공인 인증 솔루션(VestCert) 취약점 주의 및 업데이트 권고

취약 소프트웨어 및 개요

VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다.

취약점 설명

해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert에는 원격 코드 실행 취약점(RCE)이 발생할 수 있다.

패치 대상 및 버전

VestCert 2.3.6 ~ 2.5.29 버전

취약점 악용 로그(Lazarus)

자사 ASD(AhnLab Smart Defense) 인프라를 통해 취약점을 악용한 사실이 확인되었다. 공격자는 해당 취약점으로 악성코드를 다운로드 후 실행하였다.

해당 악성코드(winsync.dll)는 과거 게시글에 언급된 SCSKAppLink.dll 파일의 외형 및 기능이 매우 유사하였다.

라자루스 그룹 DLL Side-Loading 기법 이용 (mi.dll) – ASEC BLOG

ASEC 분석팀은 라자루스 공격 그룹을 추적하던 중 공격자가 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법(T1574.002)을 사용하는 정황을 포착했다. DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이…

또한 두 파일 모두 Notepad++ 플러그인 오픈소스를 악용하여 작성되었으며, 문자열을 복호화 하는 코드 루틴도 동일함을 확인하였다.

해결 방안

사용자는 다음의 안내에 따라 프로그램의 버전을 확인하고 최신 버전으로 업데이트를 진행하도록 한다.

– 서비스 운영자 : 예티소프트를 통해 최신 버전으로 교체

– 서비스 이용자 : 취약한 VestCert가 설치되어 있는 경우 제거 후 최신 버전 업데이트

[1] 프로세스 종료

– 작업관리자의 프로세스 탭에서 ① Goji → ② VestCert를 반드시 순서대로 종료

[2] 설치된 프로그램 제거

– [제어판]-[프로그램]-[프로그램 및 기능]에서 VestCert 버전 확인 후 제거 클릭

[3] 프로그램 재설치

– 이용 중인 금융사이트*에 접속하여 해결된 버전의 프로그램 재설치

* 금융사이트별 취약한 프로그램 패치 일정은 상이하므로 확인 필요

진단

Trojan/Win.LazarLoader.C5378117 (2023.02.08.03)

Execution/MDP.Powershell.M1185

IOC

MD5

– 0a840090b5eac30db985f0c46f46a602

[References]

• https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881
• https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763
• https://www.yettiesoft.com/html/support/0502_faq.html

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.