취약 소프트웨어 및 개요
VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다.
취약점 설명
해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert에는 원격 코드 실행 취약점(RCE)이 발생할 수 있다.
패치 대상 및 버전
VestCert 2.3.6 ~ 2.5.29 버전
취약점 악용 로그(Lazarus)
자사 ASD(AhnLab Smart Defense) 인프라를 통해 취약점을 악용한 사실이 확인되었다. 공격자는 해당 취약점으로 악성코드를 다운로드 후 실행하였다.

해당 악성코드(winsync.dll)는 과거 게시글에 언급된 SCSKAppLink.dll 파일의 외형 및 기능이 매우 유사하였다.

또한 두 파일 모두 Notepad++ 플러그인 오픈소스를 악용하여 작성되었으며, 문자열을 복호화 하는 코드 루틴도 동일함을 확인하였다.


해결 방안
사용자는 다음의 안내에 따라 프로그램의 버전을 확인하고 최신 버전으로 업데이트를 진행하도록 한다.
– 서비스 운영자 : 예티소프트를 통해 최신 버전으로 교체
– 서비스 이용자 : 취약한 VestCert가 설치되어 있는 경우 제거 후 최신 버전 업데이트

[1] 프로세스 종료
– 작업관리자의 프로세스 탭에서 ① Goji → ② VestCert를 반드시 순서대로 종료
[2] 설치된 프로그램 제거
– [제어판]-[프로그램]-[프로그램 및 기능]에서 VestCert 버전 확인 후 제거 클릭
[3] 프로그램 재설치
– 이용 중인 금융사이트*에 접속하여 해결된 버전의 프로그램 재설치
* 금융사이트별 취약한 프로그램 패치 일정은 상이하므로 확인 필요

진단
Trojan/Win.LazarLoader.C5378117 (2023.02.08.03)
Execution/MDP.Powershell.M1185
IOC
MD5
– 0a840090b5eac30db985f0c46f46a602
[References]
- https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881
- https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763
- https://www.yettiesoft.com/html/support/0502_faq.html
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:조치 가이드