EDR을 활용한 CHM 악성코드 추적
Contents
AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다.
CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및 시그니처 기반의 탐지를 쉽게 우회할 수 있다고 소개하고 있다.
이번에 ASEC에서 확인한 CHM 악성코드는 mshta.exe를 통해 파워쉘을 실행하는 악성 스크립트([그림 2])를 공격자 서버로부터 다운로드 받아 실행한다.
[그림 2]에서 최종적으로 실행되는 파워쉘 스크립트는 공격자 C&C 서버로부터 명령 수행 및 지속성 유지를 위한 레지스트리 Run키에 명령어를 등록한다.
아래 [그림 3]은 안랩 EDR(Endpoint Detection and Response) 제품에서 보여지는 이메일의 첨부 파일 형태로 실행된 CHM 위협의 프로세스 트리 정보이다.
안랩 EDR 제품에서는 CHM 유형의 악성코드 위협에 대해 행위 정보 …
CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및 시그니처 기반의 탐지를 쉽게 우회할 수 있다고 소개하고 있다.
이번에 ASEC에서 확인한 CHM 악성코드는 mshta.exe를 통해 파워쉘을 실행하는 악성 스크립트([그림 2])를 공격자 서버로부터 다운로드 받아 실행한다.
[그림 2]에서 최종적으로 실행되는 파워쉘 스크립트는 공격자 C&C 서버로부터 명령 수행 및 지속성 유지를 위한 레지스트리 Run키에 명령어를 등록한다.
아래 [그림 3]은 안랩 EDR(Endpoint Detection and Response) 제품에서 보여지는 이메일의 첨부 파일 형태로 실행된 CHM 위협의 프로세스 트리 정보이다.
안랩 EDR 제품에서는 CHM 유형의 악성코드 위협에 대해 행위 정보 …
IoC
32445d05dd1348bce9b6a395b2f8fbd8
809528921de39530de59e3793d74af98
http://shacc.kr/skin/product/1.html
809528921de39530de59e3793d74af98
http://shacc.kr/skin/product/1.html