![]()
▶ AsyncRAT : Async (비동기) + RAT (원격 접속 도구) = 비동기 원격 접속 도구 악성코드 [참고자료] https://devlog-wjdrbs96.tistory.com/163 https://www.igloo.co.kr/security-information/%EC%9B%90%EA%B2%A9-%EC%A0%91%EC%86%8D-%EB%8F%84%EA%B5%ACrat%EC%9D%98-%EB%91%90-%EC%96%BC%EA%B5%B4/ AsyncRAT 악성코드가 chm 을 이용하여 유포되는 전체 동작 과정 먼저, chm 파일을 실행하게 되면 기존 유형과 달리 빈 화면의 도움말 창이 생성된다. 이때 사용자 모르게 실행되는 악성 스크립트의 내용은 아래와 같으며, 이전 유형에 비해 비교적 간단한 ..
![]()
▶ 안내문을 사칭하여 유포된 악성 도움말 파일의 경우, 악성 chm 파일을 실행 시 추가 악성 파일을 실행한다. 이때, 사용자 PC 화면에는 실제 안내문 형태의 창이 생성되어 악성 파일이 실행된 것을 인지하기 어렵도록 한다. 이 사례의 경우, 코로나 확진자가 다수 발생하는 시기를 노려 관련 내용을 포함하여 유포되고 있는 것으로 보임. 안내문에 포함된 단축 url은 정상 사이트로 리다이렉트되어 사용자는 악성 행위를 더욱 알아차리기 어려움 악성 chm 파일에 포함된 html 파일의 코드를 확인해보면 위와 같은 스크립트가 존재 해당 스크립트는 특정 id 속성 영역에 스크립트를 삽입 후 Click() 함수를 통해 악성 명령어를 실행하는 기능을 수행한다. 악성 명령어가 실행되면 hh.exe 프로세스를 통해 chm..
![]()
▶ APT 공격 : 지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)을 가하는 해킹의 통칭. (참고자료_https://namu.wiki/w/APT(%ED%95%B4%ED%82%B9) ) 악성코드는 아래와 같이 압축 파일 형태로 메일에 첨부되어 유포된다. 첨부된 압축 파일 내부에는 워드 문서와 rar 파일이 포함되어 있다. RAR 파일 내부에는 악성 파일인 Guide.chm이 존재한다. 워드 문서의 경우 암호가 설정되어 있어 문서의 내용을 알 수 없다. ▶ 함께 압축된 chm 파일 실행을 유도하는 것으로 추정 Guide.chm 파일 실행 시 다음과 같은 도움말 창이 생성된다. (해당 내용은 https://mage.github.io/mage/ 에서 확인되는 내용과 동일) chm ..
![]()
.CHM 파일이란? 개념 CHM 파일 형식은 HTML 페이지 모음으로 구성된 Microsoft HTML 도움말 파일을 나타낸다. 항목에 빠르게 액세스하고 도움말 문서의 다른 부분으로 이동할 수 있는 색인을 제공한다. CHM 파일에는 텍스트, 이미지 및 하이퍼링크가 포함될 수 있고, 웹 브라우저에서 볼 수 있다. Windows 및 기타 프로그램에서 온라인 도움말 솔루션으로 사용된다. CHM 파일 형식 생성된 CHM 파일의 최종 형식은 도움말 시스템이 어떻게 디자인되었는지와 응용 프로그램 또는 웹 사이트를 대상으로 하는지 여부에 따라 다르다. CHM 파일은 LZX 압축을 통한 데이터 압축을 지원하여 압축된 HTML 파일을 생성한다. CHM 파일은 HTML 파일 세트, 연결된 목차 및 색인 파일로 구성되어 있..
