꿈을꾸는 파랑새

오늘은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 표적 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)에서 만든 것이며 오늘은 다루는 악성코드는 다음과 같습니다.
민혜지2(.)jre(2024.7.24) 에 대해 글을 적어보겠습니다. Java 응용 프로그램 실행기를 사용하여 악성코드를 실행하면 코드를 열어보면 난독화 돼 있는 것을 확인할 수가 있습니다.
해당 악성코드 해쉬값은 다음과 같습니다.
파일명:민혜지2.jse
사이즈:17.6 MB
MD5:6fba482cb866a3c51dc9063527886f5d
SHA-1:97d91cd399b5c4c6f2edd32e1a4211aba9b77f9d
SHA-256:06e2ab3fe5afc927642244644dfddb0f920ff1ab11c5e5631e26dbd62ed6978a
해당 악성코드는 다음과 같은 과정으로 실행됩니다.

악성코드 에 포함 된 이미지
악성코드 에 포함 된 이미지

C:\Windows\System32\WScript.exe C:\Users\Admin\AppData\Local\Temp\민혜지2(.)jse"
C:\Windows\System32\WindowsPowerShell\v1.0\powershell(.)exe
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell(.)exe -windowstyle hidden certutil -decode
C:\Windows\..\ProgramData\bgn9jPn.g6Ky C:\Windows\..\ProgramData\jB2OWAx.lEKR
C:\Windows\system32\certutil(.)exe
"C:\Windows\system32\certutil(.)exe" -decode C:\Windows\..\ProgramData\bgn9jPn.g6Ky
C:\Windows\..\ProgramData\jB2OWAx.lEKR
C:\Windows\System32\WindowsPowerShell\v1.0\powershell(.)exe -windowstyle hidden cmd /c cmd /c
C:\Windows\..\ProgramData\jB2OWAx.lEKR
C:\ProgramData\jB2OWAx.lEKR
C:\Windows\..\ProgramData\jB2OWAx.lEKR
C:\Windows\SYSTEM32\reg(.)exe
reg add hkcu\software\microsoft\windows\currentversion\run /d "\"C:\ProgramData\System32\svchost.exe\" --help" /t REG_SZ /v "System" /f
C:\ProgramData\System32\svchost.exe
"C:\ProgramData\System32\svchost.exe" --help "C:\ProgramData\jB2OWAx.lEKR

동작 설명

민혜지2.jre
민혜지2.jre

1. WScript.exe는 Windows Script Host의 실행 파일 VBScript 및 JScript와 같은 스크립트를 실행하는 데 사용됩니다. 위 명령어는 특정 스크립트 파일(민혜지2(.)jse)을 실행하고 있으며 해당 스크립트는 일반적으로 악성 코드를 다운로드 추가적인 악의적인 행위
2.-windowstyle hidden 옵션을 사용하여 PowerShell 창을 숨긴 상태에서 실행
certutil -decode 명령어는C:\Windows\..\ProgramData\bgn9jPn.g6Ky 파일을 디코딩하여 C:\Windows\..\ProgramData\jB2OWAx.lEKR에 저장
3.certutil(.)exe 는 인증서 및 인증 관련 작업을 수행하는 Windows의 명령줄 유틸리티 그러나 악성코드에서는 종종 파일을 디코딩하거나 인코딩하는 용도로 악용 해당 코드는 Base64로 인코딩된 bgn9jPn.g6Ky 파일을 디코딩하여 실행 가능한 형식으로 변환
4. 명령어는 숨겨진 상태에서 PowerShell을 실행하여 cmd.exe 를 호출하고 그 후에 jB2OWAx.lEKR  파일을 실행
--user 옵션이 사용되어 특정 사용자 권한으로 실행
5. /c 옵션은 지정된 명령을 실행하고 종료
여기서는 jB2OWAx.lEKR`파일을 두 번 실행하며 이는 복잡한 명령 실행을 통해 분석을 어렵게 만들려는 시도

민혜지2.jre 대충 디코딩
민혜지2.jre 대충 디코딩

6..reg(.)exe
경로:C:\Windows\SYSTEM32\reg(.)exe
명령어:reg add hkcu\software\microsoft\windows\currentversion\run /d "\"C:\ProgramData\System32\svchost.exe\" --help" /t REG_SZ /v "System" /f`
reg(.)exe는 레지스트리 값을 수정할 수 있는 명령줄 도구입니다. 해당 령어는 Windows 시작 시 자동으로 실행되도록 레지스트리에 값을 추가
주요 패턴
악성 페이로드 생성 및 실행: Base64로 인코딩된 데이터를 디코딩하여 실행 파일로 저장하고 실행
시스템 지속성 유지: 레지스트리에 값을 추가하여 시스템 시작 시 자동으로 악성 프로그램이 실행되도록 설정
권한 상승 및 시스템 악용:PowerShell 및 cmd.exe를 사용하여 높은 권한으로 악성 코드를 실행
탐지 회피: 창을 숨기거나 명령어를 복잡하게 하여 탐지를 어렵게 만듬
그리고 이미지 파일은 시현하다 레코더즈 에서 있는 모델이 찍은 여권 사진 하나 뽑아서 낚는 것 같습니다.
그리고 또 다른 악성코드들의 해쉬값은 다음과 같습니다.
123123(.)exe
5440699e3ad3443e1cec835f09715c63033e5c75b7a1cfd7e351602bdfecb434
¹ÎÇýÁö2(.)jpg 
4df86f74f192202ee6ac82095804d681086c5a2009807f6f4e1def15915671c2
bgn9jPn(.)g6Ky
민혜지2(.)jse  
06e2ab3fe5afc927642244644dfddb0f920ff1ab11c5e5631e26dbd62ed6978a
민혜지(.)jse 
de60612226ea59961e655ad83d23fb501be0e5ea4f0ba4aab4e30495abfaf742

svchost 파일의 위치 문제점
1. 실행 파일 경로:
C:\ProgramData\System32\svchost.exe:해당 경로는 svchost.exe 라는 실행 파일을 가리키며 문제는 C:\ProgramData\System32에 위치
svchost.exe는 기본적으로 C:\Windows\System32 디렉터리에 있는것이 합법적인 Windows 시스템 프로세스이기 때문
--help: 보통 프로그램의 도움말 정보를 표시하기 위해 사용되는 인수
프로그램의 실제 의도를 감추려는 것일 수 있음
추가 인수:
C:\ProgramData\jB2OWAx.lEKR:실행 파일에 전달되는 추가 인수 또는 매개변수
실행 파일이 처리하거나 사용할 파일 또는 구성
### 분석 및 의미
악성코드 이유
1. 실행 파일 위치:
비정상적인 위치: C:\ProgramData\System32\svchost.exe의 사용은 99.999% 이상은 악성코드
그리고 앞서 이야기한 것처럼 svchost.exe 는 일반적으로 C:\Windows\System32 에 위치한 합법적인 Windows 서비스 호스트 프로세스`C:\ProgramData\System32 에 이와 유사한 이름의 실행 파일이 존재하는 것은 악성코드
즉 악성코드는 사용자와 보안 소프트웨어의 탐지를 피하고자 종종 합법적인 Windows 프로세스와 유사한 이름을 사용하는 것이 매우 큰 특징
2. 악성코드 징후:
난독화: --help`와 무작위 파일 경로(jB2OWAx.lEKR)의 포함은 명령어의 실제 의도를 숨기거나 보안 도구의 단순한 문자열 기반 탐지를 우회하려는 악성코드 개발자 들은 전술
시작 시 지속: 실행 파일이 레지스트리 실행 키에 추가한다며 사용자가 컴퓨터를 로그인할 때 자동으로 실행되이 되게 하는 역할을 수행
3.파일 jB2OWAx.lEKR:
.lEKR 확장자는 없는 파일 유형 해당하고 파일이 암호화되거나 압축되었거나 그 내용이나 목적을 숨기고자 나 조작했어요. 하고 있음
그리고 svchost.exe이라고 해도 윈도우 위치에 있는 것은 정상적이며 의심스러우면 악성코드를 탐지하기 위해서 백신 프로그램(안티 바이러스 프로그램)으로 검사를 하고 처리하면 됩니다. 뭐~어차피 탐지되면 검역소 행이기 때문에 걱정하지 마시길~
여기서 보면 svchost.exe 가 보일 것인데 정상적인 위치는 C:\Windows\System32\svchost.exe입니다.해당 악성코드는 C:\ProgramData\System32\svchost.exe 에 있는 것을 볼 수가 있음
결론 svchost.exe이라고 무조건 악성코드 아님
2024-08-01 10:35:25 UTC 기준 바이러스토탈에서 탐지하는 보안 업체들은 다음과 같습니다.
AhnLab-V3:Dropper/JS.Generic
TrendMicro:HEUR_JSRANSOM.O4

최종 접속 사이트

hxxp://pmlroma(.)kro(.)kr/index(.)php

개인적인 생각으로는 여권 사진이나 증명사진에 관심 있는 사람들을 노리는 것이 아닐까 생각이 됩니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band