[보안뉴스] 일일 외부 보안동향 (2023.02.19)_1
ASEC(AhnLab Security Emergengy response Center) 분석팀은
취약한 버전의 Innorix Agent 사용자를 타겟으로 악성 코드 유포 정황을 확인하였다.
취약한 버전의 Innorix Agent 사용자를 타겟으로 악성 코드 유포 정황을 확인하였다.
확보된 악성 코드는 백도어로 C&C 서버로 접속을 시도한다.
[그림 1] 한국인터넷진흥원 취약점 보안 업데이트 공지[1]
한국인터넷진흥원(KISA)[1]에서 취약점 관련 내용을 게시하고
보안 업데이트가 권고된 INNORIX Agent 9.2.18.450 및 이전 버전 에 해당하는
9.2.18.418 로 확인했다. 
탐지된 백도어는 C&C 서버로 접속을 시도한다.
[그림 2] ASD 인프라 탐지 로그
주요 기능으로는 사용자 PC의 정보를 수집하여 전달하는 기능이 있으며
화면 캡처 기능과 파일 생성 및 실행 기능이 있다.
확인된 백도어는 두 가지 외형을 갖는 형태였으며, 초기 발견된 형태는 C/C++ 로 개발된 것으로 확인했으며 최근 탐지된 샘플은 닷넷으로 제작된 형태이다.
[그림 3] ASD 인프라 탐지 리포트
두 가지 형태 모두 기능에서는 차이가 없으며,
일부 탐지 리포트에서 악성코드를 작업 스케줄러에 등록할 때
작업 이름에 자사명(AhnLab)을 사용하여 은닉 하려는 방식을 사용하는 것을 확인 했다.
[그림 4]인코딩 및 디코딩 루틴
데이터를 사용하며, 발신 때도 동일하게 사용하여 데이터를 전송한다.
데이터를 인코딩 및 디코딩 루틴을 통해 암호화해 전송하여 패킷 단위의 모니터링을 우회하며
자사 진단명 기준 Andardoor의 특징으로 볼 수 있다.
키 값은 74615104773254458995125212023273 로
최근 소프트웨어의 취약점으로 유포되는 형태가 확인되고 있어기업 사용자 및 일반 사용자의 각별한 주의가 필요하다.
취약한 버전의 소프트웨어는 업데이트 후 사용하도록 관리되어야 한다.
[파일 진단]
- Backdoor/Win.Andardoor.R558252
- Backdoor/Win.Andardoor.C5381120
- Backdoor/Win.Andardoor.C5382662
- Backdoor/Win.Andardoor.C5382103
- Backdoor/Win.Andardoor.C5382101
[IOC]
- bcac28919fa33704a01d7a9e5e3ddf3f
- 1ffccc23fef2964e9b1747098c19d956
- 9112efb49cae021abebd3e9a564e6ca4
- 0a09b7f2317b3d5f057180be6b6d0755
- 0211a3160cc5871cbcd4e5514449162b
- ac0ada011f1544aa3a1cf27a26f2e288
- c892c60817e6399f939987bd2bf5dee0
- 6dd579cfa0cb4a0eb79414de6fc1d147
- 88a7c84ac7f7ed310b5ee791ec8bd6c5
- e5410abaaac69c88db84ab3d0e9485ac
- 4.246.144.112:443
- 139.177.190.243:443
- 27.102.107.224:5443
- 27.102.107.234:8443
- 27.102.113.88:5443
- 27.102.113.88:21
- 109.248.150.179:443
[참고문헌]
[1] 보안 취약점 정보 포털 (krcert.or.kr)
[2] CISA 분석 보고서
Comments
Post a Comment