.gif)
LNK 형식으로 유포... 내부에는 정상 엑셀 문서와 악성 스크립트 존재해
[보안뉴스 김영명 기자] 지금까지 CHM 형식으로 유포되던 레드아이즈 악성코드가 LNK 형식으로 변경돼 유포되고 있는 것이 확인됐다. 해당 악성코드는 윈도 실행 가능한 파일인 mshta 프로세스를 통해 특정 url에 존재하는 추가 스크립트를 실행해 공격자 서버로부터 명령어를 수신받아 추가 악성 행위를 수행한다. 확인된 LNK 파일은 공격자가 정상 사이트에 악성코드가 포함된 압축 파일을 업로드해 유포되고 있다.
▲악성 CHM 파일이 포함된 압축 파일[자료=안랩 ASEC 분석팀]
안랩ASEC 분석팀에 따르면, 악성 LNK 파일은 ‘REPORT.ZIP’이라는 파일명으로 업로드됐다. 이 파일은 LNK 내부에 정상 엑셀 문서 데이터와 악성 스크립트 코드가 존재한다. 압축을 풀면 나오는 ‘현황조사표.xlsx.lnk’ 파일을 실행하게 되면 파워쉘 명령어를 통해 %Temp% 폴더에 정상 문서인 ‘현황조사표.xlsx’과 악성 스크립트인 ‘PMmVvG56FLC9y.bat’ 파일이 생성 및 실행된다.
‘현황조사표’라는 이름의 파일은 정상 엑셀 문서로 한국인터넷진흥원(KISA) 등 국내 공공기관을 사칭했다. 또한, 이와 함께 생성된 ‘PMmVvG56FLC9y.bat’ 파일은 실행 시 특정 폴더에 ‘UserProfileSafeBackup.bat’ 파일명으로 복제된다. 그 이후 BAT 파일이 지속해서 실행될 수 있도록 레지스트리에 등록한다. 또한, 레지스트리 등록 후에는 BAT 파일에 16진수로 존재하는 파워쉘 명령어를 실행한다.
▲악성 LNK 파일이 포함된 압축파일[자료=안랩 ASEC 분석팀]
파워쉘 명령어가 실행되면 런키 등록 및 MSHTA를 활용해 추가 스크립트를 실행한다. 또한, 공격자로부터 명령을 받아 레지스트리 등록을 수행할 수 있다. 다음은 위 BAT 파일의 코드에서 16진수로 표기된 파워쉘 명령어 일부다.
MSHTA를 통해 실행되는 추가 스크립트 코드에는 base64로 난독화된 파워쉘 명령어가 존재한다. 주요 명령어와 기능으로는 △fileinfo : 특정 경로의 파일 목록 및 정보(이름, 크기, 수정한 시각)를 CSV 형태로 저장한 후 C&C 서버에 이를 전송 및 삭제 기능 수행 △dir : 특정 경로의 폴더를 압축해 이를 C&C 서버에 전송하고 압축 파일 삭제 기능 수행 △file : 특정 파일 C&C 서버에 전송(업로드) △down : 특정 경로에 파일 다운로드 △regedit : 레지스트리 편집 기능 △task : 10분 간격으로 반복 실행하는 작업 스케줄 등록 기능 △zip : 특정 경로 압축 파일 해제 기능 △rename : 특정 파일 이름 변경 기능 △del : 특정 경로 파일 삭제 기능 등이다.
디코딩된 파워쉘 명령어는 특정 링크에서 공격자로부터 명령을 수신받아 처리한다. 디코딩된 파워쉘 명령어의 일부를 보면, △pcinfo : PC 정보 수집 △drive : 드라이브 정보 수집 △clipboard : clipboard 내용 수집 △svc : 서비스 정보 수집 △process : 실행 중인 프로세스 정보 수집 △fileinfo : 전달받은 경로의 하위 파일 이름, 크기, 마지막으로 쓴 시간, 전체경로 수집 △start : 전달받은 명령을 cmd를 통해 실행 △plugin : 파워쉘을 통해 추가 파일 다운로드 및 실행 △down : 전달받은 경로에 추가 파일 다운로드 △up : 전달받은 경로의 파일 업로드 △regedit : 레지스트리 등록 △compress : 파일 압축 등이 있다.
이와 같이 나열된 명령과 기존에 확인된 명령이 달라진 것으로 보아 공격자는 지속해서 스크립트 코드를 수정하는 것으로 추정된다. 따라서 현재까지 확인된 기능 외에도 다양한 악성 행위가 수행될 수 있다.
▲‘현황조사표’ 엑셀파일의 본문 내용 및 속성[자료=안랩 ASEC 분석팀]
LNK 파일 외에도 REPORT.ZIP, KB_20230531.rar, attachment.rar, hanacard_20230610.rar 등 압축 파일에는 기존에 확인된 악성 CHM 파일이 압축돼 있다. CHM 파일 역시 앞서 설명한 LNK 파일과 마찬가지로 mstha를 활용해 특정 url에 존재하는 추가 스크립트를 실행하는 악성코드다.
안랩 ASEC 분석팀은 “최근 CHM 및 LNK를 활용한 악성코드가 다수 유포되고 있어 사용자의 주의가 필요하다. 악성 LNK의 경우 파일의 크기가 10MB 이상인 경우가 다수 확인되고 있어 작성자를 알 수 없는 대용량의 LNK 파일은 실행을 자제해야 한다”고 당부했다.
[김영명 기자(boan@boannews.com)]
[보안뉴스 김영명 기자] 지금까지 CHM 형식으로 유포되던 레드아이즈 악성코드가 LNK 형식으로 변경돼 유포되고 있는 것이 확인됐다. 해당 악성코드는 윈도 실행 가능한 파일인 mshta 프로세스를 통해 특정 url에 존재하는 추가 스크립트를 실행해 공격자 서버로부터 명령어를 수신받아 추가 악성 행위를 수행한다. 확인된 LNK 파일은 공격자가 정상 사이트에 악성코드가 포함된 압축 파일을 업로드해 유포되고 있다.
▲악성 CHM 파일이 포함된 압축 파일[자료=안랩 ASEC 분석팀]
안랩ASEC 분석팀에 따르면, 악성 LNK 파일은 ‘REPORT.ZIP’이라는 파일명으로 업로드됐다. 이 파일은 LNK 내부에 정상 엑셀 문서 데이터와 악성 스크립트 코드가 존재한다. 압축을 풀면 나오는 ‘현황조사표.xlsx.lnk’ 파일을 실행하게 되면 파워쉘 명령어를 통해 %Temp% 폴더에 정상 문서인 ‘현황조사표.xlsx’과 악성 스크립트인 ‘PMmVvG56FLC9y.bat’ 파일이 생성 및 실행된다.
‘현황조사표’라는 이름의 파일은 정상 엑셀 문서로 한국인터넷진흥원(KISA) 등 국내 공공기관을 사칭했다. 또한, 이와 함께 생성된 ‘PMmVvG56FLC9y.bat’ 파일은 실행 시 특정 폴더에 ‘UserProfileSafeBackup.bat’ 파일명으로 복제된다. 그 이후 BAT 파일이 지속해서 실행될 수 있도록 레지스트리에 등록한다. 또한, 레지스트리 등록 후에는 BAT 파일에 16진수로 존재하는 파워쉘 명령어를 실행한다.
▲악성 LNK 파일이 포함된 압축파일[자료=안랩 ASEC 분석팀]
파워쉘 명령어가 실행되면 런키 등록 및 MSHTA를 활용해 추가 스크립트를 실행한다. 또한, 공격자로부터 명령을 받아 레지스트리 등록을 수행할 수 있다. 다음은 위 BAT 파일의 코드에서 16진수로 표기된 파워쉘 명령어 일부다.
MSHTA를 통해 실행되는 추가 스크립트 코드에는 base64로 난독화된 파워쉘 명령어가 존재한다. 주요 명령어와 기능으로는 △fileinfo : 특정 경로의 파일 목록 및 정보(이름, 크기, 수정한 시각)를 CSV 형태로 저장한 후 C&C 서버에 이를 전송 및 삭제 기능 수행 △dir : 특정 경로의 폴더를 압축해 이를 C&C 서버에 전송하고 압축 파일 삭제 기능 수행 △file : 특정 파일 C&C 서버에 전송(업로드) △down : 특정 경로에 파일 다운로드 △regedit : 레지스트리 편집 기능 △task : 10분 간격으로 반복 실행하는 작업 스케줄 등록 기능 △zip : 특정 경로 압축 파일 해제 기능 △rename : 특정 파일 이름 변경 기능 △del : 특정 경로 파일 삭제 기능 등이다.
디코딩된 파워쉘 명령어는 특정 링크에서 공격자로부터 명령을 수신받아 처리한다. 디코딩된 파워쉘 명령어의 일부를 보면, △pcinfo : PC 정보 수집 △drive : 드라이브 정보 수집 △clipboard : clipboard 내용 수집 △svc : 서비스 정보 수집 △process : 실행 중인 프로세스 정보 수집 △fileinfo : 전달받은 경로의 하위 파일 이름, 크기, 마지막으로 쓴 시간, 전체경로 수집 △start : 전달받은 명령을 cmd를 통해 실행 △plugin : 파워쉘을 통해 추가 파일 다운로드 및 실행 △down : 전달받은 경로에 추가 파일 다운로드 △up : 전달받은 경로의 파일 업로드 △regedit : 레지스트리 등록 △compress : 파일 압축 등이 있다.
이와 같이 나열된 명령과 기존에 확인된 명령이 달라진 것으로 보아 공격자는 지속해서 스크립트 코드를 수정하는 것으로 추정된다. 따라서 현재까지 확인된 기능 외에도 다양한 악성 행위가 수행될 수 있다.
▲‘현황조사표’ 엑셀파일의 본문 내용 및 속성[자료=안랩 ASEC 분석팀]
LNK 파일 외에도 REPORT.ZIP, KB_20230531.rar, attachment.rar, hanacard_20230610.rar 등 압축 파일에는 기존에 확인된 악성 CHM 파일이 압축돼 있다. CHM 파일 역시 앞서 설명한 LNK 파일과 마찬가지로 mstha를 활용해 특정 url에 존재하는 추가 스크립트를 실행하는 악성코드다.
안랩 ASEC 분석팀은 “최근 CHM 및 LNK를 활용한 악성코드가 다수 유포되고 있어 사용자의 주의가 필요하다. 악성 LNK의 경우 파일의 크기가 10MB 이상인 경우가 다수 확인되고 있어 작성자를 알 수 없는 대용량의 LNK 파일은 실행을 자제해야 한다”고 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
