취약한 Innorix 악용한 악성코드 유포
Contents
ASEC(AhnLab Security Emergengy response Center) 분석팀은 취약한 버전의 Innorix Agent 사용자를 타겟으로 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 백도어로 C&C 서버로 접속을 시도한다.유포에 악용된 Innorix Agent 프로그램은 파일 전송 솔루션 클라이언트 프로그램으로, 한국인터넷진흥원(KISA)[1]에서 취약점 관련 내용을 게시하고 보안 업데이트가 권고된 INNORIX Agent 9.2.18.450 및 이전 버전 에 해당하는 9.2.18.418 로 확인했다. 탐지된 백도어는 C&C 서버로 접속을 시도한다. 주요 기능으로는 사용자 PC의 정보를 수집하여 전달하는 기능이 있으며 화면캡처 기능과 파일 생성 및 실행 기능이 있다. 확인된 백도어는 두 가지 외형을 갖는 형태였으며, 초기 발견된 형태는 C/C++ 로 개발된 것으로 확인했으며 최근 탐지된 샘플은 닷넷으로 제작된 형태이다. 두 가지 형태 모두 기능에서는 차이가 없으며, 일부 탐지 리포트에서 악성코드를 작업 스케줄러에 등록할때 작업 이름에 자사명(AhnLab)을 사용하여 은닉 하려는 방식을 사용하는 것을 확인 했다. 백도어로 구분되는 이 악성코드는 데이터를 수신 때 [그림 4] 의 루틴을 이용하여 데이터를 사용하며, 발신때도 동일하게 사용하여 데이터를 전송한다. 데이터를 인코딩 및 디코딩 루틴을 통해 암호화해 전송하여 패킷 단위의 모니터링을 …