* 출처는 안랩입니다.

이번 사례에서 LNK 파일 내부에는 난독화된 파워셸(PowerShell) 스크립트가 포함돼 있다. 사용자가 파일을 실행하면 해당 스크립트가 동작하고, 외부에 있는 추가 악성 파워셸 스크립트를 불러와 파일리스(Fileless) 방식으로 실행한다. 파일리스 방식은 악성 파일을 PC에 직접 저장하지 않고 메모리에서 실행하는 방식으로, 사용자가 감염 사실을 알아차리기 어렵게 만든다.

[그림 1] LNK 파일 내에 존재하는 파워셸 스크립트

추가 스크립트 생성과 지속성 확보

공격자가 외부 스크립트 내용을 여러 차례 변형한 정황도 확인됐다. 현재까지 확인된 6종의 코드는 서로 상이하지만, 난독화된 파워셸을 복호화한 뒤 실행하는 방식은 동일하다.

악성 LNK 파일이 실행되면 사용자 PC의 특정 경로에 추가 파워셸 스크립트가 생성된다. 이 중 하나는 외부 페이로드를 내려받는 다운로더이며, 다른 하나는 해당 다운로더를 실행하는 로더 역할을 한다.

[그림 2] 추가로 실행되는 파워셸 스크립트_1

[그림 3] 추가로 실행되는 파워셸 스크립트_2

이후 공격자는 윈도우 작업 스케줄러를 등록해 로더 스크립트가 반복 실행되도록 설정한다. 작업 스케줄러는 정해진 시간이나 조건에 따라 프로그램을 자동 실행하는 정상 기능이지만, 공격자가 악용하면 PC를 재부팅한 뒤에도 악성 행위가 다시 실행될 수 있다.

또한 악성 LNK 파일은 사용자가 의심하지 않도록 내부에 포함된 정상 문서 형태의 디코이 파일을 생성하고 실행한다. 사용자는 문서가 정상적으로 열린 것처럼 보이기 때문에 감염 사실을 알아차리기 어렵다. 이후 원본 LNK 파일은 삭제돼 흔적을 확인할 수 없다.

[그림 4] 정상 디코이 문서

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/36200