1. 개요
- 한국과 중국 사용자를 대상으로 정상 애플리케이션으로 위장한 UULoader 유포 정황 확인 [1]
> DLL 파일 내 내장된 프로그램 데이터베이스(PDB) 파일에 중국어 문자열이 있다는 점에서 UULoader로 명명
- UULoader는 Gh0stRAT이나 Mimikatz와 같은 멀웨어를 유포하는데 사용되는 로더
2. 주요내용
- UULoader는 File Header Stripping을 통해 정적 탐지 회피
> File Header Stripping: 파일의 헤더 정보를 제거하는 작업
> 해당 작업을 통해 탐지를 회피하거나 분석을 어렵게 만듦
- UULoader의 핵심 파일은 cab 파일 안에 압축되어 있음
> cab 파일은 헤더가 제거되어 있음 (File Header Stripping)
> exe 파일, dll 파일, 난독화된 최종 페이로드, 미끼 파일, M 파일, Z파일이 포함
| 구분 | 설명 |
| exe파일 | - 헤더가 제거된 Realtek 실행 파일 - dll 파일을 로딩하는데 사용 |
| dll 파일 | - exe 파일에 의해 로드되는 dll 파일 - 최종 단계를 로드하는 파일 |
| M, Z 파일 | - UULoader가 실행될 때 제거된 파일 헤더를 수정하는 데 사용 |
| 미끼 파일 | - 사용자를 속이기 위해 실행되는 합법적인 파일 |
| 최종 페이로드 | - 최종적으로 실행되는 페이로드로 Gh0stRAT이나 Mimikatz일 경우가 많음 |
- UULoader가 실행되면 .msi CustomAction를 사용해 폴더를 생성
> 폴더 경로: C:\Program Files(x86)\Microsoft Thunder
> 해당 폴더에 위 악성 파일이 포함되어 있음
※ .msi CustomAction: Windows Installer 패키지(.msi 파일)에서 사용되는 사용자 정의 동작을 의미
- msi 파일에 의해 vbs 스크립트 실행
> Microsoft Thunder 폴더를 Windows Defender 예외 등록
> Microsoft Thunder 폴더 내 파일을 실행하여 최종 페이로드 로드 및 미끼 파일 실행
> vbs 스크립트는 악의적인 기능을 감추기 위해 합법적으로 보이는 여러 액션이 존재
- 최종적으로 Gh0stRAT 또는 Mimikatz 등 다양한 해킹 도구를 유포하는 것으로 보임
> Gh0stRAT: 공격자가 원격으로 대상 컴퓨터에 접근하여 정보를 탈취할 수 있도록 설계된 악성 프로그램
> Mimikatz: Windows 시스템의 메모리에서 해시된 비밀번호를 추출하고, Kerberos 티켓, NTLM 해시 등을 덤프하는데 사용
3. 참고
[1] https://cyberint.com/blog/research/meet-uuloader-an-emerging-and-evasive-malicious-installer/
[2] https://thehackernews.com/2024/08/new-uuloader-malware-distributes-gh0st.html?m=1
[3] https://boannews.com/media/view.asp?idx=132149&page=1&kind=1
'악성코드 > 분석' 카테고리의 다른 글
| 복사-붙여넣기를 악용한 ClickFix 공격 (4) | 2024.10.24 |
|---|---|
| 동아시아 사용자를 대상으로 유포되는 악성코드 (0) | 2024.06.21 |
| z0Miner, 국내 WebLogic 서버 대상 공격 (0) | 2024.03.09 |
| 국내 보안 프로그램 위장 인포스틸러 트롤스틸러(Troll Stealer) (0) | 2024.02.15 |
| Androxgh0st 악성코드 분석 보고서 (0) | 2024.01.19 |