HTML 형식 도움말 파일 CHM 악용한 APT 공격 사례 발견

mshta 실행파일 통해 파워쉘 악성 스크립트 다운로드...레지스트리에 지속성 유지 명령 등록
자동 실행 레지스트리 Run키 등록 정보 확인 통해 위협 제거 가능

[보안뉴스 김영명 기자] 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례가 발견됐다. CHM은 HTML 형식의 도움말 파일이며, HTML 파일을 내부에 포함하기 때문에 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다.

▲hh.exe 파일 속성 정보[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀에 따르면, 이번 CHM 악성코드를 활용한 APT 공격 사례에서 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명돼 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218(System Binary Proxy Execution)이라 명명했다.

MITRE에서는 공격자가 T1218 기법을 이용해 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및 시그니처 기반의 탐지를 쉽게 우회할 수 있다고 소개하고 있다.

이번에 안랩 ASEC 분석팀에서 확인한 CHM 악성코드는 mshta.exe를 통해 파워쉘을 실행하는 악성 스크립트를 공격자 서버에서 다운로드해 실행한다. 공격자 서버에서 다운로드되는 스크립트를 통해 최종 실행되는 파워쉘 스크립트는 공격자 명령제어(C&C) 서버로부터 명령 수행 및 지속성 유지를 위한 레지스트리 Run키에 지속성 유지를 위한 특정 명령어를 등록한다.

▲안랩 EDR 제품 프로세스 트리 화면(CHM 위협)[자료=안랩 ASEC 분석팀]

EDR(Endpoint Detection and Response)에서 보이는 이메일의 첨부파일 형태로 실행된 CHM 위협의 프로세스 트리 정보를 분석한 결과, EDR에서는 CHM 유형의 악성코드 위협에 대해 행위 정보 기록과 탐지를 하고 있다. 따라서 EDR 운영 담당자는 EDR 이력 검색을 통해 사내 인프라에 CHM 유형 악성코드 관련 위협이 있는지 확인할 수 있다.

안랩 ASEC 분석팀 관계자는 “이번에 확인된 CHM 악성코드 위협은 최종적으로 파워쉘 형태의 백도어가 실행되고 지속성 유지를 위한 자동 실행 레지스트리 Run키 등록 행위를 수행한다”며 “EDR 운영 담당자는 EDR을 통해 공격자 C&C 서버 주소 정보와 자동 실행 레지스트리 Run키 등록 정보를 확인해 위협을 제거할 수 있다”고 말했다.

▲피해 호스트 PC에 대한 대응[자료=안랩 ASEC 분석팀]

또한, EDR 콘솔의 [분석]-[위협] 탭에서 탐지된 위협에 대해 ‘대응하기’ 버튼을 눌러 조치할 수 있다. 해당 기능은 프로세스에 대한 조치를 취할 수 있는 기능이며, 프로세스 종료뿐만 아니라 파일 수집 기능을 지원한다.

ASEC 관계자는 “침해를 당한 호스트 PC에 대해서도 EDR에서는 네트워크 격리 조치 기능을 지원해 내부 확산(Lateral Movement) 및 공격자 명령 수행 등 추가 피해를 예방할 수 있다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)