HTML 형식 도움말 파일 CHM 악용한 APT 공격 사례 발견(28-03 3주차)

최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례가 발견됐다. CHM은 HTML 형식의 도움말 파일이며, HTML 파일을 내부에 포함하기 때문에 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다.

안랩 ASEC 분석팀에 따르면, 이번 CHM 악성코드를 활용한 APT 공격 사례에서 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명돼 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218(System Binary Proxy Execution)이라 명명했다.

 

MITRE에서는 공격자가 T1218 기법을 이용해 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및 시그니처 기반의 탐지를 쉽게 우회할 수 있다고 소개하고 있다.

 

이번에 안랩 ASEC 분석팀에서 확인한 CHM 악성코드는 mshta.exe를 통해 파워쉘을 실행하는 악성 스크립트를 공격자 서버에서 다운로드해 실행한다. 공격자 서버에서 다운로드되는 스크립트를 통해 최종 실행되는 파워쉘 스크립트는 공격자 명령제어(C&C) 서버로부터 명령 수행 및 지속성 유지를 위한 레지스트리 Run키에 지속성 유지를 위한 특정 명령어를 등록한다.

 

EDR(Endpoint Detection and Response)에서 보이는 이메일의 첨부파일 형태로 실행된 CHM 위협의 프로세스 트리 정보를 분석한 결과, EDR에서는 CHM 유형의 악성코드 위협에 대해 행위 정보 기록과 탐지를 하고 있다. 따라서 EDR 운영 담당자는 EDR 이력 검색을 통해 사내 인프라에 CHM 유형 악성코드 관련 위협이 있는지 확인할 수 있다.

 

안랩 ASEC 분석팀 관계자는 “이번에 확인된 CHM 악성코드 위협은 최종적으로 파워쉘 형태의 백도어가 실행되고 지속성 유지를 위한 자동 실행 레지스트리 Run키 등록 행위를 수행한다”며 “EDR 운영 담당자는 EDR을 통해 공격자 C&C 서버 주소 정보와 자동 실행 레지스트리 Run키 등록 정보를 확인해 위협을 제거할 수 있다”고 말했다.

 

또한, EDR 콘솔의 [분석]-[위협] 탭에서 탐지된 위협에 대해 ‘대응하기’ 버튼을 눌러 조치할 수 있다. 해당 기능은 프로세스에 대한 조치를 취할 수 있는 기능이며, 프로세스 종료뿐만 아니라 파일 수집 기능을 지원한다.

 

출처:https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=33316&key=&dir_group_dist=&dir_code=&searchDate=

---

느낀점: CHM이라는 HTML 형식의 도움말 파일은 최근에는 전혀 보지 못했었던 파일이지만 exe 와 jsp 같은 파일이 아니라고 생각해서 쉽게 열어보면 안될 것 같다. CHM이라는 파일의 악성코드 위협은 백도어로 실행되고 지속성 유지를 위한 지동 실행 레지스트리 Run키 등록 행위를 수행한다고 한다. 따라서 아직 잘 모르지만 EDR을 통해 C&C 서버 주소 정보와 레지스트리 Run키 등록 정보를 확인하는 방법을 알아봐야 할 것 같다. 공격자들은 참 다양한 파일들을 통해서 악성코드를 기묘하게 잘 넣는 것 같다. 이런 것을 잘 파악하기 위해서는 공격자 입장에서 먼저 생각해보는게 제일 좋은 방법이라고 생각한다.