AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 정보유출을 목적 하는 유포로 확인되어 소개하고자 한다. 유포일은 금융 기업의 결제일이 25일 예정인 사용자를 기준으로 명세서가 발송되는 지난 17일(월요일)에 금융 기업과 보험사를 사칭하여 유포되었다. 이와 동일한 금융 결제일을 갖는 사용자는 충분히 오해하여 실행할 수 있다. 안랩 EDR 제품에서는 사용자가 오해하여 실행된 신규 악성코드에 대해 실행된 이력을 상세히 기록하고 피해 정황과 유출 파일을 확인할 수 있다.
아래 게시글을 통해 CHM 악성코드의 유포 방식과 내용을 소개 했다. 안랩 EDR 제품에서 CHM 악성코드로부터 실행되어 정보 탈취형 악성코드의 탈취 행위까지 어떻게 기록되는지 소개한다.
[그림 1] 은 CHM 악성코드가 실행된 EDR 탐지 다이어그램 이다. hh.exe는 윈도우 정상 프로그램으로, 윈도우 도움말 파일(*.CHM)을 실행하는 프로세스이다. 이후 이어지는 프로세스 실행 관계에서 스크립트 프로세스와 명령줄 인터페이스 프로세스인 CMD 및 정보 탈취형 악성코드 alg.exe 의 실행 관계를 볼 수 있다.
[그림 2] 는 앞서 블로그에서 소개한 초기 실행 과정에서 “C:\Users\Public\Libraries” 경로에 CHM 파일을 디컴파일에 대한 행위 탐지다. 디컴파일에 사용된 커멘드 라인을 확인할 수 있다.
디컴파일 후 [그림 3] 처럼 디컴파일되어 생성된 “Docs.jse” 파일을 Wscript로 실행하는 커멘드 라인을 확인할 수 있다. 이전 블로그에 소개된 스크립트와 동일한 내용임을 확인할 수 있다.
[그림 4]는 실행된 Wscript의 악성 행위에 대한 탐지이다. 지속적인 감염을 위한 레지스트리 키 등록하는 내용을 확인할 수 있다. 등록하는 레지스트리 이름과 데이터도 확인할 수 있으며, 확인된 내용을 통한 재감염에 대한 대처가 가능하다. 자동실행 등록 후 스크립트를 통해 명령줄 인터페이스인 cmd를 실행한 내용을 확인 할 수 있다. 실행된 커멘드 라인을 보면 powershll을 통해 유포지의 악성코드를 TEMP 경로에 다운로드 하며 start 로 실행하는 것을 확인할 수 있다.
[그림 5] 는 다운로드된 정보탈취 악성코드의 행위의 EDR 탐지 화면이며 [그림 6]은 악성코드 디컴파일 내용이다. 비교적 작은 크기로 사용자 PC정보와 디렉토리 정보, 브라우저 정보 등을 탈취한다. 탈취한 정보는 압축파일로 전송하는 기능이 있다. 압축 파일은 [그림 5] 의 안랩 EDR 제품 탐지 내용 처럼 Public\Pictures 경로에 생성되며, 탈취한 내용을 포함하고 있다. 탈취한 내용은 공격자의 서버로 전송된다.
안랩 EDR 제품을 통해 앞서 소개한 내용 외에 더 많은 정보 탈취 내용을 확인할 수 있으며, 어떤 정보를 어디로 탈취했는지를 추적하는데 도움이 될 수 있다. 또한 이와 같은 악성코드가 어떻게 실행되었는지 확인이 가능하다. 금융 기업 결제 예정일에 맞춰 발송되는 명세서처럼 위장한 악성코드 유포 방식은 사용자의 실수를 유발할 수 있다. 이 처럼 실수 한번으로 발생할 수 있는 위협에 대해 안랩 EDR 제품을 통해 이를 확인할 수 있으며 확인된 내용으로 대응할 수 있다.
[행위 진단]
Execution/EDR.Malware.M10459
Execution/EDR.Scripting.M11204
Persistence/EDR.Event.M11205
Connection/EDR.Behavior.M2650
Persistence/MDP.Event.M4697
Execution/MDP.Cmd.M4698
[파일 진단]
Infostealer/Win.Generic.R5505251906 (2023.07.18.02)
Dropper/CHM.Generic (2023.07.20.00)
[IOC]
aaeb059d62c448cbea4cf96f1bbf9efa
150e53a8c852ac5f23f47aceef452542
59a924bb5cb286420edebf8d30ee424b
0f27c6e760c2a530ee59d955c566f6da
bfe2a0504f7fb1326128763644c88d37
hxxps://tosals[.]ink/kxydo
hxxps://tosals[.]ink/uEH5J.html
hxxps://frotsy[.]lol/cvxxv
hxxps://drilts[.]sbs/zcwq
hxxps://sklims[.]lat/sbjcw
hxxps://skrids[.]cfd/elzal
hxxps://snexby[.]sbs/svbgt
hxxps://snivox[.]lat/craig
hxxps://sutezy[.]mom/nmjnq
hxxps://crilts[.]cfd/cdeeb
hxxps://akriqa[.]xyz/qcknq
hxxps://ppangz[.]mom/mjifi
hxxps://atusay[.]lat/kxydo
hxxps://labimy[.]ink/rskme
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
"기본 중의 기본” 브라우저 보안 강화하는 10가지 팁 (112) | 2023.09.04 |
---|---|
MS-SQL 서버로 유포되는 PurpleFox (118) | 2023.08.31 |
국내 개발 업체의 정상 설치 파일을 위장한 악성코드 – EDR 탐지 (139) | 2023.08.29 |
CHM 악성코드 유포 변화 탐지 (133) | 2023.08.28 |
세금 계산서, 운송장 번호로 위장한 Guloader 악성코드 (MDS 제품 탐지) (130) | 2023.08.27 |