lnk 악성코드

개요

악성코드의 종류가 매우 많아지고 있다. 악성코드는 결국엔 코드의 형태이므로 실행을 해야 공격자의 의도대로 코드가 실행될 수 있다. 그러므로 사용자가 실행을 하도록 유도하는 것이 중요하다고 볼 수 있다.

보통의 악성코드의 경우 .exe의 형태를 갖고 있지만 악성코드가 유행함에 따라 출처가 불분명한 .exe 파일을 다운로드 받을 경우 실행을 꺼려하는 사람이 많아지고 있어 이에 따라 공격자들도 다른 형태의 악성코드를 제작하고 있다. 그것이 lnk 악성코드이다.

 

절대 해당 내용을 악용하면 안됩니다. 악용 시 책임을 지지 않습니다.

 

lnk 파일

lnk 악성코드는 윈도우의 바로가기 기능을 사용한 악성코드이다. 윈도우의 바로가기(Shortcut) 기능은 실제 파일이나 폴더, 혹은 특정 프로그램을 가리키는 '이정표' 역할을 하는 특수한 파일이다. 윈도우에서는 해당 바로가기의 확장자를 .lnk로 관리하지만 실제로 해당 .lnk는 보여주지 않고 있다.

위 사진은 실제 크롬의 바로가기 파일로 크롬의 실제 실행 파일의 위치를 가리키고 있어 해당 .lnk를 클릭할 경우 크롬의 실행파일을 실행시킨다.

lnk 악성코드

공격자들은 해당 lnk 파일에 악성코드를 삽입하여 유포를 시도한다.

먼저 아래와 같이 일반적인 pdf파일을 가리키는 바로가기 파일을 생성 후 속성에 들어간다.

 

대상이라는 입력란이 있다. 해당 입력란은 바로가기가 가리키는 실제 경로이다. 실행 파일(.exe)뿐만 아니라 명령어 인자(Arguments)를 추가할 수 있다는 점이 핵심이다. 즉 여기에 일종의 코드를 삽입 후 실행이 가능하기 때문에 해당 입력란에 악성코드를 삽입할 수 있다. 여기에 공격자의 C2 서버에 접속하여 exe 파일을 다운로드 받은 후 실행하는 코드를 삽입한다. 후에 아이콘 변경 버튼을 클릭한다.

 

아이콘 변경에서 pdf 파일 아이콘을 선택한다. 해당 아이콘을 선택하지 않으면 바로가기 파일 아이콘이 powershell 아이콘으로 변하여 사용자가 의심을 할 수 있다. 사용자의 의심을 최소화여 실행을 유도해야 하므로 아이콘을 변경한다.

 

코드 삽입 및 아이콘을 변경을 완료하면 pdf 파일처럼 보여지는 lnk 악성코드가 생성된다. 해당 파일을 실행해본다.

 

lnk 파일 실행 시 공격자의 서버에서 다운로드한 exe 파일이 실행되는 것을 볼 수 있다.

 

 

해당 악성코드 실행의 경우 현재는 윈도우 디펜더가 탐지를 하고 있어, 디펜더를 종료 후 실습을 진행하였다. 하지만 공격자들은 디펜더를 우회하기 위해 문자열 쪼개기, 암호화 등의 방법을 사용하고 있다. 언젠간 우회 방법이 나올 수 있다.

역시나 악성코드 실행을 막기 위한 것은 검증된 사이트에서만 파일을 다운로드 및 실행을 하고 출처가 불분명한 파일의 경우 실행을 자제하는 것이 중요하다.