침해사고분석팀ㅣ2021.01.22
침해사고분석팀ㅣ2021.01.22
침해사고분석팀ㅣ2021.01.22
침해사고분석팀ㅣ2021.01.22
취약점 정보 ㅣ [CVE-2020-8655] EyesOfNetwork RCE
침해사고분석팀ㅣ2021.01.22
악성코드 정보HandySoft 코드서명이 악용된 악성코드 분석 | ||||||||||||||||||||||||||||||||||||||||||
작성일 | 2017-01-25 | 조회 | 1605 | |||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1. 개요그룹웨어 제작사 핸디소프트의 코드서명이 악성코드유포에 이용돼 화제가 되고 있다. 이 그룹웨어는 국내 공공기관 절반 이상이 사용하고 있어 큰 파장이 일 것으로 보인다. 핸디소프트에 따르면 자사 프로그램 배포 시 사용하는 코드서명이 유출돼 KISA 등 관계 기관과 대응 중이라고 밝혔으며 “아직 자세한 결과는 나오지 않았다”고 전했다. 파일에 사용된 코드서명은, 이 파일이 정확히 이 제작자로부터 제작되었고, 사용자에게 전달되는 동안 어떤 위∙변조도 있지 않음을 확인하는 수단으로 사용된다. 따라서 사용자는 코드서명이 정상일 시 파일도 정상으로 인식하고 별도의 검증 없이 사용하게 된다. 아래는 코드서명의 유무에 따른 실행 화면 차이를 나타낸다.
핸디소프트의 코드서명이 사용된 3fc389.exe 는 23일 현재, 제작사의 발빠른 대처로 신뢰할 수 없는 코드서명임을 인지할 수 있으나, 기존 코드서명이 무효화되는 짧은 공백 동안 다른 사용자가 감염되지 않았다고 보장할 수는 없다.
2. 파일 정보
3. 악성 행위3.1. 악성 명령 암호화3fc389.exe 는 원격 악성서버와 통신하며 악성행위를 수행하는 C&C형 악성코드이다. 다만 동작에 사용되는 문자열, 함수 등이 모두 AES 암호화 알고리즘으로 암호화 된 채 코드 내에 들어있어 실행파일 만으로 분석을 하는데 한계가 있다. 암호화 된 문자열은 실행 중 메모리 내에서만 복호화 되고, 복호화를 위한 키는 악성코드 실행 시 명령행 인자로 받아(e.g. C:>handysoft.exe MyDecryptionKey) 사용한다. 정상적인 키가 아닐 경우 전혀 실행이 되질 않기 때문에 이 악성코드는 사용자의 부주의나 실수로 인해 단독으로 실행하기 보다 다른 모듈에 의해 다운로드 및 실행 될 것으로 보인다.
3.2. Anti Virobot본격적인 실행에 들어가기 전, 악성코드는 하우리사의 백신 바이로봇 우회를 시도한다.
3.3. 악성 행위이후 본격적인 악성 행위를 수행하는데, 현재 복호화 키가 확보되지 않아 분석에 어려움이 따른다 다만 API 호출의 특징에 따라 행위를 추상적으로나마 예측할 수는 있는데, 총 10개 내외의 적은 행위로 이는 아래와 같다.
< 표 > 악성 행위
4. 탐지 현황이 악성코드는 윈스의 APT 공격 대응 솔루션 Sniper APTX에 탐지가 가능하다.
|
||||||||||||||||||||||||||||||||||||||||||
첨부파일 | 첨부파일이 없습니다. | |||||||||||||||||||||||||||||||||||||||||
![]() ![]() ![]() |
||||||||||||||||||||||||||||||||||||||||||
태그 |