{
	"id": "fdd44889-67b3-4689-8d7b-ad2570936ab0",
	"created_at": "2026-04-06T00:15:04.851348Z",
	"updated_at": "2026-04-10T13:13:08.260621Z",
	"deleted_at": null,
	"sha1_hash": "4358e54384fa0c202d9d922fb36daabc274461f8",
	"title": "BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그룹의 악성코드 감염 사례",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1887422,
	"plain_text": "BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그\r\n룹의 악성코드 감염 사례\r\nBy ATCP\r\nPublished: 2022-10-24 · Archived: 2026-04-05 22:26:22 UTC\r\n2022년 4월 안랩은 ASEC 블로그 (INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드,\r\nhttps://asec.ahnlab.com/ko/33706)에서 라자루스 공격 그룹이 악성코드 감염을 위해 INITECH 프로세스를\r\n악용한다는 내용을 소개했다. \r\n본 글에서는 라자루스 공격 그룹이 워터링 홀 기법을 통해 시스템 해킹에 성공 후 내부 네트워크 내의 시\r\n스템들을 추가로 해킹하기 위해 드림시큐리티사의 MagicLine4NX 제품의 취약점을 이용하고 있으며, 취\r\n약한 드라이버를 이용해 백신 프로그램을 무력화하고 있다는 내용을 공유하고자 한다.\r\n최초 침투\r\n공격자는 피해 시스템에 침투하기 위해 워터링 홀 공격 방식을 사용하고 있다. 국내 웹 사이트를 해킹한\r\n후, 해당 사이트에서 제공되는 컨텐츠를 조작한다. 특정 IP에서 접근하는 경우에만 동작되는 것으로 보아,\r\n특정 기업이나 조직을 노리고 있는 것으로 추정된다. \r\n취약한 INISAFECrossWebEX를 사용 중인 사용자의 PC가 해당 사이트에 웹 브라우저로 접근하게 되면,\r\nINISAFECrossWebEXSvc.exe의 취약점에 의해 악성코드 배포 사이트에서 라자루스 악성코드\r\nhttps://asec.ahnlab.com/ko/40495/\r\nPage 1 of 9\n\n(SCSKAppLink.dll)가 다운로드된 후 실행된다.\r\n악성코드 감염에 취약한 버전의 INISAFECrossWebEXSvc.exe 프로세스가 악용되고 있으므로, 해당 소프트\r\n웨어를 사용 중인 PC는 반드시 최신 패치를 적용해야 하며, 사용하지 않는 경우에는 삭제하도록 한다. \r\n내부 시스템 접근\r\nMagicLine4NX 취약점 이용\r\n공격자는 내부 시스템에 접근하기 위해 MagicLine4NX(인증서 인증, 전자서명 및 데이터 암/복호화 기능\r\n을 수행하는 솔루션)의 취약점을 이용한다. \r\nMagicLine4NX 1.0.0.17 이하의 버전에서는 CVE-2021-26606 취약점(https://krcert.or.kr/data/secInfoView.do?\r\nbulletin_writing_sequence=36173)이 존재한다. 해당 취약점은 버퍼 오버플로우 취약점으로 원격에서 임의\r\n의 명령어를 전송하여 악성코드 감염 등의 피해를 유발할 수 있다. \r\n공격자는 MagicLine4NX 프로세스를 이용해 ftp.exe에 악성 스레드를 인젝션시켜 악성 행위를 수행한다.\r\nftp.exe가 사용된 이유는 MagicLine4NX에는 프로토콜(http,ftp)에 따라 입력받는 응용 프로그램을 호출하는\r\n기능이 있는데, 취약점 공격시 이 기능이 사용되면서 ftp.exe에 악성 스레드가 인젝션되는 것으로 추정된\r\n다.\r\nSymantec 블로그 (Lazarus Targets Chemical Sector, 2022.04.14,  https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lazarus-dream-job-chemical)에 따르면 라자루스 그룹은 WMI를 사\r\n용하여 원격 시스템의 MagicLine4NX를 호출하고 악성 스레드를 인젝션하는 것으로 확인됐다. \r\n공격자는 취약한 MagicLine4NX을 악용해 내부 망 시스템을 장악해 나가므로, MagicLine4NX 1.0.0.17 이하\r\n버전을 사용하는 경우, 반드시 최신 버전으로 업데이트하도록 한다.\r\nRDP 접근 \r\n공격자는 내부 시스템에 접근하기 위해 RDP를 사용하기도 한다. 접근한 후에는 다음과 같은 악성 행위를\r\n수행한다.\r\n먼저, 제어권 유지를 위해 백도어를 생성하고, 백도어가 통신할 TCP 60012 포트를 호스트 방화벽에서 허\r\n용한다. 이후, 백도어 파일을 생성하고 서비스로 등록해 제어권을 유지한다.  그리고 루트킷 악성코드와\r\n취약한 DLL 및 드라이버를 생성해 보안 제품을 무력화한다.\r\nhttps://asec.ahnlab.com/ko/40495/\r\nPage 2 of 9\n\n[표] 공격자의 악성 행위\r\nSSH 접근 \r\n공격자는 내부 네트워크에 존재하는 시스템들의 SSH 서버에 root 계정으로 로그인을 시도한다.\r\n악성코드에 의한 V3 무력화\r\nBYOVD 기법 사용\r\n공격자는 시스템의 보안 제품을 무력화시키기 위해 BYOVD(Bring Your Own Vulnerable Driver, 취약한 드\r\n라이버 모듈을 통한 공격) 기법을 사용한다. BYOVD는 하드웨어 공급 업체의 취약한 드라이버 모듈을 악\r\n용하는 방식의 공격으로, 드라이버의 권한을 이용하므로 커널 메모리 영역에 읽고 쓰는 것이 가능해, 보안\r\n제품을 포함한 시스템 내 모든 모니터링 프로그램을 무력화할 수 있다.\r\n루트킷을 이용한 보안 제품 무력화 방식은 9월 22일 안랩 ASEC 블로그 “라자루스 그룹의 BYOVD를 활용\r\n한 루트킷 악성코드 분석 보고서”(https://asec.ahnlab.com/ko/38593/)에서 상세히 다루고 있다.\r\n백신 무력화 과정\r\n1. MagicLine4NX가 ftp.exe에 악성 스레드를 인젝션한다.\r\n2. ftp.exe가 루트킷 파일을 생성한다.\r\n3. 루트킷이 취약한 DLL 및 드라이버 파일을 생성하고, 서비스로 등록한다.\r\n4. 루트킷이 취약한 DLL을 로드하여 드라이버의 호출자 검증을 통과하고 갓 모드(God Mode)를 획득\r\n한다. \r\nhttps://asec.ahnlab.com/ko/40495/\r\nPage 3 of 9\n\n5. 갓 모드에서 커널 영역 메모리를 수정해 백신 프로그램을 무력화한다. \r\n루트킷 동작 방식의 변화\r\n공격자는 여러 방법을 이용해 루트킷을 동작시키는 것으로 확인됐다.  \r\n1. 실행 중인 프로세스에 루트킷 악성코드 모듈이 로드된 형태로 악성 행위를 수행\r\n2. 루트킷 악성코드가 독립적인 프로세스 형태로 악성 행위를 직접 수행\r\n공격자는 지속적으로 공격 기법을 개선하고 있는 것으로 보인다. \r\n백신 무력화 행위 탐지 및 차단\r\n위의 백신 무력화 과정을 V3에서는 다음과 같이 차단하고 있으므로, V3를 사용하는 시스템에서는 V3의\r\n“행위 기반 진단”을 활성화 하도록 한다.\r\nInitialAccess/MDP.Event.M4419 (2022.09.21.01)\r\nInitialAccess/MDP.Event.M4422 (2022.08.08.02)\r\n공격자가 사용한 악성코드 \r\n정상 파일이나 악용된 파일 목록\r\n악성코드 목록\r\nhttps://asec.ahnlab.com/ko/40495/\r\nPage 4 of 9\n\nhttps://asec.ahnlab.com/ko/40495/\r\nPage 5 of 9\n\nhttps://asec.ahnlab.com/ko/40495/\r\nPage 6 of 9\n\n[표] 공격자가 사용한 악성코드 목록\r\n[취약점 정보]\r\nINITECH INISAFE CrossWEB EX V3 취약점 (2022.07.29):\r\nhttps://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66834\r\n드림시큐리티 MagicLine 버퍼 오버플로우 취약점 CVE-2021-26606 (2021.08.06):\r\nhttps://www.krcert.or.kr/data/secInfoView.do?bulletin_writing_sequence=36173\r\n[파일 진단]\r\nDownloader/Win.LazarAgent (2022.05.04.02)\r\nBackdoor/Win.Lazardoor (2022.07.06.00)\r\nDownloader/Win.LazarShell (2022.05.04.02)\r\nTrojan/Win.Lazardoor (2022.05.04.02)\r\nTrojan/Win.LazarLoader (2022.06.22.03)\r\nTrojan/Win.LazarLoader (2022.07.11.03)\r\nData/BIN.EncPe (2022.09.07.00)\r\nTrojan/Win.LazarLoader (2022.09.07.00)\r\nhttps://asec.ahnlab.com/ko/40495/\r\nPage 7 of 9\n\nBackdoor/Win.Lazardoor (2022.09.07.00)\r\nData/BIN.EncodedPE (2022.09.07.00)\r\nTrojan/Win.LazarLoader (2022.09.07.00)\r\nTrojan/Win.Lazardoor (2022.08.02.03)\r\nRootkit/Win.Agent (2022.08.02.03)\r\nTrojan/Win.Agent (2022.09.16.02)\r\nData/BIN.Encoded (2022.10.05.00)\r\nData/BIN.Encoded (2022.10.05.00)\r\n[파일 MD5]\r\n8F39A7AFA14541B709FE950D06186944\r\nCA6C08B58A35D7FA581DFB419CE5B881\r\n1EDBD7AA68B1818A1EA98C0362CE84C7\r\n4D91CD34A9AAE8F2D88E0F77E812CEF7\r\nFA868A38CEEB46EE9CF8BD441A67AE27\r\n43F218D3A4B2199468B00A0B43F51C79\r\n1F1A3FE0A31BD0B17BC63967DE0CCC29\r\nB457E8E9D92A1B31A4E2197037711783\r\n202A7EEC39951E1C0B1C9D0A2E24A4C4\r\n97BC894205D696023395CBD844FA4E37\r\nCA9B6B3BCE52D7F14BABDBA82345F5B1\r\n013B4C4E9387D8FE1EAB738C42C451DA\r\n98E58A39EDE26AF7980ED4DE2873CAAB\r\n8DA35C64FFBFE33A3435A3E8DC1A5A42\r\nC16A6178A4910C6F3263A01929F306B9\r\n8543667917A318001D0E331AEAE3FB9B\r\n[IP/URL]\r\nstrivemktsupporters[.]com(3.39.208.187)를 제외하고, 아래 IP는 공격자에 의해 C2로 사용됐으나, 현재도 서\r\n비스 중인 정상 사이트들이다. \r\nhxxps://strivemktsupporters[.]com\r\n3.39.208.187\r\n222.118.225.33\r\n211.110.1.17\r\n20.194.29.89\r\n119.207.79.175\r\n61.100.5.186\r\n110.10.189.167\r\n14.63.165.32\r\n211.110.1.93\r\n182.252.138.31\r\nhttps://asec.ahnlab.com/ko/40495/\r\nPage 8 of 9\n\n114.207.112.19\r\n1.249.169.5\r\n연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를\r\n통해 확인 가능하다.\r\nSource: https://asec.ahnlab.com/ko/40495/\r\nhttps://asec.ahnlab.com/ko/40495/\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://asec.ahnlab.com/ko/40495/"
	],
	"report_names": [
		"40495"
	],
	"threat_actors": [],
	"ts_created_at": 1775434504,
	"ts_updated_at": 1775826788,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/4358e54384fa0c202d9d922fb36daabc274461f8.pdf",
		"text": "https://archive.orkl.eu/4358e54384fa0c202d9d922fb36daabc274461f8.txt",
		"img": "https://archive.orkl.eu/4358e54384fa0c202d9d922fb36daabc274461f8.jpg"
	}
}