Kimsuky(김수키)에서 만든 악성코드-260506_한국 핵추진잠수함 협력 전략과 로드맵.pdf.lnk

오늘은 북한 Kimsuky(김수키)에서 만든 악성코드-260506_한국 핵추진잠수함 협력 전략과 로드맵.pdf.lnk 에 대해서 글을 적어 보겠습니다. 일단 해당 악성코드는 Base64로 인코딩되어 있고 깃허브(GitHub)에서 더미 파일을 다운로드 하는 방식을 사용하고 있으며 더미 파일은 확보 못 했으니까? 그냥 악성코드 자체로만 분석하겠습니다.
파일명: 260506_한국 핵추진잠수함 협력 전략과 로드맵.pdf.lnk
사이즈:1 MB
MD5:8406075af0a1e9ec09bafdc0de01f138
SHA-1:2b381a3f3e303da8832c8b60120aa6f7486264bf
SHA-256:4453b9e985f452365995c399f5292c92764570f03e6a066d7845320dd4ad09a1
일단 제목을 보면 최근 몇 달 전에 있었던 한국의 핵추진잠수함 관련해서 제목으로 만든 악성코드이며 제목으로 추측하면 한국 방산산업을 타겟으로 하는 악성코드가 아닐까?
생각을 하는 악성코드입니다.

악성코드 에 포함된 코드

분석

1.외부 PowerShell 명령 구조
부분은 단순히 Base64를 푸는 코드->Base64 테이블을 직접 만들어 복호화
보안 프로그램 들은 은 흔히 다음 패턴을 탐지
FromBase64String
EncodedCommand
IEX
DownloadString
그런데 해당 악성코드는 FromBase64String 대신 자체 디코더를 사용
2.생성되는 파일
복호화된 PowerShell은 다음 경로에 저장
%TEMP%\joijuiojgy.ps1
그리고 숨김 창으로 실행
옵션
-windowstyle hidden:PowerShell:창을 숨김
-ExecutionPolicy Bypass:실행 정책 우회
%TEMP%\joijuiojgy.ps1: 복호화된 2단계 스크립트
3.복호화된 2단계 PowerShell
복호화된 스크립트의 핵심 내용
실제 다운로드 UR
hxxps://raw.githubusercontent(.)com/airkanpang/generaturo/main/oirjfgvslk(.)pdf

Base64 디코딩

미끼 문서명
%TEMP%\260506_한국 핵추진잠수함 협력 전략과 로드맵.pdf
한국 핵추진잠수함 협력 전략과 로드맵 즉 국방, 외교, 안보, 정책, 연구기관, 언론, 방산 관계자 등을 겨냥한 것으로 추정
4.URL 난독화 방식
원본에서는 URL이 이렇게 쪼개져 있습니다.
"h"+"t"+"t"+"ps"+ 식으로 쪼개져 있는 이것들을 결합하면 
다음 주소를 확보할 수가 있음
hxxps://raw(.)githubusercontent(.)com/airkanpang/generaturo/main/
쪼개는 이유는 탐지 회피

악성코드 가 생성한 파워셀 코드

5. 지속성 확보 스크립트 생성
%APPDATA%에 다음 파일을 생성
%APPDATA%\pojiyyghjvb.ps1
파일 안에는 다시 다른 PowerShell 코드가 들어감
복원하면 대략 다음 구조
wecgfvhmbj.ps1
지속성 스크립트는 실행될 때마다 다음 URL에서 파일을 다운로드
hxxps://raw.githubusercontent(.0com/airkanpang/generaturo/main/sdnokirgkd(.)txt
저장 위치
%APPDATA%\swecgfvhmbj.ps1
실행 후에는 삭제
sdnokirgkd.txt라는 확장자는. txt지만 실제로는 PowerShell 스크립트일 가능성이 큼
공격자는 GitHub 저장소의 sdnokirgkd.txt 내용만 바꾸면 감염된 시스템에서 다음 예약 실행 때 새로운 코드를 실행시킬 수 있음
간단한 C2 역할
GitHub txt 파일=공격자 명령 저장소
감염 PC=주기적으로 txt를 다운로드 하고 실행
6.예약 작업 등록
예약 작업 세부 정보
작업 이름:EUIYHGDEJBJTFRBCJHDJYUHUEFJEUHIEF
실행 파일:powershell.exe
실행 옵션:Hidden, NoProfile, NonInteractive, ExecutionPolicy Bypass
실행 스크립트:%APPDATA%\pojiyyghjvb.ps1
최초 실행:현재 시각 기준 5분 후
반복 주기:30분
숨김 설정:Enabled
매우 중요한 부분
감염 직후 바로 예약 작업이 돌아가지 않고 5분 뒤 첫 실행 그리고 나서 30분마다 반복

작업 스케줄러에 등록

7.즉시 실행용 추가 페이로드
예약 작업 등록 후에는 또 다른 페이로드를 즉시 다운로드
다운로드 URL
hxxps://raw.githubusercontent(.)com/airkanpang/generaturo/main/sgikrdguhdk(.)txt
저장 위치
%APPDATA%\ms_update.ps1
실행 후 삭제
Remove-Item -Path $aaa -Force
공격자는 페이로드를 두 갈래로 나눔
페이로드
sgikrdguhdk.txt:감염 직후 즉시 실행
sdnokirgkd.txt:예약 작업을 통해 30분마다 반복 실행
초기 정찰, 정보 수집, 추가 로더 설치 등에 사용 가능
IOC 정리
도메인:raw.githubusercontent(.)com
경로:/airkanpang/generaturo/main/
미끼PDF:oirjfgvslk.pdf
반복 실행 페이로드:sdnokirgkd.txt
즉시 실행 페이로드:sgikrdguhdk.txt
hxxps://raw.githubusercontent(.)com/airkanpang/generaturo/main/oirjfgvslk(.)pdf
hxxps://raw.githubusercontent(.)com/airkanpang/generaturo/main/sdnokirgkd(.)txt
hxxps://raw.githubusercontent(.)com/airkanpang/generaturo/main/sgikrdguhdk(.)txt
파일 IOC
%TEMP%\joijuiojgy.ps1:Base64 복호화 후 생성되는 2단계 스크립트
%TEMP%\260506_한국 핵추진잠수함 협력 전략과 로드맵.pdf 미끼 PDF
%APPDATA%\pojiyyghjvb.ps1: 지속성 확보 스크립트
%APPDATA%\swecgfvhmbj.ps1: 반복 실행 시 내려지는 임시 페이로드
%APPDATA%\ms_update.ps1: 즉시 실행용 임시 페이로드
예약 작업 IOC
EUIYHGDEJBJTFRBCJHDJYUHUEFJEUHIEF
문자열 IOC
raw(.)githubusercontent(.)com
airkanpang
generaturo
oirjfgvslk(.)pdf
sdnokirgkd(.)txt
sgikrdguhdk(.)txt
pojiyyghjvb(.)ps1
swecgfvhmbj(.)ps1
ms_update(.)ps1
joijuiojgy(.)ps1
260506_한국 핵추진잠수함 협력 전략과 로드맵(.)pdf
EUIYHGDEJBJTFRBCJHDJYUHUEFJEUHIEF
ExecutionPolicy Bypass
WindowStyle Hidden
Register-ScheduledTask
New-ScheduledTaskAction
New-ScheduledTaskTrigger
application/vnd(.)github(.)v3(.)raw
해당 악성코드를 실행했으며 먼저 백신 프로그램으로 악성코드를 지우고 나서 작업 스케줄러에 있는 부분은 수동을 지워야 함
아무튼, 국방 관련해서 일하시는 분들이 주 대상이므로 조심하세요.