APT 탐지 건 : LaunchAclWait.exe
진단명 : PUP/AI.MultiPlug.M.Z8402197184328
명령행 -on "HKLMSOFTWAREFasso DRM" -ot reg -rec yes -actn ace -ace "n:S-1-5-32-545;s:y;p:full"
해당 명령행과 탐지된 IP를 조회 및 사용자 PC에 깔려있는 소프트웨어 조회를 해본 결과
LaunchAclWait.exe는 교보eBook이 콘텐츠를 보호하기 위해 사용하는 파수 DRM의 핵심 설치/관리 모듈임을 확인
[참조]
전자도서관 솔루션(교보문고, 예스24 등)은
도서 콘텐츠의 무단 복제를 막기 위해 Fasoo DRM을 보안 엔진으로 채택
[결론]
악성 행위 존재 X 교보eBook(버전 2.7.0.4)이 2026-04-29에 설치된 기록과
APT 솔루션에서 LaunchAclWait.exe를 탐지한 시간과 정확히 일치하여 시간적 연관성 일치
교보eBook 서비스 구동에 필수적인 보안 모듈(Fasoo DRM)이 설치되는 과정에서, 해당 모듈이 시스템 권한을 조정하는 행위(LaunchAclWait.exe의 동작)를 APT 솔루션이 비정상적인 행위로 과잉 탐지한 전형적인 사례
'분석 보고서' 카테고리의 다른 글
| 블루투스 드라이버 설치 건 탐지 분석 (정상) (0) | 2026.05.01 |
|---|---|
| 피싱 메일 유입 분석 (악성) (0) | 2026.04.29 |
| PDF 악성으로 탐지 건 분석 (정상 파일) (0) | 2026.04.27 |
| AdobeGenuineInstaller.exe ( 정상파일 ) 분석 (0) | 2026.04.21 |
| 한컴오피스 Installer ( 악성파일 ) 분석 (0) | 2026.04.21 |
