취약 소프트웨어 및 개요
MagicLine4NX는 국내 드림시큐리티사에서 제작한 Non-ActiveX 공동인증서 프로그램이다. 사용자는 MagicLine4NX 프로그램을 이용하여 공동인증서 로그인과 거래내역에 대한 전자서명을 할 수 있다. 이 프로그램은 시작 프로그램에 등록되어 있으며, 프로세스가 종료되더라도 특정 서비스(MagicLine4NXServices.exe)에 의하여 재실행되며, 한번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다.
취약점 설명
해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 MagicLine4NX에서 원격 코드 실행 취약점(RCE)이 발생할 수 있다.
패치 대상 및 버전
MagicLine4NX 1.0.0.1~1.0.0.26 버전
취약점 악용 로그(Lazarus)
자사 ASD(AhnLab Smart Defense) 인프라를 통해 취약점을 악용한 사실이 확인되었다. 공격자는 해당 취약점으로 svchost.exe 프로세스에 인젝션 후 악성 프로그램을 다운로드 받아 실행하였다.
해결 방안
취약한 버전의 MagicLineNX가 설치되어 있는 경우 삭제 조치
- 버전 확인 방법
- [내 컴퓨터] – [로컬 디스크(C:\)] – [Program Files(x86)] – [DreamSecurity] – [MagicLine4NX] 경로로 이동
- MagicLine4NX에 마우스 오른쪽 버튼 클릭 – 속성 – 자세히 탭 클릭 – 파일 버전 확인
- 프로그램 삭제 방법 (택 1)
- [시작] – [시스템] – [제어판] – [프로그램 및 기능] – MagicLineNX 선택 – [제거] 클릭
- [내 컴퓨터] – [로컬 디스크(C:\)] – [Program Files(x86)] – [DreamSecurity] – [MagicLine4NX] 경로로 이동 – MagicLine4NX_Uninstall.exe 프로그램 실행
[진단]
Injection/MDP.Lazarus.M4503
Trojan/Win.LazarLoader.R566999
[Reference]
- https://knvd.krcert.or.kr/detailSecNo.do?IDX=5887
- https://atip.ahnlab.com/ti/contents/security-advisory?i=f11a94eb-ac24-4feb-9552-3af49c8e6afd
- https://atip.ahnlab.com/ti/contents/issue-report/forensic?i=ab4b6510-f7b0-46ef-9cd3-3489348b2de4
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:조치 가이드
[…] 그룹은 초기 침투를 위해 공동 인증서 취약점, 3CX 공급망 공격 등 다양한 공격 벡터를 사용하며 매우 위협적이고 전 […]
[…] 관련 기사 보러가기 […]