오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 만든 악성코드인 첨부_거래명세서_1473_260101_260221.lnk 에 대해서 알아보겠습니다.
파일명:첨부_거래명세서_1473_260101_260221.lnk
사이즈:1 MB
MD5:b6473298f559113bdeb4b1676b6f90c0
SHA-1:085c3681b187a1fa5684d78a78b061a0214884b5
SHA-256:1fd4cdad8d32dc17513b4e4a79f42c9d616e5268d63ed497a43aea0669e50c00
악성코드 분석
1.주요 항목 설명
namestring
Document
파일을 문서처럼 보이게 하기 위한 설정
Authors
User
2.relativepath
정상 파일 처럼 보이려고 메모장을 가리키고 있습니다.
공격자는 자주 정상 프로그램을 대상처럼 위장
메모장은 Windows 기본 프로그램이라 의심을 풀기 위한 전략
iconlocation
아이콘을 엑셀 파일처럼 보이게 설정
즉 사용자에게는 거래명세서.xls 처럼 보이지만 실제로는 윈도우 확장자를 보이게 설정을 하면 엑셀 파일이 아닌 링크 파일인 것을 확인할 수가 있을 것입니다.
3. 실행 명령어 분석
cmd 실행 로 실행 명령을 실행하고 종료 하면 forfiles 명령을 사용해서
%USERPROFILE%:사용자 폴더
/s:하위 폴더까지 검색
/m:특정 파일 찾기
사용자 폴더 전체에서 특정 LNK 파일을 찾는 명령어
4.파일 존재 확인
찾은 파일이 존재하면 다음 명령 실행.
mshta 실행
mshta.exe 는 HTML, CSS, JavaScript 같은 웹 기술로 만들어진 HTA(HTML Application) 파일을 일반 프로그램처럼 실행해 주는 도구
프로그램은 공격자가 자주 악용
HTA 스크립트
VBScript
JScript
원격 URL
4.파일 이름
첨부된 거래 명세서 즉 금융 문서처럼 보이게 만든 이름
악성코드 실행 시 생성되는 파일 내용 및 분석
index.dat 에서는 문서처럼 보이는 바로 가기 파일 목록을 관리하는 설정 데이터을 확인을 할 수가 있었습니다.
license.ps1 내용 및 분석
1.New-Object Net.WebClient
웹 요청을 보내기 위한 .NET 객체를 생성
외부 서버에서 뭔가를 받아오겠다는 뜻
2.DownloadString(...)
지정한 URL의 내용을 문자열로 다운로드
여기서 접속하는 주소
hxxp://layer5043(.)space/muney/edit(.)php?name=<컴퓨터이름>&ov=<OS버전>
name=:현재 PC 이름
ov=운영체제 버전
감염 대상 식별 정보까지 서버에 보내는 역할을 합니다.
3.Invoke-Expression(...)
다운로드한 문자열을 PowerShell 코드로 바로 실행
그래서 뭐다~
서버에서 스크립트를 받음
받은 내용을 파일로 저장하지 않고
메모리에서 바로 실행함
이렇게 되면 얻게 되는 내용
외부 서버와 통신함
시스템 정보(컴퓨터 이름, OS 버전)를 전송함
내려받은 내용을 즉시 실행함
디스크에 파일을 남기지 않고 메모리 상에서 동작할 수 있음
한방에 모든 것을 전환
license.js 내용 정리
JScript(.js) 파일이 같은 이름의 PowerShell(.ps1) 파일을 찾아서 실행 정책을 우회한 뒤 숨김으로 실행 목적
외부 프로그램을 실행하려는 준비입니다.
현재 실행 중인 .js 파일의 전체 경로를 가져오기
라면 p에는 해당 경로가 들어가는 것임
현재 파일명에서 확장자를. js 에서 .ps1 로 바꾸기
같은 위치, 같은 이름의 PowerShell 스크립트 를 찾게 함
PowerShell을 실행해서 해당 .ps1 파일을 실행
중요 포인트:
-ep bypass
Execution Policy 우회
보안 정책 경고를 피하려는 목적
-f
지정한 PowerShell 스크립트 파일 실행
마지막 인자 0
창을 숨김 상태로 실행
즉 사용자 눈에는 거의 안 보이게 PowerShell이 실행
첨부_거래명세서_1473_260101_260221 파일을 실행을 해보면 주식회사 ** 보면 경기도 안산시 단원구 에 있는 중소기업인 것을 확인할 수가 있습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 유출된 아이폰 스파이웨어 코루나 암호화폐 와 민감한 사용자 데이터까지 탈취 (0) | 2026.03.10 |
|---|---|
| 북한 김수키(Kimsuky)에서 만든 스마트폰 악성코드-app-release.apk (0) | 2026.03.09 |
| 이란 반정부 시위 을 악용하는 악성코드-VID_20260114_000556_609.mp4.lnk (0) | 2026.03.06 |
| 퀄컴 제로데이 취약점을 악용한 공격에 대한 안드로이드 패치 배포 (0) | 2026.03.05 |
| 북한 APT 37 에서 만든 악성코드-EMD 영수증.lnk (0) | 2026.03.04 |
| 이란 반정부 시위 을 악용하는 악성코드-IMG_20260140_000315_689.exe.lnk (0) | 2026.03.01 |
| 김수키(Kimsuky) 한국동서발전 노린것으로 추정 되는 악성코드-Screenshot 2026-02-24 085012.scr (0) | 2026.02.27 |
| 김수키(Kimsuky) 대국민서비스관리운영체계_현장점검_증적(초안) 위장한 악성코드 (0) | 2026.02.25 |
