[보안 🐥 회고] DLL 파일 오탐 확인 과정 정리

오늘은 악성으로 의심되는 바이너리 파일이 탐지됐다.
dll 파일이었는데, 바이너리 파일이 다운로드돼서 탐지된 케이스였다.

다운로드 경로 :

• 다운로드켄트.com/ActiveXfPointGrid7/FarPointSpread.cab 

탐지 파일 : 

• FarPointSpread.cab
• FPSPR70.ocx 

 

경로를 보면 다운로드 파일은  FarPointSpread.cab 인데
장비에 찍히는 탐지 파일은 FarPointSpread.cab 와 FPSPR70.ocx 으로 총 2개였다.

.cab 에 대해 검색해보았다.
1. Microsoft Windows에서 사용하는 압축 파일 형식
2. 주로 소프트웨어 설치 및 배포와 관련된 데이터 압축 및 아카이빙에 사용되는 파일

압축 파일이니까 FarPointSpread.cab 내부 파일이 같이 탐지된 듯 하다.
확인을 위해 PowerShell 에서 FarPointSpread.cab 파일을 추출해보았다.

expand 명령어 : .cab(Cabinet) 파일 형식 추출만 지원

 

탐지된 것 처럼 2개 파일 모두 확인됐고,
파일 명으로 봐서 FarPoint Spread 라는 스프레드시트 컴포넌트 라이브러리로 보여진다.

 

 

파일 Hash도 문제없고, 바이러스 토탈에 파일 업로드한 결과도 문제가 없었다.

 

추출된 파일 디지털 서명도 확인해보니
등록된 서명자가 FarPoint Technologies 인 걸로 봐서 공식 출처에서 다운로드된 파일로 확정지었다.

https://developer.mescius.com/

 

결론은 해당 건은 오탐이라는 건데
1. 탐지 파일이 DLL(동적 링크 라이브러리)이라는 점
=> FarPointSpread.cab처럼 압축된 형식에서 DLL 파일이 포함되어 있었으니 의심스러울 수 밖에


2. 소프트웨어의 버전이 2006년
=> 파일이 ActiveX 기반인 데 다가(취약점이 많아 현재는 잘 사용되지 않음) 소프트웨어 버전이 2006년인데,

     최신 보안 표준이랑 호환되지 않을 가능성이 상당이 높아보이긴 하다.

추가로 
해당 파일은 다른 팀에서 배포 작업을 하다 탐지된 건으로 확인됐다.

쩝...