울지않는벌새 : Security, Movie & Society

AhnLab V3 프로그램 실행 알림 : 유효하지 않은 디지털 서명이 포함된 악성코드 (2015.5.3)

벌새::Software

AhnLab V3 보안 제품에 클라우드 평판 기반의 실행 차단 기능이 포함되었을 당시 디지털 서명이 포함된 프로그램(파일)을 실행할 때에는 무조건 실행되는 부분에 대해 언급한 적이 있었습니다.

해당 부분에 대해 가장 우려스럽게 생각하는 부분으로는 악성코드에 디지털 서명이 포함되는 경우인데, 특히 유효하지 않은 디지털 서명에서는 어떤 반응을 보이는지 테스트를 진행해 보았습니다.

 

테스트를 위해서 과거부터 취약점(Exploit)을 통해 악성코드 유포가 지속적으로 발생하고 있는 국내 소설 사이트로 유명한 "조아라 바이러스"로 불리우는 웹 사이트에서 유포되는 따끈한 파일을 이용했습니다.

  • h**p://**mnast.co.kr/eml/w/index.html (avast! : JS:Includer-BIE [Trj])
  • h**p://**mnast.co.kr/eml/w/ww.html (Hauri ViRobot : VBS.CVE-2014-6332.Gen[h])
  • h**p://**mnast.co.kr/eml/w/main.html (MSE : Exploit:JS/CVE-2010-0806.gen!C)
  • h**p://**mnast.co.kr/eml/w/logo.swf (알약(ALYac) : Script.SWF.C197)
  • h**p://**mnast.co.kr/eml/w/HxDnVx.jar (Kaspersky : HEUR:Exploit.Java.CVE-2011-3544.gen)
  • h**p://**mnast.co.kr/eml/w/LhXtGx.jar (알약(ALYac) : Java.Exploit.CVE-2012-4681.D)
  • h**p://**mnast.co.kr/eml/w/OrRyZq.jar (알약(ALYac) : Java.Exploit.CVE-2013-0422.P)

이 글을 작성하는 시점을 기준으로 해당 웹 사이트에서는 여전히 악성코드를 유포하고 있으며, Windows, Internet Explorer, Adobe Flash Player, Oracle Java 프로그램에 대한 보안 패치가 이루어지지 않은 PC 환경에서 접속할 경우 자동으로 악성코드 감염이 발생할 수 있습니다.

  • h**p://car**beauty.com/naver/win.exe (SHA-1 : be050ab1523492a0e52b5b0f691f3806e2957270) - 알약(ALYac) : Trojan.Dropper.AD.05038020, MSE : Trojan:Win32/Dynamer!ac (VT : 15/56)

이를 통해 최종적으로 다운로드되는 파일(win.exe)에는 유효하지 않은 "ShenZhen Thunder Networking Technologies Ltd." 디지털 서명이 포함되어 있는 것을 확인할 수 있으며, 테스트 당시 AhnLab V3 보안 제품에서는 진단되지 않고 있습니다.

 

1. 클라우드 평판 기반 실행 차단 : 보통(권장), 높음

클라우드 평판 기반 실행 차단 기능이 보통(권장), 높음 수준으로 설정된 AhnLab V3 보안 제품에서는 취약점(Exploit)을 통해 최종 다운로드되어 자동 실행되는 win.exe 악성 파일에 대해 "프로그램 실행 알림" 창을 생성하여 사용자에게 파일 처리 방법을 결정하도록 제시하고 있습니다.

 

이를 통해 사용자는 웹 사이트 접속시 자동 실행되는 유효하지 않은 디지털 서명이 포함된 악성 파일을 차단하여 감염을 예방할 수 있습니다.

 

2. 클라우드 평판 기반 실행 차단 : 낮음

클라우드 평판 기반 실행 차단 기능이 낮음 수준으로 설정된 AhnLab V3 보안 제품에서는 취약점(Exploit)을 통해 최종 다운로드되는 win.exe 악성 파일에 대해 클라우드 평판 기능이 동작하지 않는 것을 확인하였습니다.

 

대신 자동 실행되어 악의적인 기능을 수행하는 "C:\vmCH1C\1L8v99AC.dll" 파일을 생성하는 과정에서 ASD.Prevention 진단명으로 사전 대응이 이루어지고 있는 것을 알 수 있습니다.

참고로 생성된 악성 파일 패턴을 봐서는 이전에 살펴본 포털 사이트 접속시 금융감독원 배너를 생성하는 인터넷뱅킹 악성코드의 변종으로 추정됩니다.

 

그러므로 위의 테스트를 고려한다면 악성 파일에 유효하지 않은 디지털 서명이 포함된 경우에는 클라우드 평판 기반 실행 차단 기능을 통해 최종 실행 시점에서 AhnLab V3 보안 제품이 진단하지 못하는 경우에도 차단이 가능하다는 점과 항상 차단 수준은 보통(권장) 또는 높음 수준으로 설정하시고 사용해야 한다는 점입니다.