← 보안센터로 돌아가기

분석정보 · 악성코드 분석 정보

[악성코드 분석] 전자서명을 도용해 유포된 악성코드

전자서명을 도용해 유포된 악성코드 분석 보고서 1. 개요 최근 한 전자서명 업체의 코드서명(코드사인)이 해킹되어, 악성코드 유포에 악용된 사건이 발생했다. 특정 프로그램의 게시자 정보를 알려줘 믿고 다운받을 수 있게 해주는 코드서명을 이용해, 사용자가 서명된 악성파일을 의심없이 다운받고 실행하도록 한 것이다. 본 보고서에선 코드서명을 악용하여 유포된 악성코드 Trojan/W32.Agent.7

2016-03-03INCA Security Center

전자서명을 도용해 유포된 악성코드 분석 보고서


1. 개요

최근 한 전자서명 업체의 코드서명(코드사인)이 해킹되어, 악성코드 유포에 악용된 사건이 발생했다. 특정 프로그램의 게시자 정보를 알려줘 믿고 다운받을 수 있게 해주는 코드서명을 이용해, 사용자가 서명된 악성파일을 의심없이 다운받고 실행하도록 한 것이다.


본 보고서에선 코드서명을 악용하여 유포된 악성코드 Trojan/W32.Agent.78592.I 를 분석하여, 운영체제의 서명 파일 취급과정과 해당 악성코드의 악성동작에 대해 알아보고자 한다.




2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

275b7.exe

파일크기

78,592 byte

진단명

Trojan/W32.Agent.78592.I

악성동작

다운로더

네트워크

165.***.***.67:443


2-2. 용어 설명

일반적으로 통장개설, 보험 계약 등에 사용되는 서명이 본인 자신을 인증할 때 쓰이는 것처럼 전자서명’ 은 인터넷 안에서 서명과 같이 본인인증 용도로 쓰인다. 여기에 추가적으로 내가 서명한 대상(문서·실행파일·웹사이트·또 다른 전자서명 등)이 위조되지 않았다는 무결성 검증 기능을 갖고 있다.


코드서명의 경우, 설치하려는 프로그램 게시자 정보를 알려주어 신뢰도와 안전성 여부를 확인할 수 있는 전자서명이다. 사용자는 아래 [그림1]과 [그림2]를 통해 서명된 파일과 그렇지 않은 파일을 구분할 수 있다. 분석에 사용된 파일은 서명되지 않은 임의로 실행파일 dummyGUI.exe 와 서명된 악성코드 Trojan/W32.Agent.78592.I 이다.



[그림 1] 서명 여부에 따른 웹 브라우저 다운로드 알림창 차이




[그림 2] 서명 여부에 따른 실행화면 차이





두 파일은 다운로드 및 실행에도 확연한 차이를 보이며, 운영체제에서 적용하는 정책 또한 다르다. 다운로드 및 실행 시 보이는 화면 외에도 사용자는 해당파일을 마우스 우클릭 후 '속성 전자 서명에서 전자 서명의 세부 항목을 확인해 볼 수 있다.


이 악성코드엔 과거 정상적으로 사용되던 전자 서명이 되어있어 의심 없이 실행시킬 위험이 있다. 현재 해당 서명은 전량 폐기되었고 새로운 서명 파일이 배포 및 조치되었다.



[그림 3] 악성코드의 전자 서명 및 서명 인증서




2-3. 실행 과정

악성코드는 최초실행 시 자기 자신을 C:\Program Files\Common Files\Graphics\guifx.exe로 자가 복제하고 /run 옵션을 주어 실행시킨다. /run 옵션은 최초실행과 이후 실행을 구분하기 위해 사용된다. 복제한 파일에는 파일 끝에 임의의 4byte를 추가하여 해쉬값을 바꿔준다. 또한 복제한 파일이 자동 실행되도록 레지스트리를 수정하고 자가삭제 및 종료한다.



3. 악성 동작

3-1. 추가 파일 다운로드

이후 실행된 guifx.exe 는 악성서버 165.***.***.67와 통신하며 추가 파일을 다운로드 및 실행한다. 이때 단순히 서버의 파일을 가져오는 것이 아니라 매 다운로드 시도 간격을 조절할 수 있어 악성 트래픽 유발을 최소화하는 것으로 보인다.



[그림 4] 악성서버와 통신 시도



[그림 5] 다운로드 시도 간격 조절




서버와 접속에 성공한다면 사용자 임시폴더 하위에 추가 파일을 다운로드 및 실행한다. 이 때 파일명은 서버에서 지정하지 않는 경우 sec.exe 로 고정된다. 추가 악성파일을 서버에서 다운로드 받기 때문에 이 악성코드에 의한 추가적인 위협은 현재 확인되지 않는다.



[그림 6] 파일 다운로드 및 실행




3-2. 위장 파일 실행

또 다른 악성파일 c2a17.dll 은 다른 프로세스를 실행시키는 역할을 한다. 이때 실행시키는 파일명은 코드서명을 해킹당한 업체에서 주로 사용하는 파일명과 동일하다.



[그림 7] 파일 실행




4. 결론

이번 사건에서 알았다시피, 서명된 파일이라고 실행파일을 무조건적으로 신뢰해 다운 및 실행을 해서는 안된다. .jpg .txt 등 단순 데이터를 담고 있는 파일과 다르게 실행파일은 PC에 직접적인 악영향을 끼칠 수 있기에 실행 전 반드시 백신 검사를 수행하고, 실시간 감시 기능을 사용하는 것이 바람직하다.


위 악성코드는 모두 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면