취약한 버전 특정, 백도어 통해 C&C 서버로 접속 시도

[보안뉴스 김영명 기자] 이노릭스 에이전트(Innorix Agent)는 우리나라 기업인 이노릭스(Innorix)에서 만든 기업용 파일전송 솔루션이다. 그런데 최근 이노릭스 에이전트의 취약한 버전의 약점을 파고들어, 이 프로그램 사용자를 공격하는 악성코드가 발견돼 주의가 요구된다.


▲한국인터넷진흥원 취약점 보안 업데이트 공지[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀에 따르면, 이 악성코드는 웹 기반 업무 시스템이나 웹 서비스에서 파일을 전송하는 프로그램인 Innorix Agent의 취약한 버전 사용자를 특정, 백도어를 통해 C&C 서버로 접속을 시도한다.

유포에 악용된 Innorix Agent 프로그램은 파일 전송 솔루션 클라이언트 프로그램으로, 한국인터넷진흥원(KISA)에서 취약점 관련 내용을 게시하고 보안 업데이트가 권고된 INNORIX Agent 9.2.18.450 및 이전 버전에 해당하는 9.2.18.418로 확인했다.


▲ASD 인프라 탐지 로그 및 ASD 인프라 탐지 리포트(좌부터)[자료=안랩 ASEC 분석팀]

해당 악성코드의 주요 기능으로는 사용자 PC의 정보를 수집해 전달하는 기능과 함께 화면캡처, 파일 생성 및 실행 기능이 있다. 확인된 백도어는 두 가지 종류의 외형을 가졌다. 초기에 발견된 형태는 C/C++로 개발된 것으로 확인했으며, 최근 탐지된 샘플은 닷넷으로 제작된 형태다. 두 가지 형태 모두 기능에서는 차이가 없으며, 일부 탐지 리포트에서 악성코드를 작업 스케줄러에 등록할 때 작업 이름에 안랩(AhnLab)을 사용해 은닉하려는 방식을 사용하는 것이 확인됐다.


▲인코딩 및 디코딩 루틴[자료=안랩 ASEC 분석팀]

백도어로 구분되는 이 악성코드는 데이터를 수신 때 인코딩 및 디코딩 루틴을 이용해 데이터를 사용하며, 발신 때도 해당 루틴을 이용해 데이터를 전송한다. 데이터를 인코딩 및 디코딩 루틴을 통해 암호화하고 전송해 패킷 단위의 모니터링을 우회한다. 해당 악성코드는 기존에 분석했던 Andardoor의 특징으로 볼 수 있으며, 키 값은 74615104773254458995125212023273로 2016년에 작성된 CISA 보고서에 명시된 XOR 키값과 동일했다.

ASEC 관계자는 “최근 소프트웨어의 취약점으로 유포되는 형태가 확인되고 있어 기업 및 일반 사용자의 각별한 주의가 필요하다”며, “취약한 버전의 소프트웨어는 업데이트 후 사용하는 것이 중요하다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>