분석 정보/악성코드 분석 정보

[악성코드 분석] 전자서명을 도용해 유포된 악성코드

TACHYON & ISARC 2016. 3. 3. 18:30

전자서명을 도용해 유포된 악성코드 분석 보고서  


 

1. 개요

최근 한 전자서명 업체의 코드서명(코드사인)이 해킹되어, 악성코드 유포에 악용된 사건이 발생했다. 특정 프로그램의 게시자 정보를 알려줘 믿고 다운받을 수 있게 해주는 코드서명을 이용해, 사용자가 서명된 악성파일을 의심없이 다운받고 실행하도록 한 것이다.


본 보고서에선 코드서명을 악용하여 유포된 악성코드 Trojan/W32.Agent.78592.I 를 분석하여, 운영체제의 서명 파일 취급과정과 해당 악성코드의 악성동작에 대해 알아보고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

275b7.exe

파일크기

78,592 byte

진단명

Trojan/W32.Agent.78592.I

악성동작

다운로더

네트워크

165.***.***.67:443

 


2-2. 용어 설명

일반적으로 통장개설보험 계약 등에 사용되는 서명이 본인 자신을 인증할 때 쓰이는 것처럼 전자서명’ 은 인터넷 안에서 서명’ 과 같이 본인인증 용도로 쓰인다여기에 추가적으로 내가 서명한 대상(문서·실행파일·웹사이트·또 다른 전자서명 등)이 위조되지 않았다는 무결성 검증 기능을 갖고 있다


코드서명의 경우, 설치하려는 프로그램 게시자 정보를 알려주어 신뢰도와 안전성 여부를 확인할 수 있는 전자서명이다. 사용자는 아래 [그림1]과 [그림2]를 통해 서명된 파일과 그렇지 않은 파일을 구분할 수 있다. 분석에 사용된 파일은 서명되지 않은 임의로 실행파일 dummyGUI.exe 와 서명된 악성코드 Trojan/W32.Agent.78592.I 이다. 



[그림 1] 서명 여부에 따른 웹 브라우저 다운로드 알림창 차이




[그림 2] 서명 여부에 따른 실행화면 차이





두 파일은 다운로드 및 실행에도 확연한 차이를 보이며, 운영체제에서 적용하는 정책 또한 다르다. 다운로드 및 실행 시 보이는 화면 외에도 사용자는 해당파일을 마우스 우클릭 후 '속성 – 전자 서명에서 전자 서명의 세부 항목을 확인해 볼 수 있다.


이 악성코드엔 과거 정상적으로 사용되던 전자 서명이 되어있어 의심 없이 실행시킬 위험이 있다현재 해당 서명은 전량 폐기되었고 새로운 서명 파일이 배포 및 조치되었다.



[그림 3] 악성코드의 전자 서명 및 서명 인증서




2-3. 실행 과정

악성코드는 최초실행 시 자기 자신을 C:\Program Files\Common Files\Graphics\guifx.exe로 자가 복제하고 /run 옵션을 주어 실행시킨다. /run 옵션은 최초실행과 이후 실행을 구분하기 위해 사용된다복제한 파일에는 파일 끝에 임의의 4byte를 추가하여 해쉬값을 바꿔준다또한 복제한 파일이 자동 실행되도록 레지스트리를 수정하고 자가삭제 및 종료한다.



 

3. 악성 동작

3-1. 추가 파일 다운로드

이후 실행된 guifx.exe 는 악성서버 165.***.***.67와 통신하며 추가 파일을 다운로드 및 실행한다. 이때 단순히 서버의 파일을 가져오는 것이 아니라 매 다운로드 시도 간격을 조절할 수 있어 악성 트래픽 유발을 최소화하는 것으로 보인다.

 



[그림 4] 악성서버와 통신 시도



 

[그림 5] 다운로드 시도 간격 조절




서버와 접속에 성공한다면 사용자 임시폴더 하위에 추가 파일을 다운로드 및 실행한다. 이 때 파일명은 서버에서 지정하지 않는 경우 sec.exe 로 고정된다. 추가 악성파일을 서버에서 다운로드 받기 때문에 이 악성코드에 의한 추가적인 위협은 현재 확인되지 않는다.

 



[그림 6] 파일 다운로드 및 실행




3-2. 위장 파일 실행

또 다른 악성파일 c2a17.dll 은 다른 프로세스를 실행시키는 역할을 한다. 이때 실행시키는 파일명은 코드서명을 해킹당한 업체에서 주로 사용하는 파일명과 동일하다.

 



[그림 7] 파일 실행




 

4. 결론

이번 사건에서 알았다시피, 서명된 파일이라고 실행파일을 무조건적으로 신뢰해 다운 및 실행을 해서는 안된다. .jpg .txt 등 단순 데이터를 담고 있는 파일과 다르게 실행파일은 PC에 직접적인 악영향을 끼칠 수 있기에 실행 전 반드시 백신 검사를 수행하고, 실시간 감시 기능을 사용하는 것이 바람직하다.


위 악성코드는 모두 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면