1. 차별화된 보안 취약점을 결합한 워터링 홀 공격

북한의 사이버 침투공격이 갈수록 노골적이면서 과감해지고 있어 각별한 주의가 필요한 상황이며, 이들은 다양한 공격방식을 동원해 주기적으로 새로운 악성파일 유포에 집중하고 있다.

북한 사이버공격은 휴전이 아닌 현재 진행형 위협
http://erteam.nprotect.com/474

6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중
http://erteam.nprotect.com/429


6.25 사이버전, 신문사, PC방 프로그램 업데이터 모듈공격 최초공개
http://erteam.nprotect.com/427

7.7 DDoS 공습 1주년에 즈음한 과거로의 시간 여행
http://erteam.nprotect.com/1


대표적으로 이메일에 HWP 등 문서파일 취약점을 첨부시키는 스피어 피싱(Spear Phishing)은 매우 고전적인 수법이지만 오랜 기간 자주 활용되고 있고, 이용자가 많은 웹하드 서비스의 정상모듈을 악성으로 몰래 바꿔치기 한 후 자동으로 업데이트되도록 한 방식은 단기간 DDoS 공격용 좀비PC 양산에 활용된다.

각종 웹 기반 보안취약점을 결합시킨 워터링 홀(Watering Hole) 방식은 필터링 콜백 맞춤 공격에 빈번하게 사용되며, 기관이나 기업내부에서 보안 및 업무 목적으로 사용하는 전용 솔루션의 파일 배포기능을 악용한 공격은 내부망 정보 수집 및 데이터 파괴 등 테러적인 사이버 전술에 특화화되어 있다.

특히 주목해야 할 점은 한국에서 주로 이용하는 특정 응용 프로그램의 차별화된 Exploit 공격코드를 맞춤형태로 개발해 공격에 활용하고 있어 매우 은밀하고 조용한 물밑 공격이 진행되고 있다는 점을 명심해야 한다. 

2. 장기간의 잠복 및 침투·정찰·첩보 

2014년 07월 07일은 지난 2009년 7월 4일 미국 독립기념일에 미국쪽 웹사이트 공격을 시작으로 7월 7일 유수의 한국 웹 사이트를 대상으로 분산서비스거부 공격이 일어난 이른바 7.7 DDoS 5주년이 되는 날이었다.

그런데 7월 7일 늦은 오후부터 7월 8일 양일간 국내 특정 웹 사이트들을 통해서 북한에서 제작된 악성파일 다수가 은밀히 유포 중인 정황이 포착되었고, 아무래도 상징적인 의미가 있는 기간이기 때문에 잉카인터넷 시큐리티대응센터(ISARC)에서는 해당 악성파일과 유포지에 대한 정보를 유관 기관에 신속하게 공유하여 민관 합동대응을 진행하였다.

소리전자 : http://www.soriaudio.com/
개드립 : http://www.dogdrip.net/
에펨코리아 : http://www.fmkorea.net/

http://www.sdgfaith.com/files/theme/temo/lib.vbs (WinXP)

http://www.sdgfaith.com/files/theme/temo/lib7.vbs (Win7)
ㄴhttp://www.sdgfaith.com/files/theme/temo/last.gif

http://www.sdgfaith.com/files/env/image/title.gif

http://www.sdgfaith.com/files/env/image/dark.php
ㄴhttp://www.sdgfaith.com/files/env/image/dark.gif

http://soriaudio.com
ㄴhttp://www.sdgfaith.com/files/env/image/jpg/Init.js
 ㄴhttp://www.sdgfaith.com/files/env/image/jpg/MAProject.swf
  ㄴhttp://www.sdgfaith.com/files/env/image/jpg/first.gif
  ㄴhttp://www.sdgfaith.com/files/env/image/jpg/last.gif
    ㄴhttp://www.peace4rc.org/common/lang/us.lang.php
      ㄴhttp://www.sdgfaith.com/files/env/image/folder.php
        ㄴhttp://www.sdgfaith.com/files/env/image/folder.gif
          ㄴhttp://www.luna930812.com/xe/images/nei_00.jpg

http://catwoman.pe.kr/xe/modules/checkip/tpl/vbs/first.gif
http://catwoman.pe.kr/xe/modules/checkip/tpl/vbs/last.gif
ㄴhttp://www.peace4rc.org/common/lang/us.lang.php
ㄴhttp://0u24.com/xe/common/lang/title.php

http://pomdoll.com/bbs/head.gif
ㄴhttp://happygage.com/bbs/images/left.gif



일부 조사된 바에 의하면 작년 특정 언론 및 금융사에서 발생한 전산망 마비(3.20 사이버테러) 공격과 국제해킹그룹 (하이)어나니머스를 사칭하여 청와대 및 언론사 웹 사이트를 변조하고, 특정 기업내부의 데이터 파괴 등을 수행(6.25 사이버戰)한 악성파일의 변종인 것도 부분적으로 검증된 상태이다.

악성파일은 감염자 정보를 명령제어(C&C)서버로 전송하고, 추가 명령을 통해 또 다른 악성파일에 감염된다.

 
해당 악성파일의 유포지 이력과 타임라인을 조사하던 과정 중 공격자들은 이미 몇년 전에 마스터 서버의 권한을 다수 확보하여 몰래 운영 중이었던 것으로 보이고, 2014년 상반기 부터 본격적인 명령제어 서버로 재가동했던 것으로 추정된다.

이번에 이용된 공격기법은 웹 기반 취약점을 다수 이용했다는 점인데, 특이하게도 한국 맞춤형 취약점과 어도비 플래시 플레이어 취약점(CVE-2014-0515)이 활용되었다.

최근들어 Drive-by Download 공격에 이미 보고되어 취약점이 해결된 플래시 플레이어 취약점(CVE-2014-0515)이 자주 발견되고 있으므로, 이용자들은 항시 최신 버전으로 업데이트를 설치 유지하고, 자동업데이트 기능을 활성화해 두는 노력이 필요하다.



플래시 플레이어 취약점 이외에 국내 서비스 기반의 제품들이 공격에 대거 포함되었는데, H 그룹웨어 ActiveX 취약점, F 문서보안(DRM) ActiveX 취약점, K 온라인결제 ActiveX 취약점 등이다.

악성파일들은 대부분 국내 제로보드나 케이보드 등 공개용 게시판을 이용하는 웹 사이트에서 발견되었는데, 이것을 미루어 보아 국내 게시판 취약점을 이용해 거점을 다수 확보하고 있는 것으로 추정된다.


해당 취약점들은 국내 기관이나 기업들 내부에서 주로 많이 이용하는 제품들에 포함되고, ActiveX 컨트롤 취약점을 통해서 특정 조직에 대한 감염 필터링 콜백 등을 통해서 표적공격이 가능할 수 있다.

이처럼 단순히 불특정 다수를 감염시켜 아무 구분없이 무작위 정보를 통합적으로 수집하는 것을 넘어 특수 조건에 따른 감염범위를 제한적으로 설정하고 대상에 따라 체계적인 정찰 및 정보수집 활동을 한다. 

3. TOR 프록시 프로토콜과 데이터 통신 프로토콜

이번 공격에 이용된 악성파일은 분석을 지연 또는 방해시키기 위해서 정상적인 리소스를 포함시키거나 Anti-VM 기능 등을 통해 일반적인 분석 실행환경에서 작동하지 않도록 만들었다.

또한, 악성파일의 원격지 통신위치를 은폐하기 위해서 토르(Tor) 프로토콜을 이용했고, C&C 서버 등과 통신할 때 암호화된 명령을 통해서 전달받는다.



감염된 컴퓨터와 정보를 주고 받을 때 사용하는 URI 신호체계도 기존 유사 악성파일들이 사용하는 방식과 거의 동일하다.

아울러 당시 악성파일을 유포했던 웹 사이트는 갑작스런 접속 트래픽의 증가로 인해서 일시적으로 차단되기도 했었으나, 얼마 시점 후 다시 변종 악성파일이 유포되기도 했다.

 
이처럼 북한의 사이버공격은 매우 은밀하고 조용히 오랜기간 진행되고 있고, 다양한 기법을 동원하고 있다. 스피어 피싱과 워터링 홀 같은 경우는 다양한 보안취약점이 활용되고 있으므로, 사용중인 응용 프로그램은 항시 최신버전으로 업데이트를 유지하는 것이 중요하다.

웹 사이트 관리자들은 공개 게시판의 취약점을 제거하고, 웹 서버에 웹쉘 등의 악의적인 코드 존재 여부를 정기적으로 점검하고, 서비스 중인 모듈의 무결성 및 보안강화에 지속적인 관심과 노력이 필요하다.
 
저작자 표시
Posted by nprotect