▶ DragonForce는 주요 로그들, 호출하는 DLL, API 등이 난독화되어 있어 실행 흐름을 파악하기 매우 어렵다.
▶ IOCTL을 활용하여 MsMeng.exe를 종료함으로써 Windows Defender를 비롯한 보안 솔루션들을 우회한다.
▶ 파일 크기에 따라 부분 암호화를 수행하는 방식으로 신속하게 암호화 한다.
1. 파일 정보
□ DragonForce
|
MD5
|
3a6e2c775c9c1060c54a9a94e80d923a
|
|
SHA1
|
8f31f69f88a75d5faab4f94cfc2ec8a649fe1a24
|
|
SHA256
|
1ccf8baf11427fae273ffed587b41c857fa2d8f3d3c6c0ddaa1fe4835f665eba
|
2. 도식도
3. DragonForce 상세 분석
3-1. 기초 설정
□ 주요 DLL을 업로드 및 API 후킹 원복
해당 랜섬웨어는 난독화한 DLL을 업로드한 뒤, Export 함수를 검사하여 보안 제품에 의해 후킹된 API를 탐지하고 원본 상태로 복원함으로써 백신의 모니터링을 우회하는 기능을 가진 것으로 추정된다.
악성 코드는 실행시마다 LoadLibrary API를 사용하여 주요 DLL을 메모리에 로드한다. 이 과정에서 난독화된 DLL명을 런타임에 복호화하여 순정 상태의 DLL을 메모리에 적재한다. 메모리에 전부 적재되면 각 DLL의 Export Address Table(EAT)를 파싱하여 외부에서 접근 가능한 함수 목록을 추린다.
랜섬웨어는 추린 Export 함수들의 이름이 일반적인 문자열(0-9, A-Z, a-z, ‘-’, ‘.’, ‘_’)만으로 구성되어 있는 경우 후킹 여부를 탐지하지 않고, 비정상적인 문자가 포함될 경우 후킹 여부를 체크한다.
대상 API를 그대로 실행시켜서 확인하는 GetProcAddress와 섹션과 뷰 객체를 생성하여 메모리의 바이너리를 그대로 드러내는 CreateFileMappingW, MapViewOfFile 함수를 활용하였다. 전자는 실제로 메모리에서 실행시키기 때문에 다른 함수의 후킹 시도에 그대로 노출이 되지만, 섹션과 뷰를 활용한 후자의 경우 바이너리가 바로 올라오기 때문에 원본 코드로써 취급된다.
후킹의 탐지는 선별된 함수의 시작 부분(프롤로그)의 바이트 코드를 검사하여 후킹 여부를 판별하는데, 상대 주소 점프 명령어 E9 opcode와 간접 점프 명령어 FF 25의 존재 여부를 확인한다. 이후 VirtualProtect API를 호출하여 프롤로그 영역의 메모리 보호 속성을 변경한 뒤 API의 원본 바이트 코드를 후킹된 함수 영역에 복사하여 원본 상태로 복원한다.
[생략]
📊 전체 내용을 보시려면 아래 링크를 클릭해주세요.
누리랩(Nurilab) - 보안 이슈 분석 리포트(Security&Tech Blog)
누리랩(Nurilab) - 보안 이슈 분석 리포트(Security&Tech Blog)
누리랩(Nurilab) - 보안 이슈 분석 리포트
www.nurilab.com
AI로 보안의 가치를 더하는 기업, 누리랩
'보안 리포트 및 칼럼' 카테고리의 다른 글
| [피싱 통계 보고서] 12월... 공공·메신저 사칭 지속, 투자·생활형 사기로 확산된 2025년 피싱·사기 위협 (0) | 2026.01.19 |
|---|---|
| [피싱 통계 보고서] 11월 피싱·사기 주의보 136건… 텔레그램·공공기관 사칭 급증, 쇼핑사기는 새롭게 분리 발령 (0) | 2025.12.15 |
| [피싱 통계 보고서] 10월 최다 발령 피싱주의보 ‘유명 포털 및 텔레그램 사칭’, 쇼핑 산업군 타깃 공격 급증 (0) | 2025.11.19 |
| Docusign 피싱 사이트를 통한 Lumma 인포스틸러 유포 공격 분석보고서 (0) | 2025.10.24 |
| [피싱 통계 보고서] 9월 최다 발령 피싱주의보 ‘텔레그램 사칭’, 상용 서비스 플랫폼으로 피싱 공격 확대 (0) | 2025.10.17 |