랜섬웨어

CCleaner 악성코드 유포 사례 대응 안내

709    2017-09-21


개요


▶ 출처: 컴퓨터 최적화 프로그램 (2017.09.21)

 

CCleaner는 Piriform이 만들고 최근 Avast가 인수한 프로그램으로 학교, 학원, 회사 등에서 웹 브라우저, 시스템, 레지스트리 등의 불필요한 파일을 삭제해 하드 용량을 확보하고 시스템을 최적화해 주는 프로그램으로 공식 웹사이트에서 다운로드했거나 업데이트를 통해 8월 15일부터 9월 12일까지 한 달 가량 악성코드가 함께 유포된 것으로 확인되었습니다.


악성코드가 함께 유포된 CCleaner 버전은 v5.336162와 Cloud v1.07.31.91이며 Windows 32bit PC를 대상으로 제한된 것으로 확인되며 유포된 악성코드는 ‘페이로드’로 감염된 PC의 데이터를 훔치고 C&C 서버로 수집한 정보를 보내는 악성코드입니다.


이러한 악성코드 파일의 동작 방식과 대응 방안을 안내드리고자 합니다.



동작 방식 


  

· ‘32bit PC’의 ‘관리자 권한’일 경우에만 악성코드 프로세스 실행

· PC에 데이터를 수집하여 C&C 서버로 전송

▷ 컴퓨터 이름, 설치된 소프트웨어 목록, 실행 중인 프로세스 목록, MAC 주소 등 중요 정보

· 악성 행위 후 CCleaner 정상 작동



[악성코드 감염 설치 파일 정보] 

1) v5.33.6162 디지털 서명 정보




[악성코드 감염 설치 파일 정보] 

2) 업데이트 된 v5.34 설치 파일 서명 정보

  


· 악성코드가 포함된 v5.33.6162 설치 파일의 경우에도 유효한 디지털 서명 정보가 서명됨

· 업데이트 된 v5.34 설치 파일의 경우에도 v5.33.6162와 동일한 일련번호 및 유효기간을 가진 디지털 서명 정보가 서명된 것으로 보아서 디지털 서명 정보가 탈취된 것은 아닌 것으로 확인

· 디지털 서명 탈취를 통한 악성코드 유포 시 해당 저작권사의 대응으로 인하여 업데이트 파일에 서명된 디지털 서명 정보에 일련번호 및 유효기간이 변경됨

· 악성코드는 디지털 서명 정보가 서명 되기 이전 설치 파일을 제작하는 과정에서 삽입된 것으로 판단



대응 방안  

문제가 있는 해당 버전 삭제 후 상위 버전 재설치가 필요하며 PC 권한 통제를 통해 관리자 권한으로 실행되는 프로세스 악성코드 유입의 위험성이 있는 프로세스를 통제할 수 있으며 권한을 낮춰 사용할 경우 악성코드 유입을 낮출 수 있습니다.



관련 자료  

랜섬웨어 소개 및 대응 방안

랜섬웨어 치료 및 복구, 예방 방법



댓글 : 0