공인 인증 솔루션(VestCert) 취약점 주의 및 업데이트 권고

취약 소프트웨어 및 개요

VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다.

 

취약점 설명

해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert에는 원격 코드 실행 취약점(RCE)이 발생할 수 있다.

 

패치 대상 및 버전

VestCert 2.3.6 ~ 2.5.29

 

취약점 악용 로그(Lazarus)

자사 ASD(AhnLab Smart Defense) 인프라를 통해 취약점을 악용한 사실이 확인되었다. 공격자는 해당 취약점으로 악성코드를 다운로드 후 실행하였다.

[그림 1] ASD에서 확인된 취약점 로그

해당 악성코드(winsync.dll)과거 게시글에 언급된 SCSKAppLink.dll 파일의 외형 및 기능이 매우 유사하였다.

또한 두 파일 모두 Notepad++ 플러그인 오픈소스를 악용하여 작성되었으며, 문자열을 복호화 하는 코드 루틴도 동일함을 확인하였다.

[그림 2] SCSKAppLink.dll과 동일한 파일 정보
[그림 3] 과거와 동일한 코드 패턴

해결 방안

사용자는 다음의 안내에 따라 프로그램의 버전을 확인하고 최신 버전으로 업데이트를 진행하도록 한다.

– 서비스 운영자 : 예티소프트를 통해 최신 버전으로 교체

– 서비스 이용자 : 취약한 VestCert가 설치되어 있는 경우 제거 후 최신 버전 업데이트

[그림 4] VestCert 종료 및 제거

[1] 프로세스 종료

– 작업관리자의 프로세스 탭에서 ① Goji → ② VestCert를 반드시 순서대로 종료

[2] 설치된 프로그램 제거

– [제어판]-[프로그램]-[프로그램 및 기능]에서 VestCert 버전 확인 후 제거 클릭

[3] 프로그램 재설치

– 이용 중인 금융사이트*에 접속하여 해결된 버전의 프로그램 재설치

* 금융사이트별 취약한 프로그램 패치 일정은 상이하므로 확인 필요

[그림 5] VestCert 최신 버전(2.5.30 ~)

진단

Trojan/Win.LazarLoader.C5378117 (2023.02.08.03)

Execution/MDP.Powershell.M1185

IOC

MD5

– 0a840090b5eac30db985f0c46f46a602

 

[References]

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments