오늘은 파키스탄 정부 부처 노리는 것으로 추정되는 악성코드인 China-Pakistan-Free-Trade-Agreement-Phase-2(2025.10.6)에 대해 분석을 해보겠습니다.일단 해당 악성코드는 자신이 없습니다.
파일명:China-Pakistan-Free-Trade-Agreement-Phase-2.chm
사이즈:3,752 KB
MD5:c20cfaf028747ae0d4e01ebf316ceedf
SHA-1:7f55707340017e80ca80de7af287668c13791786
SHA-256:dd31bac9e9f91d648a714aaaea296770dc46d7fa5c7b3a254852f290bb7baf37
일단 확장자는 chm이라서 7-zip 가 필요합니다. 일단 압축을 풀며 png 파일로 된 파일들이 보이는것을 확인을 할 수가 있으며 해당 악성코드는 파일이 아닌 것을 확인할 수가 있습니다.
ProcessMonitor 로 보면 다음 폴더에 관심이 있는 것을 볼 수가 있습니다.
그리고 hh.dat 파일에서는 다음과 같은 부분이 보입니다.
문자열은 CHM(Compiled HTML Help) 파일 내부에서
사용되는 압축 데이터 구조와 메타데이터의 논리 경로를 의미하고 있으며
{7FC28940-9D31-11D0-9B27-00A0C91E9C7C} 은 LZX 압축 알고리즘의 GUID
InstanceData/ResetTable 은 압축 복원용 인덱스 테이블
폴더 내용
C:\Users\user\AppData\Local\Microsoft\Windows\History
C:\Users\user\AppData\Local\Microsoft\Windows\INetCache
C:\Users\user\AppData\Local\Microsoft\Windows\INetCookies
의미
IE/레거시 Edge 브라우징 이력 방문한 URL, 방문 시간 (index.dat)
웹 캐시(이미지, 스크립트,HTML) 임시 저장된 웹 리소스
쿠키(세션 유지, 로그인 정보) 도메인별 쿠키 파일
세 경로는 Internet Explorer (IE) 와 EdgeHTML 기반 UWP 앱의 기본 웹 저장 위치입니다.
즉, Windows 내부 웹 엔진(MSHTML, WebBrowser Control) 을 쓰는 앱이 있으면 반드시 접근하는 부분입니다, 일단 제가 의심하는 부분이 해당 부분이 아닐까? 생각이 됩니다.
브라우저 데이터 저장소 접근, 쿠키 파일 복사 또는 쿠키 사용과 관련된 비정상적인 네트워크 활동 등 쿠키 수집을 하기 때문에 보안 업체에서 탐지하는 것이 아닐까 생각이 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 윈도우 10,윈도우 11 KB5066791,KB5066835,KB5066793 보안 업데이트 (0) | 2025.10.16 |
|---|---|
| 김수키(Kimsuky)에서 만든 Windows 작업 스케줄러(Task Scheduler) 악용한 악성코드-d.php (0) | 2025.10.16 |
| Microsoft 제로데이 공격 이후 Microsoft Edge에서 IE 모드 접근 제한 (0) | 2025.10.15 |
| 북한 김수키(Kimsuky)에서 만든 악성코드-미신고 자금출처 해명 자료 제출 안내(부가치세법 시행 규칙) (0) | 2025.10.14 |
| 김수키(Kimsuky) 에서 만든 악성코드-osinfo.dll(2025.10.4) (0) | 2025.10.08 |
| 김수키(Kimsuky) 서울대 국제문제연구소 사칭 악성코드-글로벌 복합 위기 한국의 안보전략.lnk(2025.9.28) (0) | 2025.10.03 |
| Notepad++ DLL 하이재킹 취약점으로 인해 공격자가 악성 코드 할수 있는 취약점-CVE-2025-56383 (0) | 2025.10.01 |
| 북한 Lazarus(라자루스) 가상화폐(암호화폐)탈취를 위해 만들어진 악성코드-config(.)py(2025.8.7) (0) | 2025.09.29 |
