2024년 1월 6일, 아래와 같은 기사를 접했다. 오랜만에 Wiper 악성코드를 보기도 했고, 이란측 공격자들의 악성코드도 오랜만에 분석해보고 싶어서 해당 악성코드를 분석해봤다.
https://thehackernews.com/2024/01/pro-iranian-hacker-group-targeting.html
Pro-Iranian Hacker Group Targeting Albania with No-Justice Wiper Malware
A new wave of cyber attacks in Albania, orchestrated by an Iranian group, uses a destructive malware named No-Justice.
thehackernews.com
* sha256 : 36cc72c55f572fe02836f25516d18fed1de768e7f29af7bdf469b52a3fe2531f
해당 악성코드는 Visual C/C++ 컴파일러로 컴파일된 32bit 실행프로그램이다.
왼쪽 그림과 같은 아이콘을 가지고 있다. ACT ? 라는 프로그램을 위장한 것으로 보여지며 오른쪽 서명 정보와 같이 합법적인 서명 정보를 가지고 있다. 서명은 "Attest Inspection Limited"에서 서명된 것으로 나타난다.
해당 악성코드는 실행시 디버거가 존재하는지를 확인한다. 해당 루틴이 악성코드 동작 중간중간에 심어져있으며, 예전의 악성코드들에서 분석 회피를 위해 설치된 디버거 탐지와 동일하다.
사실상 Wiper로서의 역할은 아래 함수에서 모두 수행한다. 다른 Wiper들이 Boot 영역의 일정 부분을 파괴하거나 수정하는것을 통해 부팅을 못하게 하는것과 달리 No-Justice Wiper는 C 드라이브 자체를 삭제해버리는 형태로 동작한다. 만약, 부팅 파일이 C 드라이브에 존재하는 것이 아니라면 해당 악성코드에서 자유로울 수 있다.
CreateFile을 통해 C 드라이브를 읽기/쓰기 권한을 가진채로 불러온다.
이후 DeviceIoControl 함수를 IOCTL_DISK_DELETE_DRIVE_LAYOUT 옵션을 가지고 실행시켜 C 드라이브 자체를 삭제한다.
최종적으로 오른쪽 그림에서 아래 왼쪽 그림의 C 드라이브 영역 자체가 사라진 것을 볼 수 있다.
일정 시간이 지나면 블루스크린과 함께 Crash dump 만을 반복하는 화면을 보게된다.
결론적으로 해당 악성코드는 피해자의 특정 정보 탈취나 금전적 목적을 위해 유포된다기보다는 핵티비즘의 성격이 강한 것으로 보여진다. 타겟의 PC를 아예 망가뜨릴 생각으로 유포되는 것으로 보여진다. 하지만, C 드라이브만을 삭제하기 때문에 초기 단계 혹은 공격자의 실수가 존재하는 것으로 보여진다.
추가정보)
pdb 정보가 아래와 같이 "F\LowEraser\LowEraser\Release\Ptable.pdb" 로 나타났다.
'Analysis' 카테고리의 다른 글
| 66. BianLian ransomware (0) | 2024.02.06 |
|---|---|
| 65. Kimsuky's 트레이딩 스파르타코스 강의안-100불남(2차) (0) | 2024.01.23 |
| 63. Rhysida Ransomware (0.1) (1) | 2024.01.02 |
| 62. andariel's DLRAT (0) | 2023.12.19 |
| 61. 발주서 11월 10일 (0) | 2023.11.20 |
