본문 바로가기

벌새::Software

AhnLab V3 프로그램 실행 알림 : 유효하지 않은 디지털 서명이 포함된 악성코드 (2015.5.3)

AhnLab V3 보안 제품에 클라우드 평판 기반의 실행 차단 기능이 포함되었을 당시 디지털 서명이 포함된 프로그램(파일)을 실행할 때에는 무조건 실행되는 부분에 대해 언급한 적이 있었습니다.

해당 부분에 대해 가장 우려스럽게 생각하는 부분으로는 악성코드에 디지털 서명이 포함되는 경우인데, 특히 유효하지 않은 디지털 서명에서는 어떤 반응을 보이는지 테스트를 진행해 보았습니다.

 

테스트를 위해서 과거부터 취약점(Exploit)을 통해 악성코드 유포가 지속적으로 발생하고 있는 국내 소설 사이트로 유명한 "조아라 바이러스"로 불리우는 웹 사이트에서 유포되는 따끈한 파일을 이용했습니다.

  • h**p://**mnast.co.kr/eml/w/index.html (avast! : JS:Includer-BIE [Trj])
  • h**p://**mnast.co.kr/eml/w/ww.html (Hauri ViRobot : VBS.CVE-2014-6332.Gen[h])
  • h**p://**mnast.co.kr/eml/w/main.html (MSE : Exploit:JS/CVE-2010-0806.gen!C)
  • h**p://**mnast.co.kr/eml/w/logo.swf (알약(ALYac) : Script.SWF.C197)
  • h**p://**mnast.co.kr/eml/w/HxDnVx.jar (Kaspersky : HEUR:Exploit.Java.CVE-2011-3544.gen)
  • h**p://**mnast.co.kr/eml/w/LhXtGx.jar (알약(ALYac) : Java.Exploit.CVE-2012-4681.D)
  • h**p://**mnast.co.kr/eml/w/OrRyZq.jar (알약(ALYac) : Java.Exploit.CVE-2013-0422.P)

이 글을 작성하는 시점을 기준으로 해당 웹 사이트에서는 여전히 악성코드를 유포하고 있으며, Windows, Internet Explorer, Adobe Flash Player, Oracle Java 프로그램에 대한 보안 패치가 이루어지지 않은 PC 환경에서 접속할 경우 자동으로 악성코드 감염이 발생할 수 있습니다.

  • h**p://car**beauty.com/naver/win.exe (SHA-1 : be050ab1523492a0e52b5b0f691f3806e2957270) - 알약(ALYac) : Trojan.Dropper.AD.05038020, MSE : Trojan:Win32/Dynamer!ac (VT : 15/56)

이를 통해 최종적으로 다운로드되는 파일(win.exe)에는 유효하지 않은 "ShenZhen Thunder Networking Technologies Ltd." 디지털 서명이 포함되어 있는 것을 확인할 수 있으며, 테스트 당시 AhnLab V3 보안 제품에서는 진단되지 않고 있습니다.

 

1. 클라우드 평판 기반 실행 차단 : 보통(권장), 높음

클라우드 평판 기반 실행 차단 기능이 보통(권장), 높음 수준으로 설정된 AhnLab V3 보안 제품에서는 취약점(Exploit)을 통해 최종 다운로드되어 자동 실행되는 win.exe 악성 파일에 대해 "프로그램 실행 알림" 창을 생성하여 사용자에게 파일 처리 방법을 결정하도록 제시하고 있습니다.

 

이를 통해 사용자는 웹 사이트 접속시 자동 실행되는 유효하지 않은 디지털 서명이 포함된 악성 파일을 차단하여 감염을 예방할 수 있습니다.

 

2. 클라우드 평판 기반 실행 차단 : 낮음

클라우드 평판 기반 실행 차단 기능이 낮음 수준으로 설정된 AhnLab V3 보안 제품에서는 취약점(Exploit)을 통해 최종 다운로드되는 win.exe 악성 파일에 대해 클라우드 평판 기능이 동작하지 않는 것을 확인하였습니다.

 

대신 자동 실행되어 악의적인 기능을 수행하는 "C:\vmCH1C\1L8v99AC.dll" 파일을 생성하는 과정에서 ASD.Prevention 진단명으로 사전 대응이 이루어지고 있는 것을 알 수 있습니다.

참고로 생성된 악성 파일 패턴을 봐서는 이전에 살펴본 포털 사이트 접속시 금융감독원 배너를 생성하는 인터넷뱅킹 악성코드의 변종으로 추정됩니다.

 

그러므로 위의 테스트를 고려한다면 악성 파일에 유효하지 않은 디지털 서명이 포함된 경우에는 클라우드 평판 기반 실행 차단 기능을 통해 최종 실행 시점에서 AhnLab V3 보안 제품이 진단하지 못하는 경우에도 차단이 가능하다는 점과 항상 차단 수준은 보통(권장) 또는 높음 수준으로 설정하시고 사용해야 한다는 점입니다.

  • 비밀댓글입니다

  • 비밀댓글입니다

  • 철이 2015.05.04 11:23 댓글주소 수정/삭제 댓글쓰기

    그렇다면 일전에 클리앙발 크립토락커도 저런식으로 방어가 가능 했겠군요?

    • 네.. 당연히 최종 파일이 실행되는 동작에서 떴을겁니다. 단지 사용자가 파일을 제대로 확인하지 않고 실행을 허용한 경우에는 감염되었겠죠.

  • 나그네 2015.05.06 19:09 댓글주소 수정/삭제 댓글쓰기

    헉 v3는 MDP기능이 있으니
    MDP:Java Exploit이런식으로 취약점으로 다운되는걸 차단해야 하는거 아닌가요??

    • 제가 경험하기로는 AhnLab V3에서 제공하는 취약점(Exploit) 차단 기능이 강력하지 못한 듯 합니다.

      하지만 다양한 보안 기능(URL 차단, 취약점 차단<행위 기반>, 파일 평판)을 통해 단계적으로 차단할 수 있습니다.

  • 비밀댓글입니다

    • 말씀하시는 URL 값에 대해 AhnLab V3 보안 제품에서 악성 사이트로 차단하는 것으로 알고 있습니다.

      하지만 해당 URL 자체(통계 Counter 사이트)는 악성은 아니라 악성코드 유포에 활용되는 부분이 있어서 차단하는 듯합니다.

      그러므로 해당 URL 차단이 이루어지는 사이트는 취약점을 통해 악성코드 유포에 활용될 수 있으므로 당분간 접속하지 않는 것을 권장합니다.

      그리고 취약점을 통한 악성코드 유포 사이트 접속시 기본적으로 보안 패치가 제대로 이루어진 환경에서는 보안 제품 진단 여부와 상관없이 감염이 이루어지지 않으며, 보안 패치가 제대로 되지 않은 PC에서는 자동 감염될 수 있지만 보안 제품에서 차단할 수도 있습니다.

      글쓰신 내용을 봐서는 실제 감염되었는지 알 수 없지만 보안 제품으로 정밀 검사를 해보시기 바랍니다.

    • BlogIcon 초록 2015.05.07 11:02 댓글주소 수정/삭제

      감사합니다. 평범한 인터넷강의 사이트였는데.. 보안에 취약하군요... 앞으로도 꼭 이용해야하는 사이트라 해당 사이트에 문의도 해보고 보안패치에도 신경써야 겠습니다.
      말씀하신대로 일단 카스퍼스키 removal tool과 windows 악성 s/w 제거도구(mrt)등으로 검사를 해보았는데 일단은 잡히는 것은 없었습니다.

  • V3익스플로잇 방어기능이 강력하지 않다고 하셨는데
    1. 그래도 마지막에는 막아주나요?
    2. 바이로봇 APT 쉴드와 충돌하는 경우가 있나요?

    • 행위 기반으로 차단이 안되는 경우에도 마지막에는 파일 평판(프로그램 실행 알림)을 통해 사용자에게 임의의 파일이 자동 실행되는 부분에 대해 알림창을 띄웁니다.

      해당 창에서 사용자가 차단(기본값)을 할 경우 감염되지 않습니다.

      바이로봇 APT Shield 제품과 함께 사용하여도 특별히 충돌 증상은 경험하지 못했습니다.