우리가 몰랐던 컴퓨터에 대한 상식
  • 돌아가기
  • 아래로
  • 위로
  • 목록
  • 댓글

링크 파일 통해 유포 중인 록랫 악성코드를 주의하세요!

오작교 12137

0

최근 안랩은 북한 해킹 그룹 레드아이즈(RedEyes)’가 링크(LNK) 파일을 통해 록랫(RokRAT) 악성코드를 유포 중인 정황을 포착했다록랫 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드하며과거 한글 및 워드 문서를 통해 유포된 이력이 있다이번에 확인된 링크 파일은 파워셸(PowerShell) 명령어를 포함하고 있으며, temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행해 악성 행위를 수행한다는 점이 특징이다링크 파일을 이용한 레드아이즈의 록랫 악성코드 유포 사례를 알아보자.


 

현재까지 안랩이 확인한 링크 파일명은 ▲230407정보지.lnk ▲2023년도 4 29일 세미나.lnk ▲2023년도 개인평가 실시.hwp.lnk ▲북 외교관 선발파견 및 해외공관.lnk ▲북한외교정책결정과정.lnk 등이다.

 

‘230407정보지.lnk’ 파일은 PDF 아이콘으로 위장하고 있으며악성 파워셸 명령어를 포함한다. 

 


[그림 1] ‘230407정보지.lnk’ 파일 속성

링크 파일 내부에는 파워셸 명령어뿐만 아니라 정상 PDF 파일 데이터와 악성 스크립트 코드가 존재한다이 악성 스크립트 코드는 0x89D9A 위치부터 파일 끝까지 0x141702A 크기만큼의 더미 바이트가 존재한다

 


[그림 2] 링크 파일 끝에 존재하는 더미 데이터

 

[그림 3]은 링크 파일 실행 시 cmd.exe를 통해 실행되는 파워셸 명령어이다이 명령어는 링크 파일을 0x890F4바이트만큼 읽고 처음 0x9AA바이트를 제외해 temp 폴더에 ‘230407정보지.pdf’로 저장 및 실행한다이후 또 다시 링크 파일을 0x89D9A바이트만큼 읽고 PDF 데이터가 존재하는 0x890F4바이트를 제외한 나머지를 temp 폴더에 ‘230412.bat’ 파일명으로 저장하고 실행한다.


[그림 3] cmd.exe를 통해 실행되는 파워쉘 명령어


[그림 4] 링크 파일의 0x9AA 위치에 존재하는 PDF 데이터

 


[그림 5] 링크 파일의 0x890F4 위치에 존재하는 스크립트 코드

 


[그림 6] temp 경로에 생성된 파일

 

공격자는 정상 PDF 파일을 실행해 사용자를 속인 다음스크립트 파일을 통해 악성 행위를 수행한다.

 

 

​[그림 7] 230407 정보지.pdf(정상 파일)

 

함께 실행된 스크립트 파일에는 [그림 7]과 같이 HEX값으로 존재하는 악성 명령어를 실행하는 파워셸 명령어가 존재한다.

 


​[그림 8] 230412.bat

 

최종적으로 실행되는 파워셸 명령어는 [그림 8]과  같이 

hxxps://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content 에서 인코딩된 데이터를 다운르도 후 디코딩한다그런 다음파워셸 프로세스에 인젝션함으로써 악성 행위를 수행한다.

 


[그림 9] 최종 실행되는 파워셸 명령어

 


[그림 10] 원드라이브(OneDrive)에 업로드된 악성 파일

 

인젝션된 데이터는 록랫 악성코드이다록랫이 수집한 정보는 피클라우드(pCloud), 얀덱스(Yandex) 등의 클라우드 서비스를 통해 공격자의 클라우드 서버로 전송되며요청 헤더의 UserAgent는 구글봇(Googlebot)으로 위장했다파일 전송에 사용되는 인증 토큰 정보는 다음과 같다.

Ÿ   Authorization: Bearer RSbj7Zk5IYK5ThSbQZH4YBo7ZxiPOCH94RBbFuU9c04XXVJg7xbvX

 

이 외에도 악성 링크 파일을 통해 실행되는 정상 문서 2개가 추가로 확인됐다이들은 파일명에 세미나북한외교정책결정과정 등의 단어를 포함한다.


[그림 11] 2023년도 4월 29일 세미나.Ink를 통해 생성된 2023년도 4월 29일 세미나.pdf

 


[그림 12] '북한외교정책결정과정.Ink'를 통해 생성된 230402.hwp

 

앞서 설명한 것처럼록랫 악성코드는 과거부터 꾸준히 유포되고 있으며한글이나 워드 문서 외에도 다양한 형식의 파일을 사용한다따라서 사용자의 각별한 주의가 필요하다.

자세한 내용은 ASEC 블로그에서 확인할 수 있다.

ASEC 블로그 바로가기

 

 

출처 : AhnLab

공유
0

댓글 쓰기 권한이 없습니다. 로그인

취소 댓글 등록

신고

"님의 댓글"

이 댓글을 신고하시겠습니까?

댓글 삭제

"님의 댓글"

삭제하시겠습니까?

목록

공유

facebooktwitterpinterestbandkakao story
검색어 : 201805
번호 제목 글쓴이 날짜 조회 추천
공지 한글 입력이 되지 않는 경우 해결방법 1 오작교 10.06.16.16:34 100989 0
공지 바뀐 영문이름 표기법 2 오작교 08.12.06.12:45 113195 +83
공지 자주 접하는 컴퓨터 용어 모음(펌) 8 오작교 07.11.08.20:29 106114 +159
206
normal
오작교 24.07.14.22:05 2100 0
205
normal
오작교 24.06.27.08:27 3937 0
204
normal
오작교 24.02.12.15:32 13481 0
203
normal
오작교 23.11.09.08:29 12002 0
202
normal
오작교 23.09.14.08:31 12407 0
201
normal
오작교 23.08.24.08:17 11593 0
200
normal
오작교 23.06.08.08:27 11005 0
normal
오작교 23.04.27.10:43 12137 0
198
normal
오작교 23.04.27.10:42 11230 0
197
normal
오작교 23.04.27.08:34 13474 0
196
file
오작교 22.08.12.08:07 15519 0
195
file
오작교 22.06.30.08:11 13271 0
194
file
오작교 22.01.25.12:26 18367 0
193
normal
오작교 21.11.15.10:31 15261 0
192
normal
랩퍼투혼 21.08.12.17:05 37502 0
191
normal
랩퍼투혼 21.02.07.11:47 16851 0
190
normal
랩퍼투혼 21.02.07.11:28 14230 0
189
normal
랩퍼투혼 21.02.07.11:13 14320 0
188
normal
랩퍼투혼 21.02.07.11:08 14274 0
187
normal
랩퍼투혼 21.02.07.10:27 14628 0