.gif)
복잡한 경로 없이 바로 실행…공격 악용 사례 급증
4가지 주요 공격 방식…폴더 접근만으로 감염되는 사례도
[보안뉴스 여이레 기자] 윈도우 바로가기(LNK) 파일을 악용한 악성코드 유포가 급증하고 있다. 사이버 공격자들은 복잡한 폴더 구조를 거치지 않고 파일이나 어플리케이션을 바로 실행하는 LNK 파일의 용도를 악용해 악성코드 유포 도구로 적극 활용하고 있다.
[자료: gettyimagesbank]
3일(현지시간) 외신 매체 등에 따르면 지난해 윈도우 LNK 파일을 악성코드 유포에 활용한 사례가 전년 대비 50% 이상 급증했다. 2023년 2만1098건이었던 악성 LNK 파일 탐지 건수는 2024년 6만8392건으로 폭증했다. 이 같은 증가세는 LNK 파일의 구조적 유연성과 사회공학적 속임수 기법이 결합된 결과로 분석된다.
최근 3만여 개의 최식 악성 LNK 샘플을 분석한 결과 공격 기법은 크게 네 가지로 분류됐다. 첫 번째는 ‘익스플로잇 실행’(Exploit Execution)으로, CVE-2010-2568과 같은 미패치 윈도우 취약점을 악용한다. 폴더 접근만으로도 자동 감염이 유발된다.
‘디스크 내 파일 실행’(File-on-disk Execution)공격은 이미 PC에 존재하는 악성 스크립트나 바이너리를 LNK 파일이 직접 호출해 powershell.exe, cmd.exe 등 시스템 도구로 실행한다.
‘인 아규먼트 스크립트 실행’(In-argument Script Excution)은 악성 스크립트를 명령줄 인수에 삽입해 파워셸 등 인터프리터에 난독화된 코드를 실행한다. 베이스64 인코딩, 환경 변수 조작 등 탐지 우회 기법이 동원된다.
마지막으로 ‘오버레이 실행’(Overlay Execution)은 정상 LNK 파일 끝에 악성 페이로드를 추가하고 findstr, mshta.exe 등 유틸리티로 숨겨진 스크립트나 바이너리를 추출·실행한다. PDF 등 정상파일로 위장하는 경우도 발견됐다.
전문가들은 의심스러운 LNK 파일은 우클릭 후 ‘속성’에서 대상 경로와 명령줄 인자를 반드시 확인하라고 조언했다.
침해 지표(IOC)
SHA256 해시
a90c87c90e046e68550f9a21eae3cad25f461e9e9f16a8991e2c7a70a3a59156
08233322eef803317e761c7d380d41fcd1e887d46f99aae5f71a7a590f472205
9d4683a65be134afe71f49dbd798a0a4583fe90cf4b440d81eebcbbfc05ca1cd
a89b344ac85bd27e36388ca3a5437d8cda03c8eb171570f0d437a63b803b0b20
28fa4a74bbef437749573695aeb13ec09139c2c7ee4980cd7128eb3ea17c7fa8
fb792bb72d24cc2284652eb26797afd4ded15d175896ca51657c844433aba8a9
f585db05687ea29d089442cc7cfa7ff84db9587af056d9b78c2f7a030ff7cd3d
b2fd04602223117194181c97ca8692a09f6f5cfdbc07c87560aaab821cd29536
86f504dea07fd952253904c468d83d9014a290e1ff5f2d103059638e07d14b09
d1dc85a875e4fc8ace6d530680fdb3fb2dc6b0f07f892d8714af472c50d3a237
76d2dd21ffaddac1d1903ad1a2b52495e57e73aa16aa2dc6fe9f94c55795a45b
[여이레 기자(gore@boannews.com)]
4가지 주요 공격 방식…폴더 접근만으로 감염되는 사례도
[보안뉴스 여이레 기자] 윈도우 바로가기(LNK) 파일을 악용한 악성코드 유포가 급증하고 있다. 사이버 공격자들은 복잡한 폴더 구조를 거치지 않고 파일이나 어플리케이션을 바로 실행하는 LNK 파일의 용도를 악용해 악성코드 유포 도구로 적극 활용하고 있다.
[자료: gettyimagesbank]
3일(현지시간) 외신 매체 등에 따르면 지난해 윈도우 LNK 파일을 악성코드 유포에 활용한 사례가 전년 대비 50% 이상 급증했다. 2023년 2만1098건이었던 악성 LNK 파일 탐지 건수는 2024년 6만8392건으로 폭증했다. 이 같은 증가세는 LNK 파일의 구조적 유연성과 사회공학적 속임수 기법이 결합된 결과로 분석된다.
최근 3만여 개의 최식 악성 LNK 샘플을 분석한 결과 공격 기법은 크게 네 가지로 분류됐다. 첫 번째는 ‘익스플로잇 실행’(Exploit Execution)으로, CVE-2010-2568과 같은 미패치 윈도우 취약점을 악용한다. 폴더 접근만으로도 자동 감염이 유발된다.
‘디스크 내 파일 실행’(File-on-disk Execution)공격은 이미 PC에 존재하는 악성 스크립트나 바이너리를 LNK 파일이 직접 호출해 powershell.exe, cmd.exe 등 시스템 도구로 실행한다.
‘인 아규먼트 스크립트 실행’(In-argument Script Excution)은 악성 스크립트를 명령줄 인수에 삽입해 파워셸 등 인터프리터에 난독화된 코드를 실행한다. 베이스64 인코딩, 환경 변수 조작 등 탐지 우회 기법이 동원된다.
마지막으로 ‘오버레이 실행’(Overlay Execution)은 정상 LNK 파일 끝에 악성 페이로드를 추가하고 findstr, mshta.exe 등 유틸리티로 숨겨진 스크립트나 바이너리를 추출·실행한다. PDF 등 정상파일로 위장하는 경우도 발견됐다.
전문가들은 의심스러운 LNK 파일은 우클릭 후 ‘속성’에서 대상 경로와 명령줄 인자를 반드시 확인하라고 조언했다.
침해 지표(IOC)
SHA256 해시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[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
