보안 앱을 못쓰게 만드는 Vonteera 악성코드

인증서로 보안 앱 차단

Vonteera는 주기적으로 광고를 표시하는 악성코드이다. 그러나 일반적인 애드웨어와 달리 시스템에 많은 변경을 가하여, 잠재적인 위험성이 크기 때문에 트로이목마로 분류된다.

본티라는 그림(참1)처럼 MalwareBytes, McAfee 등 주요 보안 회사의 인증서를 신뢰할 수 없는 인증서 위치에 설치한다.



이렇게 되면, 이들 인증서를 사용하는 보안 앱은 그림(참1)처럼 UAC(User Account Control)에 의해 차단된다. 해당 인증서를 사용하는 보안 사이트에 접속하면 인증서 오류를 유발한다.



악성 서비스 추가

Vonteera는 AppInf라는 서비스를 설치한다. 이는 인증서 저장소를 주기적으로 확인해서, 만약 보안 회사의 인증서가 신뢰할 수 없는 인증서 저장소에서 삭제되면 다시 설치한다.

크롬 정책 악용

본티라는 주기적으로 광고 창을 띄우기 위해 작업 스케줄러에 수많은 작업을 추가한다. 인터넷 익스플로러에는 추가 기능(add-on)을 설치한다.

크롬 브라우저에서는 정책 설정을 악용해 옵션을 변경하거나 확장 프로그램을 설치한다. 크롬의 정책 설정은 사용자 모르게 강제로 작동하므로, 악성코드에 악용될 위험이 있다(관1).

바탕 화면이나 시작 메뉴의 브라우저 아이콘을 조작해, 시작시 특정 사이트를 열게 한다. 이 사이트는 사용자를 무작위한 사이트로 리다이랙트한다.

작업 스케줄러로 UAC 우회

Vonteera에 감염되면 보안 앱이 UAC에 의해 차단되어 실행되지 않는다. 보안 앱 실행을 위해 UAC를 일시적으로 해제하는 방법이 있지만, 이는 더 큰 위험을 초래할 수도 있으므로 좋지 않다.

인증서 관리자를 통해, 보안 인증서를 신뢰할 수 없는 인증서 저장소에서 삭제하는 방법도 있다. 이 경우 악성 서비스에 의해 다시 되살아날 수 있으므로, 재빨리 보안 앱을 실행해 악성코드를 제거해야 한다.

인증서 관리자는 [윈도우 키]+[S]를 눌러 "인증서 관리"를 검색해 실행할 수 있다. [윈도우 키]+[R]을 눌러 "certmgr.msc"를 입력해 바로 실행할 수도 있다.



MalwareBytes는 작업 스케줄러(Task Scheduler)를 이용하는 방법을 제시했다(참2). 작업 스케줄러는 주기적인 실행과 UAC 우회가 가능하기 때문에, 악성코드에 자주 악용된다.

작업 스케줄러는 시작 메뉴의 Windows 관리 도구에 있다. [작업 만들기]로 새 작업을 만들 수 있다. 이 때 '가장 높은 수준의 권한으로 실행'을 체크해야 UAC를 우회할 수 있다.



그리고 [동작]-[새로 만들기]-[찾아보기]를 차례로 수행해, 보안 앱을 실행하도록 설정한다. 이렇게 만들어진 작업을 실행하면 UAC를 우회하여 보안 앱을 실행할 수 있다.




관련 자료
  1. 크롬 정책 악용하여 악성코드 설치 가능

참고 자료
  1. Vonteera Adware Uses Certificates to Disable Anti-Malware
  2. Scheduled Tasks

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다