Analysis of *.chm malware
Contents
1. *.chm Malware?
1-1) 개요
*.chm(Compiled HTML) 파일은 컴파일된 HTML Help 파일로, 윈도우 도움말로 잘 알려져 있다. Microsoft에서 만든 독점 형식이며 *.chm 파일에는 도움말 파일을 검색하고 보는 데 사용되는 HTML 페이지, 이미지 및 목차와 기타 탐색 도구가 포함되어 있다.
도움말 파일은 소프트웨어 응용 프로그램에 대한 온라인 도움말, 교육 가이드, 대화형 책 등에 주로 이용된다. *.chm 파일은 아래 프로그램을 통해 실행된다.
- hh.exe (microsoft® html help executable program)
*.chm 파일은 스크립트를 포함할 수 있어 악성코드로 사용되는 경우가 빈번하게 발생하고 있다. 그리고 파일을 실행했을 때 악성 파일을 피해 시스템에 생성하는데, 이 과정에서 사용자에게 정상적인 내용을 담은 창을 보여주기 때문에 악성 파일임을 인지하기 어려운 특징이 있다. 파일의 전파 경로는 주로 메일의 첨부파일로 오는 경우가 많다.
실제로 *.chm 파일을 활용한 공격이 최근 다수 발생하고 있어 KISA에서 2024년 4월 2일, 관련 공격에 대해 주의할 것을 공지하기도 했다.
1-2) *.chm 파일 공격 유형
*.chm 파일은 내부에 악성 파일을 포함하고 있는 경우와 그렇지 않은 경우로 구분할 수 있다.
악성 파일을 포함하고 있는 경우
- 일반적으로
hh.exe프로그램의
-decompile옵션을 이용해 *.chm에 …
1-1) 개요
*.chm(Compiled HTML) 파일은 컴파일된 HTML Help 파일로, 윈도우 도움말로 잘 알려져 있다. Microsoft에서 만든 독점 형식이며 *.chm 파일에는 도움말 파일을 검색하고 보는 데 사용되는 HTML 페이지, 이미지 및 목차와 기타 탐색 도구가 포함되어 있다.
도움말 파일은 소프트웨어 응용 프로그램에 대한 온라인 도움말, 교육 가이드, 대화형 책 등에 주로 이용된다. *.chm 파일은 아래 프로그램을 통해 실행된다.
- hh.exe (microsoft® html help executable program)
*.chm 파일은 스크립트를 포함할 수 있어 악성코드로 사용되는 경우가 빈번하게 발생하고 있다. 그리고 파일을 실행했을 때 악성 파일을 피해 시스템에 생성하는데, 이 과정에서 사용자에게 정상적인 내용을 담은 창을 보여주기 때문에 악성 파일임을 인지하기 어려운 특징이 있다. 파일의 전파 경로는 주로 메일의 첨부파일로 오는 경우가 많다.
실제로 *.chm 파일을 활용한 공격이 최근 다수 발생하고 있어 KISA에서 2024년 4월 2일, 관련 공격에 대해 주의할 것을 공지하기도 했다.
1-2) *.chm 파일 공격 유형
*.chm 파일은 내부에 악성 파일을 포함하고 있는 경우와 그렇지 않은 경우로 구분할 수 있다.
악성 파일을 포함하고 있는 경우
- 일반적으로
hh.exe프로그램의
-decompile옵션을 이용해 *.chm에 …
IoC
07f1c2d7f5877dea5bd8225533b3d19e
0a8ce62791c48d70f5d31b290cfbeb32
24f6323110ac1e57eee2b2dc74886460
2548d0e05c47c506cf9fd668dace5497
859700ae5a1a3302dc17063a6c9ee61b
8ac21a35158ba9ebf80493bdb8cf8eb81386a02b
b72cb01d8650a0a98bc8e62a86127ca0
be0a4914e662724b7e924f35dce751c5
d8eb9c484c9d5e1dd3c60cdd41323433
e585226bcbec086b268528489103a6d5
f070a3bd5efcced27baeae32ad25de36
fd47c8418d9f8ed39f2f746042c982ac53a788cace370ae8906aecc8c228deeb
https://niscarea.com
0a8ce62791c48d70f5d31b290cfbeb32
24f6323110ac1e57eee2b2dc74886460
2548d0e05c47c506cf9fd668dace5497
859700ae5a1a3302dc17063a6c9ee61b
8ac21a35158ba9ebf80493bdb8cf8eb81386a02b
b72cb01d8650a0a98bc8e62a86127ca0
be0a4914e662724b7e924f35dce751c5
d8eb9c484c9d5e1dd3c60cdd41323433
e585226bcbec086b268528489103a6d5
f070a3bd5efcced27baeae32ad25de36
fd47c8418d9f8ed39f2f746042c982ac53a788cace370ae8906aecc8c228deeb
https://niscarea.com