Analysis of ROKRAT Malware inside LNK Malicious file from North Korea
Contents
Intro.
지난 2024년 2월 22일, 트위터를 통해 악성 파일 "반국가세력에 안보기관이 무력해서는 안된다.zip"의 탐지 이력이 공개되었다.
본 블로그 글에서는 해당 악성 코드 샘플을 확보하여, 최근 북한 해킹 그룹이 사용하는 LNK 파일 공격 행위를 분석하고자 한다.
LNK 공격의 흐름
개요도
LNK를 이용한 최초 침투
압축 파일 “(안보칼럼) 반국가세력에 안보기관이 무력해서는 안된다.zip”에는 동일한 파일명의 LNK 파일이 포함되어 있다.
LNK 파일은 외부 프로그램을 연결하기 위해 원본 대상을 지정할 수 있는데, 공격자들은 이를 활용하여 명령어를 실행하는 방식으로 공격을 수행한다. 해당 LNK 파일의 속성 확인 결과, 대상 경로에 ‘cmd.exe’ 시스템 명령과 함께 별도의 인자 값이 실행되도록 구성된 것을 확인할 수 있다.
LECmd 프로그램을 사용하여 LNK 파일의 구조를 파싱한 결과, 다음과 같이 ‘cmd.exe’의 전체 실행 인자 값을 확인할 수 있다.
cmd.exe를 사용하여 Powershell을 호출한 다음, 'user32.dll'의 Windows API를 활용하여 cmd 창을 숨긴다. 만약 현재 경로가 시스템 폴더에 위치한 경우 %temp% 폴더 경로로 변경한다. 그 후, LNK 데이터를 offset 단위로 분할하여 동일한 파일명을 갖는 HWP 파일과 함께 3개의 악성 파일(public.dat, temp.dat, working.bat)을 생성한다.
이때, HWP 파일을 실행하여 …
지난 2024년 2월 22일, 트위터를 통해 악성 파일 "반국가세력에 안보기관이 무력해서는 안된다.zip"의 탐지 이력이 공개되었다.
본 블로그 글에서는 해당 악성 코드 샘플을 확보하여, 최근 북한 해킹 그룹이 사용하는 LNK 파일 공격 행위를 분석하고자 한다.
LNK 공격의 흐름
개요도
LNK를 이용한 최초 침투
압축 파일 “(안보칼럼) 반국가세력에 안보기관이 무력해서는 안된다.zip”에는 동일한 파일명의 LNK 파일이 포함되어 있다.
LNK 파일은 외부 프로그램을 연결하기 위해 원본 대상을 지정할 수 있는데, 공격자들은 이를 활용하여 명령어를 실행하는 방식으로 공격을 수행한다. 해당 LNK 파일의 속성 확인 결과, 대상 경로에 ‘cmd.exe’ 시스템 명령과 함께 별도의 인자 값이 실행되도록 구성된 것을 확인할 수 있다.
LECmd 프로그램을 사용하여 LNK 파일의 구조를 파싱한 결과, 다음과 같이 ‘cmd.exe’의 전체 실행 인자 값을 확인할 수 있다.
cmd.exe를 사용하여 Powershell을 호출한 다음, 'user32.dll'의 Windows API를 활용하여 cmd 창을 숨긴다. 만약 현재 경로가 시스템 폴더에 위치한 경우 %temp% 폴더 경로로 변경한다. 그 후, LNK 데이터를 offset 단위로 분할하여 동일한 파일명을 갖는 HWP 파일과 함께 3개의 악성 파일(public.dat, temp.dat, working.bat)을 생성한다.
이때, HWP 파일을 실행하여 …
IoC
31AEB43B981D4D6272193E321BB21333
5F6682AD9DA4590CBA106E2F1A8CBE26
78480139D86520BA82766C5B3C9A7479
7BCE02DC0026E271615D4D0E441CA397
A1640EB8F424EBE13B94955F8D0F6843
5F6682AD9DA4590CBA106E2F1A8CBE26
78480139D86520BA82766C5B3C9A7479
7BCE02DC0026E271615D4D0E441CA397
A1640EB8F424EBE13B94955F8D0F6843