북한 해킹 단체 김수키(Kimsuky)에서 만든 PowerShell 백도어 도구(2024.2.29)
Contents
오늘은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 표적 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)에서 만든 것이며 오늘은 다루는 악성코드는 다음과 같습니다. 짜증 나는 것은 이놈들 북한 식당에 숨어서 만든 작품 인지라~정말 코드가 길다. 개 짜증 난다.
파일명:Client.ps1
사이즈:33.1 KB
MD5:c81ed44799aefb540123159618f7507c
SHA-1:fd23177a4481f39fe53a306e2d7fe282cb30a87d
SHA-256:87b5a1f79a2be17401d8b2d354c61619ce6195b57e8a5183f78b98e233036062
서버 연결
while( $true ) { $fContinue = CommunicationWithServer -StrIp "127(.)0(.)0(.)1" -UPort 8888; if( $fContinue -eq $false ) { Write-Host "Server requests to close client."; break; } Start-Sleep -Seconds 30; } } RemoteFileManager
코드 설명
해당 스크립트는 무한 루프를 사용하여 지속적으로 서버와 통신하는 간단한 클라이언트
스크립트는 서버가 클라이언트에게 연결을 종료하도록 요청할 때까지 지속적으로 서버와 통신을 시도합
1. 무한 루프 (`while ($true)`):
해당 루프는 특정 조건이 충족될 때까지 계속 실행
$true는 항상 참이므로 루프는 무한히 반복 그러나 break 문에 의해 루프가 종료
2.서버와의 통신 (`CommunicationWithServer -StrIp "127(.)0(.)0(.)1" -UPort 8888`):
CommunicationWithServer 는 서버와의 통신을 수행하는 함수
함수는 -StrIp 매개변수를 통해 서버의 IP 주소와 -UPort 매개변수를 통해 서버의 포트 번호를 전달
여기서는 로컬 호스트(127(.)0(.)0(.)1)와 포트 8888 을 사용하고 …
파일명:Client.ps1
사이즈:33.1 KB
MD5:c81ed44799aefb540123159618f7507c
SHA-1:fd23177a4481f39fe53a306e2d7fe282cb30a87d
SHA-256:87b5a1f79a2be17401d8b2d354c61619ce6195b57e8a5183f78b98e233036062
서버 연결
while( $true ) { $fContinue = CommunicationWithServer -StrIp "127(.)0(.)0(.)1" -UPort 8888; if( $fContinue -eq $false ) { Write-Host "Server requests to close client."; break; } Start-Sleep -Seconds 30; } } RemoteFileManager
코드 설명
해당 스크립트는 무한 루프를 사용하여 지속적으로 서버와 통신하는 간단한 클라이언트
스크립트는 서버가 클라이언트에게 연결을 종료하도록 요청할 때까지 지속적으로 서버와 통신을 시도합
1. 무한 루프 (`while ($true)`):
해당 루프는 특정 조건이 충족될 때까지 계속 실행
$true는 항상 참이므로 루프는 무한히 반복 그러나 break 문에 의해 루프가 종료
2.서버와의 통신 (`CommunicationWithServer -StrIp "127(.)0(.)0(.)1" -UPort 8888`):
CommunicationWithServer 는 서버와의 통신을 수행하는 함수
함수는 -StrIp 매개변수를 통해 서버의 IP 주소와 -UPort 매개변수를 통해 서버의 포트 번호를 전달
여기서는 로컬 호스트(127(.)0(.)0(.)1)와 포트 8888 을 사용하고 …
IoC
87b5a1f79a2be17401d8b2d354c61619ce6195b57e8a5183f78b98e233036062
c81ed44799aefb540123159618f7507c
fd23177a4481f39fe53a306e2d7fe282cb30a87d
c81ed44799aefb540123159618f7507c
fd23177a4481f39fe53a306e2d7fe282cb30a87d