김수키(Kimsuky)에서 만든 악성코드-*.vbs

오늘은 주적 김수키(Kimsuky) 에서 만든 악성코드 중 하나인 *.vbs 에 대해 글을 적어 보겠습니다.
ファイル名:*.vbs
サイズ:1 MB
MD5:10238c4bac6d327b96bd2abd8808161e
SHA-1:c0285cc616c019ad8361cc4d844362c0b2a5d09e
SHA-256:cfb38fa1d12f9cc1e129fc952739a2b1a831ff17cfd752ec57d7fee53a380866
에 대해서 알아보겠습니다. 해당 악성코드는 VBS 다운로더 입니다.
이걸 파이썬 으로 맛있게 요리를 하면 다음과 같은 결과를 볼 수가 있습니다.

악성코드 에 포함된 VBS 난독화 코드

악성코드 분석

1. 객체 생성
WScript.Shell->프로그램 실행,레지스트리,환경 변수 등
FileSystemObject->파일 존재 확인, 생성, 삭제 등
MSXML2.XMLHTTP->HTTP(S) 요청
2.URL
S3 버킷:proradead(.)s3(.)sa-east-1(.)amazonaws.com
IP:152(.)42(.)226(.)161
저장 위치:C:\Users\Public\Music\...->공용 폴더라 권한 사용자 입장에선 음악 파일인 척하고 있음
musicx.exe.config:.NET 앱
3.다운로드 로직
파일 존재하지 않을 때만 다운로드
4. 실제 실행
musicx.exe 실행 (WindowStyle=1->보이는 창,WaitOnReturn=False->비동기)
proton.mp4 실행 (미디어 플레이어 떠서 영상 재생되는 정상 행위처럼 보이게 하는 용도가 아닐까? 생각이 됨)
5.DownloadFile 서브루틴
MSXML2.XMLHTTP->GET
ADODB.Stream->Type = 1
ResponseBody 그대로 디스크에 쓰기

VBS 난독화 해제

SaveToFile path, 2 존재 시 덮어쓰기
여기에 난독화(-5 Caesar)가 덮여서 들어가는 것
해당 VBS는 자체적으로는 별 악성 동작을 하지 않음->네트워크에서 파일 받기+실행만 담당하는 로더/드로퍼
관리하는 리소스:
S3의 new(.)exe,new(.)exe.config,new.txt
152(.)42(.)226(.)161 서버의 1x(.)mp4
악성 EXE는 musicx(.)exe
IoC
C:\Users\Public\Music\musicx.exe
C:\Users\Public\Music\musicx.exe.config
C:\Users\Public\Music\music.txt
C:\Users\Public\proton.mp4
네트워크:
proradead(.)s3(.0sa-east-1(.)amazonaws.com
152(.)42(.)226(.)161
요약
1. 인터넷에서 파일 4개를 다운로드
2. 모두 C:\Users\Public\... 쪽에 다운로드
3. EXE(musicx.exe) 실행
4. 동시에 MP4(proton.mp4) 실행해서 사용자를 속이는 동작
해당 악성코드 완전체가 있어야 확실하게 어떤 활동을 하는지 알 수가 있을 것입니다.