原文始发于ASEC:문서 편집 및 메신저 프로그램으로 위장한 백도어 (*.chm)
ASEC 분석팀은 악성 CHM 파일을 통해 국내 다수 사용자가 이용 중인 문서 편집 및 메신저 프로그램으로 위장한 백도어가 국내 유포 중인 것을 확인하였다. 최근 다양한 형태로 유포 중인 악성 CHM 파일은 지난 3월에도 ASEC 블로그를 통해 두 차례 소개해왔다. 이번에 소개할 악성 CHM 파일은 이전과 다른 과정을 거쳐 추가 악성 파일들을 실행한다.
현재 유포 중인 CHM 파일명 중 일부는 아래와 같으며, 국가 기관 관리자 및 대학 교수 등을 대상으로 유포되는 것으로 보인다.
- 유포 파일명
국가융합망 예버서버 점검.chm
***** 전자출결-웹페이지 교수자-메뉴얼 Ver1.0.chm
붙임1. 전임교원 책임시간 확인 프로그램 사용 방법 Ver 1.0(국문).chm
[그림 1] ~ [그림 3] 은 악성 CHM 파일에 포함된 HTML 파일의 코드이다. 해당 스크립트는 특정id 속성 영역에 악성 명령어가 포함되어 있어 Click() 함수를 통해 악성 명령어를 실행하게 된다. 이후 정상적인 이미지를 생성하여 악성 행위를 알아차리기 어렵도록 한다. 해당 방식은 이전에 소개한 CHM 파일과 비슷하지만, 최종적으로 실행되는 파일이 다른 형태이다.
Click() 함수를 통해 악성 명령어가 실행되면 CHM 파일을 디컴파일 후 ImagingDevices.exe 파일을 실행한다. ImagingDevices.exe 파일은 정상 파일로 DLL 하이재킹 방식을 이용하여 함께 디컴파일된 악성 DLL 을 로드하게 된다. 지난 해 유포되었던 동일한 유형의 악성 CHM 을 살펴보면 Vias.exe 에서 quartz.dll 로드, LBTWiz32.exe 에서 LBTServ.dll 로드로 변형되어왔다. 로드된 악성 DLL 은 %TEMP% 폴더에 악성 VBE 파일을 생성 후 실행하는 기능을 수행한다. [그림 4] ~ [그림 6] 은 디코딩된 악성 VBE 코드 중 일부이다. 디코딩된 VBE 는 ReVBShell 로, C2 에 접속하여 명령어에 따라 다양한 악성 행위를 수행할 수 있다. 또한 WMI 쿼리를 통해 해당 PC 에 설치된 백신 제품 정보를 가져와 “ESET Security” 문자열이 존재하는 경우 악성 행위를 수행하지 않는다.
ReVBShell 이 실행되고 특정 시간이 지난 후 공격자에 의해 추가 악성 파일을 생성하여 실행하는 로그가 자사 ASD 인프라를 통해 확인되었다. 확인된 추가 악성 파일의 파일명은 아래와 같으며, 국내 다수 사용자가 이용 중인 문서 편집 및 메신저 프로그램으로 위장한 것을 알 수 있다.
- 파일명
HimTraylcon.exe : 한컴 오피스 프로세스 위장 (소문자 L 사용)
HNetComAgent.exe : 한컴 오피스 프로세스 위장
KaKaoTalk.exe : 카카오톡 프로세스 위장
확인된 3개의 파일은 모두 동일한 과정을 거쳐 내부 데이터를 디코딩하여 실행하는 형태이며, 디코딩된 데이터는 모두 다른 기능을 수행한다. 먼저 HimTraylcon.exe 파일은 ReVBShell 을 통해 아래 url 에서 다운로드되는 것으로 추정된다.
– hxxps://92.38.135[.]212/fuat/HimTraylcon.exe
디코딩된 HimTraylcon.exe 파일은 백도어 유형의 악성코드로 C2 에 접속하여 공격자의 명령을 받아 파일 생성, 다운로드, 실행 등의 추가 악성 행위를 수행할 수 있다. C2 는 인코딩된 형태로 존재하며, 디코딩된 C2 는 아래와 같다.
– formsgle.freedynamicdns[.]net:8080
디코딩된 KaKaoTalk.exe 파일은 패스워드 덤프 툴인 BrowserPasswordDump 프로그램으로 확인되었으며, HNetComAgent.exe 파일은 키로거로 “C:\Windows\Tasks\“현재날짜.tmp” 경로에 인코딩된 키로그 파일을 생성한다. 이와 같이 추가로 생성된 악성 파일들에 의해 사용자 정보가 탈취될 수 있으며, 탈취된 정보를 이용하여 추가 피해가 발생할 수 있다.
앞서 소개한 파일들 외에도 공격자 명령에 따라 다양한 기능을 수행하는 악성 파일이 추가로 생성될 수 있기 때문에 사용자는 출처가 불분명한 파일의 경우 실행을 자제해야 한다. 또한 특정 사용자를 대상으로하는 파일명으로 유포되고 있어 더욱 주의해야 한다.
현재 V3 에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Dropper/Win.Generic.C5051138 (2022.04.04.03)
Backdoor/Win.Generic.C5104017 (2022.04.27.02)
HackTool/Win.PwDump.C5104015 (2022.04.27.02)
Keylogger/Win.Generic.C5104016 (2022.04.27.02)
[IOC]
c3d34480c38e69cf585f1e645445a9d5
efb242e03a435dff4e253a5259a2324e
29b0818d2e374d7b86937a952975ab14
87e2fc68014bbedc41449e6835ec516a
finance.my-homeip[.]com:443
formsgle.freedynamicdns[.]net:8080
hxxps://92.38.135[.]212/fuat/HimTraylcon.exe