본문 바로가기

벌새::Analysis

Trojan.GenericKD.45089602 진단명으로 탐지되는 직업기초능력평가 자가진단 프로그램 (2020.12.24)

반응형

네이버 지식인에 올라온 질문을 확인하던 중 직업기초능력평가 자가진단 프로그램을 알약(ALYac) 백신 프로그램에서 탐지한다는 내용이 올라와 있습니다.

 

직업기초능력평가 자가진단 프로그램은 교육부에서 운영하는 사이트에서 제공되는 프로그램으로 탐지와 관련된 부분에 대해 살펴보도록 하겠습니다.

 

TeenupExamClient_STSetup_20201210.exe 파일 진단 모습 (출처 : VirusTotal)

직업기초능력평가 자가진단 프로그램의 설치 파일(SHA-1 : 7f6f095d5daa750093683494ce8c35f839b23ca8)은 TeenupExamClient_STSetup_20201210.exe 파일명으로 배포되고 있으며, Kaspersky 제품에서는 HEUR:Trojan-Ransom.Win32.Blocker.gen 진단명으로 탐지되고 있습니다.

 

알약(ALYac) 탐지 모습 : Trojan.GenericKD.45089602

하지만 프로그램이 설치된 후 알약(ALYac) 백신 프로그램에서는 생성된 파일 중 "C:\Program Files (x86)\TeenupExamClient_ST\TeenupExamClient_ST.exe" 파일(SHA-1 : 45ba7833c708fc0522663809806a6df362779a03)에 대하여 Trojan.GenericKD.45089602 진단명으로 탐지되고 있습니다.

 

TeenupExamClient_ST.exe 파일 정보

탐지된 TeenupExamClient_ST.exe 파일은 "넷플라이 주식회사" 디지털 서명을 가지고 있는 "직업기초능력평가 응시자(자가진단)" 실행 파일로 확인되고 있습니다.

 

TeenupExamClient_ST.exe 파일 최초 실행 시 모습

직업기초능력평가 자가진단 프로그램이 최초 실행될 경우 TeenupExamClient_ST.exe 파일이 실행되면서 사용자 계정 컨트롤(UAC) 알림 기능이 활성화된 Windows 기본 환경에서는 위와 같은 알림 메시지 창이 생성됩니다.

 

TeenupExamClient_ST.exe 프로세스 동작 모습

실행된 TeenupExamClient_ST.exe 파일은 추가적으로 "C:\Program Files (x86)\TeenupExamClient_ST\NsProcess.exe" 파일(SHA-1 : 0b7f9dc39dae73aace86a770f9afe80b65c841dc)을 추가 로딩하여 동작하는 모습을 확인할 수 있으며, 이 과정에서 NsProcess.exe 파일은 다음과 같은 2가지 동작을 수행하게 됩니다.

 

(1) Windows 방화벽에 TeenupExamClient_ST.exe 파일 신뢰 처리하기

 

Windows 방화벽 앱 허용 : TeenupExamClient_ST.exe 추가 명령어

위와 같은 명령어 실행을 통해 TeenupExamClient_ST.exe 파일을 Windows 방화벽에서 허용된 앱 목록에 자동 추가합니다.

 

Windows 방화벽 앱 허용 : TeenupExamClient_ST.exe 속성

이를 통해 TeenupExamClient_ST.exe 항목으로 추가된 앱은 인바운드 규칙에 추가되어 외부 통신을 허용하게 됩니다.

 

(2) 사용자 계정 컨트롤(UAC) 알림 기능 비활성화하기

 

사용자 계정 컨트롤(UAC) 알림 기능 비활성화 명령어

위와 같은 명령어 실행을 통해 EnableUAC 설정값을 통해 사용자 계정 컨트롤(UAC) 알림 기능을 비활성화 처리합니다.

 

사용자 계정 컨트롤 설정

PC 화면 상에서는 "사용자 계정 컨트롤을 끄려면 컴퓨터를 다시 시작해야 합니다." 알림 메시지가 생성되며, Windows 재부팅부터 사용자 계정 컨트롤(UAC) 알림 기능이 표시되지 않습니다.

 

TeenupExamClient_ST.exe 파일 진단 모습 (출처 : VirusTotal)

위와 같은 2가지 보안 기능 우회 기능으로 인하여 해외 다수의 백신 프로그램에서 악성코드 탐지가 발생하는 것으로 보이며, 특히 이런 기능은 악성코드에서 쉽게 볼 수 있다는 점에서 충분히 탐지 가능한 부분이 아닌가 싶습니다.

 

물론 프로그램 자체가 정상 프로그램이지만 일부 백신 프로그램에서 탐지가 발생할 수 있으므로 알약(ALYac) 백신 프로그램에서 이 부분은 인지하고 예외 처리를 하지 않을 경우에는 사용자가 "C:\Program Files (x86)\TeenupExamClient_ST\TeenupExamClient_ST.exe" 파일을 개별 제외 처리하는 방식으로 사용할 수 밖에 없을 것 같습니다.

 

개인적으로는 방화벽에서 앱 허용을 하는 부분은 충분히 이해가 가지만 사용자 계정 컨트롤(UAC) 알림 기능을 자동으로 끄는 방식은 보안상 문제가 있으며, 알림 기능을 비활성화할 경우 악성 프로그램 동작 중 1차적으로 알림 기능으로 차단할 수 있는 기회를 놓칠 수 있으므로 권장하지 않습니다.

728x90
반응형
  • 그냥 보안업체에 해당 파일 보내서 보안업체에서 제외 처리 하는것이 좋은 방법인 것 같습니다.

  • 유메네코 2020.12.27 13:32 댓글주소 수정/삭제 댓글쓰기

    넷플라이의 시험관리 솔루션은 대한상공회의소 국가기술자격 상설검정 시스템 등 많은 곳에서 쓰이고 있는데, 직업기초능력평가 이외의 다른 시험에서도 비슷한 문제가 일어나고 있을까요?

    (다만, 동일 회사가 제작한 모의고사용 스탠드 얼론 프로그램에서는 이러한 문제가 발생하지 않았습니다.)

  • 이름 2021.01.16 16:43 댓글주소 수정/삭제 댓글쓰기

    해킹을 당했는데, 가해자들이 실시간으로 제가 검색하는 기록을 알고 있거든요. 장소와 컴퓨터를 바꿔도 같은 현상이 일어나더라고요. 고소를 준비 중이긴 한데, 가해자들이 정당과 언론사들이 개입한 문제라 피곤하네요. 혹시 이런 해킹 방법에 대해 아시거나, 이 사건에 대해 아시면 제보해주시기 바랍니다. 수사에 도움이 되면 사례 하겠습니다. https://www1.president.go.kr/petitions/Temp/sWk6wn