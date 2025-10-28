그런 다음 셸코드가 vssapi.exe에 로드됩니다. 이는 멀웨어의 구성에 지정된 DLL입니다. 이는 VirtualProtect()를 호출하여 DLL의 .text 섹션의 메모리 보호를 PAGE_EXECUTE_READWRITE로 변경하여 수행됩니다. 마지막으로 셸코드가 이 쓰기 가능한 주소로 복사되고 실행 흐름이 이 주소로 전송됩니다.

셸코드는 로더 역할을 하지만 먼저 시스템에서 실행 중인 프로세스 이름을 해시하고 이를 멀웨어 구성에 지정된 값과 비교합니다. 일치하는 항목이 발견되면 멀웨어는 NtDelayExecution() API를 사용하여 자체 실행을 중단합니다.

다음으로 Plagkeg.zk의 콘텐츠를 읽습니다. 이 파일의 내용은 또 다른 암호화된 멀웨어 구성 및 HijackLoader의 모듈입니다. 데이터는 여러 개의 청크로 나뉘며, 초기 청크에는 다음 정보가 포함됩니다.

암호화된 데이터의 크기

마커("IDAT")

셸코드의 시작 바이트를 확인하는 데 사용되는 값(0xC6A579EA)

데이터 복호화 키

이후 청크들은 다음과 같은 구조를 따릅니다.

셸코드 청크의 크기

마커("IDAT")

암호화된 바이트

이러한 청크를 조합하기 위해 HijackLoader는 암호화된 데이터를 반복하여 물음표가 와일드카드 역할을 하는 "????IDAT" 패턴을 검색합니다. 일치하는 항목이 발견되면 패턴 바로 뒤의 4바이트가 0xC6A579EA와 같은지 확인합니다. 이는 초기 청크를 찾았음을 확인하며, 셸코드와 복호화 키의 총 크기가 포함되어 있기 때문에 중요합니다. 값이 일치하면 HijackLoader는 셸코드 바이트를 버퍼에 저장합니다. 이 과정은 더 이상 일치하는 패턴이 발견되지 않을 때까지 모든 후속 청크에 대해 동일한 버퍼에 셸코드 바이트가 추가되는 방식으로 반복됩니다.

완료되면 암호화된 셸코드가 포함된 버퍼는 XOR 암호를 사용하여 해독한 다음 LZNT1 알고리즘을 사용하여 압축을 해제합니다. 결과적으로 최종 페이로드, 모듈 구조 등 다양한 정보를 담고 있는 구조가 생성됩니다.

멀웨어 3단계: ti64 - 메인 모듈

HijackLoader의 기능은 모듈로 나뉩니다. 일부는 실행 코드를 포함하고, 다른 일부는 단순히 참조용으로 사용되는 정보입니다. 예를 들어, 이 HijackLoader의 변종과 관련된 파일 이름 목록이 포함된 COPYLIST 모듈이 있습니다. Trellix 보고서에 따르면, 일부 HijackLoader 변형은 최대 40개의 모듈을 지원하지만, 이 보고서에 분석된 샘플은 35개만 지원합니다. 모든 모듈이 실행되는 것은 아니며 멀웨어 구성에 지정된 플래그에 따라 사용 여부가 달라집니다.

아래 표에는 각 모듈의 이름과 용도가 요약되어 있습니다.

HijackLoader는 이러한 구조를 반복하고 사용자 정의 알고리즘을 사용하여 각 모듈 이름을 해시로 변환합니다. "ti64" 모듈과 일치하는 항목이 발견되면 모듈 데이터 배열의 베이스에 데이터의 오프셋을 추가하여 모듈 코드에 대한 포인터를 계산합니다. 그런 다음 이 포인터가 반환되어 "ti64"의 셸코드에 대한 참조로 사용됩니다.

다음으로, 멀웨어는 또 다른 DLL 할로잉 작업을 수행하여 "ti64" 모듈의 셸 코드를 주입합니다. 대상은 이전에 복호화한 구성에 지정된 DLL(이 경우 pla.dll)입니다.