본문 바로가기

벌새::Security

베라포트(VeraPort) 통합 설치 프로그램을 통한 악성코드 유포 소식 (2020.11.20)

반응형

최근 ESET 해외 보안 업체를 통해 공개된 북한 APT 해킹 조직 Lazarus의 베라포트(VeraPort) 프로그램을 통한 악성코드 유포 소식이 공개되었습니다.

 

<WeLiveSecurity 블로그> Lazarus supply‑chain attack in South Korea (2020.11.16)

 

<KISA 보안 공지> 위즈베라 통합 보안 설치 프로그램 베라포트(veraport) 보안 업데이트 권고 (2020.11.18)

 

VeraPort 프로그램을 통한 보안 솔루션 통합 설치 모습

베라포트(VeraPort) 프로그램은 인터넷뱅킹과 같은 웹 서비스 이용 시 설치를 요구하는 다수의 보안 프로그램(개인 PC 방화벽, PC 정보 수집, 공인인증 보안, 키보드 보안 등)을 통합 설치해주는 기능을 제공합니다.

 

VeraPort 3.7.4.0 버전

그런데 VeraPort 3.8.5.0 버전 및 하위 버전이 설치된 PC 환경에서 공격자에 의해 변조된 VeraPort를 지원하는 웹 서버에 접속할 경우 PC에 설치되어 있는 VeraPort는 변조된 웹 서버에 구성 파일 정보를 요청하게 됩니다.

 

VeraPort가 체크하는 구성 파일 (v3.7.4.0 버전 기준)

하지만 변조된 웹 서버에서는 구성 파일에 포함된 정보 중 일부를 수정하여 악성코드를 다운로드하도록 구성하여 사용자 PC에 전송하며, 이를 통해 VeraPort 통합 설치 프로그램은 해당 구성 정보를 참조하여 파일 다운로드 및 설치를 자동으로 진행하게 됩니다.

 

ESET 보안 업체에서 공개한 추가 다운로드된 2종의 악성코드 정보는 다음과 같습니다.

 

파일명 Delfino.exe MagicLineNPIZ.exe
정상 인증서 정보 WIZVERA Co,. Ltd. Dreamsecurity Co., Ltd.
악성코드 인증서 정보 ALEXIS SECURITY GROUP, LLC DREAM SECURITY USA INC
SHA-1 3d311117d09f4a6ad300e471c2fb2b3c63344b1d 3abfec6fc3445759730789d4322b0be73dc695c7
진단명 Trojan:Win32/Ymacco.AA91 (Microsoft) 미확인
정상 파일 경로 C:\Program Files (x86)\Wizvera\Delfino-G3\delfino.exe C:\Program Files (x86)\DreamSecurity\MagicLine4NPIZ\MagicLineNPIZ.exe
악성코드 파일 경로 %Temp%\<12자리 Random 폴더명>\Delfino.exe %Temp%\<12자리 Random 폴더명>\MagicLineNPIZ.exe

해당 파일 정보로 추정해보면 Delfino.exe 악성 파일은 미국 보안 경비 서비스 제공 업체를 해킹하여 인증서를 탈취하여 악성코드에 추가하였으며, MagicLineNPIZ.exe 악성 파일은 국내 DreamSecurity 제작사의 미국 지사를 해킹하여 인증서를 탈취하여 악성코드에 추가한 것으로 보이며, 실제 공격은 2020년 6월~7월 사이에 이루어진 것이 아닌가 추정됩니다.

 

VeraPort 3.8.5.1 버전

이에 따라 VeraPort 프로그램은 2020년 7월 27일경 VeraPort 3.8.5.1 버전 업데이트를 통해 취약점 문제를 수정한 것으로 보입니다.

 

VeraPort가 체크하는 구성 파일 (v3.8.5.1 버전 기준)

근본적으로 VeraPort 통합 설치 프로그램의 기능이 웹 서버에 등록된 파일 다운로드 구성 파일을 체크하여 다수의 파일 다운로드 및 설치가 자동으로 진행되므로 구성 파일 접근 권한만 획득한다면 악성코드 유포를 쉽게 할 수 있는 보안상 위험성이 존재합니다.

 

Veraport(보안모듈 관리 프로그램) G3 프로그램 정보

그러므로 설치 프로그램 목록 중 "Veraport(보안모듈 관리 프로그램) G3"이 존재한다면 버전 정보를 확인하여 3.8.5.0 버전 및 하위 버전인 경우에는 제거를 하신 후 이용하시는 제작사에서 제공하는 설치 파일을 다운로드하여 재설치하시기 바랍니다.

 

베라포트(VeraPort) 업데이트 (https://help.wizvera.com/help/update.jsp)

마지막으로 위와 같은 인터넷뱅킹 웹 서비스 등을 이용을 위해 필수적으로 설치되는 각종 솔루션이 부담되는 경우에는 Oracle VM VirtualBox, VMware Workstation Player, Windows 10 샌드박스와 같은 가상 프로그램을 이용하는 것을 권장해 드립니다.

728x90
반응형