오늘도 북한 김수키(Kimsuky) 에서 만든 악성코드인 Template.pdf.lnk 에 대해서 간단하게 글을 적어보겠습니다.
파일명: Template.pdf.lnk
사이즈:1 MB
MD5:63d6052e7777d18dbc5216873badf9f6
SHA-1:1011bb4de8bcf246872d45e3ba66b9ee555a7dfd
SHA-256:3abed03cc4978216740f750c94d35550e60eb858e54ea5106cc340dd6c8779ce
악성코드 분석
1. 문자열이 의미
일반 PDF의 메타데이터가 아니라 Windows Shell Link(.lnk) 파일에서 추출된 문자열 영역(StringData)
LNK는 단순한 바로 가기 가 아니면 내부에는 보통 이런 정보가 들어갑니다.
현재 포함된 내용
대상 경로(Target Path)
상대 경로(Relative Path)
작업 디렉터리(Working Directory)
명령행 인자(Command-line Arguments)
아이콘 위치(Icon Location)
표시 이름/설명
링크 정보(LinkInfo)
추가 데이터(ExtraData)
샘플은 실제 문서가 아니라 문서처럼 보이게 꾸민 실행 트리거
Type: PDF File
.pdf 아이콘
Template.pdf.lnk 처럼 보이는 이름
mshta 호출
2.정상 PDF 파일이 아닌 이유
정상 PDF라면 보통 보이는 정보
PDF 헤더 %PDF-1.x
Creator,Producer
Title / Author
XMP metadata
페이지 수, 폰트, 오브젝트 등
여기서는 그런 PDF 구조가 아니라 쉘 링크가 사용하는 실행 관련 필드
예를 들어서 %PDF-1.6 이런식으로 시작을 하는 것이 정상 예를 들어 AD823 데이터 쉬트를 보면 PDF 형식인 것을 알 수가 있음
relativepath
workingdir
commandlinearguments
iconlocation
즉 PDF 파일 아니다는 증거
3:namestring: Type: PDF File
해당 값을 보면 악성코드인 것을 보면 알 수가 있음
즉 사용자들에게 나는 안심하고 열어라~열어라~하는 것을 다루고 있음
확장자 숨김
사용자 시스템에서 알려진 파일 형식의 확장명 숨기기가 켜져 있으면
실제 파일명:Template.pdf.lnk
화면에 보이는 이름:Template.pdf
그래서 진짜 해당 파일의 확장자를 알기 위해서 윈도우 설정에서 반드시 확장자 숨김 처리를 안하는것이 좋음
특히 토렌트 에서 이런 방법으로 악성코드 많이 낚음
실제로는 rar 파일 같지만 exe 것처럼
아이콘 위장
아이콘을 PDF처럼 보이게 하면 사용자는 확장자
relativepath: ..\..\..\Windows\System32\notepad(.)exe
표면적으로 보면 바로가기는 notepad.exe를 가리킨다 는 뜻처럼 보이게 설정을 해놓음
이렇게 처리한것이 더 의심을 사는 법
workingdir
작업 디렉터리가 비어져 있음
정상적인 앱 실행이라면 Working Directory가 지정되는 경우도 많음
작업 디렉터리에 의존하지 않는 실행 체인일 수 있음
혹은 %CD%와 같은 환경 변수로 현재 경로를 사용하려는 설계일 수 있음
일부 파싱 누락?
/c
start
mshta
%CD%\Template(.)pdf.lnk
/c 는 일반적으로 cmd.exe
명령 하나 실행하고 종료하라는 명령어임
start 의 역할
start 는 cmd.exe 내장 명령
보통 다음과 같은 목적에 사용
새 프로세스 시작
별도 창에서 실행
부모 프로세스 흐름과 분리
사용자의 체감상 실행 흔적을 줄임
비동기적으로 후속 페이로드 실행
즉 단순히 문서를 여는 목적이라기 보다는 어떤것을 실행을 하기 위한 목적임
%CD% 의 의미
%CD% 는 현재 디렉터리(Current Directory) 환경변수
파일이 어디에 놓였든 현재 폴더 기준으로 동작
절대경로를 하드코딩하지 않아도 됨
ZIP 해제 후 어느 폴더에서든 유연하게 실행 가능
이메일 첨부/다운로드/압축 해제 폴더에서 쉽게 동작
요약
사용자에게는 PDF 파일처럼 보이게 위장
실제로는 바로가기(.lnk)
실행 과정에서 mshta 를 호출
mshta는 공격자들이 자주 악용하는 LOLBin(정상 윈도우 도구) 를 악용한 케이스 중 하나
더이상 해당 파일만 통해서 알아낼수가 없기 떄문에 이것으로 끝
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 페덱스(FedEx) 운송 송장으로 위장을 하고 있는 피싱 메일 분석 (0) | 2026.03.19 |
|---|---|
| 삼성 노트북 윈도우 11 버그로 일부 노트북에서 C: 드라이브 접근 차단 (0) | 2026.03.18 |
| 애플 코루나(Coruna) 취약점 발견 후 구형 아이폰 및 아이패드용 보안 업데이트 배포 (0) | 2026.03.16 |
| MRT(원도우 악성 소프트웨어 제거 도구) 에 대해 올바르게 알기 (0) | 2026.03.14 |
| 윈도우 10 KB5078885,윈도우 11 KB5079473 & KB5078883 보안 업데이트 (0) | 2026.03.13 |
| 김수키(Kimsuky) 에서 만든 악성코드-첨부_거래명세서_1473_260101_260221.lnk (0) | 2026.03.11 |
| 유출된 아이폰 스파이웨어 코루나 암호화폐 와 민감한 사용자 데이터까지 탈취 (0) | 2026.03.10 |
| 북한 김수키(Kimsuky)에서 만든 스마트폰 악성코드-app-release.apk (0) | 2026.03.09 |
