반응형
기사요약 :
HTML 파일을 내부에 포함하고 있어 스크립트 파일 삽입이 가능한 CHM이라는 도움말 파일에서 APT 공격이 발생되었다. 해당 공격의 경우 운영체제에 기본으로 설치되어 있는 프로그램을 이용했기 때문에 프로세스 및 시그니처 기반의 탐지를 우회가능하다고 한다.
- 악성코드 정보 : MITRE ATT&CK T1218(System Binary Proxy Execution).
mshta.exe를 통해 파워쉘을 실행하는 악성 스크립를 공격자 서버에서 다운로드해 실행.
해당 스크립트를 통해 최종 실행되는 파워쉘 스크립티는 공격자 C2서버로부터 명령 수행 및 지속성 유지를 위한 레지스터리 RUN키에 지속성 유지를 위한 특정 명령어를 등록.
- 해당 공격의 경우 EDR(Endpoint Detection and Response)를 통해 방어가 가능.
김영명 기자, HTML 형식 도움말 파일 CHM 악용한 APT 공격 사례 발견, 보안뉴스, https://www.boannews.com/media/view.asp?idx=115497&page=1&kind=1
HTML 형식 도움말 파일 CHM 악용한 APT 공격 사례 발견
최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례가 발견됐다. CHM은 HTML 형식의 도움말 파일이며, HTML 파일을 내부에 포함하기 때문에 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다.
www.boannews.com
반응형
