꿈을꾸는 파랑새

오늘은 북한 해킹 단체에서 만든 악성코드 공동경비구역 JSA 방문자 복장 및 규정 및 MACHA(군사정전위원회 본부구역)를 사칭을 한 악성코드인 UNIMAC Policy Letter 6 MACHA Visitors 에 대해서 분석을 해 보겠습니다.
파일명:UNIMAC Policy Letter 6 MACHA Visitors.pdf.lnk
사이즈:1 MB
MD5:8f5d4324561d9e52646800f3c12f3ec7
SHA-1:367dbdd01c6f779a5ad133ed2a621f5fe8ea66e6
SHA-256:173eba07c3b6caccbf64c72af605d3aaab453d1e577bafc2038254997a7b726e
일단 악성코드 동작 과정은 간단합니다. 먼저 사용자가 파일을 실행합니다.

악성코드 내부 모습
악성코드 내부 모습

실행을 해서 사용자에게 보여주고 작업 스케줄러에서 예약 작업 등록 추가 PowerShell 페이로드를 실행을 하는 방식으로 동작하고 나머지 PowerShell 파일들은 못 구했으니 그냥 있는 것만 분석
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 토근
1.PowerShell 코드 를 commandlinearguments 에 숨기기
[Convert]::FromBase64String()을 쓰지 않고 있으며 Base64 디코더로 구현해 놓았습니다. 그래 보았자~다 보임

악성코드 실행시 미끼 파일
악성코드 실행시 미끼 파일

Base64 동작

도메인:raw(.)githubusercontent(.)com
GitHub 경로:carmen(l)ove/novabr(e)s/ma(i)n
다운로드 1:hxxps://raw(.)githubusercontent(.)com/carmenlove/novabres/main/pokjkhbytfyguh(.)pdf
다운로드 2:hxxps://raw(.)githubusercontent(.)com/carmenlove/novabres/main/exdtrdnkj(.)txt
다운로드 3:hxxps://raw(.)githubusercontent(.)com/carmenlove/novabres/main/palace(.)txt
인증 헤더:Authorization: token ghp_

Base64 디코딩 결과
Base64 디코딩 결과

Accept 헤더:application/vnd(.)github(.)v3(.)raw
GitHub Personal Access Token을 사용
2.작업스케줄러 등록
TaskName OIPJIHUBTFYVGHDFGYJUMHJTHCFGYIHJGVTGYU  부분이 보일 것인데 작업은 다음과 같이 들어갑니다.
30분마다 PowerShell 숨김 실행 사용자가 알아채지 못하게 하는 동시에 악성코드 지속유지
%APPDATA%\pcrown.ps1 실행
pcrown.ps1이 Git Hub에서 추가 스크립트 다운로드

악성코드가 만든 작업 스케줄러
악성코드가 만든 작업 스케줄러

다운로드한 스크립트 실행
실행 후 삭제
실제로는 %APPDATA%\pcrown.ps1이 주도를 하고 있으며 해당 파일을 확보 못 해서 그냥 진행을 하며 5분 뒤부터 30분마다 사용자 몰래 숨긴 상태로 반복 실행시키는 목적이 있는 것이 특징입니다.

공유하기

facebook twitter kakaoTalk kakaostory naver band