I사 인증서 유출 관련 악성코드


1. 개요


최근 금융권과 공공기관에 보안솔루션을 제공하는 보안업체의 디지털 서명이 유출되는 일이 발생했다. 디지털 서명은 프로그램 신뢰와 안전성을 입증하는 역할을 수행하는데 이러한 신뢰관계를 이용하기 위해 해커는 보안업체의 디지털 서명을 유출/악용한 것이다. 특히 해당 보안업체의 보안솔루션은 금융권 및 공공기관에서 많이 사용하고 있다는 점, 과거 3.20 사이버테러와 유사한 형태를 띈다는 점 그리고 상당수의 사용자가 무의식적으로 다운받았을 가능성이 크다는 점에서 매우 심각한 사안이다. 

과연 보안업체의 디지털 서명까지 악용한 악성코드의 목적이 무엇인지 살펴보자. 



디지털 서명 : 인증서가 인증기관에서 발급된 것임을 증명하기 위해, 디지털 서명을 사용하고 있다. 디지털 서명은 종종 

                         전자서명(서명을 전하기 위해 모든 전자 데이터를 가리키는 상위어의 개념)을 구현하기 위해 사용되기도 

                         한다. 


2. 전체 동작


< Figure 1. 악성코드 동작 시나리오 >


유출된 인증서로 서명된 악성코드는 외부 서버에 접근해 추가 악성코드를 다운받아 실행하는 다운로더이다. 현재 해당 서버로부터의 파일 다운로드는 이루어지지 않는 상태이다. 


< Figure 2. 유출된 인증서 정보 >


(1) 타임 라인

  • 2015년 10월 : 인증서 발급

  • 2016년 2월 15일 : 악성코드 탐지 및 고객사 통보

  • 2016년 2월 16일 : 업데이트 완료

(2) 대상 : 13곳 

  • 금융 기관 : 8곳

  • 공공 기관 : 5곳

(3) 외부 서버

  • 국내 : 165.194.123.67:8008 (중앙대 전자전기 공학부)

  • 국외 : 192.99.223.115 (캐나다)


3. 분석 정보


< Figure 3. 악성코드 동작 (일부) >


해당 악성코드는 외부 서버에 접속 후 DBD 명령을 수행하도록 작성되어 있으며 다운로스 성공, 실패와 같은 처리 과정을 외부 서버에 전달하도록 되어 있다. 

또한 특정 경로에 자신을 복제하는 과정에서 랜덤값을 추가해 파일 해시를 변경하게 되고 이를 통해 Anti-Virus 진단 우회를 시도한다. 


< Figure 4. 악성코드 내부 문자열 디코딩 >


해당 악성코드는 외부 접속 서버 정보등 내부 문자열은 모두 인코딩되어 있으며 관련 정보는 다음과 같다. 

  • 디코딩 알고리즘 : XOR
  • 디코딩 키 : 0xF

이를 통해 디코딩하면 다음과 같은 정보를 확인할 수 있다. 

  • 레지스트리 정보
    • 인코딩된 문자열 : \\`i{xn}jSBfl}`|`i{SXfak`x|SLz}}ja{Yj}|f`aS]za
    • 디코딩된 문자열 : Software\Microsoft\Windows\CurrentVersion\Run
  • 파일 생성 경로
    • 인코딩된 문자열 : L5S_}`h}nb/Ifcj|SL`bb`a/Ifcj|SFaf{jlgSFaf{jlg!jwj
    • 디코딩된 문자열 : C:\Program Files\Common Files\Initech\Initech.exe

4. 외부 서버 접속


< Figure 5. 악성코드가 접근한 서버 (1) >


< Figure 6. 악성코드가 접근한 서버 (2) >


5. 샘플 목록


현재까지 확인된 I사 인증서 유출과 관련된 악성코드는 실행파일(EXE)과 라이브러리 파일(DLL) 파일들로 관련 해시(SHA-256)는 다음과 같다. 



* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.


이 글을 공유하기

댓글

Designed by JB FACTORY