보안 업데이트 설치 프로그램으로 위장한 악성코드 유포 주의
Contents
안랩에서는 국가사이버안보센터(NCSC) 합동분석협의체와 함께 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하였다.
발견된 악성코드는 보안 업데이트 설치 프로그램으로 위장하였으며 다음과 같이 이노 셋업(Inno Setup) 소프트웨어를 사용하여 제작되었다.
[그림 1] Security Upgrade로 위장한 설치 프로그램
|이노 셋업(Inno Setup)|
|JrSfoftware사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구|
이노 셋업을 사용하여 제작된 설치 프로그램은 파일 내부에 스크립트 파일 ‘install_script.iss’이 존재한다. 스크립트 파일에 기록된 명령에 따라 시스템에 파일을 생성하면서 프로그램이 설치되는 구조이다.
스크립트 파일의 내용은 다음과 같으며 ‘프로그램 및 기능’에 설치 정보를 기록하며 악성 코드 파일을 시스템 경로 ‘C:\ProgramData’에 생성한다.
[그림 2] 위장한 설치 프로그램
[그림 3] install_script.iss 파일 정보
[그림 4] 프로그램 및 기능에 등록된 설치 정보
생성된 악성코드는 다음과 같이 레지스트리 영역의 시작프로그램에 등록되며 시스템에 상주하여 동작한다.
[그림 5] 악성코드 동작 개요
[그림 6] 레지스트리 정보
이후 시스템의 정보를 탈취하여 공격자의 C&C서버로 전송하며 공격자의 원격 명령에 따라 다양한의 명령어를 추가적으로 수행할 수 있다.
출처가 불분명한 파일은 V3 제품을 이용하여 정밀 검사를 수행하며 소프트웨어를 설치할 때에는 소프트웨어 제작사의 공식 홈페이지를 이용하여 …
발견된 악성코드는 보안 업데이트 설치 프로그램으로 위장하였으며 다음과 같이 이노 셋업(Inno Setup) 소프트웨어를 사용하여 제작되었다.
[그림 1] Security Upgrade로 위장한 설치 프로그램
|이노 셋업(Inno Setup)|
|JrSfoftware사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구|
이노 셋업을 사용하여 제작된 설치 프로그램은 파일 내부에 스크립트 파일 ‘install_script.iss’이 존재한다. 스크립트 파일에 기록된 명령에 따라 시스템에 파일을 생성하면서 프로그램이 설치되는 구조이다.
스크립트 파일의 내용은 다음과 같으며 ‘프로그램 및 기능’에 설치 정보를 기록하며 악성 코드 파일을 시스템 경로 ‘C:\ProgramData’에 생성한다.
[그림 2] 위장한 설치 프로그램
[그림 3] install_script.iss 파일 정보
[그림 4] 프로그램 및 기능에 등록된 설치 정보
생성된 악성코드는 다음과 같이 레지스트리 영역의 시작프로그램에 등록되며 시스템에 상주하여 동작한다.
[그림 5] 악성코드 동작 개요
[그림 6] 레지스트리 정보
이후 시스템의 정보를 탈취하여 공격자의 C&C서버로 전송하며 공격자의 원격 명령에 따라 다양한의 명령어를 추가적으로 수행할 수 있다.
출처가 불분명한 파일은 V3 제품을 이용하여 정밀 검사를 수행하며 소프트웨어를 설치할 때에는 소프트웨어 제작사의 공식 홈페이지를 이용하여 …
IoC
c5e0a2b881a60fb3440bb78e9920dccd
http://pita1.sportsontheweb.net
http://pita1.sportsontheweb.net