파일의 비정상성: dnSpy로 확인한 헤더 정보(2018년 작성)와 디지털 서명 시간(2021년)이 일치하지 않음
평판: VirusTotal에서 34개의 보안 솔루션이 악성으로 진단하고 있으며, 이는 오탐(False Positive)으로 보기 어려운 높은 수치
advfirewall firewall add rule program="C:\SoftBridge\Flint.exe" name="Anchortools Flint" dir=in action=allow
netsh: Windows 네트워크 구성 및 방화벽 설정을 명령줄에서 변경하는 도구
advfirewall firewall add rule: 방화벽에 새로운 규칙을 추가하겠다는 명령어
program="C:\SoftBridge\Flint.exe": 특정 프로그램(Flint.exe)을 규칙의 대상으로 지정
name="Anchortools Flint": 방화벽 규칙 목록에 등록될 이름을 지정
dir=in: 인바운드(Inbound) 트래픽 대상으로 함 즉, 외부에서 컴퓨터로 들어오는 연결을 의미
action=allow: 해당 프로그램에 대해 외부에서 들어오는 연결을 허용(Allow)하겠다는 뜻
결론 : 이 명령어는 외부 공격자가 해당 컴퓨터로 자유롭게 원격 접속을 시도하거나 데이터를 송수신할 수 있도록 시스템 방화벽의 문을 강제로 열어두는 백도어(Backdoor) 구축 행위
1. 명령 프롬프트를 관리자 권한으로 재실행
2. 실행중인 프로세스 확인 명령어
netstat -ano -b | findstr "ESTABLISHED"
3. 목록에 나온 외부 IP들 중 본인이 사용 중인 브라우저(크롬 등)가 아닌 것이 있는지 확인
4. 통신 연결 해제
netsh advfirewall firewall delete rule name="Anchortools Flint"
5. 연결 상태 확인
netstat -ano | findstr "ESTABLISHED"
6. 프로세스까지 완전히 정리
taskkill /F /IM Flint.exe /T
해당 ATLauncher.exe 가 탐지된 사용자는 2명이었지만 Flint.exe는 총 7명으로 집계됨
현재 안랩Plus에 문의 넣은 상태
Backdoor , Dropper 특성을 가지는 악성 파일로 추측
벤더사인 소프트브릿지에 문의드린 결과 해당 파일에 대해서는
악성파일이 아닌, 정상적인 보안 솔루션 파일임을 확인하였음.
실시간 스트리밍과 관련된 소프트웨어이기 때문에 0.0.0.0:port 형식의 방화벽 설정을 포함하고 있었으며,
Flint.exe 의 하위 프로세스의 동작지점 역시 벤더사의 개발 목적에 필요한 로직임을 알 수 있었음
평판 조회 기반에서는 해당 파일의 동작이 전형적인 악성 파일의 동작방식과 비슷하기 때문에
Virustotal 및 웹 서핑 중에서도 흔치 않게 ATLauncher.exe 또는 Flint.exe 의 평판을
악성으로 분류한 벤더사들이 많았던 것
결론 : 오탐