CHM 악성코드에서 확인된 안티 샌드박스 및 기업 타겟 공격

ASEC 분석팀은 최근 국내 유포 중인 CHM 악성코드에서 안티 샌드박스 기법이 적용된 유형과 기업을 타겟으로 하는 유형이 존재하는 것을 확인하였다. 두 유형 모두 지난 3월과 5월, 아래 ASEC 블로그를 통해 소개한 유형이다.

문서 편집 및 메신저 프로그램으로 위장한 백도어 (*.chm) – ASEC BLOG

ASEC 분석팀은 악성 CHM 파일을 통해 국내 다수 사용자가 이용 중인 문서 편집 및 메신저 프로그램으로 위장한 백도어가 국내 유포 중인 것을 확인하였다. 최근 다양한 형태로 유포 중인 악성 CHM 파일은 지난 3월에도 ASEC 블로그를 통해 두 차례 소개해왔다. 이번에 소개할 악성 CHM 파일은 이전과 다른 과정을 거쳐 추가 악성 파일들을 실행한다. 현재 유포 중인 CHM 파일명 중 일부는 아래와 같으며, 국가 기관 관리자 및 대학 교수 등을 대상으로 유포되는 것으로 보인다. 유포 파일명국가융합망 예버서버 점검.chm*****…

코로나 확진 안내문으로 사칭한 악성 도움말 파일 국내 유포 – ASEC BLOG

ASEC 분석팀은 2주 전, 윈도우 도움말 파일(*.chm) 형식의 악성코드에 대해 소개하였다. 금일 추가로 확인된 악성 chm 파일은 코로나 확진 안내문을 사칭한 형태로 국내 사용자를 대상으로 유포되고 있다. 코로나 확진자가 다수 발생하는 시기를 노려 관련 내용을 포함하여 유포되고 있는 것으로 보인다. 현재 유포되고 있는 파일명은 아래와 같으며, 악성 chm 파일을 실행 시 추가 악성 파일을 실행한다. 이때 사용자 PC 화면에는 코로나 확진 안내문 창이 생성되어 악성 파일이 실행된 것을 인지하기 어렵도록 한다. 유포 파일명확진자…

먼저, 안티 샌드박스 기법이 적용된 CHM 유형은 악성 VBE 파일을 드롭하기 전에 사용자 PC 환경을 검사하게 된다. 악성 CHM 파일 내부에 포함된 HTML 코드는 아래와 같으며, HTML 은 정상 프로그램(EXE)과 악성 DLL 파일을 생성 후 실행하는 기능을 수행한다. DLL 하이재킹 기법을 통해 생성된 악성 DLL 이 로드되며, 해당 DLL 에 의해 실제 악성 행위가 수행된다. 해당 HTML 스크립트의 자세한 기능은 위 블로그에 소개되어있다.

로드된 악성 DLL 은 악성 행위를 수행하기 전에 사용자 PC 환경을 검사한다. 먼저, 해당 PC 의 TEMP 폴더 내 존재하는 파일 개수를 확인하여 18개 미만인 경우 프로세스가 종료된다. 실제 사용중인 PC 의 경우 TEMP 폴더에 존재하는 파일의 개수가 많기 때문에, 공격자는 가상 환경에서 실행되었는지 확인하기 위한 것으로 추정된다.

이후 현재 실행 프로세스 명을 검사한다. 해당 DLL 에서는 “ImagingDevices.exe” 프로세스인지 비교하는데, 이때 비교하는 프로세스는 DLL 하이재킹에 이용된 정상 실행 프로그램명이다. 해당 과정을 통해 악성 DLL 이 공격자가 의도한 방식으로 실행되었는지 검사하는 것으로 추정된다.

위 과정을 모두 통과하게 되면 실제 악성 행위를 수행하게 된다. 난독화된 레지스트리 경로를 조합하여 아래 RUN 키에 현재 실행중인 프로그램을 등록한다.

• SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

이후 %TEMP% 폴더에 악성 VBE 파일을 생성 후 실행하며, VBE 파일은 ReVBShell 이다. 자세한 기능과 이후 과정은 위에서 언급한 블로그에 소개되어있다.

기업을 타겟으로 하는 CHM 유형은 최종적으로 실행된 EXE 파일에 의해 자사 프로세스 실행 여부를 검사한다. 해당 CHM 유형의 내부에 존재하는 HTML 은 아래와 같으며, “c:\\programdata\\chmtemp” 폴더에 악성 EXE 파일(chmext.exe)을 생성 후 실행하게 된다.

chmext.exe 파일이 실행되면 현재 실행 중인 프로세스를 확인하여 v3l4sp.exe 의 존재 여부를 검사한다. v3l43p(V3Lite) 프로세스가 존재할 경우 악성 행위를 수행하지 않고 프로세스가 종료된다. V3Lite 제품을 사용하는 개인 고객의 경우 악성 행위를 수행하지 않는 것으로 보아 기업 사용자를 타겟으로 하는 것을 알 수 있다.

자사 프로세스를 확인 후 실제 악성 행위가 수행되며, 악성 행위에 대한 정보는 위에서 언급한 블로그에 소개되어 있다. 이와 같이, 최근 유포되고 있는 악성코드들은 해당 블로그에서 소개한 기법 외에도 다양한 방식을 이용하여 가상 환경인지, 기업 사용자인지 검사 후 실제 PC 및 타겟 PC 에서만 동작하도록 제작되고 있다.

현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Dropper/Win.Akdoor.R490564
Dropper/CHM.Akdoor
Trojan/Win.Generic.C5025270
Dropper/Win.Agent.C5028107

 

MD5

210db61d1b11c1d233fd8a0645946074

619649ce3fc1682c702d9159e778f8fd

95d914d34e9cb5bd2e5db411ed5345b9

bb71af5c5a113a050ff5928535d3465e

e33114a7894a1a284084861eee5f9975