악성 파일 정보

[긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생 [#Update 2013. 03. 27. 01]

■ 긴급 대응 중

2013년 03월 20일 14시 경부터 금융권, 방송사 등 컴퓨터가 동시다발적으로 부팅되지 않는 피해가 발생하였다. 잉카인터넷 대응팀은 의심파일을 다수 수집하여 다양한 분석업무와 전사긴급 대응체제를 가동 중에 있으며, 이글은 2013년 03월 20일부터 계속적으로 업데이트되고 있다.

[분석보고서 Ver 3.0]

[20130321]_KillMBR_Ver_3.0.pdf


수집된 파일들 중 파일명이 확인된 것들은 다음과 같다.

- ApcRunCmd.exe
- AgentBase.exe
- OthDown.exe
- mb_join.gif (exe)
- container.exe
- orpsntls.exe
- v3servc.exe
- shellservice.exe
- themeservics.exe
- logoninit.exe
- msnlsl.exe
- Update.exe
- xupdate.exe
- schsvcsc.dll
- morpsntls.exe
- page.gif (exe)
- schsvcsc.exe
- LGservc.exe (logo.jpg)
- vmsinstaller.exe
- oleshsvcs.dll
- schedsrv.dll
- kpo.exe 등 외 다수

숙주역할의 파일도 여러 건이 확인된 상태로, Dropper 파일이 실행되면 사용자 계정의 임시폴더(Temp) 에 별도의 파일을 설치한다. 이 중 "AgentBase.exe" 파일명은 MBR 영역을 파괴하는 악성파일이고, 파일명은 동일하지만 다른 형태의 악성파일도 존재하는 경우가 있다.


"~pr1.tmp" 파일은 "SunOS", "AIX", "HP-UX". "Linux" 운영체제의 계열을 체크하고, 악의적인 파괴스크립트 기능을 수행한다.


"alg.exe" 파일은 Command-line SSH 정상프로그램이고, "conime.exe" 파일은 Command-line SCP/SFTP client 정상 프로그램이다.


또 다른 Dropper/Downloader 경우는 실행 시 그림파일 확장자로 위장한 악성파일을 국내 특정 웹 사이트에서 다운로드한다.

"paper.gif" 파일은 사용자 계정의 임시폴더(Temp)에 "v3servc.exe" 이름으로 생성되고 실행된다. 그리고 "w7e89.tmp" 이름의 악성파일도 생성시킨다. 이후에 시스템 폴더 경로에 "shellservice.exe", "themeservics.exe" 등의 악성파일을 생성한다.


생성된 파일 중 일부코드에는 아래와 같이 제작자가 "Concealment Troy" 와 같이 숨김기능의 트로이목마라는 표현을 사용하고 있다.

더불어 국내 특정 전산망의 웹 사이트를 접속했을 시 발생했던 디페이스(Deface) 현상과 관련된 악성파일도 발견된 상태이다. 디페이스된 웹 사이트에는 다음과 같은 내용이 포함되어 있었다.

Hacked By Whois Team
Who is Whois?
We have an Interest in Hacking. This is the Beginning of Our Movement. User Acounts and All Data are in Our Hands. Unfortunately, We have deleted Your Data. We'll be back Soon.

('우리는 해킹에 관심 있다. 이것은 우리 행동의 시작이다. 사용자 계정과 데이터는 우리 손에 있다. 불행하게도 우리는 데이터를 삭제했다. 우리는 곧 다시 돌아온다.)


상기 화면에 사용된 코드를 보유하고 있는 악성파일이 확인되었고, 연관성에 대한 조사와 분석을 계속 진행 중에 있다. 특히, 해당 악성파일도 MBR 및 파일 파괴 기능을 보유하고 있는 것으로 확인된 상태이다.

이번 디페이스는 2012년 06월 09일 오후 6시 30분 경부터 발생했던 중앙일보 뉴스 사이트의 디페이스 형식과도 매우 흡사하다. 당시에는 "Hacked by IsOne" 이라는 문구가 포함되어 있었다.

 


추가로 국내 언론 영문 방송 사이트가 [2013년 03월 21일 03:24 GMT] 디페이스(Deface) 공격 피해를 입었고, 화면에 Hastati 라는 문구가 포함되어 있다. 해당 문구는 국내 언론사와 금융사 등에 MBR 파괴기능을 수행했던 악성파일의 내부 문구와 동일하다.


디페이스된 웹 사이트 화면에는 다음과 같은 문구의 링크가 포함되어 있고, 숫자로 표현된 일종의 단순 암호문을 다시 변경하면 그 아래와 같다.

T0 s33 7h47 the 0th3r Sit3 H4ck3d...click h3r3!!!
You'11 s33 th3 0ur im4g3...

To see that the other site Hacked...click here!!!
You'll see the our image...

해킹당한 다른 사이트 보려면...여기를 클릭!!!
우리의 이미지를 보시게 될 것이다...

해당 문장에는 또 다른 영문 언론사 사이트가 연결되어 있으며, 해당 이미지는 Adobe Photoshop 7.0 으로 만들어졌고, 2013년 03월 14일 만들어진 것으로 추정된다.



악성파일 중에는 하드디스크의 MBR(Master Boot Record)영역을 파괴하고, 데이터 파일들도 복구가 어렵도록 조작하고 파괴하는 기능이 다수 존재한다.

변종에 따라서 MBR 영역에 특정 문구(HASTATI, PRINCPES, PR!NCPES)가 포함되는데 일부는 문자열이 없이 파괴되는 경우도 존재한다.




악성파일은 "JO840112-CRAS8468-11150923-PCI8273V" FileMapping 오브젝트를 생성하여 중복실행을 방지하고, 변종에
따라서 오브젝트 값이 조금씩 다른 경우가 존재한다.

또한, Taskkill 명령어를 통해서 국내 특정 보안프로그램의 프로세스를 강제 종료하는 기능 등도 수행한다.

- Taskkill /F /IM pasvc.exe
- Taskkill /F /IM clisvc.exe


더불어 잉카인터넷은 특정 악성파일 내부에 파괴날짜가 포함된 것을 최초로 발견하였다. 2013년 03월 20일 오후 2시 이후부터 파괴기능이 동작되도록 만들어져 있고, 변종에 따라 즉시 파괴작동을 수행하거나 03월 20일 오후 3시 이후부터 파괴동작을 작동하는 변종도 발견되었다.


특정 변종의 경우 시스템폴더 경로에 "schsvcsc.exe", "schsvcsc.dll" 파일을 생성하고, lsass.exe 정상 프로세스에 인젝션되어 작동되며, 컴퓨터의 시간이 03월 20일 오후 3시 이후부터 MBR 등의 파괴기능을 수행하게 된다.


2013년 03월 24일 경 새로운 형태가 발견되었는데, 특정 프로그램의 업데이트 파일명처럼 위장하였고, 국내 특정 날씨 관련 사이트의 악성 스크립트(blank_image.js)를 통해서 유포되었다. 따라서 불특정 다수의 사용자가 감염되었을 가능성이 있다. 이 파일은 "mb_join.gif" 그림파일로 위장하고 있으며, 0x30, 0x82 로 시작된다.


"mb_join.gif" 파일 내부에 포함되어 있는 명령을 통해서 또 다른 악성파일이 다운로드(X********_updatge.gif)되는데, 악성파일은 보안 제품들의 실시간 탐지를 우회하기 위해서 실행파일(EXE)의 헤더를 43 바이트 조작(0x30 0x82 시작)하였고, "xupdate.exe" 파일로 생성되고 실행된다.


"xupdate.exe" 파일이 실행되면 아래의 경로로 접근하여 마치 그림파일처럼 위장한 "logo.jpg" (exe) 파일을 다운로드하고 실행한다. 그러면 사용자 계정의 임시폴더(TEMP)에 "LGservc.exe", "w7e89.tmp" 파일 등이 생성된다.


2013년 3월 26일 오후 1시 53분 기준 등록된 YTN 미투데이에서는 YTN과 모든 계열사 인터넷 홈페이지가 사이버 테러 추정의 이상 증세로 접속이 이뤄지지 않는다고 밝혔다.


이외에도 탈북자 단체 및 대북매체 관련 사이트도 피해가 발생하였고, 일부는 복구가 된 상태이다.


잉카인터넷에서는 해당 악성파일과 MBR 영역을 보호하는 솔루션 등을 무료로 배포하고 있고, nProtect AVS 3.0 제품에는 다양한 변종에 대한 탐지 및 치료기능을 추가하고 있다.


[전용백신 & MBR Guard]
http://avs.nprotect2.net/nsp2010/downloader/nProtect_KillMBR_.exe
http://avs.nprotect2.net/nsp2010/downloader/nPMBRGuardSetup.exe


댓글

  • 공화정 시기의 로마군은 징병된 시민을 중심으로 조직된 시민군이었다. 자영농으로 구성된 시민들은 무장을 개인적으로 조달했으며, 따라서 재산에 따라 무장이 달라질 수 밖에 없었고 군에 있어서 차지하는 역할도 달라졌다. 사회적 계급이 곧 군의 계급이 된 셈이다. 시민들은 재산 액수에 의해 분류되어 최상위 계층은 기병과 중장보병을, 중위 계층은 중장보병을, 하위 계층은 경장보병을 맡는 시스템이 구축되었다.

    이렇게 재산별로 나뉜 병사들은 백인대장이 이끄는 백인대에 소속되며 이들은 각각 작은 정사각형들을 구성하며 하나의 커다란 직사각형을 이루었다. 또한 무장의 질과 나이에 따라 이들은 벨리테스, 하스타티, 프린키페스, 트리아리, 에퀴티로 나뉘었는데, 벨리테스는 투창병, 하스타티는 경보병, 프린키페스는 중보병, 트리아리는 중창병, 그리고 에퀴티는 기병이었다.

    벨리테스는 매우 가볍게 무장하였으며 많은 수의 투창을 들고 다니며 전투 개시시 최전방에서 투창을 하는 임무를 맡았다. 하스타티는 젊은 병사들로 이루어진 경보병으로 전선의 맨 앞줄에 위치하여 적의 체력을 소모하는 역할을 맡았다. 프린키페스는 로마군의 핵심이자 주력을 이루는 병력으로 이들은 젊고 전투 경험이 풍부한 30대에서 40대 초반의 시민으로 구성되어 있었다. 트리아리는 나이가 많은 고참병으로 구성되어 있었고 이들은 최후방에 위치하며 여러가지 전술적 움직임에 동원되거나 불리한 전선에 투입되는 등의 보조적인 역할을 맡았다.


  • HASTATI(20130320), PRINCIPES(xxxxxxxx), TRIARII(xxxxxxxx)...그 다음은 PRINCIPES 공격입니다. (두번째 공격날짜는 ????????) 공격날짜를 예측하기는 어려우나 철저한 대응이 필요할꺼 같습니다.
    포스팅 잘보고 갑니다. 관련 분석보고서는 잘읽어 보았습니다. 저두 공부? 나 연구하는데 도움이 되지싶습니다.

  • Tales From the Darkside: Mobile Malware Brings Down Korean Banks
    https://community.emc.com/community/connect/rsaxchange/netwitness/blog/2013/03/21/tales-from-the-darkside-mobile-malware-brings-down-korean-banks

  • South Korean Banks and Broadcasting Organizations Suffer Major Damage from Cyber Attack
    http://www.symantec.com/connect/blogs/south-korean-banks-and-broadcasting-organizations-suffer-major-damage-cyber-attack

    Different Wipers Identified in South Korean Cyber Attack
    http://www.symantec.com/connect/blogs/different-wipers-identified-south-korean-cyber-attack

  • Mar21 How Deep Discovery Protected Against The Korean Cyber Attack
    http://blog.trendmicro.com/trendlabs-security-intelligence/how-deep-discovery-protected-against-the-korean-mbr-wiper/

  • South Korea Attackers Set Time Bomb For Data-Destroying Malware
    http://www.darkreading.com/security/attacks-breaches/240151425/south-korea-attackers-set-time-bomb-for-data-destroying-malware.html

  • DarkSeoul: SophosLabs identifies malware used in South Korean internet attack
    http://nakedsecurity.sophos.com/2013/03/20/south-korea-cyber-attack/

  • Summary of March 20 Korea MBR Wiper
    http://blog.trendmicro.com/trendlabs-security-intelligence/summary-of-march-20-korea-mbr-wiper/

  • Whois behind South Korean wiper attacks?
    http://www.f-secure.com/weblog/archives/00002533.html

댓글쓰기

악성 파일 정보 관련된 글

관련글 더보기