오늘은 조금 생소한 HTA 파일에 대해 알아볼까 합니다. HTA 파일도 악성코드로서 자주 쓰이고 있는 추세이고, 알면 좋을것 같아 공유하기 위해 글을 써봅니다.
HTA란?
- HTA (HTML Application)는 마이크로소프트가 개발한 웹 애플리케이션 프로그래밍 기술이며
- HTA 확장자 파일은 Mshta.exe 윈도우 바이너리로 실행되며 HTML에 포함된 VBScript 및 JScript를 실행할 수 있기 때문에 MS로 서명된 유틸리티를 통해 임의 스크립트 코드 실행을 할 수 있어 공격하기엔 꽤나 편리한 수단이다.
- 실제로 hta 파일을 통한 공격이 많이 이루어지고 있는 추세이다.
악성코드로 활용
- HTA의 경우 다양한 언어를 사용할 수 있고, 기존 웹 앱과는 다르게 로컬 파일 시스템이나 레지스트리에 직접 액세스가 가능하다.
- 접근 시 많은 권한을 가질 수 있어 활용도가 높다고 볼 수 있다.
- 실제 MITRE ATT&CK 에서도 Techniques로 지정된 것을 볼 수 있다.
실습
- 계산기를 키는 코드를 한번 실습해보자. 해당 코드를 통해 hta 파일을 하나 만들고 실행해 보았다.
<html>
<body>
<script>
var c= 'calc.exe'
new ActiveXObject('WScript.Shell').Run(c);
</script>
</body>
</html>- 실행 시에 콘솔창과 함께 계산기가 켜지는 것을 확인할 수 있다. 다른 쉘코드나 RAT(Remote Access Trojan)로 사용한다면 매우 편리할 것으로 보인다.
참고
- https://www.레드팀.com/initial-access/phish-attachments/hta
- https://attack.mitre.org/techniques/T1218/005/
System Binary Proxy Execution: Mshta, Sub-technique T1218.005 - Enterprise | MITRE ATT&CK®
attack.mitre.org
HTA - 레드팀 플레이북
일단 시작하기 앞서, 아래와 같이 mshta -> VBScript-> powershell.exe를 통해, "Hello GROOT!" 아웃풋되는지 확인해보자.
www.xn--hy1b43d247a.com
'디지털포렌식 > 악성코드 공부' 카테고리의 다른 글
| Log4Shell(Log4j) 취약점 (1) | 2024.02.01 |
|---|---|
| CHM (Compiled HTML Help) (0) | 2024.01.25 |
| LNK 파일 (1) | 2024.01.23 |