본문 바로가기

벌새::Security

CCleaner 공식 프로그램 변조를 통한 정보 유출 사고 소식 (2017.9.18)

반응형

시스템 최적화 프로그램으로 유명한 Piriform 업체는 최근에 avast! 보안 업체에서 인수하였는데, 최근 CCleaner 제작사에서 배포한 프로그램이 악의적으로 조작되어 시스템 정보를 수집하여 외부로 유출한 것으로 밝혀졌습니다.

 

 

 

영향을 받은 소프트웨어 버전은 Windows x86 (32비트)용 CCleaner 5.33.6162 버전(2017년 8월 15일 ~ 9월 12일)과 CCleaner Cloud 1.07.3191 버전(2017년 8월 24일 ~ 9월 12일)으로 설치 파일 및 내부 생성 파일의 디지털 서명 정보는 다음과 같습니다.

 

 

변조된 CCleaner 프로그램(SHA-1 : c705c0b0210ebda6a3301c6ca9c6091b2ee11d5b)에 포함된 "Piriform Ltd" 디지털 서명이 모두 유효하다는 점에서 아마도 CCleaner 개발자 PC 환경이 악성코드에 감염된 상태에서 빌드되어 배포가 이루어진 것이 아닌가 의심됩니다.

 

최초 설치가 완료된 CCleaner 프로그램은 실행될 경우 "C:\Program Files\CCleaner\CCleaner.exe" 파일(SHA-1 : 8983a49172af96178458266f93d65fa193eaaef2 - ClamAV : Win.Trojan.Floxif-6336251-0)이 메모리에 상주하며, 실행 후 600초(10분) 동안은 악성코드 행위가 발생하지 않습니다.

 

이후 600초 경과 시 "HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo\TCID" 데이터 값을 체크하여 시간 조건을 만족할 경우 실행 여부가 결정되며 또한 실행된 현재 사용자가 관리자 권한을 가지고 있느냐의 여부에 따라 실행 여부가 결정됩니다.

 

 

이후 "HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo\MUID" 데이터 값 체크를 통해 유효한 경우 미국(USA)에 위치한 "216.126.225.148" C&C 서버로 컴퓨터 이름, IP 주소, 설치된 프로그램 목록, 네트워크 어댑터 목록 정보를 수집하여 전송합니다.

 

 

만약 C&C 서버와의 통신에 실패하는 경우에는 2017년 9월용 도메인 생성 알고리즘(DGA) 규칙에 따라 "ab1145b758c30.com (52.23.205.85)" 서버로 쿼리를 요청할 수 있습니다.

 

해외 분석에 따르면 추가적인 악성코드 다운로드 등에 대한 정보는 없으며, 현재까지는 해당 기간 동안 CCleaner 프로그램을 설치하여 실행한 경우 시스템 정보가 외부로 유출되었을 것으로 추정됩니다.

 

현재 Piriform 업체에서는 업데이트를 통해 CCleaner 5.34 버전과 CCleaner Cloud 1.07.3214 버전을 배포하고 있으므로 32비트용 CCleaner 프로그램을 설치하여 사용하고 있는 경우에는 반드시 최신 버전으로 업데이트를 하시기 바라며, 만약을 위해 백신 프로그램을 이용한 시스템 정밀 검사를 해보시기 바랍니다.

 

이번 해킹 사고는 정식 사이트에서 배포한 설치 파일에 악의적인 코드를 추가하여 유효한 디지털 서명이 포함된 형태로 배포되어 제작사조차도 인지하지 못하고 있었던 것으로 보입니다.

728x90
반응형