윈도우 도움말 파일(*.chm) 로 유포 중인 AsyncRAT

최근 악성코드의 유포 형태가 다양하게 변화하고 있다. 그 중 윈도우 도움말 파일(*.chm) 을 이용한 악성코드가 작년부터 증가하고 있으며, ASEC 블로그를 통해 아래와 같이 여러 차례 소개해왔다.

• 윈도우 도움말 파일(*.chm)로 유포되는 APT 공격
• 코로나 확진 안내문으로 사칭한 악성 도움말 파일 국내 유포
• 문서 편집 및 메신저 프로그램으로 위장한 백도어 (*.chm)
• 코인분실, 급여명세서 위장한 악성 도움말 파일 (*.chm)
• 윈도우 도움말 파일(*.chm)을 통해 유포 중인 AgentTesla
• CHM 악성코드에서 확인된 안티 샌드박스 및 기업 타겟 공격
• 국내 대학교 대상으로 악성 CHM 유포 중

최근에는 AsyncRAT 악성코드가 chm 을 이용하여 유포 중인 것으로 확인되었다. 전체적인 동작 과정은 [그림 1] 과 같으며, 각 과정에 대해 아래에서 설명한다.

먼저, chm 파일을 실행하게 되면 기존에 소개했던 유형과는 다르게 빈 화면의 도움말 창이 생성된다.

이때 사용자 모르게 실행되는 악성 스크립트의 내용은 [그림 3] 과 같으며, 이전 유형들에 비해 비교적 간단한 형태인 것을 알 수 있다. 해당 스크립트는 mshta 를 이용하여 “hxxps://2023foco.com[.]br/plmckv.hta” 주소에 존재하는 악성 명령어를 실행하게 된다.

해당 주소에는 악성 VBScript 가 존재하며 명령어의 일부는 [그림 5] 와 같다. 악성 VBScript 는 탐지를 우회하기 위해 문자열이 쪼개진 형태이며 파워쉘 명령어를 실행하는 기능을 수행한다.

실행되는 파워쉘 명령어는 2가지로, 아래 URL 에서 각각 vbs 및 hta 파일을 다운로드 후 실행한다.

• 다운로드 URL
  hxxp://2023foco.com[.]br/vvvvv.txt (C:\ProgramData\v.vbs)
  hxxps://2023foco.com[.]br/serverhta.hta (C:\ProgramData\v.hta)

1. v.vbs

먼저, v.vbs 파일은 [그림 6] 과 같이 알아보기 힘든 형태로 난독화되어 있다.

난독화 해제 시, 파워쉘 명령어를 확인할 수 있으며 파워쉘 명령어는 스크립트 내 인코딩된 형태로 존재하는 닷넷 DLL 을 로드한다. 해당 DLL 은 Loader 파일로 인자로 전달되는 URL 에서 악성 데이터를 받아 메모리상에 로드한다.

로드된 DLL 은 리버스된 악성 URL 을 인자로 받아 해당 URL 에서 추가 데이터를 다운로드 후, “C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe” 프로세스에 로드하여 실행한다.

• 다운로드 URL
  hxxps://2023foco.com[.]br/dcreverso.txt

Loader 에 의해 다운로드되어 실행되는 데이터가 실제 악성 행위를 수행하며, 깃허브에 공개된 오픈 소스 RAT 악성코드 AsyncRAT 이다. 해당 악성코드는 C2 로부터 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있으며 기본적으로 Anti-VM, 키로깅, 원격 쉘 등의 기능이 존재한다. 추가로, C2 및 port 등 악성 행위에 필요한 문자열을 모두 암호화한 형태로 가지고 있으며 [그림 10] 과 같이 복호화하여 사용한다.

• C2
  51.79.116[.]37:8848

2. v.hta

v.hta 는 추가 명령어 실행 및 시작 프로그램 생성 기능을 수행한다. 먼저, 첫번째 기능인 추가 명령어 실행은 파워쉘 명령어를 통해 아래 url 에서 받아온다.

• 다운로드 URL
  hxxps://2023foco.com[.]br/2.txt

추가 명령어는 [그림 12] 와 같이 파워쉘 명령어로, 2개의 URL 에서 각각 데이터를 받아온 후 하나의 데이터를 실행하는 기능을 수행한다. 이때 인자로 “C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell_ise.exe” 경로와 나머지 하나의 데이터가 전달된다. 현재 첫번째 URL 접속이 불가능하여 정확한 과정은 알 수 없지만, 받아오는 데이터는 Loader 로 추정된다. Loader 를 통해 인자로 전달된 정상 프로세스에 나머지 데이터가 인젝션되어 실행되는 것으로 추정되며, 해당 방식은 행위 탐지를 우회하기 위해 악성코드들이 자주 사용하는 방식이다.

• 다운로드 URL
  hxxps://2023foco.com[.]br/printa.txt (Infostealer)
  hxxps://2023foco.com[.]br/runpe.jpg (Loader 추정)

인젝션되어 실행되는 것으로 추정되는 데이터는 정보유출형 악성코드로 확인되었다. 해당 악성코드에는 사용자 PC 화면을 캡처하여 [그림 13] 과 같이 SMTP 를 통해 공격자에게 전송하는 기능이 존재한다.

v.hta 의 두번째 기능으로 시작 프로그램 생성이 존재한다. 아래 경로에 LNK 파일을 생성하며, LNK 파일은 v.vbs 파일을 실행하도록 설정한다. 추가로, 사용자의 의심을 피하기 위해 바로가기 아이콘에 정상 파일 (C:\Program Files (x86)\Internet Explorer\iexplore.exe) 의 아이콘을 사용한다.

• LNK 파일 생성 경로
  %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Viual Frontal Hotel.lnk

최근 CHM 등 다양한 형태로 악성코드가 유포되고 있으며, 대부분의 악성코드가 행위 탐지를 우회하기 위해 악성 데이터를 로드하는 과정에서 정상 프로세스를 이용하고 있다. 또한, FileLess 형태로 악성코드가 실행되어 사용자가 어떤 유형의 악성코드가 실행되었는지 파악하기 어렵도록 한다. 사용자들은 출처가 불분명한 파일의 열람을 자제해야하며, 주기적인 PC 검사가 필요하다.

[파일 진단]
Trojan/Win.Generic.C5303722 (2022.11.12.01)
Malware/Win32.RL_Generic.C4363035 (2021.03.06.01)
Trojan/Win.Agent.C4526491 (2021.06.30.03)
Downloader/CHM.Generic (2023.02.02.00)
Downloader/HTML.Generic (2023.02.02.00)
Downloader/VBS.Generic (2023.02.02.00)

 

MD5

407b0b88187916dc2e38c8d796c10804

824584841251baa953b21feb5f516bed

ac64e8e7eb01755cc363167dd7653d53

b810d06b6ead297da6d145fca80c80b2

c45f6c4e3222c4308c80c945fb3ac4dc

URL

http[:]//2023foco[.]com[.]br/vvvvv[.]txt

http[:]//51[.]79[.]116[.]37[:]8848/

https[:]//2023foco[.]com[.]br/2[.]txt

https[:]//2023foco[.]com[.]br/dcreverso[.]txt

https[:]//2023foco[.]com[.]br/plmckv[.]hta