벌새::Analysis

Trojan.GenericKD.45089602 진단명으로 탐지되는 직업기초능력평가 자가진단 프로그램 (2020.12.24)

벌새 2020. 12. 24. 19:22
반응형

네이버 지식인에 올라온 질문을 확인하던 중 직업기초능력평가 자가진단 프로그램을 알약(ALYac) 백신 프로그램에서 탐지한다는 내용이 올라와 있습니다.

 

직업기초능력평가 자가진단 프로그램은 교육부에서 운영하는 사이트에서 제공되는 프로그램으로 탐지와 관련된 부분에 대해 살펴보도록 하겠습니다.

 

TeenupExamClient_STSetup_20201210.exe 파일 진단 모습 (출처 : VirusTotal)

직업기초능력평가 자가진단 프로그램의 설치 파일(SHA-1 : 7f6f095d5daa750093683494ce8c35f839b23ca8)은 TeenupExamClient_STSetup_20201210.exe 파일명으로 배포되고 있으며, Kaspersky 제품에서는 HEUR:Trojan-Ransom.Win32.Blocker.gen 진단명으로 탐지되고 있습니다.

 

알약(ALYac) 탐지 모습 : Trojan.GenericKD.45089602

하지만 프로그램이 설치된 후 알약(ALYac) 백신 프로그램에서는 생성된 파일 중 "C:\Program Files (x86)\TeenupExamClient_ST\TeenupExamClient_ST.exe" 파일(SHA-1 : 45ba7833c708fc0522663809806a6df362779a03)에 대하여 Trojan.GenericKD.45089602 진단명으로 탐지되고 있습니다.

 

TeenupExamClient_ST.exe 파일 정보

탐지된 TeenupExamClient_ST.exe 파일은 "넷플라이 주식회사" 디지털 서명을 가지고 있는 "직업기초능력평가 응시자(자가진단)" 실행 파일로 확인되고 있습니다.

 

TeenupExamClient_ST.exe 파일 최초 실행 시 모습

직업기초능력평가 자가진단 프로그램이 최초 실행될 경우 TeenupExamClient_ST.exe 파일이 실행되면서 사용자 계정 컨트롤(UAC) 알림 기능이 활성화된 Windows 기본 환경에서는 위와 같은 알림 메시지 창이 생성됩니다.

 

TeenupExamClient_ST.exe 프로세스 동작 모습

실행된 TeenupExamClient_ST.exe 파일은 추가적으로 "C:\Program Files (x86)\TeenupExamClient_ST\NsProcess.exe" 파일(SHA-1 : 0b7f9dc39dae73aace86a770f9afe80b65c841dc)을 추가 로딩하여 동작하는 모습을 확인할 수 있으며, 이 과정에서 NsProcess.exe 파일은 다음과 같은 2가지 동작을 수행하게 됩니다.

 

(1) Windows 방화벽에 TeenupExamClient_ST.exe 파일 신뢰 처리하기

 

Windows 방화벽 앱 허용 : TeenupExamClient_ST.exe 추가 명령어

위와 같은 명령어 실행을 통해 TeenupExamClient_ST.exe 파일을 Windows 방화벽에서 허용된 앱 목록에 자동 추가합니다.

 

Windows 방화벽 앱 허용 : TeenupExamClient_ST.exe 속성

이를 통해 TeenupExamClient_ST.exe 항목으로 추가된 앱은 인바운드 규칙에 추가되어 외부 통신을 허용하게 됩니다.

 

(2) 사용자 계정 컨트롤(UAC) 알림 기능 비활성화하기

 

사용자 계정 컨트롤(UAC) 알림 기능 비활성화 명령어

위와 같은 명령어 실행을 통해 EnableUAC 설정값을 통해 사용자 계정 컨트롤(UAC) 알림 기능을 비활성화 처리합니다.

 

사용자 계정 컨트롤 설정

PC 화면 상에서는 "사용자 계정 컨트롤을 끄려면 컴퓨터를 다시 시작해야 합니다." 알림 메시지가 생성되며, Windows 재부팅부터 사용자 계정 컨트롤(UAC) 알림 기능이 표시되지 않습니다.

 

TeenupExamClient_ST.exe 파일 진단 모습 (출처 : VirusTotal)

위와 같은 2가지 보안 기능 우회 기능으로 인하여 해외 다수의 백신 프로그램에서 악성코드 탐지가 발생하는 것으로 보이며, 특히 이런 기능은 악성코드에서 쉽게 볼 수 있다는 점에서 충분히 탐지 가능한 부분이 아닌가 싶습니다.

 

물론 프로그램 자체가 정상 프로그램이지만 일부 백신 프로그램에서 탐지가 발생할 수 있으므로 알약(ALYac) 백신 프로그램에서 이 부분은 인지하고 예외 처리를 하지 않을 경우에는 사용자가 "C:\Program Files (x86)\TeenupExamClient_ST\TeenupExamClient_ST.exe" 파일을 개별 제외 처리하는 방식으로 사용할 수 밖에 없을 것 같습니다.

 

개인적으로는 방화벽에서 앱 허용을 하는 부분은 충분히 이해가 가지만 사용자 계정 컨트롤(UAC) 알림 기능을 자동으로 끄는 방식은 보안상 문제가 있으며, 알림 기능을 비활성화할 경우 악성 프로그램 동작 중 1차적으로 알림 기능으로 차단할 수 있는 기회를 놓칠 수 있으므로 권장하지 않습니다.

320x100
반응형