보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

클릭하면 악성파일 실행되는 CHM 파일 주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2015-03-31

기관을 대상으로 한 것으로 보이는 악성 CHM 파일이 지속적으로 발견되고 있다. CHM 파일은 도움말 파일로, 과거부터 발견된 몇몇 파일들이 비슷한 특징을 가지고 있다. 악성 파일을 실행하면 [그림 1]과 같이 CHM 파일과 청첩장 PDF 파일을 확인할 수 있다.

 



[그림 1] 실행화면

 

처음 CHM 파일을 클릭하면 바로 악성 파일이 실행된다. 이는 index.htm에 있는 오브젝트(object) 태그를 이용하여 악성코드를 로드하는 것이다.

 



[그림 2] 오브젝트 태그를 이용하여 악성 파일(wuacted.exe) 실행

 

해당 악성코드는 여러 스레드(thread)​들과 이벤트로 동작한다. 각 스레드는 C&C와의 송수신, 악성코드 다운로드, 파일을 실행한다. 특히 하드코딩되어 있는 값들로 HTTP 헤더(Header)를 랜덤하게 구성하는 코드가 확인된다. 하지만 현재 C&C(www.wi****m.com, 17*.**.***.*53:3680)가 정상적으로 동작하지 않아 자세한 확인은 이뤄지지 않았다. 다만 랜덤으로 구성되는 HTTP 헤더의 URL은 존재하지 않는 주소로 확인됐다.

 

 


[표 1] 랜덤하게 구성되는 각 헤더 요소들

 

 


[그림 3] 구성된 헤더(요청 페이지는 존재하지 않음)

 

이러한 형태, 행위와 C&C는 과거 수집된 몇몇 CHM 악성코드에서도 확인됐다.

 



[그림 4] 파일별 바이너리 문자열 비교(왼쪽부터 2012년 5월, 2013년 4월, 2015년 3월, 2015년 3월)

 

안랩의 ASEC 대응팀은 지난해 청첩장, 이력서를 비롯해 ‘3.20전용백신’, ‘국방표준종합정보시스템 공지’ 등으로 위장한 CHM을 주간이슈에서 소개한 적이 있다. 각 파일들의 특징을 간단히 비교하면  [표 2]와 같다.

 

 


[표 2] 파일 비교

 

[표 2]와 같이 로드 방식이나 C&C 도메인의 유사성, 바이너리 문자열, 랜덤 HTTP 헤더 조합코드의 존재 여부를 비교해볼 때 파일끼리의 어느 정도 유사성을 가지고 있는 것으로 추정돼 그 연관성을 의심해볼 만 하다. 적당한 시간을 간격으로 접수되고 있고 최근에도 관련 테스트 파일들이 수집되었다.

이처럼 CHM을 이용한 해킹 시도는 계속되고 있으며, 보안, 국방, 외교 등으로 그 내용의 중요도가 높은 만큼 공격 대상 또한 중요도가 높은 대상일 가능성이 높다. 해당 악성코드가 실행되면 C&C 서버에서 원격 명령을 그대로 실행할 수 있어 감염시 2차 피해가 우려돼 사용자의 각별한 주의가 필요하다. @

 

  • AhnLab 로고
  • ASEC 대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.