CHM 악성코드 유포 변화 탐지
Contents
AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 실행방식이 매주 변화하고 있다. 안랩 EDR 제품에서 CHM 악성코드의 변화된 실행이 어떻게 기록되는지 소개한다.
[그림 1]은 금융 기업 및 보험사를 사칭한 CHM 악성코드의 실행 방식을 EDR 제품의 탐지 다이어그램이다. 최초 유포의 다이어그램은 [그림 1]의 가장 윗 부분으로 이전 소개한 내용에 포함된다. 윈도우 도움말 파일인 CHM 실행 시 hh 프로세스에 의해 실행된다. 내부 HTML 파일의 스크립트로 디컴파일하여 파일을 생성한다. 생성된 .jse 파일로 wscript 를 실행하는 방식이다.
이와 같은 방식은 [그림 1] 의 가운데 다이어그램인 첫번째 변형과 동일하다. 최초 유포형태와 첫번째 변형 형태의 차이점은 .jse 파일 내에 존재한다.
[그림 2]는 최초 유표형태 .jse 스크립트 내용이고 [그림 3]은 첫번째 변형의 스크립트이다. 최초 유포형태는 CMD로 파워쉘 명령어를 실행하여 다운로드 및 실행하는 방식으로 기존 블로그를 통해 소개했다. [그림 3]의 첫번째 변형 스크립트는 지속적 감염을 위한 .jse 파일의 자동실행 레지스트리 등록은 동일 하지만 자사 …
[그림 1]은 금융 기업 및 보험사를 사칭한 CHM 악성코드의 실행 방식을 EDR 제품의 탐지 다이어그램이다. 최초 유포의 다이어그램은 [그림 1]의 가장 윗 부분으로 이전 소개한 내용에 포함된다. 윈도우 도움말 파일인 CHM 실행 시 hh 프로세스에 의해 실행된다. 내부 HTML 파일의 스크립트로 디컴파일하여 파일을 생성한다. 생성된 .jse 파일로 wscript 를 실행하는 방식이다.
이와 같은 방식은 [그림 1] 의 가운데 다이어그램인 첫번째 변형과 동일하다. 최초 유포형태와 첫번째 변형 형태의 차이점은 .jse 파일 내에 존재한다.
[그림 2]는 최초 유표형태 .jse 스크립트 내용이고 [그림 3]은 첫번째 변형의 스크립트이다. 최초 유포형태는 CMD로 파워쉘 명령어를 실행하여 다운로드 및 실행하는 방식으로 기존 블로그를 통해 소개했다. [그림 3]의 첫번째 변형 스크립트는 지속적 감염을 위한 .jse 파일의 자동실행 레지스트리 등록은 동일 하지만 자사 …
IoC
056932151e3cc526ebf4ef5cf86ae0b4
258472c79fc3b9360ad560e26350b756
790c5f50942a502252a00b9878db9496
7c949f375c56e7de7a3c4f0a9a19c4e5
8d39335e67e797ad66c3953c3d6203ce
https://atusay.lat/kxydo
https://zienk.sbs/kjntf
258472c79fc3b9360ad560e26350b756
790c5f50942a502252a00b9878db9496
7c949f375c56e7de7a3c4f0a9a19c4e5
8d39335e67e797ad66c3953c3d6203ce
https://atusay.lat/kxydo
https://zienk.sbs/kjntf