유명 디버거 IDA Pro의 설치 파일이 유출된 것으로 보인다. 파일명에 포함된 P_Y_G 문자열과 텔레그램 메시지 및 유포 사이트에 따르면 중국 PYG 그룹이 유포한 것으로 추정된다. 디지털 서명 정보로 확인한 파일 서명 일시는 20221109 125205Z 이며 프로그램 버젼은 IDA Pro 8.1 이다. 파일 크기는 약 415MB 이며, 텔레그램 채널 및 파일 공유 사이트 등을 통해 유포중이다.
파일 정보
PS > Get-FileHash '.\P_Y_GIDA_Pro_8_1x86..DOC.exe' -Algorithm MD5 | FL Algorithm : MD5 Hash : 77AF6E3E1F4A2028EF67C8990F5A1A60 PS > Get-FileHash '.\P_Y_GIDA_Pro_8_1x86..DOC.exe' -Algorithm SHA1 | FL Algorithm : SHA1 Hash : EBDB134EAFEB97B6EC18A57E71D18738D2BD2224 PS > Get-FileHash '.\P_Y_GIDA_Pro_8_1x86..DOC.exe' -Algorithm SHA256 | FL Algorithm : SHA256 Hash : 4BFF2196FAFBA24B7B01F89AA18BBCADC17ABA1900245A2AC80F4FE6F5C5EAED
Signature
디지털 서명 정보에 따르면 파일 서명 시기는 2022년 11월 9일 이다.
Password?
파일의 전자 서명을 보면 최신 버젼은 아닌 2022년 11월의 IDA Pro 8.1 설치 파일이 유출된 것으로 추정되나, 설치 파일 자체는 큰 의미가 없을 것으로 보인다.
IDA Pro를 시스템에 설치하고 사용을 위해서는 인스톨러 파일마다 다르게 부여되는 14자리의 설치 비밀번호가 필요한데, 비밀번호는 배포하는 설치 파일마다 다르게 설정된다. 또한, 설치 파일 내부의 실제 IDA Pro 프로그램 파일들은 암호화+압축 되어있다.
설치 프로그램의 비밀번호 검증을 무력화 하거나 우회하는 방법 또한 해답이 아닌데, 파일마다 다른 이 비밀번호는 단순히 문자열이 일치하는지 확인하고 넘어가는 방식이 아니기 때문이다. 사용자가 입력한 비밀번호는 사전 설정된 비밀번호가 맞는지 유효성 검증을 거친 후, 내부의 암호화된 IDA Pro 어플리케이션 파일들을 복호화 하는데 사용된다.
따라서 유포자가 유포한 설치 파일의 비밀번호를 추가로 함께 공개하지 않는 이상, 설치 파일 그 자체만으론 큰 의미가 없을 것으로 보인다.
2023년 6월 현재 IDA는 8.3 버젼까지 공개되어있다.
Related Links
해당 파일 및 유포에 관한 내용은 아래 웹 사이트 및 텔레그램 채널등을 통해 확인.
# Post
hxxps://bbs.XXXXXX.com/thread-277712.htm
# File download
hxxps://XXXX.nz/file/5FoizZgY#6jhqp42ZVgI8bafjABKOq21F4_uNXc6bXqkOs8_QrIM
# File download
hxxps://pan.XXXXX.com/s/1VZlwC-gHBsayuUJ7aITToQ