최근 chm 파일이라는 윈도우 도움말 파일로 위장한 악성코드가 기승을 부리고 있어서, 오늘은 이 부분에 대해 짧게 말씀드려볼까 합니다. 다양한 메일 보안 솔루션에서 압축파일 안의 실행파일 부터 매크로를 이용한 PDF나 워드 같은 문서형 악성코드가 첨부된 악성 메일들을 이제는 어느 정도 필터링하고 있어서 그런지, 이제는 chm이라는 다소 저희에게는 익숙하지 않은 파일들을 이용해서 메일에 보내고 있는데요. 메일에 첨부파일로 포함된 chm 악성코드가 어떤 것인지 그리고 어떤 방식으로 악성 행위를 하는지 설명드리겠습니다.
우선 chm 파일에 대해서 간단히 알아보죠. chm은 Compiled HTML이라는 포맷을 나타내는 확장자로, 보통 F1 키를 누르면 나오는 사용자 메뉴얼을 나타내기 위해 사용하는 파일인데요. 물론 지금 많이 쓰고 있는 운영체제인 윈도우10 이상에서는 F1 키를 누르더라도 윈도우 메뉴얼이 예전과 같이 뜨지는 않지만, XP나 윈도우7에서 종종 보셨으리라 생각합니다. 중요한 것은 이 chm 파일 내부에 텍스트, 이미지, 자바스크립트, 하이퍼링크 등 HTML에 들어갈 수 있는 모든 컨텐츠를 포함시킬 수 있다는 거죠.
chm 파일에 자바스크립트가 포함될 수 있는 것에서 무언가 싸하다는 느낌을 받으셨으면 어떤식으로 악성 행위를 할지도 예측이 가능하실겁니다. 사실 악성 메일에 포함된 HTML에 기본적으로 자바스크립트가 사용되었다하면, 자바스크립트를 통해 특정 URL에 접근해서 악성코드를 추가로 다운로드 받고, 해당 파일을 실행시키는 형태로 악성 행위가 이루어진다고 했었는데요. 이전에 설명드렸던 매크로를 이용한 문서형 악성코드도 마찬가지 방식으로 악성 행위가 이루어지죠. chm 파일도 자바스크립트를 사용할 수 있기 때문에, 앞서 말씀드린 것처럼 동일하게 악성 행위가 수행될 수 있다고 생각하시면 될 것 같습니다.
[긴급] 이메일로 윈도우 도움말 파일 ‘.chm’ 받았다면? 악성코드 감염 조심
최근 윈도우 도움말 파일(chm)을 이용한 악성 이메일이 지속적으로 발견되고 있어 사용자들의 주의가 필요하다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번에 발견된 메일은 ‘여러
www.boannews.com
기사에서는 자바스크립트를 통해 파워쉘(PowerShell)을 실행시켜 악성코드를 다운로드 받는다고 나와있죠. 그런데 제가 실제로 chm 파일을 분석해 보지는 못했기 때문에 더 지금은 자세하게 말씀드리기는 어려울 것 같으니 짧게 줄이도록 하고요. 대응 방안에 대해서 말씀드리면 일단 파일을 실행시키지 않으면 되는데, 문제는 이러한 악성 메일이 대통령 선거 결과에 대한 내용이라던지 최근 코로나와 관련된 질병에 대한 예방 등과 같이 저희가 한번 쯤은 궁금해할만한 제목으로 온다는 겁니다. 우선적으로는 메일에 chm 파일이 있다면 열지 않고 바로 삭제하는게 좋을 것 같습니다. 그러면 오늘은 이만 쓰고 또 다른 이슈로 돌아오도록 하겠습니다. 읽어주셔서 감사합니다.
'Security Essay' 카테고리의 다른 글
| 오픈소스 보안 취약점 사례 (0) | 2022.04.22 |
|---|---|
| 방역 수칙 위반 경찰서 출석요구 사칭 메일 사례 (0) | 2022.04.17 |
| 클라우드를 노리는 암호화폐 채굴 공격 사례 (3) | 2022.04.13 |
| 기업 사용자를 타겟으로 한 문서 악성코드 사례 (0) | 2022.04.10 |
| 코로나 대출 사기 악성 앱 사례 (0) | 2022.04.02 |
댓글