[Incident Response] T1223 Compiled HTML File

 

ATT&CK Execution

(1) Execution이란?

  • 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

  • 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

  • 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

  • 예시

    • LNK 파일 내에 포함된 Powershell 명령행 실행

    • 스피어피싱(Spearphishing)메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

[그림 1] Execution

(2) Compiled HTML File이란?

  • Compiled HTML File(chm)은 일반적으로 Microsoft HTML 도움말 시스템의 일부로 배포

  • CHM 파일은 HTML 문서나 이미지, 자바스크립트와 같은 스크립팅 / 웹 관련 프로그래밍 언어와 같은 다양한 컨텐츠의 압축 편집 역할

  • CHM 내용은 HTML 도움말 실행 프로그램(hh.exe)에 의해 로드 된 Internet Explorer 브라우저의 기본 구성 요소를 사용하여 표시됨

  • 공격자는 이 기술을 악용하여 악성코드를 숨길 수 있고, 내장 된 페이로드가 포함된 사용자 정의 CHM 파일을 피해자에게 전달한 뒤, 악성 행위에 의해 트리거가 될 수 있음

  • CHM 실행은 hh.exe를 통한 이진 실행을 설명하지 않는 이전 또는 패치되지 않은 시스템에서 응용 프로그램 허용 목록을 무시할 수 있음

  • 완화 방법으로 실행 방지나 웹 기반 컨텐츠 제한이 있음

  • 실행 방지는 특정 시스템이나 네트워크에 공격자가 악용될 가능성 방지를 위해 hh.exe가 필요하지 않은 경우 응용 프로그램 허용 목록을 사용하는 방법

  • 웹 기반 컨텐츠 제한은 CHM 파일과 같은 적대적 캠페인에 사용되는 것으로 알려진 잠재적이지 않은 파일 형식 다운로드나 전송을 실행 차단하는 방법

(3) Compiled HTML File 내용 정리

3-1. 정상 용도

  • '컴파일된 HTML 파일'은 보통 Microsoft HTML 도움말 시스템의 일부로 배포

  • 다양한 컨텐츠의 압축본 : HTML, Image, Javascript, Hypertext/link

3-2. 악의적 사용

  • 악의적으로 컴파일한 .chm 파일 제작

  • 정상적인 파일처럼 위장하여 '사용자 실행'에 의해 실행

  • 실행 시 내장된 악성 페이로드가 실행되어 감염

3-3. 매개변수

  • .chm - Compiled HTML File (CHM)

3-4. 예제

  • C:\Windows\hh.exe {local chm file path}

 

[그림 2] Compiled HTML File 기법 예시 (1)

 

[그림 3] Compiled HTML File 기법 예시 (2)

 

[그림 4] Compiled HTML File 기법 예시 (3)

(4) 기법 실습

 

4-1. HTML Help Workshop 프로그램 다운로드 > 코드 작성

 

[그림 4] HTML Help Workshop 다운로드 >  코드 작성

 

  • HTML Help Workshop 프로그램을 다운로드하고, [그림 4]를 예시로 하여 코드 작성

 

4-2. HHP 파일 > Sublime Text3 > 컴파일할 수 있는 프로젝트 파일 만들기

 

[그림 5] 프로젝트 파일 만들기

 

  • HHP 파일을 Sublime Text3로 작성하여 컴파일 할 수 있는 프로젝트 파일을 만들어 준다.

 

4-3. HTML Help Workshop 프로젝트 > Log 파일, CHM 파일 생성

 

[그림 6] LOG, CHM 파일 생성

 

  • 다시 HTML Help Workshop으로 가서 프로젝트를 HHP 파일로 만들어주면 Log파일이 생성되고, CHM 파일도 같이 생성됨 

 

4-4. 악의적 CHM 파일 생성 (공격자 입장)

 

[그림 7] CHM 파일 생성

 

  • CMD(명령 프롬프트)를 실행시키고, [그림 7]과 같은 명령어를 입력해주면 성공적으로 악의적인 CHM 파일 생성

  • 실제로는 도움말이 켜지지만, 작성해놓은 계산기가 실행되는 것을 확인

(5) Compiled HTML File 추가 내용

  • ID : T1223

  • 전술 : Defense Evasion, Execution

  • 플랫폼 : Windows

  • 필요 권한 : User

  • 데이터 소스

    • 파일 모니터링

    • 프로세스 모니터링

    • 프로세스 명령 줄 매개변수 

  • 방어 우회

    • 응용 프로그램 허용 목록

    • 디지털 인증서 유효성 검사

# Reference

 

https://attack.mitre.org/techniques/T1223/

 

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1223/T1223.md

저작자표시

'Incident Response > Execution' 카테고리의 다른 글

[Incident Response] T1203 Exploitation for Client Execution  (0) 2020.05.27
[Incident Response] T1173 Dynamic Data Exchange  (0) 2020.05.27
[Incident Response] T1196 Control Panel Items  (0) 2020.05.27
[Incident Response] T1059 Command-Line Interface  (0) 2020.05.26
[Incident Response] T1191 CMSTP  (0) 2020.05.26

+ Recent posts

티스토리툴바