ASEC 분석팀은 최근 국내 유포 중인 CHM 악성코드에서 안티 샌드박스 기법이 적용된 유형과 기업을 타겟으로 하는 유형이 존재하는 것을 확인하였다. 두 유형 모두 지난 3월과 5월, 아래 ASEC 블로그를 통해 소개한 유형이다.
먼저, 안티 샌드박스 기법이 적용된 CHM 유형은 악성 VBE 파일을 드롭하기 전에 사용자 PC 환경을 검사하게 된다. 악성 CHM 파일 내부에 포함된 HTML 코드는 아래와 같으며, HTML 은 정상 프로그램(EXE)과 악성 DLL 파일을 생성 후 실행하는 기능을 수행한다. DLL 하이재킹 기법을 통해 생성된 악성 DLL 이 로드되며, 해당 DLL 에 의해 실제 악성 행위가 수행된다. 해당 HTML 스크립트의 자세한 기능은 위 블로그에 소개되어있다.
로드된 악성 DLL 은 악성 행위를 수행하기 전에 사용자 PC 환경을 검사한다. 먼저, 해당 PC 의 TEMP 폴더 내 존재하는 파일 개수를 확인하여 18개 미만인 경우 프로세스가 종료된다. 실제 사용중인 PC 의 경우 TEMP 폴더에 존재하는 파일의 개수가 많기 때문에, 공격자는 가상 환경에서 실행되었는지 확인하기 위한 것으로 추정된다.
이후 현재 실행 프로세스 명을 검사한다. 해당 DLL 에서는 “ImagingDevices.exe” 프로세스인지 비교하는데, 이때 비교하는 프로세스는 DLL 하이재킹에 이용된 정상 실행 프로그램명이다. 해당 과정을 통해 악성 DLL 이 공격자가 의도한 방식으로 실행되었는지 검사하는 것으로 추정된다.
위 과정을 모두 통과하게 되면 실제 악성 행위를 수행하게 된다. 난독화된 레지스트리 경로를 조합하여 아래 RUN 키에 현재 실행중인 프로그램을 등록한다.
- SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
이후 %TEMP% 폴더에 악성 VBE 파일을 생성 후 실행하며, VBE 파일은 ReVBShell 이다. 자세한 기능과 이후 과정은 위에서 언급한 블로그에 소개되어있다.
기업을 타겟으로 하는 CHM 유형은 최종적으로 실행된 EXE 파일에 의해 자사 프로세스 실행 여부를 검사한다. 해당 CHM 유형의 내부에 존재하는 HTML 은 아래와 같으며, “c:\\programdata\\chmtemp” 폴더에 악성 EXE 파일(chmext.exe)을 생성 후 실행하게 된다.
chmext.exe 파일이 실행되면 현재 실행 중인 프로세스를 확인하여 v3l4sp.exe 의 존재 여부를 검사한다. v3l43p(V3Lite) 프로세스가 존재할 경우 악성 행위를 수행하지 않고 프로세스가 종료된다. V3Lite 제품을 사용하는 개인 고객의 경우 악성 행위를 수행하지 않는 것으로 보아 기업 사용자를 타겟으로 하는 것을 알 수 있다.
자사 프로세스를 확인 후 실제 악성 행위가 수행되며, 악성 행위에 대한 정보는 위에서 언급한 블로그에 소개되어 있다. 이와 같이, 최근 유포되고 있는 악성코드들은 해당 블로그에서 소개한 기법 외에도 다양한 방식을 이용하여 가상 환경인지, 기업 사용자인지 검사 후 실제 PC 및 타겟 PC 에서만 동작하도록 제작되고 있다.
현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Dropper/Win.Akdoor.R490564
Dropper/CHM.Akdoor
Trojan/Win.Generic.C5025270
Dropper/Win.Agent.C5028107
[IOC]
e33114a7894a1a284084861eee5f9975
95d914d34e9cb5bd2e5db411ed5345b9
210db61d1b11c1d233fd8a0645946074
619649ce3fc1682c702d9159e778f8fd
bb71af5c5a113a050ff5928535d3465e
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보