CHM 악성코드에서 확인된 안티 샌드박스 및 기업 타겟 공격
Contents
ASEC 분석팀은 최근 국내 유포 중인 CHM 악성코드에서 안티 샌드박스 기법이 적용된 유형과 기업을 타겟으로 하는 유형이 존재하는 것을 확인하였다. 두 유형 모두 지난 3월과 5월, 아래 ASEC 블로그를 통해 소개한 유형이다.
먼저, 안티 샌드박스 기법이 적용된 CHM 유형은 악성 VBE 파일을 드롭하기 전에 사용자 PC 환경을 검사하게 된다. 악성 CHM 파일 내부에 포함된 HTML 코드는 아래와 같으며, HTML 은 정상 프로그램(EXE)과 악성 DLL 파일을 생성 후 실행하는 기능을 수행한다. DLL 하이재킹 기법을 통해 생성된 악성 DLL 이 로드되며, 해당 DLL 에 의해 실제 악성 행위가 수행된다. 해당 HTML 스크립트의 자세한 기능은 위 블로그에 소개되어있다.
로드된 악성 DLL 은 악성 행위를 수행하기 전에 사용자 PC 환경을 검사한다. 먼저, 해당 PC 의 TEMP 폴더 내 존재하는 파일 개수를 확인하여 18개 미만인 경우 프로세스가 종료된다. 실제 사용중인 PC 의 경우 TEMP 폴더에 존재하는 파일의 개수가 많기 때문에, 공격자는 가상 환경에서 실행되었는지 확인하기 위한 것으로 추정된다.
이후 현재 실행 프로세스 명을 검사한다. 해당 DLL 에서는 “ImagingDevices.exe” …
먼저, 안티 샌드박스 기법이 적용된 CHM 유형은 악성 VBE 파일을 드롭하기 전에 사용자 PC 환경을 검사하게 된다. 악성 CHM 파일 내부에 포함된 HTML 코드는 아래와 같으며, HTML 은 정상 프로그램(EXE)과 악성 DLL 파일을 생성 후 실행하는 기능을 수행한다. DLL 하이재킹 기법을 통해 생성된 악성 DLL 이 로드되며, 해당 DLL 에 의해 실제 악성 행위가 수행된다. 해당 HTML 스크립트의 자세한 기능은 위 블로그에 소개되어있다.
로드된 악성 DLL 은 악성 행위를 수행하기 전에 사용자 PC 환경을 검사한다. 먼저, 해당 PC 의 TEMP 폴더 내 존재하는 파일 개수를 확인하여 18개 미만인 경우 프로세스가 종료된다. 실제 사용중인 PC 의 경우 TEMP 폴더에 존재하는 파일의 개수가 많기 때문에, 공격자는 가상 환경에서 실행되었는지 확인하기 위한 것으로 추정된다.
이후 현재 실행 프로세스 명을 검사한다. 해당 DLL 에서는 “ImagingDevices.exe” …
IoC
210db61d1b11c1d233fd8a0645946074
619649ce3fc1682c702d9159e778f8fd
95d914d34e9cb5bd2e5db411ed5345b9
bb71af5c5a113a050ff5928535d3465e
e33114a7894a1a284084861eee5f9975
619649ce3fc1682c702d9159e778f8fd
95d914d34e9cb5bd2e5db411ed5345b9
bb71af5c5a113a050ff5928535d3465e
e33114a7894a1a284084861eee5f9975