개요
이니텍 사 INISAFE CrossWeb EX V3 프로그램의 취약점 해결을 위한 보안 업데이트가 발표되었다. 인터넷뱅킹에 사용하는 전자금융 및 공공부문 금융보안인증 소프트웨어로, 다양한 기업 뿐아니라 다수의 개인 PC에서도 사용하는 프로그램이기에 대다수의 사용자들은 자신의 PC에 해당 프로그램이 설치되어 있는지 필수적으로 확인이 필요하며 아래 가이드에 따라 최신으로 업데이트하길 권고한다.
설명
AhnLab Security Emergency response Center(ASEC)에서는 Lazarus 그룹에 의해 취약점 관련 프로세스로 악성 행위가 발생하고 있다는 정황을 파악하고 있었으며, 이 내용에 대해서는 작년 4월에 ASEC 블로그를 통해 소개한 바 있다.
당시 확인된 내용을 요약하자면 INISAFE CrossWeb EX V3의 실행 파일인 inisafecrosswebexsvc.exe 프로세스에 악성코드인 SCSKAppLink.dll이 인젝션되어 동작하였으며, 이 후 악성코드 배포지에 접속한 뒤 인터넷 임시폴더 경로에 다운로더 악성코드 main_top[1].htm 파일을 다운로드하고 특정 경로로 복사하였다.
- 다운로드 경로 : c:\users\<사용자>\appdata\local\microsoft\windows\inetcache\ie\zlvrxmk3\main_top[1].htm
- 복사된 경로 : C:\Users\Public\SCSKAppLink.dll
패치 대상 및 버전
INISAFE CrossWeb EX V3 3.3.2.41 이하 버전
해결 방안
[1] 서비스 운영자 : 이니텍을 통해 최신버전으로 교체를 진행
- INISAFE CrossWeb EX V3 3.3.2.41
[2] 제품 사용자 : 취약한 버전의 INISAFE CrossWeb EX V3가 설치되어 있는 경우 제거 후 최신버전 업데이트를 진행
- [제어판]-[프로그램]-[프로그램 및 기능]에서 INISAFE CrossWeb EX V3 버전 확인 후 제거 클릭
- 아래 링크를 참고하여, 운영체제에 맞는 최신 버전의 INISAFE CrossWeb EX V3를 설치
Windows 클라이언트(v3.3.2.41_32bit) : http://demo.initech.com/initech/crosswebex_pack/3.3.2.41/INIS_EX_SHA2_3.3.2.41.exe
탐지 정보 및 IOC
[파일 탐지]
- Data/BIN.Encoded
- Downloader/Win.LazarAgent
- Downloader/Win.LazarShell
- HackTool/Win32.Scanner
- Infostealer/Win.Outlook
- Trojan/Win.Agent
- Trojan/Win.Akdoor
- Trojan/Win.LazarBinder
- Trojan/Win.Lazardoor
- Trojan/Win.LazarKeyloger
- Trojan/Win.LazarLoader
- Trojan/Win.LazarPortscan
- Trojan/Win.LazarShell
- Trojan/Win.Zvrek
- Trojan/Win32.Agent
[행위 탐지]
- InitialAccess/MDP.Event.M4242
관련 IOC는 상기 언급된 기존 ASEC블로그에서 확인 가능하며,
상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:조치 가이드