AdobeGenuineInstaller.exe ( 정상파일 ) 분석

AdobeGenuineInstaller.exe라는 이름으로 보안 장비 (APT)에 탐지된 건

파일 설명(Adobe GC Core Installer)과 제품 이름(GC Core Installer)이

Adobe의 정품 인증 핵심 모듈(Genuine Check)임을 명시

 

바이너리  분석 결과, Adobe 사의 정품 확인 서비스 모듈임이 명시되어 있으며

버전 체계(8.4.0.76)가 공식 배포 버전과 일치

---

 

서명자(Adobe Inc.)가 명확하며, 디지털 서명이 유효함을 확인

1. 유효한 디지털 서명을 통해 파일의 무결성과 공급처가 검증

2. 공격자에 의한 파일 변조나 사칭의 흔적이 발견되지 않음

---

파일이 컴파일된 시간(TimeDateStamp)이 기록되어있음

PE 헤더 분석 결과, 컴파일 타임스탬프가 정상적인 제품 업데이트 주기 내에 포함되어 있어

급조된 악성 파일이 아닌 계획된 정식 빌드임을 확인함

 

** 00000160 - 00000163 65798377 = TimeDateStamp **

16진수 값을 Unix Timestamp로 변환하면 2023년 12월 13일 10:23:19 

디지털 서명 시간(2023년 12월 13일 오후 7시 23분)과 거의 일치

 

Unix Timestamp 결과: 10:23:19 (이것은 전 세계 공통 표준시인 UTC 기준 )

디지털 서명 시간: 19:23:18 ( 한국 표준시(KST) 기준 )

계산법: 한국(KST)은 표준시(UTC)보다 9시간이 빠름

 

10:23:19 (UTC) + 9시간 = 19:23:19 (KST)

 

즉, 오후 7시 23분 19초로 1초의 오차 범위 내에서 일치함을 알 수 있음

 

왜 1초의 차이가 발생하는가 ?

보통 소프트웨어를 빌드(컴파일)하고 나서 바로 디지털 서명을 입히는 자동화 공정을 거치는데,

그 사이에 1~2초 정도의 아주 짧은 딜레이가 발생하기 때문

파일 생성(컴파일): 19:23:19

서명: 19:23:18~19 사이

---

내부 코드에 Adobe 공식 업데이트 서버인 agsupdate.adobe.com 주소가 포함되어 있음

동적 분석 결과, 통신 대상(C2) 는 Adobe 소유의 공식 업데이트 도메인으로 확인.

이는 프로그램의 통신 행위가 악성 데이터 유출이 아닌 정상적인 패치 다운로드임을 입증

Adobe Genuine Invoker라는 커스텀 URL 프로토콜을 시스템에 등록하는 과정이 반복적으로 나타남

시스템 레지스트리에 정식 서비스 명칭(Adobe Genuine Invoker)을 등록하여 제품 간 연동 통로를 구축하는 로직이 확인

이는 운영체제와 통합되는 표준 소프트웨어의 동작 방식

---

외부로 내보내는 함수들이 AGService(Adobe Genuine Service)로 시작하며,

통신에 필요한 표준 DLL(WINHTTP.dll 등)만 사용

Dependencies 분석 결과, 노출된 API 명칭이 Adobe 정품 서비스와 일치

또한 은닉 통신이 아닌 윈도우 표준 HTTP 라이브러리를 사용하여 사내 프록시 환경에서도 투명하게 동작하도록 설계

---

[ 종합 결론 ]

 

탐지된 파일은 Adobe 정품 인증 서비스의 정상적인 설치 및 관리 도구로 판단. 보안 솔루션이 해당 파일의

'시스템 설정 변경(URL 프로토콜 등록)' 및 '외부 파일 다운로드 시도'를 위험 행위로 오인하여 발생한 오탐 건임