1. 개요

그룹웨어 제작사 핸디소프트의 코드서명이 악성코드유포에 이용돼 화제가 되고 있다. 이 그룹웨어는 국내 공공기관 절반 이상이 사용하고 있어 큰 파장이 일 것으로 보인다.

핸디소프트에 따르면 자사 프로그램 배포 시 사용하는 코드서명이 유출돼 KISA 등 관계 기관과 대응 중이라고 밝혔으며 “아직 자세한 결과는 나오지 않았다”고 전했다.

파일에 사용된 코드서명은, 이 파일이 정확히 이 제작자로부터 제작되었고, 사용자에게 전달되는 동안 어떤 위∙변조도 있지 않음을 확인하는 수단으로 사용된다. 따라서 사용자는 코드서명이 정상일 시 파일도 정상으로 인식하고 별도의 검증 없이 사용하게 된다. 아래는 코드서명의 유무에 따른 실행 화면 차이를 나타낸다.

< 그림 > 올바르지 않은 코드서명으로 서명된 실행 파일

< 그림 > 정상적으로 서명된 실행 파일

핸디소프트의 코드서명이 사용된 3fc389.exe 는 23일 현재, 제작사의 발빠른 대처로 신뢰할 수 없는 코드서명임을 인지할 수 있으나, 기존 코드서명이 무효화되는 짧은 공백 동안 다른 사용자가 감염되지 않았다고 보장할 수는 없다.

< 그림 > 만료된 HandySoft 의 코드서명

2. 파일 정보

파일 명	handysoft.exe
파일 타입	PE
파일 크기	851,952 Bytes
MD5	aad2d020a904196f005734e3bfe2a9c3
설명	C&C형 악성코드

3. 악성 행위

3.1. 악성 명령 암호화

3fc389.exe 는 원격 악성서버와 통신하며 악성행위를 수행하는 C&C형 악성코드이다. 다만 동작에 사용되는 문자열, 함수 등이 모두 AES 암호화 알고리즘으로 암호화 된 채 코드 내에 들어있어 실행파일 만으로 분석을 하는데 한계가 있다.

암호화 된 문자열은 실행 중 메모리 내에서만 복호화 되고, 복호화를 위한 키는 악성코드 실행 시 명령행 인자로 받아(e.g. C:>handysoft.exe MyDecryptionKey) 사용한다. 정상적인 키가 아닐 경우 전혀 실행이 되질 않기 때문에 이 악성코드는 사용자의 부주의나 실수로 인해 단독으로 실행하기 보다 다른 모듈에 의해 다운로드 및 실행 될 것으로 보인다.

3.2. Anti Virobot

본격적인 실행에 들어가기 전, 악성코드는 하우리사의 백신 바이로봇 우회를 시도한다.

< 그림 > 바이로봇 우회시도

3.3. 악성 행위

이후 본격적인 악성 행위를 수행하는데, 현재 복호화 키가 확보되지 않아 분석에 어려움이 따른다 다만 API 호출의 특징에 따라 행위를 추상적으로나마 예측할 수는 있는데, 총 10개 내외의 적은 행위로 이는 아래와 같다.

명령코드	악성 행위
0xFF34	특정 파일 검색
0xFF35	알 수 없음 (파일 시간 변경)
0xFF37	프로세스 생성
0xFF3A	알 수 없음
0xFF56	임시폴더 경로 얻기
0xFF44	파일 쓰기
0xFF45	커맨드라인 명령 실행
0xFF46	추가 서버 접속
0xFF53	알 수 없음
0xFF40	알 수 없음 (C&C 명령응답 시간 설정) -> 종료
0xFF42	알 수 없음 (C&C 명령응답 시간 설정) -> 종료
0xFF4B	알 수 없음
0xFF55	동작 플래그 설정 -> 종료

< 표 > 악성 행위

4. 탐지 현황

이 악성코드는 윈스의 APT 공격 대응 솔루션 Sniper APTX에 탐지가 가능하다.

< 그림 > SNIPER APTX 탐지 현황

첨부파일

첨부파일이 없습니다.

태그

CATEGORIES