본문 바로가기
악성코드 정보

Operation ShadowHammer (ASUS 인증서만 문제?)

by AhnLab ASEC 분석팀 2019.03.27

2019년 3월 25일, ASUS 소프트웨어 업데이트 서버가 해킹되어 유효한 인증서를 포함한 악성코드 유포가 Kaspersky Lab 에 의해 보고되었다. Kaspersky는 이러한 공격을 "Operation ShadowHammer" 로 명명하였으며, ASUS 업체에는 2019 년 1 월 31 일 공격에 대한 정보를 전달한 것으로 알려졌고, 최초 공격은 2018 년 6 월에서 11 월 사이에 시작된 것으로 추정된다. 공격을 받은 ASUS Live Update는 대부분의 ASUS 컴퓨터에 설치되어 BIOS, UEFI, 드라이버 및 응용 프로그램과 같은 구성 요소를 자동으로 업데이트하는 데 사용되는 유틸리티이다.

 

Kaspersky의 통계에 따르면 57,000 명이 넘는 Kaspersky 사용자가 ASUS Live Update의 백도어 버전을 다운로드하여 설치한 것으로 알려졌으나, 실제로는 전 세계적으로 백만 명이 넘는 사용자에게 영향을 미칠 것으로 예상된다.

Kaspersky에서 공개한 ASUS Live Update 설치파일(md5: aa15eb28292321b586c27d8401703494)을 분석한 결과, 이 공격은 특정 MAC주소를 갖는 사용자를 타겟하여 정보유출을 목적으로 제작된 것으로 추정된다. 문제는 공개된 설치파일은 'ASUSTek Computer Inc' 라는 유효한 인증서를 포함하고 있다는 점이며, 아래의 그림은 Kaspersky에서 공개한 악성코드에서 사용된 유효한 인증서를 나타내고 시리얼번호는 '05e6a0be5ac359c7ff11f4b467ab20fc'로 언급하고 있다.

 

백도어 기능을 포함하는 ASUS Live Update 설치 프로그램의 디지털 서명 & 인증서 일련 번호 : 05e6a0be5ac359c7ff11f4b467ab20fc

이미지 출처: https://securelist.com/operation-shadowhammer/89992/

 

하지만, 안랩 ASEC에서 확인결과 해당 시리얼번호 외에 공격에 사용된 ASUS 인증서가 추가로 존재(유효기간은 만료)하며, 시리얼번호는 '‎0ff067d801f7daeeae842e9fe5f610ea'로 확인되었다.

 

백도어 기능을 포함하는 ASUS Live Update 설치 프로그램의 디지털 서명 & 인증서 일련 번호 : ‎0ff067d801f7daeeae842e9fe5f610ea

 

또한, ShadowHammer 이름으로 진단하는 악성코드 중에는 ASUS 외에도 다양한 유효한 인증서가 확인되어 사용자의 주의가 요구된다.

 

"PBConfig.exe" 이름으로 유포된 ShadowHammer 악성코드 & 유효한 ZEPETTO Co. 인증서 포함

 

"gxxsvc.exe" 이름으로 유포된 ShadowHammer 악성코드 & 유효한 Garena Online Pte Ltd 인증서 포함

해당 악성코드에 감염 시, 정보유출 형태의 2차 악성코드가 다운로드 되는 구조이며 이러한 행위는 특정 MAC주소를 갖는 사용자에게만 유효한 형태이다. (악성코드 내부에는 MAC주소가 해쉬형태로 저장)

 

"gxxsvc.exe" 이름으로 유포된 악성코드에서는 유사하게 MAC정보에 대한 검증을 거친 후, 공격대상인 경우 사용자 정보를 수집하여 아래의 주소로 전송하는 기능이 존재한다. (유출내용: 실행중인 프로세스 목록, 컴퓨터이름 등)

- https://dump.gxxservice.com/common/up/up_base.php

 

ASUS 설치파일에 의해 악성코드를 다운로드 받는 형태도 2가지가 확인되었으며, 설치파일 내부에 존재하는 실행파일(AsusShellCode.pdb 형태의 PDB정보 포함)에 의해 다운로드 받는 형태와 별도의 실행파일 없이 쉘코드에 의해 직접 다운로드 받는 방식이다. 설치파일 내부에 포함된 다운로드 기능의 실행파일도 파일형태로 생성되지 않고 메모리상에서만 존재하는 구조이며, 아래와 같은 PDB정보를 갖는다.

- D:\C++\AsusShellCode\Release\AsusShellCode.pdb

 

다운로드 받는 주소는 공통적으로 아래의 주소이며, 분석당시 다운로드가 되지 않아 추가 분석은 진행되지 못한 상황이다. 실제 백도어 및 악의적인 행위는 다운로드 받은 logo2.jpg 에 의해 수행되었을 것으로 추정된다.

- https://asushotfix.com/logo2.jpg

 

아래의 그림은 쉘코드에 의해 logo2.jpg 파일을 다운로드하는 코드를 나타낸다.

쉘코드에 의해 파일 다운로드 시도

Kaspersky에서 현재까지 확인된 바로는 피해자는 대부분 러시아와 독일, 프랑스 등으로 국내 사용자에 대한 공격시도는 확인되지 않았으나, ASUS 외에도 다양한 유효한 인증서가 ShadowHammer 공격에 사용된 것을 볼 때, 안심할 수 없는 상황이다.

 

감염대상 국가별 비율

이미지 출처: https://securelist.com/operation-shadowhammer/89992/

 

현재 V3에서는 변조된 ASUS 설치파일 2가지 형태에 대해 아래와 같이 Generic 진단을 하고있다.

- Win-Trojan/ShadowHammer.Exp (2019.03.29.03)

- Win-Trojan/ShadowHammer2.Exp (2019.03.29.03)

 

 

 

댓글0