LNK 파일을 활용한 RokRAT 악성코드에 대한 분석
Contents
Contact
위협 인텔리전스
LNK 파일을 활용한 RokRAT 악성코드에 대한 분석
엔키화이트햇
2024. 9. 13.
Content
1. 개요
2. 악성코드 분석
3. 마치며
4. 부록
1. 개요
Microsoft가 Office 앱에서 매크로를 차단하고 VBScript를 점진적으로 폐지하기 시작한 이후, 초기 침투 수단으로 LNK 파일을 활용한 악성코드 공격이 다수 확인되고 있다.
그 중 LNK 파일을 활용하여 실행되는 RokRAT에 대한 악성코드 정보를 트위터에서 확인할 수 있었으며, 본 글에서는 이에 대한 분석 내용을 다루고자 한다.
APT, 엔키화이트햇
2. 악성코드 분석
2.1 - 개요도
2.2 — LNK 파일 분석
Gate access roster 2024.xlsx.lnk
공격자들은 일반적으로 명령어가 삽입된 LNK 파일만 압축하거나 정상 파일과 LNK 파일을 같이 압축하여 공격 대상에게 이메일로 전송한다. 본 글에서는 압축 파일을 확보하지 못하여 악성 LNK 파일부터의 분석 내용을 작성하였다.
LNK 파일은 실행 대상 프로그램을 지정할 수 있다. 공격자들은 이를 활용하여 명령어를 삽입하고, 실행하도록 유도한다. LNK 파일의 속성을 확인하면 명령어가 삽입된 것을 알 수 있다.
Gate access roster 2024
[LNK 파일 속성]
LECmd 분석 도구를 사용하여 LNK 파일에 삽입된 전체 명령어를 확인할 수 있다.
[LECmd 실행 결과]
tokens=*" %a in ('dir C:\Windows\SysWow64\WindowsPowerShell\v1.0\*rshell.exe /s /b /od') do call %a "$dirPath …
위협 인텔리전스
LNK 파일을 활용한 RokRAT 악성코드에 대한 분석
엔키화이트햇
2024. 9. 13.
Content
1. 개요
2. 악성코드 분석
3. 마치며
4. 부록
1. 개요
Microsoft가 Office 앱에서 매크로를 차단하고 VBScript를 점진적으로 폐지하기 시작한 이후, 초기 침투 수단으로 LNK 파일을 활용한 악성코드 공격이 다수 확인되고 있다.
그 중 LNK 파일을 활용하여 실행되는 RokRAT에 대한 악성코드 정보를 트위터에서 확인할 수 있었으며, 본 글에서는 이에 대한 분석 내용을 다루고자 한다.
APT, 엔키화이트햇
2. 악성코드 분석
2.1 - 개요도
2.2 — LNK 파일 분석
Gate access roster 2024.xlsx.lnk
공격자들은 일반적으로 명령어가 삽입된 LNK 파일만 압축하거나 정상 파일과 LNK 파일을 같이 압축하여 공격 대상에게 이메일로 전송한다. 본 글에서는 압축 파일을 확보하지 못하여 악성 LNK 파일부터의 분석 내용을 작성하였다.
LNK 파일은 실행 대상 프로그램을 지정할 수 있다. 공격자들은 이를 활용하여 명령어를 삽입하고, 실행하도록 유도한다. LNK 파일의 속성을 확인하면 명령어가 삽입된 것을 알 수 있다.
Gate access roster 2024
[LNK 파일 속성]
LECmd 분석 도구를 사용하여 LNK 파일에 삽입된 전체 명령어를 확인할 수 있다.
[LECmd 실행 결과]
tokens=*" %a in ('dir C:\Windows\SysWow64\WindowsPowerShell\v1.0\*rshell.exe /s /b /od') do call %a "$dirPath …
IoC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