Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보HandySoft 코드서명이 악용된 악성코드 분석
작성일 2017-01-25 조회 1558

1. 개요

그룹웨어 제작사 핸디소프트의 코드서명이 악성코드유포에 이용돼 화제가 되고 있다. 이 그룹웨어는 국내 공공기관 절반 이상이 사용하고 있어 큰 파장이 일 것으로 보인다.

핸디소프트에 따르면 자사 프로그램 배포 시 사용하는 코드서명이 유출돼 KISA 등 관계 기관과 대응 중이라고 밝혔으며 “아직 자세한 결과는 나오지 않았다”고 전했다.

파일에 사용된 코드서명은, 이 파일이 정확히 이 제작자로부터 제작되었고, 사용자에게 전달되는 동안 어떤 위∙변조도 있지 않음을 확인하는 수단으로 사용된다. 따라서 사용자는 코드서명이 정상일 시 파일도 정상으로 인식하고 별도의 검증 없이 사용하게 된다. 아래는 코드서명의 유무에 따른 실행 화면 차이를 나타낸다.


< 그림 > 올바르지 않은 코드서명으로 서명된 실행 파일


< 그림 > 정상적으로 서명된 실행 파일

핸디소프트의 코드서명이 사용된 3fc389.exe 는 23일 현재, 제작사의 발빠른 대처로 신뢰할 수 없는 코드서명임을 인지할 수 있으나, 기존 코드서명이 무효화되는 짧은 공백 동안 다른 사용자가 감염되지 않았다고 보장할 수는 없다.


< 그림 > 만료된 HandySoft 의 코드서명

 

2. 파일 정보

파일 명

handysoft.exe

파일 타입

PE

파일 크기

851,952 Bytes

MD5

aad2d020a904196f005734e3bfe2a9c3

설명

C&C형 악성코드

 

3. 악성 행위

3.1. 악성 명령 암호화

3fc389.exe 는 원격 악성서버와 통신하며 악성행위를 수행하는 C&C형 악성코드이다. 다만 동작에 사용되는 문자열, 함수 등이 모두 AES 암호화 알고리즘으로 암호화 된 채 코드 내에 들어있어 실행파일 만으로 분석을 하는데 한계가 있다.

암호화 된 문자열은 실행 중 메모리 내에서만 복호화 되고, 복호화를 위한 키는 악성코드 실행 시 명령행 인자로 받아(e.g. C:>handysoft.exe MyDecryptionKey) 사용한다. 정상적인 키가 아닐 경우 전혀 실행이 되질 않기 때문에 이 악성코드는 사용자의 부주의나 실수로 인해 단독으로 실행하기 보다 다른 모듈에 의해 다운로드 및 실행 될 것으로 보인다.

 

3.2. Anti Virobot

본격적인 실행에 들어가기 전, 악성코드는 하우리사의 백신 바이로봇 우회를 시도한다.


< 그림 > 바이로봇 우회시도

 

3.3. 악성 행위

이후 본격적인 악성 행위를 수행하는데, 현재 복호화 키가 확보되지 않아 분석에 어려움이 따른다 다만 API 호출의 특징에 따라 행위를 추상적으로나마 예측할 수는 있는데, 총 10개 내외의 적은 행위로 이는 아래와 같다.

명령코드

악성 행위

0xFF34

특정 파일 검색

0xFF35

알 수 없음 (파일 시간 변경)

0xFF37

프로세스 생성

0xFF3A

알 수 없음

0xFF56

임시폴더 경로 얻기

0xFF44

파일 쓰기

0xFF45

커맨드라인 명령 실행

0xFF46

추가 서버 접속

0xFF53

알 수 없음

0xFF40

알 수 없음 (C&C 명령응답 시간 설정) -> 종료

0xFF42

알 수 없음 (C&C 명령응답 시간 설정) -> 종료

0xFF4B

알 수 없음

0xFF55

동작 플래그 설정 -> 종료

< 표 > 악성 행위

 

 

4. 탐지 현황

이 악성코드는 윈스의 APT 공격 대응 솔루션 Sniper APTX에 탐지가 가능하다.


< 그림 > SNIPER APTX 탐지 현황

첨부파일 첨부파일이 없습니다.
태그