※ 안녕하세요 잉카인터넷 입니다. 본 게시글의 nProtect MBR Guard는 현재 새롭게 출시한 '개인용 안티바이러스 nProtect Anti-Virus/Spyware V4.0'의 프리미엄 기능에서 동일하게 서비스하고 있습니다. 이용에 참고하시기 바랍니다. 

nProtect Anti-Virus/Spyware V4.0 다운로드 바로가기
http://avs4.nprotect.com 


1. 당신의 하드디스크는 안녕하십니까?


최근 발생한 3.3 DDoS 공격과 관련해 하드디스크 파괴 기능을 가지는 추가 변종이 유포되면서 실제 하드디스크 파괴 사례가 다수 접수되고 있다. 이와 관련해 2011년 3월 7일경 감염되면 곧바로 하드디스크 파괴를 진행하는 또 다른 변종이 발견되어 추가적인 피해가 예상되고 있다. 추후 관련된 변종이 지속적으로 유포될 가능성이 충분하기에 잉카인터넷(시큐리티대응센터)에서는 이와 관련한 피해를 최소화시키기 위해 "하드디스크 실시간 파괴 차단"을 보유한 "MBR 원천 보호 프로그램"을 최초로 제작하여 무상 배포하게 되었다.

  

nProtect MBR Guard v2.0.1.4 (한글 Windows XP, Vista, 7 지원 / 서비스 모드 및 기능 추가)

nProtect MBR Guard는 현재 새롭게 출시한 '개인용 안티바이러스 nProtect Anti-Virus/Spyware V4.0'의 프리미엄 기능에서 동일하게 서비스하고 있습니다. 이용에 참고하시기 바랍니다. 

nProtect Anti-Virus/Spyware V4.0 다운로드 바로가기
http://avs4.nprotect.com 


※ nProtect MBR Guard v2.0.1.4 설치 및 동작 과정에서 이상 현상(오류)이 발생할 경우 대응팀 블로그에 댓글을 남겨 주시면 추가 확인 과정을 거쳐 좀더 신속하게 조치해 드릴 예정입니다.

※ 이번에 무료로 배포하는 "nProtect MBR Guard"를  Windows XP, Vista, 7 등 사용 가능한 대부분의 윈도우 OS 전용으로 개발함으로써 사용자 하드디스크의 MBR 영역을 안전하게 보호할 수 있게 되었고, 이를 바탕으로 보다 다양한 보안 위협에 대비할 수 있도록 지속적인 노력과 대응체계를 유지할 예정이다. 차기 버전에서는 좀더 강화된 기능을 제공할 예정에 있다.


[참고사항]
3.3 DDoS 악성파일의 HDD 파괴 기능은 윈도우 7 에서는 정상적으로 작동(파괴)되지 않으나, 새로운 변종 등이 출현할 것을 대비하기 위해서 MBR Guard 신버전은 윈도우 7 도 지원 중입니다.


3.3 DDoS 악성파일 하드디스크 파괴 시작 긴급 예방 조치법

http://erteam.nprotect.com/133

[대응]3.3 DDoS 공격 발생 - Update 03-08-01
☞ http://erteam.nprotect.com/131

[방통위 보도자료]새로운 악성코드 공격 대비 보안관리 철저 당부
http://m.kcc.go.kr/user.do?mode=view&boardId=1042&page=P05030000&dc=K05030000&cp=1&boardSeq=30918
  

2. 주요 기능


위와 같이 하드디스크에 대한 파괴 기능을 가지는 악성파일은 부팅 시 중요한 하드디스크의 MBR 영역의 값을 변조하는 기능을 통해 PC의 부팅 자체가 불가능해지는 증상을 유발하며, 아래의 그림과 같은 감염 동작 순서를 갖는다.



우선, 공격자에 의해 웹하드 사이트 변조가 이루어진 후 악성파일에 대한 삽입/유포가 이루어지며, 해당 악성파일을 다운로드 받아 감염된 PC들은 좀비 PC가 된다. 그 후 위 그림과 같이 C&C 서버로부터 하드디스크 파괴 기능을 가지는 DDoS 관련 악성파일을 추가적으로 다운로드할 수 있으며, 특정 조건이 충족되면 DDoS 공격 및 하드디스크 파괴가 이루어진다.

※ MBR(Master Boot Record)

하드디스크의 맨 앞 부분에 기록되어 있으며, 시스템 부팅 시 필요한 영역이다. 이 MBR 영역에 의해 윈도우와 같은 운영 체계(OS)가 기동 되며, 해당 부분이 아래의 그림과 같이 0 값으로 "Overwrite" 되어 변조되면 정상적인 부팅이 불가능해진다.

                               
[정상 MBR 영역]                                                    [파괴 MBR 영역]


[하드디스크 MBR 파괴 동작 테스트 동영상]

위 동영상은 하드디스크 파괴를 시도하는 악성파일(sample.exe)에 대한 감염 테스트 동영상이다.

1. 해당 악성파일에 감염되면 사용자가 인지하지 못하도록 백그라운드 상에서 감염 동작이 이루어진다.

2. 감염 후 약 2분 가량이 지나면 하드디스크의 MBR 영역 파괴가 이루어지며, 윈도우 상에서 일반적인 명령에 대한 수행 불가 및 BSOD(블루스크린) 등의 증상을 유발할 수 있다.

3. BSOD 등의 오류 증상 후 재부팅 되면 이후에는 정상적인 부팅이 불가능할 수 있다.

4. MBR이 손상된 하드디스크는 정상적인 부팅 및 저장된 데이터에 대한 복구는 어려울 수 있으나, 운영체제(OS)를 재설치 하면 MBR에 대한 셋팅이 다시 이루어지면서 하드디스크의 재사용이 가능하다.


잉카인터넷(시큐리티대응센터)에서 제공하는 "nProtect MBR Guard" 프로그램은 이러한 하드디스크의 MBR 영역 위변조를 원천적으로 차단하는 것을 주요 기능으로 하며, 이를 위해 윈도우상의 API 함수에 대한 흐름을 파악하여 해당 영역의 "Overwrite"를 제한하는 등의 Command-Filter Driver 방식을 채용하였다.

이는 PC 사용에 있어서 매우 중요한 물리적 드라이브의 무결성 확보 및 시스템 보호를 위한 최소한의 요소이며, 안전한 컴퓨터 사용을 위해서 반드시 보호되어야 하는 영역이다.

"nProtect MBR Guard"  드라이버 Layer 에 상주하여 모든 악의적 명령으로 부터 하드디스크(MBR) 를 보호하게 된다. 하드디스크상의 일반 드라이브 (C:\, D:\ 등) 영역은 Volume 으로 마운트 되어 File System Filter 모듈 등을 통해 해당 영역 보호가 가능하나, 부팅 시 필요한 하드디스크(MBR) 영역은 같은 방법으로 보호가 불가능하다. 때문에 하드디스크(MBR) 영역을 관장하고 있는 Disk.sys Driver 를 필터링 하는 "nProtect MBR Guard" 을 사용하여 다양한 Disk I/O의 흐름을 파악하고 차단할 수 있는 "Disk Filter" 방식을 채택하였다.


3. 사용 방법

nProtect 홈페이지의 전용백신 페이지 또는 아래의 링크를 통해 "nProtect MBR Guard"를 다운로드 받아 실행하게 되면 로고화면과 함께 프로그램 설치가 된다. 설치가 완료되면 바탕화면에 바로가기가 생성되고 트레이 아이콘이 활성화 되면서 MBR Guard가 실행된다.

※ nProtect MBR Guard는 현재 새롭게 출시한 '개인용 안티바이러스 nProtect Anti-Virus/Spyware V4.0'의 프리미엄 기능에서 동일하게 서비스하고 있습니다. 이용에 참고하시기 바랍니다. 

nProtect Anti-Virus/Spyware V4.0 다운로드 바로가기
http://avs4.nprotect.com 



트레이 아이콘을 오른쪽 마우스 버튼으로 활성화 시키면 다음과 같은 메뉴들을 볼 수 있다.



[MBR 보호]는 프로그램 설치 시 기본으로 설정되어 있는 기능으로 체크되어 있으면 MBR로 악의적 접근을 막아주게 된다. 
[자동시작] 기능도 프로그램이 설치될 때 설정되는 것으로 체크되어 있으면 컴퓨터 부팅 시 MBR Guard를 자동으로 실행시켜 주게된다.

[MBR 보호]가 활성화 되게 되면 MBR 영역에 접근하는 것을 막게 되기때문에 3.3 DDoS 악성파일이 MBR을 파괴 시키기 위한 동작을 하게 되어도 경고창과 함께 해당 PC를 안전하게 지켜주게 된다.


 [MBR Guard의 MBR 악성파일의 동작 차단 테스트 동영상]

위 동영상은 하드디스크 파괴를 시도하는 악성파일 (sample.exe)을 nProtect MBR Guard 제품을 사용하여 악성파일을 차단 하는 테스트 동영상이다.

1. 실행파일을 실행하여 트레이 아이콘을 활성화 시키고 [MBR 보호]을 실행하여 MBR Guard를 활성화 시킨다.

2. 글 상단에 포함된 [하드디스크 파괴 동작 테스트 동영상]에서 사용된 샘플과 동일한 악성파일을 실행하여 해당 악성파일이 백그라운드에서 동작하도록 한다.

3. 감염 후 약 2분이 지나면 BSOD(블루 스크린)가 나타나야 하지만 MBR Guard 에 의하여 악성파일이 MBR 영역에 접근하지 못하게 되므로 BSOD(블루 스크린)은 발생하지 않고, 다음과 같이 MBR Guard 가 띄어주는 경고창이 뜨게된다.




 

저작자 표시
신고
Posted by nProtect

2011년 03월 03일경 부터 국내 주요 웹 사이트를 대상으로 한 분산 서비스 거부(DDoS:Distributed Denial of Service) 공격이 발생하고 있어 잉카인터넷(시큐리티대응센터/대응팀)에서는 "긴급 경보"를 발령 한 상태이다.


잉카인터넷 대응팀은 03월 03일부터 비상근무체제를 유지하고 있으며, nProtect Anti-Virus 제품에 악성파일 치료기능을 2011년 03월 03일자부터 긴급으로 업데이트하여 제공 중에 있다. 특히, 해당 악성파일들이 국내 주요 Anti-Virus 제품의 업데이트를 방해하고 있기 때문에 전용백신을 사용하거나 nProtect Anti-Virus 제품의 최신 업데이트 패턴을 이용하면 좀더 완벽한 치료가 가능하다.
  

[무료 전용백신 v9]3.3 DDoS 악성파일 * HDD 파괴악성파일 치료 기능 포함
http://avs.nprotect.net/FreeAV/nProtectEAVDllbot.com

[HDD 파괴 피해 예방 안내]3.3 DDoS 악성파일 하드디스크 파괴시작 긴급 예방 조치법
http://erteam.nprotect.com/133

3.3 DDoS 악성파일 분석 보고서 (내용 계속 업데이트 중) 

[2011.03.09]_DDoS_분석_보고서_V8.0.pdf

 
  

참고로 호스트 파일을 변조해 Anti-Virus 제품의 정상적인 엔진/패턴 업데이트를 방해하는 주소는 다음과 같다.


이번에 발견된 악성파일들 중 일부는 사용자 컴퓨터내에 존재하는 중요 문서 파일 등을 암호화 압축(손상)하여 사용자가 정상적으로 사용하지 못하게 하는 피해 증상과 특정 조건에 따라 하드 디스크(HDD)를 파괴하는 기능(조건:설치된 시간+7일), 사용자 PC 정보 유출 등을 수행하는 것으로 파악되고 있으며, 현재 일반 사용자로 부터 문서 파일이 손상된 피해 사례가 아래와 같이 신고 접수된 상태이다.


잉카인터넷(http://www.nprotect.com) 시큐리티대응센터(대응팀)는 긴급 보안 공지와 함께 전사 비상 대응 체제를 가동하고 있으며, 아직까지 대규모 공격 수준은 아니지만, 스케줄링되어 있는 순차적 공격을 대비하여 인터넷 상황을 예의 주시 중에 있다.


이번 DDoS 공격 기능을 보유한 악성파일은 국내 특정 웹 하드 업체에서 유포되었기 때문에 수 많은 이용자의 컴퓨터가 Zombie PC 역할을 수행하고 있을 것으로 예상되며, 2009년 07월 07일부터 09일까지 국내 주요 17개 웹 사이트를 공격했던 7.7 DDoS 공격의 변형된 방식으로 동일한 공격자의 소행으로 추정된다.

지금까지 파악된 공격 대상 웹 사이트는 다음과 같고, 변형된 파일이나 추가 변종 공격에 따라서 웹 페이지가 변경될 수 있다.

http://www.naver.com/  [네이버]
http://www.daum.net/  [다음]
http://www.auction.co.kr/ [옥션]
http://www.hangame.com/  [한게임]
http://www.dcinside.com/  [디시인사이드]
http://www.gmarket.co.kr/ [G마켓]
http://www.cwd.go.kr/  [청와대]
http://www.mofat.go.kr/  [외교통상부]
http://www.nis.go.kr/  [국가정보원]
http://www.unikorea.go.kr/ [통일부]
http://www.assembly.go.kr/ [대한민국 국회]
http://www.korea.go.kr/  [국가대표포털]
http://www.dapa.go.kr/  [방위사업청]
http://www.police.go.kr/  [사이버경찰청]
http://www.nts.go.kr/  [국세청]
http://www.customs.go.kr/ [관세청]
http://www.mnd.mil.kr/  [국방부]
http://www.jcs.mil.kr/  [합동참모본부]
http://www.army.mil.kr/  [육군]
http://www.airforce.mil.kr/ [공군]
http://www.navy.mil.kr/  [해군]
http://www.usfk.mil/  [주한미군]
http://www.dema.mil.kr/  [국방홍보원]
http://www.kunsan.af.mil/ [주한미공군]
http://www.kcc.go.kr/  [방송통신위원회]
http://www.mopas.go.kr/  [행정안전부]
http://www.kisa.or.kr/  [한국인터넷진흥원]
http://www.ahnlab.com/  [안철수연구소]
http://www.fsc.go.kr/  [금융위원회]
http://www.kbstar.com/  [국민은행]
http://www.wooribank.com/ [우리은행]
http://www.hanabank.com/  [하나은행]
http://www.keb.co.kr/  [외환은행]
http://www.shinhan.com/  [신한은행]
http://www.jeilbank.co.kr/ [제일저축은행]
http://www.nonghyup.com/  [농협]
http://www.kiwoom.com/  [키움증권]
http://www.daishin.co.kr/ [대신증권]
http://www.korail.com/  [한국철도공사]
http://www.khnp.co.kr/  [한국수력원자력]

DDoS 공격에 사용된 악성파일들은 다음과 같고, 계속해서 변종이 수집되고 있다.


설치되는 일부 dll 파일들은 조작된 것으로 보여지는 디지털 서명을 사용하고 있기도 하다.

[클릭하면 전체 화면을 볼 수 있음]


잉카인터넷에서 긴급 업데이트된 악성파일의 대응 이력은 다음과 같고, 변종 발견에 따라 계속 추가될 수 있다.

2011년 03월 03일 02번째 긴급 업데이트 (23시 20분경 완료)
Trojan/W32.Dllbot.40960
Trojan/W32.Dllbot.46432
Trojan/W32.Dllbot.71008

2011년 03월 04일 01번째 긴급 업데이트 (01시 00경 완료)
Trojan/W32.Agent.10240.OO
Trojan/W32.Agent.11776.OF

2011년 03월 04일 02번째 긴급 업데이트 (11시 00분경 완료)
Trojan/W32.Agent.118784.ACE
Trojan/W32.Agent.131072.YG

2011년 03월 04일 03번째 긴급 업데이트 (11시 30분경 완료)
Trojan/W32.Agent.20480.AZR
Trojan/W32.Agent.11776.OG
Trojan/W32.Agent.16384.ALF

2011년 03월 04일 04번째 긴급 업데이트 (17시 15분경 완료)
Trojan/W32.Agent.126976.XY
Trojan/W32.Agent.16384.ALF

2011년 03월 04일 05번째 긴급 업데이트 (18시 30분경 완료)
Trojan/W32.Agent.42320
Trojan/W32.Agent.46416.B

2011년 03월 04일 06번째 긴급 업데이트 (22시 20분경 완료)
Trojan/W32.Agent.24576.BGE
Trojan/W32.Agent.10752.PI

2011년 03월 05일 02번째 긴급 업데이트 (12시 30분경 완료)
Trojan/W32.Agent.77824.AMN
Trojan/W32.Agent.71000.B
Trojan/W32.Agent.13312.MD
Trojan/W32.Agent.36864.BZN

2011년 03월 05일 03번째 긴급 업데이트 (13시 15분경 완료)
Trojan/W32.Agent.27648.OV

2011년 03월 06일 01번째 긴급 업데이트 (14시 30분경 완료)
Trojan/W32.Agent.16384.ALI
Trojan/W32.Agent.16384.ALJ
Trojan/W32.Agent.24576.BGF
Trojan/W32.Agent.57948.C

2011년 03월 07일 04번째 긴급 업데이트 (20시 45분경 완료)
Trojan/W32.Agent.24576.BGG
Trojan/W32.Agent.56167

2011년 03월 09일 02번째 긴급 업데이트 (21시 53분경 완료)
Trojan/W32.Agent.42488.B
Trojan/W32.Agent.45056.AUY
Trojan/W32.Agent.57344.BDK

2011년 03월 10일 02번째 긴급 업데이트 (09시 00분경 완료)
Trojan/W32.Agent.229376.ML
Trojan/W32.Agent.245760.IX
  

[nProtect Anti-Virus/Spyware 2007 알고 사용하자!]

http://erteam.nprotect.com/16
  


2011년 3월 4일 오후 06시 30분을 기점으로 2차 DDoS 공격이 이루어졌지만 대규모 공격은 발생하지 않아 아직까지 특별한 피해사례는 보고되지 않고있다.

또한, 기존에 예상되었던 시점보다 앞당겨져 하드디스크 손상을 초래하는 기능 동작이 2011년 3월 6일 보고되었으며, C&C 서버로 부터 감염된 PC에 해당 명령이 전달되어 동작이 진행중인 것으로 현재 추정되고 있다. 이는 현재까지 3.3 DDoS 공격으로 인해 뚜렷한 피해가 발생하지 않자 추가적인 피해 발생을 위해 진행된 것으로 추정되고 있으며, 현재 해당 건과 관련하여 긴급 업데이트가 완료되었으니 최신 엔진 및 패턴 버전으로 업데이트가 필요하다.

잉카인터넷(시큐리티대응센터/대응팀)에서는 이번 3.3 DDoS 공격과 관련하여 다양한 보안 위협에 대응하기 위해 24시간 지속적인 비상 대응체계를 유지하고 있으며, 관련 내용에 대해 계속해서 정보를 제공할 예정이다.


저작자 표시
신고
Posted by nProtect