문서 편집 및 메신저 프로그램으로 위장한 백도어 (*.chm)
Contents
ASEC 분석팀은 악성 CHM 파일을 통해 국내 다수 사용자가 이용 중인 문서 편집 및 메신저 프로그램으로 위장한 백도어가 국내 유포 중인 것을 확인하였다. 최근 다양한 형태로 유포 중인 악성 CHM 파일은 지난 3월에도 ASEC 블로그를 통해 두 차례 소개해왔다. 이번에 소개할 악성 CHM 파일은 이전과 다른 과정을 거쳐 추가 악성 파일들을 실행한다.
현재 유포 중인 CHM 파일명 중 일부는 아래와 같으며, 국가 기관 관리자 및 대학 교수 등을 대상으로 유포되는 것으로 보인다.
- 유포 파일명
국가융합망 예버서버 점검.chm
***** 전자출결-웹페이지 교수자-메뉴얼 Ver1.0.chm
붙임1. 전임교원 책임시간 확인 프로그램 사용 방법 Ver 1.0(국문).chm
[그림 1] ~ [그림 3] 은 악성 CHM 파일에 포함된 HTML 파일의 코드이다. 해당 스크립트는 특정id 속성 영역에 악성 명령어가 포함되어 있어 Click() 함수를 통해 악성 명령어를 실행하게 된다. 이후 정상적인 이미지를 생성하여 악성 행위를 알아차리기 어렵도록 한다. 해당 방식은 이전에 소개한 CHM 파일과 비슷하지만, 최종적으로 실행되는 파일이 다른 형태이다.
Click() 함수를 통해 악성 명령어가 실행되면 CHM 파일을 디컴파일 후 ImagingDevices.exe 파일을 실행한다. ImagingDevices.exe 파일은 정상 …
현재 유포 중인 CHM 파일명 중 일부는 아래와 같으며, 국가 기관 관리자 및 대학 교수 등을 대상으로 유포되는 것으로 보인다.
- 유포 파일명
국가융합망 예버서버 점검.chm
***** 전자출결-웹페이지 교수자-메뉴얼 Ver1.0.chm
붙임1. 전임교원 책임시간 확인 프로그램 사용 방법 Ver 1.0(국문).chm
[그림 1] ~ [그림 3] 은 악성 CHM 파일에 포함된 HTML 파일의 코드이다. 해당 스크립트는 특정id 속성 영역에 악성 명령어가 포함되어 있어 Click() 함수를 통해 악성 명령어를 실행하게 된다. 이후 정상적인 이미지를 생성하여 악성 행위를 알아차리기 어렵도록 한다. 해당 방식은 이전에 소개한 CHM 파일과 비슷하지만, 최종적으로 실행되는 파일이 다른 형태이다.
Click() 함수를 통해 악성 명령어가 실행되면 CHM 파일을 디컴파일 후 ImagingDevices.exe 파일을 실행한다. ImagingDevices.exe 파일은 정상 …
IoC
29b0818d2e374d7b86937a952975ab14
87e2fc68014bbedc41449e6835ec516a
92.38.135.212
c3d34480c38e69cf585f1e645445a9d5
efb242e03a435dff4e253a5259a2324e
http://finance.my-homeip.com:443
http://formsgle.freedynamicdns.net:8080
https://92.38.135.212/fuat/HimTraylcon.exe
87e2fc68014bbedc41449e6835ec516a
92.38.135.212
c3d34480c38e69cf585f1e645445a9d5
efb242e03a435dff4e253a5259a2324e
http://finance.my-homeip.com:443
http://formsgle.freedynamicdns.net:8080
https://92.38.135.212/fuat/HimTraylcon.exe