악성 LNK 분석: Malicious LNK analysis
Contents
악성 LNK 분석: Malicious LNK analysis
(MD5) 0a40d68cf5342a9b9fdc5fbc2900d6ed
0. 서론
평소에 X(트위터)에 팔로우했던 계정들이 있다. 트위터를 안했지만 실시간으로 정보가 오고 가는데 트위터가 많이 사용되는거 같아서 개인적으로 사용하기 시작했고, 악성코드나 C2 정보를 공유하는 여러 계정을 팔로우 해놓았다. 그 중, @byrne_emmy12099 계정에서 2025–02–18에 공유한 악성 LNK 게시글을 확인했고 이를 분석한 내용을 작성하고자 한다.
트위터 태깅은 kimsuky로 되어 있으나, 그룹 매칭에 크게 의존할 필요는 없다. 단순히 공격자가 사용한 코드가 어떻게 구성되어 있는지 살펴보고자 한다. 악성코드는 Virus Exchange에서 다운로드 받았다. 악성코드를 분석하기 전에, 되도록이면 인터넷이 차단된 VM 환경이나 VPN을 키고 분석할 것, 그리고 실수로 악성코드에 감염되지 않도록 주의해야 한다.
보통 LNK 분석에 필요한 도구는 바이트 단위를 볼 수 있는 HxD나 010Editor, LNK 파싱 도구 Eric Zimmerman의 LECmd, 그리고 코드를 용이하게 보기 위한 텍스트 뷰어 Notepad++ 등이 있다. 위 세 가지 도구만 있으면 기본적인 LNK 파일 분석이 가능하다. 물론 이후 LNK가 드랍하는 쉘코드에 대해서는 별도로 분석해야 한다.
1. 분석
다운로드 받은 악성코드의 파일 속성을 보면 ‘대상’ 위치에 공격 문구가 확인된다.
LECmd 포렌식 도구를 …
(MD5) 0a40d68cf5342a9b9fdc5fbc2900d6ed
0. 서론
평소에 X(트위터)에 팔로우했던 계정들이 있다. 트위터를 안했지만 실시간으로 정보가 오고 가는데 트위터가 많이 사용되는거 같아서 개인적으로 사용하기 시작했고, 악성코드나 C2 정보를 공유하는 여러 계정을 팔로우 해놓았다. 그 중, @byrne_emmy12099 계정에서 2025–02–18에 공유한 악성 LNK 게시글을 확인했고 이를 분석한 내용을 작성하고자 한다.
트위터 태깅은 kimsuky로 되어 있으나, 그룹 매칭에 크게 의존할 필요는 없다. 단순히 공격자가 사용한 코드가 어떻게 구성되어 있는지 살펴보고자 한다. 악성코드는 Virus Exchange에서 다운로드 받았다. 악성코드를 분석하기 전에, 되도록이면 인터넷이 차단된 VM 환경이나 VPN을 키고 분석할 것, 그리고 실수로 악성코드에 감염되지 않도록 주의해야 한다.
보통 LNK 분석에 필요한 도구는 바이트 단위를 볼 수 있는 HxD나 010Editor, LNK 파싱 도구 Eric Zimmerman의 LECmd, 그리고 코드를 용이하게 보기 위한 텍스트 뷰어 Notepad++ 등이 있다. 위 세 가지 도구만 있으면 기본적인 LNK 파일 분석이 가능하다. 물론 이후 LNK가 드랍하는 쉘코드에 대해서는 별도로 분석해야 한다.
1. 분석
다운로드 받은 악성코드의 파일 속성을 보면 ‘대상’ 위치에 공격 문구가 확인된다.
LECmd 포렌식 도구를 …
IoC
64.20.59.148
0a40d68cf5342a9b9fdc5fbc2900d6ed
563a1cfd8788542cc19db91a52b87540e9ff2512f3e78c855ffa243b0b530a5d
b54fdd6e637315cb0a24a9b1ae5563cab13a48d8e26fd4ec006a11bd004efd4e
0a40d68cf5342a9b9fdc5fbc2900d6ed
563a1cfd8788542cc19db91a52b87540e9ff2512f3e78c855ffa243b0b530a5d
b54fdd6e637315cb0a24a9b1ae5563cab13a48d8e26fd4ec006a11bd004efd4e