료 및 자원 해제	일반적이지만, 악성코드 종료 루틴일 수 있습니다
PathFileExistsA	파일 존재 여부 확인	감염 대상 확인 등 정찰용에 해당합니다
IsIconic	윈도우 UI 상태 확인	UI 조작이 필요한 경우 사용합니다

 

위 API 함수들은 정상 프로그램에서도 존재할 수는 있지만 아래 조건을 만족하기 때문에 악성코드일 가능성이 높습니다.

 

1. 이 함수들이 한 프로그램에 함께 포함되어 있습니다.
2. Bintext, PEview, Procmon 등으로 분석한 결과, 실행 중 self-injection, cmd.exe, ping.exe 등 외부 명령 호출 정황이 있습니다.
3. VirtualAlloc, VirtualProtect 등의 사용이 코드 메모리 조작(쉘코드 실행 등)과 연결되고 있습니다.

 

1-3. PEView

DLL Names 기준 확인

 

Import DLL Names 항목을 통해 Kernel32.dll, GDI32.dll 등의 표준 API를 사용하는 것을 확인했고, 이는 PE 파일의 정상이미지를 갖는 파일이라는 근거입니다. 

언패킹의 증거: 동일한 Virtual Size와 Size of Raw Data

 

언패킹이 되지 않았다면 Virtual Size와 Size of Raw Data가 달라야 합니다. 이로써 언패킹 여부는 확실해졌습니다.

2. 동적분석(Dynamic Analysis)

2-1. 기본 실행

실행 후, 자가삭제

 

기본 실행으로 해당 파일이 자가 삭제, 은폐 기능을 갖춘 것을 확인했습니다.

 

2-2. Wireshark

Wireshark 분석 결과

 

악성코드 실행 이후, Wireshark를 통해 107.163.241.198, 107.163.241.197를 대상으로 한 다수의 TCP 연결 시도(SYN 패킷)가 포착되었습니다. 연결 대상 포트는 각각 6520, 12354로 확인되며, 이는 비 표준 포트를 활용한 외부 연결 또는 내부 통신 채널에 해당합니다.

하지만 연결 대상 서버는 응답 없이 RST, ACK 플래그를 반환하거나, 아예 응답하지 않아 연결이 성립되지 않고 재전송(Retransmission)이 반복되는 모습이 나타납니다. 이러한 패턴은 해당 서버가 종료되었거나, 방화벽 등에 의해 차단된 환경일 수 있습니다.

2-3. CurrPorts

CurrPorts에서 IP 연결 시도

 

CurrPorts 분석 결과는 다음과 같습니다.

• Wireshark와 동일하게 다수의 UDP 및 TCP 포트에서 rundll32.exe가 107.163.241.198, 107.163.241.197의 두 개의 IP로 연결 시도하는 것을 확인했습니다. Sent 상태로 데이터를 보내려 시도하지만 아웃바운드 시도 후 응답이 없는 것으로 보아 세션 수립에 실패했습니다.
• 총 15회 반복 시도했지만 앞서 본 wiseman과 같은 실행은 보이지 않았습니다.

2-4. SmartSniff

Smartsniff 실행 결과

 

smartsniff 실행 결과, 기초분석에서 확인했던 URL인 107.163.241.198이 나타났습니다.

해당 IP의 버퍼 테스트 추정

 

넘어오는 페이로드 값이 CKAAAA 와 같은 문자열이므로 이는 버퍼 오버플로우 테스트 흔적으로 보입니다. 또한 악성코드가 이상 행위나 쉘코드 전송을 위한 테스트로 'A'를 반복적으로 보내는 경우가 종종 있습니다. 보통 아래와 같은 경우, 반복 문자열을 전송합니다.

 

• 버퍼 오버플로우 취약점 테스트
• C2 서버 연결 테스트용 dummy payload
• 네트워크 스캐닝 탐지 회피용 전송

하단의 의심 포인트

 

 

하단의 보라색 문자열을 기준으로 여러 의심되는 점들이 보입니다.

항목	내용	악성 코드 연관성
DNS 도메인	addr.arpa, tap.localdomain, isatap.localdomain 등	내부 탐색 및 가상 네트워크 관련 문자열이 존재합니다.
도메인 양상	정식 도메인이 아닌 .localdomain, .arpa 등	외부 연결 시도 전 내부 확인 탐색 가능성이 있습니다
연결 대상	주로 192.168.221.2 등 내부망	외부 통신 전 정보 수집 단계일 수 있습니다
프로토콜	UDP, DNS (53번 포트)	정상 DNS 요청이지만 요청 내용이 일반적이지 않습니다.

 

2-5. Regshot

Regshot 결과 1

 

레지스트리 비교 결과는 다음과 같습니다.

경로	분석 내용
SOFTWARE\Microsoft\Tracing\rundll32_RASAPI32	RAS API 관련 트레이싱 항목입니다. 원격 연결 또는 네트워크 통신 흔적을 남기지 않기 위한 위장 가능성이 있습니다.
SOFTWARE\Microsoft\Tracing\rundll32_RASMANCS	RASMAN 제어 관련 트레이싱. VPN, 원격 제어 우회용 설정일 가능성이 있습니다.
...\Internet Settings\5.0\Cache\Extensible Cache\MSHist...	브라우저 캐시 영역 기록입니다. 웹 기반 통신 기록 조작 또는 자동 실행 유도용으로 쓰일 수 있습니다.
...\Run\EvtMgr = rundll32.exe c:...*.dll	rundll32를 통한 악성 DLL 자동 실행입니다. 자가 복제 또는 후속 페이로드 실행을 위한 지속성 확보 수단입니다.

 

Regshot 결과 2

경로	분석 내용
Services\SharedAccess\Epoch	네트워크 공유 설정 변경 흔적입니다.
Tcpip\Parameters\Interfaces{GUID}	DHCP, IP 설정 변경 흔적입니다.
Explorer\UserAssist{CEBFF...}	프로그램 실행 기록입니다.
Internet Settings\Connections\SavedLegacySettings	이전 인터넷 설정 백업입니다.
Shell\BagMRU\BagMRUList	폴더 탐색 기록입니다.

 

해당 레지스트리 변경 내역은 주로 네트워크 설정과 사용자 활동 기록에 집중되어 있습니다.

• SharedAccess와 Tcpip\Interfaces 항목을 통해 DHCP 및 네트워크 공유 설정이 변경된 흔적이 나타나며, 이는 외부 통신 환경을 조작하거나 우회하려는 의도로 해석될 수 있습니다.
• 또한 UserAssist 및 BagMRU 기록을 통해 사용자 실행 이력과 폴더 탐색 기록이 남아 있어, 악성코드가 사용자의 작업 흐름을 추적하거나 실행 흔적을 남긴 정황이 드러납니다.
• 이 외에 SavedLegacySettings는 인터넷 연결 설정 변경 전후를 백업하는 항목으로, 네트워크 조작 후 복구 방지를 위한 흔적일 가능성이 존재합니다.

전반적으로 네트워크 환경 조작과 사용자 활동 감시가 동시에 이뤄졌음을 시사합니다.

 

2-6. Process Monitor & Process Explorer

Process Explorer 실행 결과

 

Process Explorer를 열고 Dgrep.exe를 실행한 결과입니다. 여기에서 이제 wiseman.exe를 확인할 수 있습니다.

 

1. dgprep.exe (PID 3444)
   → 최초 실행된 메인 프로세스로 보입니다. 아래에 하위 프로세스를 다수 생성합니다.
2. cmd.exe (PID 3448)
   → dgprep.exe가 호출. 명령어 실행용 중간 셸입니다.
3. PING.EXE (PID 1812)
   → cmd.exe가 실행한 일시적 ping입니다. 지연(Sleep) 시도로 보이며, 분석 회피 전형 패턴입니다.
4. rundll32.exe (PID 1372)
   → ping 이후 실행된 다음 단계 프로세스입니다. 드롭된 DLL 또는 후속 페이로드 실행 추정됩니다.
5. wiseman.exe (PID 3056)
   → rundll32.exe가 호출한 최종 실행 파일입니다.

지속하는 rundll32.exe와 wiseman.exe

 

 

타 프로세스는 사라지지만 이 둘은 계속 지속되는 것을 확인했습니다.

 

Process Monitor 필터링 - cmd

 

프로세스 교차 검증을 위해 Process Montior를 실행하는 한편, 필터링 설정으로 cmd 문자열을 포함하는 경로를 조건으로 걸었습니다. 이를 통해 CreateFile이라는 이벤트 발생을 확인했습니다. 이때, ping.exe도 확인되었습니다. 이는 cmd 내에서 ping 명령어를 호출했음을 의미합니다.

 

실행 시마다 랜덤한 파일명을 실행하는 악성코드

 

 

재실행할 때마다 악성코드의 파일명이 랜덤하게 njxpyi, ifrcx, xxthp와 같이 바뀌었습니다. 이 파일들이 이 파일들은 WriteFile, CloseFile 등의 이벤트로 확인되었습니다.

필터링 결과

 

랜덤하게 변하는 파일명을 통해 필터링한 결과, 이 랜덤한 exe(위에서는 xxthp)는 메인 프로세스를 삭제하고, wiseman을 생성하여 실행한 뒤, rundll32.exe를 실행하는 것으로 확인되었습니다. 

멀티 필터링

 

멀티 필터링 결과

멀티 필터링 결과, rundll32.exe는 랜덤명의 exe를 삭제하는 것을 확인했습니다.

 

즉, 이 악성코드의 프로세스 시나리오는 다음과 같습니다.

 

1. 랜덤명의 exe 실행
2. 원본 프로세스 dgrep.exe 삭제
3. wiseman.exe 생성
4. rundll32.exe를 통해 다시 랜덤명의 exe 실행
5. 랜덤명의 exe 자가 삭제 수행

 

이러한 랜덤명 파일 생성 → 실행 → 삭제의 순환 구조는 분석 회피와 흔적 제거 목적에 해당하며 rundll32.exe를 사용하는 점은 흔히 보안 탐지 우회를 위한 기법, dgrep.exe와 wiseman.exe는 악성코드 실행 체인의 일부로, 자신을 지우고 다음 페이즈로 넘어가는 트리거 역할을 한다고 볼 수 있겠습니다.

 

2-7. Autoruns

시스템 시작 시 자동으로 실행되도록 자신을 등록한 흔적

Autoruns의 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 경로에서 아래와 같은 두 항목이 등록된 것을 확인하였습니다.

 

항목	경로	상세
EvtMgr	c:\tzqlmakw\exunci.xne	이벤트 관리자 위장으로 실행 목적은 불명확합니다.
Wiseman	c:\wiseman.exe	wiseman MFC 응용 프로그램으로 악성 행위 실행 지점에 해당합니다.

 

Autoruns 분석을 통해, 악성코드가 단순히 실행되는 것을 넘어서 지속성을 확보하기 위해 레지스트리에 자신을 등록한다는 점을 명확히 확인할 수 있었습니다. 특히 wiseman.exe의 존재는 앞선 분석들과 이어져 계속적인 악성 행위(네트워크 연결, 파일 조작 등)의 중심 역할을 수행하고 있음을 나타냅니다.

 

3. 결론 및 사전 대응방안

분석 결과 해당 악성코드는 Trojan, Downloader, Backdoor의 성격을 복합적으로 갖고 있습니다. 단순 광고 프로그램처럼 위장되어 사용자의 의심을 피하면서도, 내부적으로는 추가 악성코드 설치 및 백도어 연결 등 다양한 악성 행위를 수행합니다.

 

• 최초 실행 시 MZ 헤더와 IMAGE_NT_HEADERS를 기반으로 정상 실행 파일 구조를 유지하고 있는 것으로 보였습니다.
• 하지만 UPX0, UPX1이라는 섹션명이 존재하고, Virtual Size와 Raw Size의 차이를 통해 패킹(UPX 기반)이 확실시되었습니다.
• 실제 실행 시점에서는 kernel32.dll, user32.dll, LoadLibraryA, GetProcAddress 등 주요 API 호출이 확인되었으며, 이는 악성 행위 실행을 위한 사전 준비로 판단됩니다.
• BinText 도구로 문자열을 분석한 결과, 내부에 존재하는 VirtualAlloc, VirtualFree, ExitProcess 등의 API는 쉘코드 또는 악성 페이로드 실행 환경을 조성하는 것으로 해석됩니다.
• SmartSniff를 통한 네트워크 패킷 분석 결과, 107.163.241.198 등의 외부 IP와의 연결 시도가 있었고, 그중 일부는 도메인명 요청 및 netbios-ns 서비스 사용 기록을 포함하고 있었습니다.

 

항목	상세
Trojan	PE 포맷으로 패킹되어 실행 파일로 위장하며, 사용자의 상호작용을 유도합니다.
Downloader	실행 이후 외부에서 추가 악성코드를 다운로드하는 시도가 다수 포착되었습니다.
Backdoor	rundll32, wiseman.exe 등을 활용한 백도어 연결 시도 및 추적 회피 기법을 활용하고 있습니다.

 

특히, 파일 내부 구조가 UPX 패킹 구조로 이루어져 있다는 점, 실행 후 API 호출 패턴이 쉘코드 실행을 준비하는 정황이라는 점에서, 해당 악성코드는 고의적인 분석 회피 및 실행 후 시스템 침투를 위한 설계가 의심됩니다.

 

또한, 분석 당시에는 주요 통신이 정상적으로 이루어지지 않았으나, 이는 RST 플래그 및 Retransmission 등의 네트워크 지연 또는 차단 환경에서 나타나는 현상일 수 있습니다. 최초 실행 당시 위협이 명확히 드러나지 않더라도, 네트워크 연결이 확보되면 악성 행위가 본격적으로 시작될 수 있다는 점을 시사합니다. 

 

프로세스와 URL에서 나오는 wiseman.exe를 검색한 결과, 2015년의 악성 팝업창에 대한 정보를 네이버 블로그를 통해 확인할 수 있었습니다.

https://blog.naver.com/skygo1222/220527657468

Wiseman, Mw for updater (악성 팝업진행창) 삭제하기!!

 

아래는 사전 대응입니다.

 

행위	세부 내용
1. 공식 출처 이외의 파일은 실행 금지	특히 블로그, 카페 등 출처가 불분명한 실행 파일(.exe)은 열지 말고, 기업 환경에서는 실행 차단 정책 적용이 권장됩니다. 반드시 필요한 파일은 VirustTotal 등 분석으로 미리 검사하고 열어봅니다.
2. 실행 전 디지털 서명 확인	마우스 오른쪽 → 속성 → 디지털 서명 탭에서 인증서 확인 필요. 서명이 없거나 발급자가 불명확하면 실행을 금지합니다.
3. 관리자 권한 요청 시 확인 필수	requireAdministrator 플래그가 포함된 경우, 관리자 권한 상승을 요구하므로 사용자 확인 절차 강화 필요합니다
4. 의심되는 CMD 창, 자동 종료 현상 주의	악성코드가 종종 cmd.exe를 이용해 자기 삭제(bat) 또는 악성 스크립트를 수행하므로 비정상 프로세스 실행 여부 확인 필요합니다.
5. 실시간 백신 및 보안 솔루션 유지	패턴 업데이트가 자동으로 이루어지는지 주기적으로 확인하고, 탐지 우회 악성코드를 막기 위해 실시간 보호 기능을 항상 활성화해야 합니다.

 

만약 악성코드 유사 증상이 발견된다면 포렌식 분석 및 메모리 검사를 병행해 진행해야 하며, 필요 시 디지털 증거 보존을 위한 조치도 고려되어야 합니다. 악성코드가 재활성화될 수 있으므로 네트워크 차단도 유효합니다.