▶ 안내문을 사칭하여 유포된 악성 도움말 파일의 경우, 악성 chm 파일을 실행 시 추가 악성 파일을 실행한다. 이때, 사용자 PC 화면에는 실제 안내문 형태의 창이 생성되어 악성 파일이 실행된 것을 인지하기 어렵도록 한다.
이 사례의 경우, 코로나 확진자가 다수 발생하는 시기를 노려 관련 내용을 포함하여 유포되고 있는 것으로 보임.
안내문에 포함된 단축 url은 정상 사이트로 리다이렉트되어 사용자는 악성 행위를 더욱 알아차리기 어려움
악성 chm 파일에 포함된 html 파일의 코드를 확인해보면 위와 같은 스크립트가 존재
해당 스크립트는 특정 id 속성 영역에 스크립트를 삽입 후 Click() 함수를 통해 악성 명령어를 실행하는 기능을 수행한다. 악성 명령어가 실행되면 hh.exe 프로세스를 통해 chm 파일을 디컴파일하여 “c:\\programdata\\chmtemp” 폴더에 생성한다. hh.exe 프로세스는 HTML 도움말 실행 프로그램으로 컴파일된 도움말(*.chm) 파일을 실행하거나 도움말 파일에 대한 탐색 및 기타 기능을 제공한다. 이후 디컴파일된 파일 중 chmext.exe 파일을 실행하게 된다.
[관련 참고 자료] https://asec.ahnlab.com/ko/33034/
chmext.exe 파일 : 워드 프로세스에 인젝션 되는 데이터로, 해당 파일을 유포한 공격자와 동일한 공격자로 추정된다. chmext.exe 파일 실행 시 동일하게 “%ProgramData%\Intel” 폴더에 IntelRST.exe 를 드롭한다.
IntelRST.exe 파일 : 프로세스 검사, RUN 키 등록, UAC Bypass, 윈도우 디펜더 예외 설정 기능을 한다. 이후 특정 url 에서 추가 url 을 받아와 이후 악성 행위를 수행하는 것으로 추정된다.
[참고 자료] https://asec.ahnlab.com/ko/33329/
'Project > 2023 정보보호 소학회 세미나' 카테고리의 다른 글
'윈도우 도움말 파일(*.chm) 로 유포 중인 AsyncRAT' 분석 (0) | 2023.02.19 |
---|---|
'윈도우 도움말 파일(*.chm)로 유포되는 APT 공격' 분석 (0) | 2023.02.19 |
윈도우 도움말 파일로 유포되는 악성코드 (0) | 2023.02.19 |