악성코드 유포 ‘지름길’ 된 윈도우 LNK 파일…공격 50% 급증

복잡한 경로 없이 바로 실행…공격 악용 사례 급증
4가지 주요 공격 방식…폴더 접근만으로 감염되는 사례도

[보안뉴스 여이레 기자] 윈도우 바로가기(LNK) 파일을 악용한 악성코드 유포가 급증하고 있다. 사이버 공격자들은 복잡한 폴더 구조를 거치지 않고 파일이나 어플리케이션을 바로 실행하는 LNK 파일의 용도를 악용해 악성코드 유포 도구로 적극 활용하고 있다.

[자료: gettyimagesbank]

3일(현지시간) 외신 매체 등에 따르면 지난해 윈도우 LNK 파일을 악성코드 유포에 활용한 사례가 전년 대비 50% 이상 급증했다. 2023년 2만1098건이었던 악성 LNK 파일 탐지 건수는 2024년 6만8392건으로 폭증했다. 이 같은 증가세는 LNK 파일의 구조적 유연성과 사회공학적 속임수 기법이 결합된 결과로 분석된다.

최근 3만여 개의 최식 악성 LNK 샘플을 분석한 결과 공격 기법은 크게 네 가지로 분류됐다. 첫 번째는 ‘익스플로잇 실행’(Exploit Execution)으로, CVE-2010-2568과 같은 미패치 윈도우 취약점을 악용한다. 폴더 접근만으로도 자동 감염이 유발된다.

‘디스크 내 파일 실행’(File-on-disk Execution)공격은 이미 PC에 존재하는 악성 스크립트나 바이너리를 LNK 파일이 직접 호출해 powershell.exe, cmd.exe 등 시스템 도구로 실행한다.

‘인 아규먼트 스크립트 실행’(In-argument Script Excution)은 악성 스크립트를 명령줄 인수에 삽입해 파워셸 등 인터프리터에 난독화된 코드를 실행한다. 베이스64 인코딩, 환경 변수 조작 등 탐지 우회 기법이 동원된다.

마지막으로 ‘오버레이 실행’(Overlay Execution)은 정상 LNK 파일 끝에 악성 페이로드를 추가하고 findstr, mshta.exe 등 유틸리티로 숨겨진 스크립트나 바이너리를 추출·실행한다. PDF 등 정상파일로 위장하는 경우도 발견됐다.

전문가들은 의심스러운 LNK 파일은 우클릭 후 ‘속성’에서 대상 경로와 명령줄 인자를 반드시 확인하라고 조언했다.

침해 지표(IOC)
SHA256 해시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[여이레 기자(gore@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다