작성일자: 2025-06-30
분석일자: 2025-06-20 (금)
분석 대상: Poperler_setup.exe
1. 개요
본 보고서는 Poperler_setup.exe 샘플에 대해 기초/정적/동적 분석을 수행하여 해당 파일의 악성 행위 여부와 주요 특성을 파악하고, 외부 네트워크와의 통신 여부를 확인함으로써 Snort 탐지 규칙 설정을 위한 자료를 제공하고자 작성되었습니다.
1.1 분석 환경
분석은 Windows 10 64-bit가 설치된 VMware Workstation 19 Pro 64-bit 기반의 격리된 가상 환경에서 진행되었습니다. 분석 방향성 수립을 위해 우선 VirusTotal 웹사이트를 활용하여 자동화(기초) 분석을 실시하였으며, 이후 악성 행위 파악을 위해 정적 분석 도구와 동적 분석 도구를 활용하였습니다.
| 분류 | 분석 도구 | 설명 |
|---|---|---|
| 자동화 분석 | VirusTotal | 분석 방향성 수립 |
| 정적 분석 | Exeinfo PE | 패킹(Packing) 여부, 패커(Packer)와 컴파일러(Compiler) 식별 |
| PEID | 프로텍터(Protector) 적용 여부 및 데이터의 Overlay 여부 | |
| Detect It Easy | 파일에 사용된 프로텍터(Protector) 와 패커 확인 | |
| PEview | 파일의 섹션 구조와 Import Table 분석 | |
| Bintext | 파일 내부의 문자열 추출 후 DLL/URL/IP 주소 등 확인 | |
| 동적 분석 | Process Explorer | 실시간 프로세스 변화 관찰 |
| Process Monitor | 시스템/프로세스/레지스트리 등 변경 기록 확인 | |
| SmSniff | 네트워크 통신 여부 확인 | |
| Wireshark | 네트워크 패킷 정보 확인 |
1.2 Poperler_setup.exe 정보
분석 대상 파일명은 Poperler_setup.exe로, Any.Run 악성 코드 분석 및 수집 사이트를 통해 수집하였습니다. 이 파일은 PE32 (Windows 32-bit GUI) 실행 파일 구조를 가지고 있으며, 파일 크기는 513,952 bytes(Exeinfo PE 기준)입니다. 생성 날짜는 2014년 7월 18일로 PEview 분석 결과 확인되었습니다. 자동화(기초) 분석 결과, 해당 파일의 디지털 서명 (인증서)은 발급 기관에 의해 명시적으로 폐기된 것으로 나타났습니다.
| 항목 | 정보 |
|---|---|
| 파일명 | Poperler_setup.exe |
| 파일 크기 | 513,952 bytes |
| 파일 형식 | PE32 (Windows 32-bit) GUI 실행 파일 |
| 파일 생성 날짜 | 2014/07/18 12:54:30 UTC |
| MD5 | 7aa15e813ee2e79771ee1ceaf8f52d81 |
| SHA-1 | 44f679a16d6392e711c20f2c4db8aad5cc58958b |
| SHA-256 | 4f508bfa62ebe8e9c06ee3c4479515487f3ddd44bf102f310ebe5e8596486986 |
| 디지털 서명 / 인증서 | A certificate was explicitly revoked by its issuer. (인증서가 발급 기관에 의해 명시적으로 폐기됨) |
1.3 분석 요약
Poperler_setup.exe분석 결과, 해당 샘플은 애드웨어(Adware)와 트로이목마(Trojan)의 성격을 동시에 지닌 악성 코드로 판단됩니다.- 해당 샘플은 사용자 시스템의 보안 설정을 임의로 변경하고, 지능적인 분석 우회 기법을 사용하여 탐지를 회피합니다.
- 비록 분석 과정에서 자동 실행(지속성) 등록 흔적은 확인되지 않았으나, 외부 통신이 활성화되어 있어 추가적인 악성 파일 유포 및 정보 유출의 가능성이 있습니다.
2. 자동화(기초) 분석 - VirusTotal
VirusTotal을 활용하여 이후 진행할 정적 분석 및 동적 분석에 필요한 주요 정보를 사전에 수집하였으며, 이를 바탕으로 분석의 전반적인 방향성을 수립하였습니다.
2.1 Summary 탭 - VirusTotal 분석 결과 요약
- 탐지 현황: 전체 72개 보안 엔진 중 58개에서 악성코드로 탐지되었습니다.
- 디지털 서명: 디지털 서명이 포함되어 있으나, 인증서가 폐기(revoked)된 상태일 것으로 추정됩니다.
- 주요 태그: WMI 호출(calls-wmi), 디버깅 환경 탐지(detect-debug-environment) 등 다양한 악성 행위 특성을 내포할 가능성이 있습니다.
| 항목 | 정보 |
|---|---|
| 파일명 | Poperler_setup.exe |
| SHA-256 해시 | 4f508bfa62ebe8e9c06ee3c447951548f3ddd44bf10f2310ebe5e859646896 |
| 크기 | 501.91 KB |
| 악성 진단 | 58/72 엔진 탐지 |
| 디지털 서명 | 있었으나(signed), 폐기되었음(revoked-cert) |
| 악성 행위 | WMI 호출(calls-wmi), 디버깅 환경 탐지(detect-debug-environment) 등 |
2.2 Detection 탭 - 보안 엔진 탐지 정보
- 위협 라벨: 대표 위협 라벨로
adware.firseria/bundler로 확인됩니다. - 위협 범주: adware(애드웨어)와 trojan(트로이목마)로 관찰됩니다.
- 패밀리 라벨: firseria, bundler 계열임이 확인되었습니다.
- AhnLab-V3(PUP/Win32.Firseria.R116017), ALYac(Dump:Application.Bundler.Firseria.D), Avast(Win32:AdwareSig [Adw]) 등 국내외 주요 백신 엔진에서 모두 악성으로 탐지하였습니다. 이는 광고 소프트웨어 및 번들형 악성코드일 가능성이 높음을 시사합니다.
2.3 Details 탭 - 서명(인증서) 정보 확인
- 파일 기본 정보: Microsoft Visual C/C++(2008-2010) 컴파일러로 빌드된 Win32 EXE(PE32, GUI) 형식입니다.
- 생성/서명/분석 날짜: Creation Time은 2014-07-18, Signature Date는 2014-07-21, Last Analysis는 2025-06-19입니다.
- 서명 정보: 디지털 서명이 포함되어 있으나, 2014년 7월 21일자로 서명 인증 기관에 의해 명시적으로 폐기되었습니다.
- DLL: KERNEL32.dll 만이 명시되어 있으나, 시스템 API, 동적 로딩을 사용하여 다양한 악성 행위 수행 가능성이 있습니다.
2.4 Relation 탭 - 외부 네트워크 통신 활동 분석
api.socdn.com,b34083.api.socdn.com등과의 네트워크 통신을 시도합니다.13.248.148.254(미국, 7개 보안 엔진에서 악성 탐지) 등 다수의 외부 IP와 연결을 시도하는 것이 확인되었습니다.- 실행 과정에서
s9063.exe와s1392.exe등 추가 악성 파일이 시스템 내에 드롭되었으며, 이들 파일 역시 보안 엔진에서 악성으로 판별되었습니다.
2.5 Behavior 탭 - 샘플 활동 분석
실행 과정에서 IDS 및 Sigma 보안 탐지 규칙에 다수 반응하며, 악성 실행 파일(PE_EXE) 등 다양한 파일을 드롭하고, 6건의 HTTP 요청, 11건의 DNS, 10개 IP 등 외부 네트워크와 활발한 통신 행위를 보였습니다.
2.6 자동화(기초) 분석 결과 정리 및 결론
Poperler_setup.exe 샘플은 정상 설치 프로그램으로 위장하여 유포되는 애드웨어와 트로이목마 계열의 복합적인 성격을 지닌 악성코드로 추정됩니다. 네트워크 행위 분석 결과 외부 광고/명령 서버와의 통신, 그리고 실행 파일 드롭 등 트로이목마 특성이 동반되는 것으로 확인됩니다. 향후 정적/동적 분석을 통해 은폐·위장 기법, 추가 페이로드 유포 여부 등 실질적인 위협 행위를 파악할 필요가 있습니다.
3. 정적 분석
3.1 Exeinfo PE / PEID
- Exeinfo PE 및 PEID 분석 결과, 본 샘플은 패킹이 적용되지 않은 32 비트 Windows GUI 실행 파일입니다.
- MS Visual C++ 2010(Linker 10.0) 환경에서 컴파일된 것으로 확인됩니다.
- 실행 파일에 별도의 오버레이(Overlay) 데이터가 존재하여, 광고 설정, 추가 악성 모듈, 드롭 파일 등이 숨겨져 있을 가능성이 높습니다.
3.2 Bintext
Bintext 분석 결과, 샘플 내부에서는 GlobalSign의 인증서 저장소 및 인증서 상태 확인용 서버의 URL 다수가 발견되었습니다. 이는 정상 소프트웨어 행위로 위장하거나, 네트워크 트래픽 분석 시 탐지를 회피하려는 목적일 가능성이 있습니다.
3.3 PEview
-
헤더 정보: 32비트(x86) Windows 실행 파일로, 생성 시각은 2014년 7월 18일입니다. 섹션 수는 5개로 난독화 등으로 인한 섹션 변조 흔적은 관찰되지 않았습니다.
-
주요 함수/API (KERNEL32.dll 단일 임포트)
- 프로세스/메모리/파일 관련:
LoadLibraryW,GetProcAddress,CreateFileA/W,ReadFile,WriteFile등 (동적 라이브러리 로딩, 파일 생성/읽기/쓰기/종료를 통한 드롭/페이로드 생성 가능성) - 환경/정보 수집 관련:
GetCommandLineA,GetEnvironmentStringsW/A등 (실행 환경/프로세스 정보 수집을 통한 조건부 실행 가능성) - 탐지 회피/디버깅:
IsDebuggerPresent,SetUnhandledExceptionFilter(동적 분석·디버깅 탐지 및 우회 실행 가능성) - 콘솔/입출력:
GetConsoleMode,WriteConsoleW등 (출력, 로그, 커맨드 제어 가능성)
- 프로세스/메모리/파일 관련:
-
LoadLibraryW및GetProcAddress함수의 사용은 네트워크, 암호화, 압축 등 다양한 외부 라이브러리(DLL)를 동적으로 로딩할 수 있음을 시사합니다.
3.4 정적 분석 결과 정리 및 결론
Poperler_setup.exe는 패킹이 적용되지 않은 32비트 Windows 실행 파일로, 오버레이 데이터 및 글로벌사인 인증서 관련 문자열 등 정상 파일로 보이도록 위장했을 가능성이 있습니다. KERNEL32.dll 기반의 시스템 API가 다수 포함되어 있으며, LoadLibrary와 GetProcAddress를 활용한 동적 라이브러리 로딩 구조를 통해 네트워크 통신 기능 및 추가 악성 행위를 수행할 가능성이 있습니다.
4. 동적 분석
4.1 Process Explorer (Procexp)
Poperler_setup.exe는 실행 시 s6395.exe, s7201.exe, s9392.exe 등 자식 프로세스를 추가로 생성하며, 이들은 install manager, appinstall 등 정상 설치 관리 프로그램으로 위장된 정보를 포함하고 있습니다. 생성되는 드롭 파일의 이름이 매번 무작위 숫자로 변경되는 현상이 관찰되며, 이는 분석 도구의 탐지 또는 분석 과정을 회피하려는 기능을 포함하고 있는 것으로 판단됩니다.
4.2 Process Monitor (Procmon)
4.2.1 환경 정보 수집 / 분석 회피 및 탐지 우회
![]
Process Monitor를 실행한 상태에서 Poperler_setup.exe를 실행할 경우 "This system doesn't have the minimum requirements."라는 팝업 메시지가 표시되고 즉시 종료됩니다. Process Monitor의 실행 파일명을 g2j4d64.exe로 변경한 뒤 실행하자 다시 정상적으로 하위 프로세스를 생성하였습니다. 이는 실행 환경 정보를 수집하여 조건적으로 하위 프로세스 생성 여부를 결정하며, 분석 도구를 인식하여 탐지를 회피하려는 시도로 추정됩니다.
4.2.2 드롭 파일 분석 (s5249.exe)
-
환경 정보 / 경로 파악:
Explorer User Shell Folders,Folder Descriptions등 사용자별 AppData, 바탕화면, 폴더 경로를 파악하여 감염 환경에 맞춤형 악성 행위를 수행합니다. -
네트워크 설정/프록시/인터넷 존 탐색 및 조작:
Internet Settings\ZoneMap정보를 통해 프록시/방화벽 정책을 확인 및 우회합니다. -
네트워크 환경 정보 파악:
WinSock2\Parameters\NameSpace_Catalog5를 통해 시스템 내 사용 가능한 네트워크 라이브러리/프로토콜 정보를 확인합니다.
-
레지스트리 값 변경:
Internet Settings/ZoneMap관련 값을 다수 변경하여 영구 감염 및 분석 환경 회피를 시도합니다.
-
외부 서버와의 통신:
ab1c1ff9d2ec5376.awsglobalaccelerator.com과 TCP 연결 및 송수신을 반복하며, 정보 탈취, 명령 수신, 추가 악성 페이로드 전개 가능성이 있습니다.
4.3 AutoRuns
AutoRuns를 이용한 자동 실행 항목 비교 결과, 악성코드 실행 전후의 시스템 자동 실행 영역(시작프로그램, 서비스, 드라이버 등)에는 변화가 관찰되지 않았습니다.
4.4 네트워크 활동 확인
4.4.1 Smart Sniff (SmSniff)
내부 IP에서 외부 서버(13.248.148.254, b34083.api.socdn.com, 615321.parkingcrew.net)로 HTTP GET 및 POST 요청이 발생함을 확인하였습니다.
4.4.2 Wireshark
Poperler_setup.exe 실행 시 b34083.api.socdn.com 등의 외부 서버와 HTTP 기반으로 통신을 시도합니다.
- 특정 경로(
/installer/4fe0cf9f-1fe4-4abb-905a-57915bc06f2f/12764719/config)로 GET 요청 및 POST 요청을 통한 데이터 전송을 확인했습니다. - 응답 상태는 403 Forbidden(접근 거부), 200 OK(정상 처리) 등이 있으며, POST 요청 시
Content-Type: application/x-www-form-urlencoded가 사용되었습니다. - 샘플이 외부 명령을 받아 악성 행위를 수행하거나 추가 페이로드를 다운로드하는 기능을 수행할 가능성이 있습니다.
4.5 동적 분석 결과 정리 및 결론
Poperler_setup.exe는 정상 설치 관리자로 위장하여 다수의 무작위 이름의 자식 프로세스를 생성하고, 파일 드롭 및 레지스트리 변조를 통해 시스템 정보를 수집합니다. 특히 분석 도구를 실시간 탐지하여 행위를 중단하는 우회 기법을 사용하며, 비정상적인 C2 통신으로 외부 명령 수신 및 탐지 회피를 시도합니다. 지속성 확보 흔적은 발견되지 않았으나, 종합적으로 분석 회피 및 위장 기법을 포함한 애드웨어 및 트로이목마 계열의 악성코드로 판단됩니다.
5. Snort 탐지 규칙 설정
5.1 탐지 개요 및 목적
Poperler_setup.exe가 외부 C2 서버로 추정되는 IP(13.248.148.254) 및 특정 악성 도메인(b34083.api.socdn.com)과의 통신 행위를 실시간으로 탐지하여 추가적인 악성 행위를 차단할 목적으로 작성되었습니다.
5.2 주요 네트워크 행위 요약
- C2 서버 추정 IP 주소:
13.248.148.254 - 도메인:
615321.parkingcrew.net,ab1c1ff9d2ec5376.awsglobalaccelerator.com - 수신 URL:
/installer/4fe0cf9f-1fe4-4abb-905a-57915bc06f2f/12764719/config HTTP/1.1등
5.3 Snort 탐지 규칙 작성 (user_defind.rules)
C:\Snort\rules\user_defind.rules 파일에 다음 4가지 규칙을 적용하였습니다.
- 외부 악성 IP로의 송신 트래픽 탐지:
alert tcp 192.168.93.229 any -> 13.248.148.254 any (msg:"Warning: Malicious IP 13.248.148.254 detected"; sid: 1000001;) - 외부 악성 IP로부터의 수신 트래픽 탐지:
alert tcp 13.248.148.254 any -> 192.168.93.229 any (msg: "Warning: Malicious IP 13.248.148.254 detected"; sid: 1000002;) - 악성 URL 도메인 포함 트래픽 탐지:
alert tcp any any -> any any (content:"b34083.api.socdn.com"; msg:"Warning: Malicious URL http://b34083.api.socdn.com/"; sid:1000003;) - 악성 URL 경로 포함 트래픽 탐지:
alert tcp any any -> any any (content:"b34083.api.socdn.com"; msg:"Warning: Malicious URL http://b34083.api.socdn.com/installer/4fe0cf9f-1fe4-4abb-905a-57915bc06f2f/12764719/config"; sid:1000004;)
5.4 탐지 결과 모니터링 (BASE)
보안 엔진 분석 도구인 BASE(Basic Analysis and Security Engine)를 통해 확인한 결과, 설정한 규칙에 따라 악성 트래픽이 정상적으로 탐지됨을 확인하였습니다.
6. 대응 방안
Poperler_setup.exe는 정상적인 설치 프로그램으로 위장하여 침투한 뒤, 시스템 설정을 변경하고 외부 서버와 지속적으로 통신합니다.
6.1 대응 방안
- 네트워크 연결 즉시 차단: 외부 C2 서버와 통신하여 추가 명령을 받거나 데이터를 유출하는 것을 방지하기 위해 인터넷 연결을 즉시 끊어야 합니다.
- 의심 프로세스 강제 종료: '작업 관리자'를 실행하여 정상 프로그램으로 위장한 하위 프로세스(
s6395.exe,s5249.exe등)를 찾아 종료합니다. - 악성 파일 및 레지스트리 제거:
- 사용자 임시 폴더(%TEMP%) 및 시스템 폴더 내에 생성된 무작위 명칭의 실행 파일과 DLL 파일을 삭제합니다.
- 변조한 브라우저 보안 설정(ZoneMap 등) 및 인터넷 옵션 관련 레지스트리 값을 정상 상태로 복구합니다.
- 보안 소프트웨어를 이용한 정밀 검사: 신뢰할 수 있는 백신 프로그램을 최신 버전으로 업데이트한 후 시스템 전체 정밀 검사를 수행합니다.
- 공식 홈페이지 이용: 소프트웨어를 설치할 때는 검증되지 않은 블로그나 커뮤니티 대신 항상 개발사의 공식 홈페이지를 이용해야 합니다.
- 번들 소프트웨어 체크 해제: 무료 프로그램 설치 시 '추가 구성 요소'나 '제휴 프로그램' 설치 항목이 체크되어 있는지 확인하여 애드웨어가 함께 설치되는 것을 방지합니다.
- 운영체제 및 소프트웨어 업데이트: 윈도우 보안 패치와 사용 중인 웹 브라우저, 백신 프로그램의 실시간 감시 기능을 항상 최신 상태로 유지합니다.
