XSCAN SW 공급망 공격 해킹 사례 분석 (Redpensoft).pdf

SW 공급망 공격 사례 분석
위변조 dll
작성자 독고준

• 키보드 보안 스트로크 모듈 xx.Applink.dll 취약점을 이용한 위변조 해킹 사례
키보드 보안 스트로크 모듈로 사용되던 dll을 위변조하여 같은 이름의 다른 기능을 심어 위변조 한 사례입니다.
해당 dll을 위변조한 내용을 2차 패치 배포 전 XSCAN 분석을 통하여 색인하고, 이어질 수 있는 2차 3차 피해를 막은
실제 사례입니다.
XSCAN은 반입되는 소프트웨어를 역공학을 통해 컴포넌트 단위로 분석하며 해당 모듈이 어떠한 기능을 가지고있는
지,
위협적인 CVE나 프로세스 침투 행위, 권한 상승을 유도하는 기능이 없는지, 또한 파일 형식을 위장하거나 과도하게
변화된 파일을 색인하고 알려주며, 패치 버전에 따라 어떠한 변화가 있었는지 변화도를 탐지하여 안전한 소프트웨어
반입을 위한 보안 검증 체계를 구성하며 SBOM을 생성하여 보안 형상 관리가 가능하도록 돕고 있습니다.
작성자 독고준

SW 패치 분석
키보드 보안 모듈 패치 버전을 순
차적으로 업로드하여 어떠한 변화
도가 있었는지 분석을 진행 중입니
다.
작성자 독고준
SW 패치 분석
키보드 보안 모듈 패치 버전을 순차
적으로 업로드하여 어떠한 변화도
가 있었는지 분석을 진행 중입니다.

SW 패치 분석
다.
작성자 독고준
이슈 색인
소프트웨어 분석 결과 과도하게 변
경되었으며, 생성시간이 이전으로
돌아갔으며 위변조된 인증서로 전
자서명된 파일 이슈가 확인되었습
니다.

SW 패치 분석
다.
작성자 독고준
코드사인 이슈
Blacklist로 서명된 위변조 인증서가 발
견되었습니다.

SW 패치 분석
다.
작성자 독고준
위변조 정보
완벽히 위변조된 이름만 같은 전혀
다른 형식의 파일이 발견됨
파일 Language, Hash값, 사이즈,
CompanyName, FileDescription, FileVersion,
InternalName, LegalCopyright, OriginalFilename,
ProductName, ProductVersion, 등이 변경되
었으며 Api 호출 추가 및 삭제,
Dependecies 변경 등이 확인되었으며
생성 시간도 이전으로 돌아갔습니
다.

SW 패치 분석
다.
작성자 독고준
비교 분석
이전 버전 대비 권한상승 행위, 프로
세스 침투 등 변경점이 확인되었습
니다.

SW 패치 분석
다.
작성자 독고준
SBOM 생성
국가 표준 규격을 준수하며 추가적
인 바이너리 분석 정보가 들어있는
SBOM을 생성하여 다운로드 할 수 있
도록 제공하며 SBOM 형상관리가 가
능합니다.

SW 패치 분석
다.
작성자 독고준
CodeSign Ai 분석
Ai 분석을 통해 위변조된 CodeSign 인증
서를 분석하여

SW 패치 분석
다.
작성자 독고준
Network
추가된 iP, URL 색인하여 해당 정보를
제공합니다.

SW 패치 분석
다.
작성자 독고준
Network Ai 분석
추가된 iP, URL 이 해당 소프트웨어에
서 동작하는 기능과 위협 내용을 제
공해주며 대응책을 제공합니다.

작성자 독고준
반입 불가
위변조 dll 탐지
위변조 dll
Server
Attacker 위변조 dll
정상 dll
해커의 공급망 공격으로 해당 .dll 파일의 형식 변화 및 블랙리스트 코드사인 서명, 악의적인 링크 삽입, 기
능 추가 삭제 등의 정황이 엑스스캔 분석 중 색인되어 해당 dll 반입을 금지하였고 2차 3차 피해를 예방하였
습니다.

• 문의 : 독고준 팀장 jun.dockko@redpensoft.com

XSCAN SW 공급망 공격 해킹 사례 분석 (Redpensoft).pdf

Recommended

Recommended

More Related Content

Similar to XSCAN SW 공급망 공격 해킹 사례 분석 (Redpensoft).pdf

Similar to XSCAN SW 공급망 공격 해킹 사례 분석 (Redpensoft).pdf (20)

XSCAN SW 공급망 공격 해킹 사례 분석 (Redpensoft).pdf