hta

HTA(HTML Application) 확장자는 웹 페이지에서 사용하는 HTML 언어를 사용하지만, 일반 웹 브라우저가 아니라 Windows에 내장된 mshta.exe로 실행되는 독립 실행형 프로그램입니다.

Abuse

Office365의 매크로 기능은 APT 그룹이 hta와 같은 파일로 피싱 캠페인을 하는데 사용되는 주요 기능이기 때문에 해당 페이지에서는 Word를 사용하여 진행합니다.

먼저 Word 매크로 실행을 통해 mshta.exe를 통해 C2 서버에 있는 hta 파일을 실행하도록 작성합니다.

이제 해당 문서에서 매크로를 실행하면 C2 서버에 접속하여 mshta.exe로 mal.hta 파일을 실행합니다.

이제 악성 코드를 심을 hta 파일을 생성합니다.

실제 APT 그룹의 경우, 사용할 파워쉘 명령어를 조각한 뒤 Replace 함수와 Base64 인코딩 등 다양한 기법을 적용하여 솔루션을 우회하지만 본 페이지에서는 기초 예시를 보이기 위해 ROT13을 적용하였습니다.

실습할 경우 encCmd 변수에 ROT13을 적용한 코드를 삽입하면 됩니다.

References

지속적으로 유포되는 파워포인트 유형의 악성 첨부파일 - ASECASEC