사용자 PC를 감염시켜 봇으로 만드는 악성코드 jorik 




1. 개요 


해커가 마음대로 제어할 수 있는 감염된 다수의 컴퓨터로 형성된 네트워크를 봇넷(Botnet)이라 한다. 이 봇넷을 구성하는 감염된 컴퓨터 봇(Bot)은 C&C(Command and Control) 서버의 명령을 수행한다. C&C 서버의 명령은 주로 봇넷 확장을 위한 악성코드 유포 또는 DDoS(Distributed Denial of Service) 공격을 이루기 위한 DoS(Denial of Service) 공격 등이다. 본 보고서에선 사용자 컴퓨터를 감염시켜 봇으로 만드는 C&C 악성코드의 주요 기능을 분석하여 봇의 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

server.exe

파일크기

90,624 byte

진단명

Trojan/W32.jorik.90624.Z

악성동작

파일 드롭, 다운로드 및 실행, 포트 루트킷, DoS 공격

네트워크

116.***.***.150:8692 - 유포지

v******l.c***s.com:8080 - 공격자 서버

 


2-2. 유포 경로

유포 경로는 정확히 알려진 바가 없지만 개인 서버에서 수집된 것으로 보아, 다른 악성코드에서 추가로 다운로드되어 실행되었을 가능성이 커 보인다.




2-3. 실행 과정

server.exe는 자신의 리소스로부터 SynDrives.sys 바이너리를 가져와 생성하고, 임의의 문자 6자리 파일명으로 자신을 복사한다. 각 파일의 경로는 아래와 같으며, 두 파일 모두 서비스로 생성 및 시작 시킨 뒤 server.exe는 자가 삭제 후 종료된다.


구 분

포트 루트킷

자가 복제

파일명

SynDrives.sys

[Random_06].exe

경로

%SystemRoot%\system32\dirvers\

%SystemRoot%\system32\

서비스명

SynDrives

National Instruments Domain Service

[1] 드롭 파일


자가 복제된 파일인 [random_06].exe가 실질적으로 공격자 서버와 통신하며 공격자의 명령을 수행하며, SynDrives.sys는 공격자 서버와의 통신을 은닉하기 위한 포트 루트킷 기능을 수행한다.



3. 악성 동작


3-1. 타 서버 DoS(Denical of Service) 공격

공격자 서버로부터 명령을 받아 대상이 된 서버에 아래 그림과 같은 의미 없는 요청을 반복하여 대상 서버에 부하를 일으킨다.


[그림 1] 패킷 내용 중 일부[그림 1] 패킷 내용 중 일부


[그림 2] 패킷 전송 스레드 반복 생성[그림 2] 패킷 전송 스레드 반복 생성





SYN Flood 기능 및 다양한 소켓 옵션, 패킷 내용 등이 존재하며, 패킷 내용 대부분이 HTTP GET 요청 메소드인 것으로 미루어 보아 공격 대상은 주로 웹 서버일 것으로 추측된다.




3-2. 파일 다운로드 및 실행

공격자가 특정하는 URL을 통해 아래 그림과 같이 웹 서버에서 파일을 다운로드 받고, 실행시킨다. 이 후 server.exe가 등록했던 서비스들을 삭제한다.

[그림 3] 파일 다운로드 및 실행[그림 3] 파일 다운로드 및 실행




등록했던 2개의 서비스를 모두 제거하는 것으로 보아, 추가로 다운로드 된 모듈 또한 같은 서비스명을 가질 가능성이 높아 보인다.





4. 결론


해당 악성코드는 서비스로 돌아가며, 포트 또한 감춰져 있어 일반 사용자가 감염 사실을 알아차리기 어렵다. 악성코드 감염을 막기 위해선, 주기적으로 바이러스 검사를 해 감염 상태를 확인해야 하며, 운영체제와 응용 소프트웨어들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 내려받지 않아야 한다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 국가기관 및 언론 사이트 등 동시다발적 공격

2013년 06월 25일 오전 10시경 전후로 청와대와 국무조정실 등의 웹 사이트가 해킹되었고, 당시에 시스템 긴급 점검 안내 페이지가 출력되었다. 이에 잉카인터넷은 nProtect 시큐리티 보안경보를 [위험]으로 상향조정하고 비상근무태세를 유지하고 있는 상태이다.

 

 



2. 해킹된 청와대 홈페이지 화면에는 다음과 같은 내용들이 포함되어 있다. (일부 모자이크 처리)

 




Hacked by Anonymous
민주와 통일을 지향하는 #어나니머스코리아
통일대통령 김정은장군님 만세!

공격은 계속될껏이다.
우리를 기다리라.
우리를 맞이하라.



공격 당시 다음 웹사이트가 접속장애가 발생했다.

국방부, 국정원 등 다수의 정부기관
새누리당 각 지역시당



청와대 홈페이지 변조를 통해서 알려진 공개자료 링크라는 곳에는 실제로 특정인들의 정보가 포함되어 있는 상태이다.


청와대 홈페이지 해킹한 자들은 YouTube 사이트에 동영상까지 올려두었다.






분산서비스거부(DDoS) 공격용에 사용된 것으로 의심되는 악성파일은 국내 특정 파일공유(웹하드) 사이트 2곳의 설치프로그램 변조를 통해서 유포된 것으로 확인되었다.

■ A 웹하드 업체



악성파일은 정상적인 웹하드 셋업파일을 변조하여 설치 시 악성파일이 함께 설치하도록 압축(SFX RAR)되어 있다. 내부에는 ***Diskup.exe 라는 이름의 악성파일이 포함되어 있다.


악성파일은 한국시간으로 2013년 06월 24일 오후 08시:04분 경(24/06/2013 11:04:46 UTC)에 만들어져 있다.


웹하드 설치프로그램으로 위장하여 숨겨져 있는 악성파일이 실행되면, 국내의 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 c.jpg 파일이 다운로드되어 설치된다. 이 파일은 그림파일처럼 위장하고 있지만, 실제로는 실행가능한 EXE 악성파일이다. 더불어 해당 사이트에는 또 다른 악성파일도 숨겨져 있다.

c.jpg 파일은 임시폴더(Temp)에 ~***disk.exe 라는 파일로 생성되고 실행된다. 그 이후에 감염 시스템에 실행되어 있는 프로세스 파일 중에 하나의 파일명을 선정하여 악성파일의 복사본을 생성하며, Identities 하위의 폴더명도 감염될 때마다 랜덤하게 다르게 생성된다. 실행 후에 ~***disk.exe 파일은 배치파일 명령을 통해서 스스로 삭제된다.


C:\Documents and Settings\[사용자계정]\Application Data\Identities\{489181c0-a73e-11de-9470-806d6172696f}

config.ini
svchost.exe (파일명 변수)
explorer.exe (파일명 변수) / 악용된 정상 Tor 파일


Tor 방식을 이용해서 탐지우회 등을 적용한 부분이 특징이다.

C:\Documents and Settings\[사용자계정]\Application Data\tor 폴더를 생성하고, 각종 설정파일을 등록한다.



■ B 웹하드 업체


두번째 웹하드 사이트에서도 설치프로그램이 변조되어 악성파일이 포함되어 유포되었다.


웹하드 설치 프로그램에 은밀하게 숨겨져 있는 악성파일이 실행되면 국내의 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 d.jpg 파일이 다운로드되어 설치되고 A 웹하드 업체에서 설치된 악성파일과 동일한 방식으로 기능이 수행된다.



2013년 06월 25일 오전 6시경 제작된 악성파일도 발견되었는데, 이 악성파일은 감염시 특정 조건에 따라 시스템폴더에 oleschedsvc.dll (생성될 때마다 파일명 랜덤), wuauieop.exe 등을 생성한다.
 
이 악성파일은 기존 웹하드 설치프로그램을 통해서 유포되었던 것으로 추정되며, 다음과 같은 절차를 통해서 감염이 진행되며, 감염전에 먼저 OpenFileMappingA API 함수를 호출하여 "Global\MicrosoftUpgradeObject9.6.4" 값이 존재하는지 비교를 통해서 감염여부를 체크한다.

SimDisk_setup.exe -> Simdiskup.exe -> c.jpg(~simdisk.exe) -> sermgr.exe -> ~DR(숫자).tmp -> ~DL(숫자).tmp -> ole(윈도우 시스템 서비스명).dll -> wuauieop.exe


c.jpg 파일의 경우 그림파일로 위장하고 있지만 실제로는 exe 실행형 악성파일이다.

윈도우 OS가 32비트인 경우에는 임시폴더(Temp)에 "~DR(숫자).tmp" 파일을 생성하고, 실행한다. 그리고 동일 경로에 생성된 "~DL(숫자).tmp" 파일은 ole(윈도우 시스템 서비스명).dll 파일로 자신을 복사하고 실행한다.



ole(윈도우 시스템 서비스명).dll 파일은 특정 웹 사이트로 접속하여 추가파일을 다운로드 시도한다.

 

상기 웹메일 서비스는 지난 3.20 사이버 테러 때와 5.31 사이버공격용 악성파일들이 사용하던 방식과 일치하는 수법이다. 2013년 5월 31일 발견되었던 악성파일은 3.20 변종 악성파일로 분류되어 잉카인터넷과 이스트소프트가 연합대응을 진행한 바 있다.

더보기

아래는 2013년 05월 31일에 접속을 시도했던 웹메일 서비스의 사이트 화면으로 이번에 악성파일이 C&C 통신하는데 사용한 구성과 일치하는 것을 알 수 있다.


만약 파일 접속이 성공하게 되면 윈도우 하위의 임시폴더(Temp)에 "~MR(숫자).tmp 파일로 다운로드한다. 분석시 "ct.jpg" 파일이 다운로드 되었다.


ole(윈도우 시스템 서비스명).dll 파일은 자신이 보유하고 있는 고유 인자값 "BM6W" 와 공격명령(06월 25일 오전 10시 이후) 시간을 비교한다. [ConvertStringSecurityDescriptorToSecurityDescriptorA]


감염된 시스템의 날짜와 공격명령 조건이 일치할 경우 시스템 폴더에 "wuauieop.exe" 악성파일을 생성시키고, 실행하게 된다. 본격적인 DDoS 공격 명령을 스케줄에 따라서 수행하게 되는 것이다.

악성파일은 다량의 패킷 쿼리를 대전 정부통합전산센터(*.gcc.go.kr) 서버로 전송하여 DNS 서버의 리소스를 소모시켜, 결과적으로 정부기관의 웹 사이트에 과부하를 일으키는 일종의 DNS DDoS 공격 기법이라 할 수 있다.


공격 IP 대상은 [152.99.1.10:53], [152.99.200.6:53] 로 UDP Port 53 번을 이용해서 DNS 상위 루트서버에 질의응답을 무작위로 발송하게 되고, 임의로 생성되는 도메인은 문자열이 최대 28자까지 허용하여 gcc.go.kr 서버에 과부하가 발생하게 된다.

- ns.gcc.go.kr [152.99.1.10]
- ns2.gcc.go.kr [152.99.200.6]

특정 도메인에 대한 개별 서비스거부(DoS)공격을 수행하는 것 보다는 정부기관의 DNS 서버를 공격해서 공격효과를 극대화하기 위해서 사용된 지능화된 공격수법이라 할 수 있고, ANY Query 패킷을 전송함과 동시에 NS와 NS2에 질의를 함께 요청함에 따라 과부하 발생을 최대한 유도하였다.


DNS 서버의 부하증가를 시키기 위해서 일반적인 DNS Query 크기보다 상대적으로 큰 1300~1500 Bytes 값으로 Query 를 보내게 된다.

 
악성파일들은 다수의 변종들이 발견되고 있으며, nProtect Anti-Virus 제품에서는 대표진단명인 Trojan/W32.KRDDoS 탐지명으로 치료기능이 지속적으로 추가 중이다.

 




어나니머스에서는 웹기반의 DDoS 공격방식을 공개하였다. 이용자들이 단순히 웹사이트 접속만으로 북한의 특정사이트를 자동으로 공격하는 방식이다.


이 공격명령 스크립트에서 TARGET 사이트만 변경되면 특정 사이트에 대한 지속적인 공격이 가능하기 때문에 악용될 우려가 있다.


실제 일간베스트저장소 사이트를 통해서 청와대, 국정원, 새누리당 등을 공격하는 코드가 삽입되었던 것으로 확인됐고, 그외로 고시생 기숙사 관련 커뮤니티인 하방 사이트에도 악성 스크립트가 삽입되어 있었다.

그러나 하방 사이트의 경우 실제 웹하드 사이트에서 유포된 악성파일이 추가로 접속하는 C&C서버이고, 일반적으로 접속자가 많지 않은 편이기 때문에 공격자가 테스트 목적으로 등록했던 것으로 보여진다. 


일간 베스트는 6월 25일 오후 6시 30분경부터 모든 게시물이 "Hacked by anonymous_kor,anonsj, anonymous" 라는 내용으로 도배되었고, 어나니머스 코리아는 트위터를 통해서 "일베가 해킹당했다. 그러나 어나니머스는 하지 않았다" 라는 글을 올린 바 있다.

 


마치 어나니머스 소속의 트위터처럼 보여지는 hack********** 라는 사람이 일베를 탱고다운 시키겠다고 글을 올렸는데, 그 트위터 계정은 기존 Hacktivist(@anonymous_kor)와는 다른 계정이므로 오해해서는 안된다.

 


공격에 이용된 악성 스크립트 방식은 코드에 설정된 공격 대상 서버에 다량의 HTTP GET 요청을 통해서 악의적인 과부하 트래픽을 유발시키게 된다. 0.25[ms] 간격으로 공격을 수행하게 된다. makeHttpRequest Function 부분에서 실제 공격 URL 내용을 구성해 HTTP GET REQUEST 트래픽을 유발시킨다.

http://(공격 URL)?proc=(현재시간)&modules=(현재시간)
http://(공격 URL)?proc=(현재시간)&code=AnonymousID(현재시간)


어나니머스가 공개한 북한의 웹 사이트 공격하는 방식으로 국내 주요 정부기관 사이트가 동시에 공격을 받았다. 겉으로 보기에는 어나니머스가 국내 웹 사이트를 공격하고 있는 것처럼 보여질 수 있다. 그러나 이것은 공개된 공격전술을 상대방이 역이용하여 정치적으로 우호적인 웹 사이트에 심리전술을 교묘하게 가미한 지능적인 사이버전이라 할 수 있다. 


TARGET 사이트는 계속해서 변경되고 있다.



2013년 06월 25일 기점으로 어나니머스 코리아 SNS 등을 통해서 북한의 조선중앙통신(kcna.kp), 노동신문(rodong.rep.kr), 평양방송(gnu.rep.kr), 고려항공(airkoryo.com.kp), 벗(friend.com.kp), 평양상업대학(business-school-pyongyang.org), 평양대학(pust.kr), 조선체육기금(ksf.com.kp), 조선의소리(vok.rep.kp), 노소텍(nosotek.com), 여명민족화해협의회(ryomyong.com), 류경(ryugyongclip.com), 아리랑(alirang.org) 등이 마비되었다고 알려졌다.


또한, 어나니머스는 북한내 개인정보를 포함한 기밀문서를 일부 공개했는데, 이곳에는 북한 고위직 실무자 13명의 이름, 생년월일, 전화번호, 주소, 소속 등이 표기되어 있다. 그외의 정보들은 위키리크스를 통해서 공개한다고 한다.


한국의 경우 청와대와 국무조정실, 국정원 등 다수의 정부기관, 조선일보, 대구일보와 매일신문 기사송고시스템, 새누리당 지역 시도당 등의 일부 웹 사이트가 DDoS 공격을 받았다.

국제 해킹그룹 어나니머스는 며칠 전부터 2013년 06월 25일 12시 전후로 대대적인 북한 웹 사이트 공격을 사전예고한 바 있다. 그런 가운데 북한 웹 사이트 공격예정 시간보다 이른 06월 25일 10시 전후로 한국의 주요 정부기관 등의 웹 사이트가 선제공격을 받았다. 이처럼 예고된 북한 웹 사이트 공격은 단방향 사이버공격에서 양방향 사이버전쟁으로 촉발되고 있는 상황이다.

계속해서 수집된 악성파일과 공격 수법들에 대한 종합적인 분석이 진행되고 있는 상황이지만, 현재까지 파악된 정황으로는 어나니머스의 북한 사이트 공격과 북한내 고위직 인물들의 정보공개에 대한 보복성으로 한국내 주요 정부기관을 공격한 것으로 보이며, 이것은 사이버테러를 넘어 6.25 사이버전의 형태를 띄고 있다.

앞서 설명한 바와 같이 2013년 6월 25일 발생한 남북 웹 사이트의 침해사고는 사이버전(Cyber War)의 신호탄이라 말할 수 있고, 다양한 사이버 군사전술 및 전략이 동원되고 있다.

ⓐ 기습 전술

먼저 어나니머스가 사전예고한 2013년 06월 25일 오후12시 공격시간대 이전인 오전 10시 경 청와대 웹 사이트가 해킹되었고, 정부주요기관의 개인신상정보가 다량 노출되었다. 어나니머스 공격보다 선제공격을 감행하였다.

ⓑ 위장 전술

해킹된 청와대 홈페이지에는 "Hacked by Anonymous" 등 마치 어나니머스가 해킹한 것처럼 위장하였고, 시스템 파괴 및 해킹시 어나니머스 내용처럼 사칭하고 있다.

ⓒ 교란 전술

보수성향의 웹 사이트로 알려져 있는 일간베스트(일베) 웹 사이트는 6월 25일 오후 6시 30분경부터 모든 게시물이 "Hacked by anonymous_kor,anonsj, anonymous" 라는 내용으로 도배되었다.

 기만 전술

해킹된 청와대 홈페이지에는 "공격은 계속될껏이다. 우리를 기다리라. 우리를 맞이하라. 통일대통령 김정은장군님 만세!" 등 위기감을 조성하는 등 위협을 노골적으로 표현하였다. 또한, YouTube 동영상 사이트에 청와대 해킹 관련 동영상을 등록하였다.

 인해 전술

이용자가 많은 웹하드의 설치 및 업데이트 프로그램 변조를 통해서 짧은기간에 많은 좀비군단을 만들어서 정부기관의 웹 사이트를 공격할 수 있는 교두보 및 전초기지를 확보하였다.

 정보 전술

어나니머스가 SNS 등을 통해서 공개한 웹 사이트 기반의 Script DDoS 공격정보를 획득하여 동일하게 맞불작전에 활용하였고, 정부기관의 개인신상 정보를 고의적으로 공개하였다.

 심리 전술

일간베스트(일베)를 해킹하여 접속자로 하여금 청와대, 국정원, 새누리당 등의 웹 사이트를 공격하도록 하고, 그것이 마치 어나니머스가 사용하는 방식과 동일하다는 것을 은근슬쩍 퍼지도록 만든다.

 은폐 전술

DDoS 공격에 이용된 악성파일은 웹하드 설치프로그램에 은밀하게 숨겨져 있고, 분석 및 추적을 방해하기 위해서 대표적인 상용 패킹 프로그램인 Themida 로 실행압축을 하거나, Tor 통신을 통해서 안정성 및 익명성이 보장되는 분산된 프록시 네트워크를 이용한다.

ⓖ 파괴 전술

MBR 등 하드디스크를 파괴하거나 중요한 개인 데이터를 유출, 파괴시킨다. 특히, 파괴된 자료의 복원을 어렵게 하기 위해서 암호화 압축을 한 후 삭제한다거나, 파일의 내부 자료를 변경 한 후 삭제하는 기법이 이용된다. 실제로 언론사 뉴스 송고시스템을 마비시키는 등 파괴적인 동작이 보고된 바 있다.



2013년 06월 26일 주한 미군관련 사이트가 해킹되어서 메인페이지가 변경되었고, 미군관련 개인 신상정보가 다수 공개되었다.


2013년 06월 26일 오전 추가 공개됨

일부 악성파일의 경우 파괴기능을 이용해서 사용자 컴퓨터에 존재하는 파일의 코드를 변경하고 삭제하여, 복구를 어렵게 만들수 있다.

악성파일 전파에 악용되었던 심디스크와 송사리 사이트는 프로그램 설치본에서 악성파일을 제거하고 공지를 등록한 상태이다.





※ 6.25 Cyber War 파괴전술 수행 중!
 


6.25 사이버전과 관련하여 시스템을 파괴시키는 악성파일들이 발견되고 있다. 일부 언론사 등을 상대로 시스템 파괴 기능명령을 수행하고 있어 각별한 주의가 필요하다.

이번에 발견되는 악성파일은 7.7 DDoS, 3.3(4) DDoS, 3.20 금융 및 언론사 사이버테러 때와 마찬가지로 시스템의 중요한 파일들을 삭제한다. 또한, 하드디스크(HDD)의 마스터부트섹터(MBR)를 공격하는 기능도 기존과 동일하다.


시스템 파괴 기능이 동작하면 변종에 따라 바탕화면을 임의로 변경하거나 드라이브에 존재하는 모든 파일들을 삭제시도하기 때문에 갑자기 프로그램이 실행되지 않고 재부팅될 수 있다. 

아래 화면은 변경되는 바탕화면 이미지(desktop_image001.bmp)들이다.



악성파일은 사용자 계정 하위의 임시폴더(Temp) 경로에 임의의 이름을 가진 tmp.bat 파일을 생성하고 실행하는데, 이 파일 내부에는 어나니머스를 의미하는 anon 이라는 문자가 포함되어 있고, NET USER 명령을 이용하여 "highanon2013" 이라고 사용자 계정의 암호를 변경시도한다. 생성되는 파일명은 매번 가변적으로 만들어진다.

 


사용자 계정의 암호를 변경하는 BAT 파일은 일반적으로 이용되는 윈도우 시스템 계정들을 제외하고 생성하게 된다.

- NetworkService
- LocalService
- All Users
- Default Public
- Default User


계정을 변경하고 스스로 삭제하게 되는 BAT 파일도 삭제될 때 다음과 같이 임의의 값으로 파괴되고 삭제된다.



다음 화면은 악성파일에 의해서 시스템에 존재하는 파일들의 이름이 변경되는 화면이다.


파일명을 변경하고 삭제하여, 정상적으로 복원하더라도 어떤 파일인지 구분하기가 어려워 사용이 어렵다.


또한, 악성파일은 하드디스크의 마스터부트섹터 영역(MBR)을 파괴시도하기 때문에 nProtect MBR Guard 를 설치해 두면 MBR 파괴를 사전에 탐지하고 방어할 수 있다. 그러나 파일들도 동시에 삭제되기 때문에 악성파일을 탐지할 수 있는 nProtect AVS3.0 제품 등을 동시에 사용하는 것이 좋다.

[nProtect MBR Guard]
http://pds.nprotect.com/upload_file/pds_vaccine/nPMBRGuardSetup.exe




파괴동작을 수행할 경우에는 다음과 같은 확장자의 파일을 확인하며, 기존과 다르게 특정 언론기업을 의미하는 ".nms" 확장명과 웹 프로그램용으로 사용하는 ".do" 확장자가 포함되어 있는 것이 특징이다.

아래의 확장자를 가진 조건에 파일이름 문자가 8자리 범위안에 확장자가 3자리(DOS 8.3 파일명 규칙)일 경우 즉시 파일을 삭제시도한다. 대부분 실행파일(PE 구조)들이 여기에 포함된다.

*.sys
*.ocx
*.dll
*.exe

다음의 확장자를 가진 파일의 경우 파일의 맨 뒷부분에 0x80 값을 덧붙이고, 처음부터 특정 위치까지 임의의 특정코드를 덮어쓰기하여 복구를 어렵게 방해한다. 그리고 알파벳과 숫자조합에서 파일명만큼 랜덤한 문자로 파일명을 변경 후 삭제한다.

*.nms
*.png
*.jpeg
*.jpg
*.gif
*.bmp
*.mp4
*.wmv
*.mpeg
*.flv
*.mpg
*.avi
*.php3
*.php
*.do
*.jsp
*.asp
*.aspx
*.htm
*.html



청와대 홈페이지는 2013년 06월 28일 현재 아래와 같은 공지를 보여주고 있다.

 


추가로 발견된 악성파일에 의해서 시스템 파괴기능의 악성파일이 특정 사이트에서 다운로드되어 유입된 정황이 확인되었다.

해당 파일이 실행되면 가장 먼저 GetSystemDirectoryA API 함수를 이용하여 시스템 경로 하위에 "icfg" 이름의 폴더존재 여부와 속성을 확인 후 존재하지 않을 경우 "icfg" 이름의 폴더를 생성한다. 그 다음 국내 특정 호스트로 접속하여 08.gif 파일이 존재할 경우 다운로드하여 "icfg" 폴더에 "logo.gif" 이름으로 저장한다.


이후에 특정 호스트로부터 services.exe, lsass.exe 파일이 "icfg" 폴더에 생성되고 실행된다.



"services.exe" 파일은 실행시 OpenMutexA API 함수를 통해서 자신의 감염여부를 우선 체크하고, "RPCSECURITY_1358234201_56878293" 값이 존재하지 않을 경우 해당 Mutex 를 생성하고 실행된다.


ResourceType 에 "IMG" 이름의 "1013", "1014" 2개의 리소스를 포함하고 있으며, 각각 특정 네트워크의 IP 대역대 및 계정정보 등이 XOR 로직으로 암호화되어 있다.


XOR KEY 0x78 로 복호화가 완료되면 "1013" 리소스에는 특정 컴퓨터 및 네트워크 IP대역의 고유한 계정정보 등이 존재하며 "1014" 리소스에는 바탕화면 변경 및 각종 파일과 MBR 파괴기능의 악성파일이 존재한다.


"1014" 리소스에 숨겨져 있는 파괴기능을 보유한 악성파일은 윈도우 하위 임시폴더에 TMP(임의).nms 파일로 생성시킨다. TMP(임의).tmp 파일은 0바이트로 생성된다. 시스템 하위폴더에는 "wlandlg.nms" 파일을 생성하고 내부에는 "DCOMEventLaunch" 등과 같은 이벤트를 기록한다.


암호화되어 있던 리소스 "1013" 코드에 포함되어 있던 네트워크 설정값을 이용해서 임의 접속을 시도하고, 단순계정 정보의 사전대입법 등을 이용한다.

 


공유 네트워크에 연결된 컴퓨터 중에 단순한 암호를 사용하는 컴퓨터가 존재하는 경우를 확인하기 위해서 암호 사전대입공격 기법을 활용하거나 생성되는 파괴기능의 악성파일명이 다양하게 설치되어, 자신을 숨기기 위한 목적으로 하드코딩된 악성파일명을 선택적으로 선정한다.


공유 네트워크로 파괴기능의 악성파일을 전파시키기 위해서 TCP 139/445 포트를 통해 지속적인 네트워크 스캐닝을 진행하고 이 때문에 컴퓨터에 다소 부하가 발생하게 된다.


공유 네트워크의 접근이 가능할 경우 시스템 경로를 공유폴더로 설정하기 위해서 NET SHARE 명령을 이용하게 된다.


보안이 상대적으로 취약한 네트워크 공유폴더 설정이 성공하면, CopyFileA API 함수를 통해서 파괴기능의 악성파일을 복사시도하고, GetFileTime API 함수를 통해서 계산기(calc.exe) 파일의 생성시간으로 악성파일을 설치하여, 최근에 생성되지 않은 파일처럼 자신을 은폐시킨다. 그 이후에 NET SHARE shared$ /delete 파라미터를 이용해서 공유폴더를 제거하여 유입흔적을 지운다.


공유 네트워크에 생성되는 악성파일은 총 10가지(recdiscm.exe, taskhosts.exe, taskchg.exe, rdpshellex.exe, mobsynclm.exe, comon32.exe, diskpartmg.exe, dpnsvr32.exe, expandmn.exe, hwrcompsvc.exe)의 파일명 중 하나로 정해져 실행을 하게 되는데, 앞서 악성파일 숙주가 생성한 시스템 하위 경로의 "icfg" 폴더와 "lsass.exe" 파일 존재를 확인하고 존재할 경우 종료하고 없는 경우 실행된다.

"icfg" 하위 경로에 "lsass.exe" 이름의 악성파일이 존재한다는 것은 이미 네트워크에 악성파일을 전파시키는 Spread PC 로 활동을 하고 있었기 때문에 악성파일은 이 조건을 가장 우선적으로 체크하게 되는 것이다. 악성파일의 파괴기능은 이렇게 내부 공유 네트워크를 통해서 전파되는 과정을 거치며, 다양한 Case 조건에 따라 동작을 한다. 또한, 개별 인자선언에 따라 감염된 컴퓨터의 정보를 수집하거나 일부 윈도우 서비스 종료, 관리자 권한 설정, 바탕화면 이미지 설정 등의 명령을 수행하게 된다.

더불어 4,636 (0x121C) 바이트의 "i18n.nms" 파일이 존재하는지 크기를 비교하고, 내부에 암호화되어 저장되어 있는 실행시간 정보와 MBR 파괴 및 암호 변경 등의 정보를 비교하는데 사용한다.

"lsass.exe" 파일은 실행시 (임의파일명).tmp.bat 파일을 생성하고 실행하여 감염된 컴퓨터의 계정 암호를 "highanon2013" 으로 변경하여 기존사용자가 로그인하지 못하게 방해한다.



해킹된 피해 컴퓨터는 로그인 암호가 변경되었기 때문에 "hinganon2013" 으로만 로그인이 가능하고, 공격자는 자신만이 감염 컴퓨터에 접근할 수 있도록 조치하는 기법을 악성파일 변종마다 다양하게 사용했다.


윈도우 임시폴더(Temp) 경로에 "_dbg_log.nms", "_dbg_log_(PID).nms" 형식의 파일을 생성하고, 각종 컴퓨터 정보를 저장한다
.

 


"_dbg_log.nms" 파일에는 개별적으로 실행된 프로세스별(PID) 디버그(Debug) 로그를 종합하여 기록하며, "AccessNetMgr" 서비스로 자신을 등록한다. 또한, 시작시간 및 각종 명령어의 로그를 기록해서 악성파일 전파서버로 활용하기 위한 준비과정으로 추정된다.


악성 파일은 AccessNetMgr" 이라는 이름의 서비스로 자신을 등록하며, 설명에는 마치 모바일 브로드밴드 관련 내용추럼 위장하고 있다.

This service manages mobile broadband (GSM & CDMA) data card/embedded module adapters and connections by auto-configuring the networks. It is strongly recommended that this service be kept running for best user experience of mobile broadband devices.


시스템 폴더에는 "ibmcenter.nms" 이름의 설정파일을 생성한다.


"lsass.exe" 파일도 내부적으로 MBR 파괴명령을 수행할 수 있도록 기능을 가지고 있다.


6월 25일 청와대 홈페이지가 해킹을 당한 오전 9시 전후로 티브로드, 아름방송, 제주방송, 이데일리TV, 한국정책방송 KTV 보도정보시스템이 해킹으로 뚫렸다고 일부 언론사를 통해서 공식 보도화 되었다. 더불어 매일신문과 대구일보 등 대구지역 신문사 2곳의 기사작성 송고시스템도 알 수 없는 장애가 발생하였던 것으로 언론을 통해서 알려졌다. 

[ZDNet Korea]
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130625183656&type=xml

[전자신문]
http://www.etnews.com/news/computing/security/2788510_1477.html 

일부에선 영상이 삭제되는 피해를 입었다고 알려졌으며, 이데일리TV 관계자는 오전에 갑작스럽게 내부 컴퓨터 화면에 어나니머스를 상징하는 바탕화면이 뜨고, 시스템이 불통됐다고 밝혔다. 티브로드는 종합유선방송사업자(System Operator)의 지역뉴스를 만드는 보도시스템 서버가 해킹을 당했다고 한다.

아름방송의 경우 2013년 07월 03일 현재까지도 웹 사이트가 정상적으로 운영되지 못하고 있는 상황이다.

 


잉카인터넷 대응팀은 2013년 06월 25일 오전 6시경에 제작된 악성파일이 어떤 과정을 통해서 특정 신문사의 내부에 전파되었고, MBR 및 데이터를 파괴했는지 프로파일링과 타임라인을 통해서 확인된 내용을 최초로 전격 공개한다. 신문사에 따라 공격에 이용된 일부 악성파일은 2013년 03월 초에 제작된 경우도 존재하고 데이터 파괴 기능용은 2013년 06월 25일 제작된 것이 존재한다. 


다양한 신문사가 공통적으로 사용하는 집배신 프로그램(기사를 올리고 고치는 내부 인트라넷)이 악성파일 전파 매개체로 이용되었다.

특정 악성파일의 코드분석에 의해 공식 확인된 바에 의하면
신문사 내부적으로 활용하는 보도제작 및 관리 프로그램의 업데이트 기능을 해킹하고 변조하여 네트워크에 은밀하게 전파시켰던 것으로 파악되었고, 2009년 7.7 DDoS 때 부터 최근 3.20 사이버테러까지 Updater 프로그램을 공격통로로 동일하게 사용하고 있다.

http://desk.non****.com/data/UPDATER/UpdateRoot/ProgramInstall/**Updater/**updater.exe
http://desk.ida***.com/data/UPDATER/UpdateRoot/ProgramInstall/**Updater/**updater.exe
http://nsx.her****.com/data/UPDATER/UpdateRoot/ProgramInstall/**Updater/**updater.exe


업데이트 프로그램에 악성파일을 교묘하게 추가하고, 별도의 다운로드 기능 등을 추가하였다. 이렇게 업데이트 프로그램이 변조되면 이용자가 새로운 패치작업을 하는 과정에 악성파일에 노출되게 되며, 신문사나 환경에 따라 악성파일은 맞춤형으로 제작되었다.



우선 금번 신문사 내부 프로그램의 업데이트 기능을 위변조하여 악성파일을 설치했던 기능설명에 앞서 국내에서 발생했던 다수의 사건들과 어떤 부분에서 유사한지 먼저 정리해 보고자 한다.

2009년 07월 04일(미국 독립기념일)부터 발생한 7.7 DDoS 공격과 2011년 03월 03일부터 발생한 3.3(4) DDoS 공격 등은 특정 웹하드 업체들이 사용하는 다운로드 프로그램을 변조하여 업데이트 시 악성파일에 노출되도록 이용하였고, MBR 파괴 등을 삭제하는 공격적 기능도 함께 수행하였다.


2011년 04월 12일 발생한 농협 전산망에 대한 대규모 마비사태도 서버 유지보수를 담당하고 있는 외주업체 직원 한국IBM 한모씨가 2010년 09월 04일 경 특정 웹하드를 통해서 악성파일에 감염되면서 최대 7개월 가량 최고위 관리자 암호 등 전산망 관리를 위한 각종 정보가 탈취되고, 도청 프로그램이 설치되었던 것으로 밝혀진 바 있다.

2013년 03월 20일 발생한 방송사와 금융기관에 대한 사이버테러는 북한이 적어도 8개월 전부터 치밀하게 준비해 감행한 것이라는 것을 정부에서 공식발표한 바 있고, 악성파일은 기업내부에서 사용하는 특정 보안기업의 중앙관리서버와 업데이트 기능 등을 통해서 내부 사용자들에게 전파된 사례가 공개된 바 있다.

2013년 05월 31일 감지된 3.20 변종 악성파일의 경우는 특정 보안제품의 업데이트 모듈을 통해서 은밀하게 전파 중이던 정황이 이스트소프트에 의해서 최초 포착되었고, 잉카인터넷 대응팀과 연합으로 공조대응하여 조기에 차단조치함으로써, 추가적인 피해가 발생하는 것을 미연에 방지할 수 있었다.

상기 사례를 비추어 일련의 과정을 종합적으로 비교해 보면 공통적으로 Drive By Download 방식을 사용하지 않는 다는 점이다. 그들은 파일 공유 사이트(웹하드) 등에서 사용하는 정상 프로그램을 고의적으로 변조하거나 특정 보안솔루션의 서비스를 교묘하고 치밀하게 악용하고 있다. 이런 수법은 각종 보안 취약점을 이용해서 불특정 다수가 방문하는 웹 사이트를 통해서 전파시키는 악성파일 감염방식과는 크게 구분된다. 따라서, 웹 사이트 방문만을 통해서 전파되는 악성파일이나 해킹 여부만을 집중관제하는 방식으로는 사전 탐지자체가 불가능에 가깝고, 매우 은밀하고 조용하게 특정조직들을 상대로 공격이 감행되고 있다는 것이다.

2013년 06월 25일부터 발생하고 있는 6.25 사이버전도 같은 맥락에서 중요한 공통점이 확인되었고, 그것은 바로 일부 신문사에서 사용하는 특정 프로그램의 업데이트 기능을 악용하여 악성파일 전파에 역이용되었다는 점이다. 대표적인 사례를 공개하면 아래와 같다.


먼저 해당 악성파일은 MutexName 값을 "HighAnon_Teras1" 이라고 생성하여 중복적으로 악성파일이 실행되지 않도록 만든다. HighAnon 이라는 문자열은 앞서 여러차례 언급한 바와 같이 6.25 사이버전용 악성파일과 해킹사고에서 꾸준히 사용되고 있는 문자열이다. 일종의 작전명(Operation)이라 볼 수 있고, Teras 는 사전적인 의미가 경사지 따위를 층층으로 깎은 대지 또는 베란다라는 명사로 사용되는데, 마치 테라스에서 공격지를 관제하고 지령을 내린다는 의미로 명명된 것으로 보인다.



C&C 서버인 210.127.39.29 호스트로 접속을 시도하지만 현재는 정상적으로 통신하지 않고, 다양한 Multi C&C 가 존재한다.


악성파일은 내부에 4개의 리소스를 가지고 있고, "150" 항목의 리소스에는 특정 프로그램의 업데이트 설정값이 포함되어 있다. 이 데이터와 FindResourceExA API 함수를 통해서 특정 신문사의 서버경로에 존재하는 정상프로그램을 악성파일로 교체하는 작업을 수행하게 된다.



파일에 포함되어 있는 리소스는 High Anon 의 약자인 HA 라는 문자열과 영문 숫자 등이 임의로 조합되고, 사용자 계정 하위의 임시폴더(Temp)에 tmp 확장자명으로 생성한다.



tmp 파일 중 일부는 악성파일이 실행된 시스템 하위의 "icfg" 경로에 nms 라는 확장자명으로 일부 파일을 생성한다. 파일은 "bex.nms", "dex.nms", "xl.nms" 등이다.



"dex.nms" 파일은 해당 신문사의 서버에 변조되어 등록된 다운로더 기능의 악성파일이며,  2013년 06월 25일 오전 6시 경에 제작되었다.


"xl.nms" 파일은 모듈 업데이트에 사용되는 XML 파일이며, 특별히 Hash 무결성 체크 등의 기능이 없고, 데이터 베이스 암호화 등에 대한 보안기능이 전혀 적용되어 있지 않아 상대적으로 쉽게 변조가 가능한 상태이다.


상기와 같이 정상적인 프로그램의 모듈 업데이트 기능과 내용을 위변조하여 특정 신문사 내부의 네트워크에 다수의 악성파일을 전파시키는 용도로 사용하였다. 특히, 감염된 컴퓨터의 모든 드라이브에 존재하는 데이터 및 MBR 파괴의 기능이 작동하여 수 많은 데이터가 유실되는 피해가 발생하게 된다.

잉카인터넷 대응팀은 2013년 06월 25일부터 1주일 넘게 지속적인 악성파일 추적 및 역학조사를 수행하고 있으며, 아직까지도 알려지지 않은 악성파일이 다수 존재할 것으로 보고 있다.

2009년 7.7 DDoS 대란 때부터 7.1 사이버 전까지 사이버공격을 일삼는 조직들은 보안 모니터링을 우회하고, 특정 기업 및 조직에 대한 전문화된 정찰 및 침투, 정보수집과 공격 등을 반복적으로 수행하고 있다는 점을 필히 명심하여야 한다. 더불어 각종 정상 프로그램의 업데이트 기능을 악용하는 공통점이 있다는 점에 주목하고, 보안성 강화에 다양한 투자와 관심이 요구되어진다. 또한, Drive By Download 기법을 통해서 불특정 다수에게 전파되는 온라인 게임 및 금융정보 탈취형태의 사이버범죄형 악성파일 종류와는 공격기법과 목적이 크게 다르다는 것을 잊지 말아야 한다. 




동일조직이 개발한 것으로 의심되는 악성파일 중 일부 파일이 게임방 클라이언트 관리(업데이트) 프로그램을 통해서도 전파된 정황이 포착되었다. 현재 해당 관리 프로그램은 다운로드가 중단된 상태이다. 공격자들은 PC방 컴퓨터들을 상대로 지능적인 공격을 수행하기도 하였다. 이번에도 동일하게 업데이트 기능을 악용한 사례이다.

http://www.game******.co.kr/pds/Client_setup.exe


해당 프로그램의 개발사는 2013년 07월 04일부터 설치파일 다운로드를 중단한 상태이고, 다음과 같은 공지를 안내하고 있다.


PC방 관리용 설치프로그램에는 수정한 날짜가 2013년 06월 14일 오전 8시 44분으로 지정된 "Setuplnit.exe" 파일이 포함되어 있다.


"Setuplnint.exe" 파일은 마치 셋업용 초기화 기능처럼 보이도록 파일명이 명명되어 있으며, 2013년 06월 14일 오전 8시 42분에 제작되었다.


여기서 정상 PC방 관리프로그램의 모듈을 악성파일로 변조하는 시점은 매우 지능적이라 할 수 있다. 대부분의 PC방 업체들은 효율적인 컴퓨터 관리목적으로 특정시점을 지정하여 재부팅시 자동으로 초기화하거나 복원되도록 복구시점을 별도로 지정해서 사용한다. 복구지점 안에 포함만 되면 악성파일의 생존력은 극대화되고 장기간 잠복 및 침투활동을 연속으로 이어갈 수 있고, 상황에 따라 자동복원되는 불사조 좀비군단으로 활용할 수 있기 때문이다.

실제 해당 PC방 업체는 2013년 06월 13일 오전 10시에 프로그램 업데이트를 공지하였고, 해당 프로그램은 06월 14일에 악의적으로 변조되었기 때문에 많은 PC방 업체들이 게임관리용 클라이언트 프로그램 교체 작업시점 및 복구지점 범위에 포함되었을 가능성이 높다. 이는 매우 지능적으로 PC방 내부 관리체계를 잘 알고 있었다는 반증이며, 적절한 업데이트 타이밍을 노렸다는 점이 주목된다.


악성파일에 감염된 채 복원시점을 지정한 경우에는 문제가 없는 최신버전으로 반드시 교체하여야 한다. 해당 프로그램 개발사에 의하면 2013년 07월 08일부터 제공할 예정이라고 공지한 상태이다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 한국인을 노린 스마트 보안위협 증대


잉카인터넷 대응팀은 마치 "구글 코리아에서 배포하는 안드로이드 전용 모바일 보안 업데이트 내용처럼 조작"된 악성 문자 메시지가 국내 불특정 다수의 스마트폰 이용자들에게 또 다시 유포된 정황을 포착하였다. 해당 문자메시지는 2012년 11월 27일 "구글 코리아 서비스 신규앱 출시 인터넷 향상 업데이트" 문자 메시지로 위장 배포됐던 안드로이드 악성파일(KRFakePK)의 변종으로 파악되었고, 작년부터 최근까지 꾸준히 변종이 유포되고 있는 실정이다. 2012년 12월 12일에는 한국인터넷진흥원(KISA)의 "폰키퍼"로 위장했던 사례도 보고된 바 있으며, 근래들어 구글 코리아 서비스로 사칭한 유사형태가 지속적으로 발견되고 있는 상황이다. 특히, 최근 발견된 악성파일의 경우 안랩(ahnlab)의 스마트뱅킹 보안 서비스인 [V3 Mobile PLUS 2.0] 프로그램처럼 보이도록 조작하는 등 국내 이용자를 노린 한국 맞춤형으로 특별히 제작되고 있다는 점에 주목된다. 더불어 해당 안드로이드 기반 악성파일이 분산서비스거부(DDoS) 공격기능을 기본 탑재하는 등 공격자가 뚜렷한 목적과 의도성을 가지고 있다는 점과 언제든 좀비 스마트폰을 이용한 모바일 DDoS 공격이 현실화될 수 있다는 점에서 시사하는 바가 크다고 할 수 있다.


[긴급]구글 코리아 신규서비스 사칭 DDoS 기능의 악성 안드로이드 앱 증가
http://erteam.nprotect.com/368

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[주의]롯데리아 앱 위장 KRSpammer 변종 출현!
http://erteam.nprotect.com/361

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

2. 안드로이드 기반 악성파일 유포과정

2012년 10월 경부터 국내 스마트폰 이용자들을 노린 안드로이드 악성파일이 본격적으로 유포돼고 있으며, 2013년 1월에는 국내 안드로이드 스마트폰 이용자들 겨냥한 악성파일이 급증하고 있는 상황이다.

악성파일은 먼저 구글코리아나 국내에서 서비스 중인 "폰키퍼"나 "V3 모바일" 보안프로그램처럼 위장해서 문자메시지와 단축URL 서비스를 이용해서 연속적으로 유포를 시도 중이다.


2013년 01월 23일 발견된 형태는 google 코리아 안드로이드 전용 모바일 보안 업데이트 링크 클릭이라는 문자내용과 해외의 단축 URL 서비스를 조합하여 안드로이드 악성파일을 설치하도록 유도하는 문자메시지 형태가 발견되었다. 공격자는  유포 서버의 IP주소가 차단되면 계속해서 새로운 IP주소를 만들어서 악성 APK 파일을 전파시키고 있다.

현재까지 잉카인터넷 대응팀이 확인한 공격자의 서버 IP주소는 다음과 같은데, 거의 동일한 대역폭을 사용하고 있다는 것을 알 수 있다. 

- 103.21.208.160
- 103.21.208.162
- 103.21.208.164
- 103.21.210.215
- 103.21.210.219
- 103.21.210.220

IP 주소는 중국에서 사용하고 있으며, 할당된 IP 대역폭은 다음과 같다.

- 103.21.208.0 ~ 103.21.211.255

공격자는 국내 ISP망에서 접속이 차단되면 지속적으로 IP주소를 변경하여 운영하고 있기 때문에 상기 대역폭 범위에서 지속적인 변종 공격이 진행될 것으로 전망된다. 만약 가능하다면 해당 IP 대역폭을 사전에 감지할 수 있도록 조치하거나 차단할 수 있다면 어느정도 예방도 가능할 수 있을 것으로 보인다. 물론 공격자는 언제든 새로운 공격 서버를 구축할 수 있다.


google 코리아 안드로이드 전용 모바일 보안 업데이트 링크 클릭이라는 내용으로 가장하여 전파된 안드로이드 악성파일은 설치시 다음과 같은 절차를 통해서 사용자 스마트 단말기에 설치가 진행된다.

애플리케이션 설치과정에서는 Google Mobile 제목으로 아래와 같은 권한 내용을 보여준다.

[설치]가 완료되면 다음과 같이 마치 "AhnLab V3 Mobile PLUS 2.0" 제품처럼 조작된 화면을 사용자에게 보여주지만, 실제로는 DDoS 기능을 보유한 악성파일에 감염되게 된다.


악성파일은 중국 DNS 소재(ns14.dns.com.cn) gzqtmtsnidcdwxoborizslk.com (TCP Port 2700-2799) 사이트로 접속을 시도하며, 스마트폰에 수신되는 문자메시지(SMS)를 감시하게 되며, 문자메시지 명령어에 따라 DDoS 기능을 수행할 수 있게 된다.

- #m : 해당 문자열로 시작할 시 특정 번호로 SMS 무단 발송

- #b : 시간 확인 및 변수 할당

- #u : 특정 사이트를 공격 목표로 DDoS 기능 수행

- #e : 스레드 실행 여부 확인 및 지연

- #t : 감염된 스마트폰의 전화번호 확인



http://www.gzqtmtsnidcdwxoborizslk.com/ 사이트는 현재 국내에서 접속이 가능하기 때문에 공격자의 명령에 따라 DDoS 공격기능이 활성화될 수 있을 것으로 우려되어, 한국인터넷진흥원(KISA)에 해당 도메인 접속 차단을 요청하였다.


3. 대응방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRFakePK.A
- Trojan/Android.KRFakePK.B
- Trojan/Android.KRFakePK.C
- Trojan/Android.KRFakePK.D
- Trojan/Android.KRFakePK.E
- Trojan/Android.FakeV3.B
- Trojan/Android.FakeV3.C

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

※ 안녕하세요 잉카인터넷 입니다. 본 게시글의 nProtect MBR Guard는 현재 새롭게 출시한 '개인용 안티바이러스 nProtect Anti-Virus/Spyware V4.0'의 프리미엄 기능에서 동일하게 서비스하고 있습니다. 이용에 참고하시기 바랍니다. 

nProtect Anti-Virus/Spyware V4.0 다운로드 바로가기
http://avs4.nprotect.com 


1. 당신의 하드디스크는 안녕하십니까?


최근 발생한 3.3 DDoS 공격과 관련해 하드디스크 파괴 기능을 가지는 추가 변종이 유포되면서 실제 하드디스크 파괴 사례가 다수 접수되고 있다. 이와 관련해 2011년 3월 7일경 감염되면 곧바로 하드디스크 파괴를 진행하는 또 다른 변종이 발견되어 추가적인 피해가 예상되고 있다. 추후 관련된 변종이 지속적으로 유포될 가능성이 충분하기에 잉카인터넷(시큐리티대응센터)에서는 이와 관련한 피해를 최소화시키기 위해 "하드디스크 실시간 파괴 차단"을 보유한 "MBR 원천 보호 프로그램"을 최초로 제작하여 무상 배포하게 되었다.

  

nProtect MBR Guard v2.0.1.4 (한글 Windows XP, Vista, 7 지원 / 서비스 모드 및 기능 추가)

nProtect MBR Guard는 현재 새롭게 출시한 '개인용 안티바이러스 nProtect Anti-Virus/Spyware V4.0'의 프리미엄 기능에서 동일하게 서비스하고 있습니다. 이용에 참고하시기 바랍니다. 

nProtect Anti-Virus/Spyware V4.0 다운로드 바로가기
http://avs4.nprotect.com 


※ nProtect MBR Guard v2.0.1.4 설치 및 동작 과정에서 이상 현상(오류)이 발생할 경우 대응팀 블로그에 댓글을 남겨 주시면 추가 확인 과정을 거쳐 좀더 신속하게 조치해 드릴 예정입니다.

※ 이번에 무료로 배포하는 "nProtect MBR Guard"를  Windows XP, Vista, 7 등 사용 가능한 대부분의 윈도우 OS 전용으로 개발함으로써 사용자 하드디스크의 MBR 영역을 안전하게 보호할 수 있게 되었고, 이를 바탕으로 보다 다양한 보안 위협에 대비할 수 있도록 지속적인 노력과 대응체계를 유지할 예정이다. 차기 버전에서는 좀더 강화된 기능을 제공할 예정에 있다.


[참고사항]
3.3 DDoS 악성파일의 HDD 파괴 기능은 윈도우 7 에서는 정상적으로 작동(파괴)되지 않으나, 새로운 변종 등이 출현할 것을 대비하기 위해서 MBR Guard 신버전은 윈도우 7 도 지원 중입니다.


3.3 DDoS 악성파일 하드디스크 파괴 시작 긴급 예방 조치법

http://erteam.nprotect.com/133

[대응]3.3 DDoS 공격 발생 - Update 03-08-01
☞ http://erteam.nprotect.com/131

[방통위 보도자료]새로운 악성코드 공격 대비 보안관리 철저 당부
http://m.kcc.go.kr/user.do?mode=view&boardId=1042&page=P05030000&dc=K05030000&cp=1&boardSeq=30918
  

2. 주요 기능


위와 같이 하드디스크에 대한 파괴 기능을 가지는 악성파일은 부팅 시 중요한 하드디스크의 MBR 영역의 값을 변조하는 기능을 통해 PC의 부팅 자체가 불가능해지는 증상을 유발하며, 아래의 그림과 같은 감염 동작 순서를 갖는다.



우선, 공격자에 의해 웹하드 사이트 변조가 이루어진 후 악성파일에 대한 삽입/유포가 이루어지며, 해당 악성파일을 다운로드 받아 감염된 PC들은 좀비 PC가 된다. 그 후 위 그림과 같이 C&C 서버로부터 하드디스크 파괴 기능을 가지는 DDoS 관련 악성파일을 추가적으로 다운로드할 수 있으며, 특정 조건이 충족되면 DDoS 공격 및 하드디스크 파괴가 이루어진다.

※ MBR(Master Boot Record)

하드디스크의 맨 앞 부분에 기록되어 있으며, 시스템 부팅 시 필요한 영역이다. 이 MBR 영역에 의해 윈도우와 같은 운영 체계(OS)가 기동 되며, 해당 부분이 아래의 그림과 같이 0 값으로 "Overwrite" 되어 변조되면 정상적인 부팅이 불가능해진다.

                               
[정상 MBR 영역]                                                    [파괴 MBR 영역]


[하드디스크 MBR 파괴 동작 테스트 동영상]

위 동영상은 하드디스크 파괴를 시도하는 악성파일(sample.exe)에 대한 감염 테스트 동영상이다.

1. 해당 악성파일에 감염되면 사용자가 인지하지 못하도록 백그라운드 상에서 감염 동작이 이루어진다.

2. 감염 후 약 2분 가량이 지나면 하드디스크의 MBR 영역 파괴가 이루어지며, 윈도우 상에서 일반적인 명령에 대한 수행 불가 및 BSOD(블루스크린) 등의 증상을 유발할 수 있다.

3. BSOD 등의 오류 증상 후 재부팅 되면 이후에는 정상적인 부팅이 불가능할 수 있다.

4. MBR이 손상된 하드디스크는 정상적인 부팅 및 저장된 데이터에 대한 복구는 어려울 수 있으나, 운영체제(OS)를 재설치 하면 MBR에 대한 셋팅이 다시 이루어지면서 하드디스크의 재사용이 가능하다.


잉카인터넷(시큐리티대응센터)에서 제공하는 "nProtect MBR Guard" 프로그램은 이러한 하드디스크의 MBR 영역 위변조를 원천적으로 차단하는 것을 주요 기능으로 하며, 이를 위해 윈도우상의 API 함수에 대한 흐름을 파악하여 해당 영역의 "Overwrite"를 제한하는 등의 Command-Filter Driver 방식을 채용하였다.

이는 PC 사용에 있어서 매우 중요한 물리적 드라이브의 무결성 확보 및 시스템 보호를 위한 최소한의 요소이며, 안전한 컴퓨터 사용을 위해서 반드시 보호되어야 하는 영역이다.

"nProtect MBR Guard"  드라이버 Layer 에 상주하여 모든 악의적 명령으로 부터 하드디스크(MBR) 를 보호하게 된다. 하드디스크상의 일반 드라이브 (C:\, D:\ 등) 영역은 Volume 으로 마운트 되어 File System Filter 모듈 등을 통해 해당 영역 보호가 가능하나, 부팅 시 필요한 하드디스크(MBR) 영역은 같은 방법으로 보호가 불가능하다. 때문에 하드디스크(MBR) 영역을 관장하고 있는 Disk.sys Driver 를 필터링 하는 "nProtect MBR Guard" 을 사용하여 다양한 Disk I/O의 흐름을 파악하고 차단할 수 있는 "Disk Filter" 방식을 채택하였다.


3. 사용 방법

nProtect 홈페이지의 전용백신 페이지 또는 아래의 링크를 통해 "nProtect MBR Guard"를 다운로드 받아 실행하게 되면 로고화면과 함께 프로그램 설치가 된다. 설치가 완료되면 바탕화면에 바로가기가 생성되고 트레이 아이콘이 활성화 되면서 MBR Guard가 실행된다.

※ nProtect MBR Guard는 현재 새롭게 출시한 '개인용 안티바이러스 nProtect Anti-Virus/Spyware V4.0'의 프리미엄 기능에서 동일하게 서비스하고 있습니다. 이용에 참고하시기 바랍니다. 

nProtect Anti-Virus/Spyware V4.0 다운로드 바로가기
http://avs4.nprotect.com 



트레이 아이콘을 오른쪽 마우스 버튼으로 활성화 시키면 다음과 같은 메뉴들을 볼 수 있다.



[MBR 보호]는 프로그램 설치 시 기본으로 설정되어 있는 기능으로 체크되어 있으면 MBR로 악의적 접근을 막아주게 된다. 
[자동시작] 기능도 프로그램이 설치될 때 설정되는 것으로 체크되어 있으면 컴퓨터 부팅 시 MBR Guard를 자동으로 실행시켜 주게된다.

[MBR 보호]가 활성화 되게 되면 MBR 영역에 접근하는 것을 막게 되기때문에 3.3 DDoS 악성파일이 MBR을 파괴 시키기 위한 동작을 하게 되어도 경고창과 함께 해당 PC를 안전하게 지켜주게 된다.


 [MBR Guard의 MBR 악성파일의 동작 차단 테스트 동영상]

위 동영상은 하드디스크 파괴를 시도하는 악성파일 (sample.exe)을 nProtect MBR Guard 제품을 사용하여 악성파일을 차단 하는 테스트 동영상이다.

1. 실행파일을 실행하여 트레이 아이콘을 활성화 시키고 [MBR 보호]을 실행하여 MBR Guard를 활성화 시킨다.

2. 글 상단에 포함된 [하드디스크 파괴 동작 테스트 동영상]에서 사용된 샘플과 동일한 악성파일을 실행하여 해당 악성파일이 백그라운드에서 동작하도록 한다.

3. 감염 후 약 2분이 지나면 BSOD(블루 스크린)가 나타나야 하지만 MBR Guard 에 의하여 악성파일이 MBR 영역에 접근하지 못하게 되므로 BSOD(블루 스크린)은 발생하지 않고, 다음과 같이 MBR Guard 가 띄어주는 경고창이 뜨게된다.




 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요

최근 사회적으로 이슈가 되고있는 DDoS와 관련해 국내 특정 백신사의 전용백신으로 위장한 악성파일이 발견되었다. 해당 악성파일은 DDoS 공격 기능을 가지고 있지는 않은 것으로 알려졌으나, 사회적 이슈를 악용한 사회공학 기법의 악성파일이 다시금 등장하면서 DDoS와 관련해 추가적인 피해가 예상되고 있다.

[주의] 알약 DDoS 전용백신 위장 개인정보 유출 악성코드 등장
http://www.boannews.com/media/view.asp?idx=25143&kind=0

2. 감염 경로 및 증상

해당 악성파일은 국내 유명 포털 사이트의 카페 등을 통해 유포된 것으로 알려졌으며, 경우에 따라 DDoS 관련 이슈를 악용해 이메일의 첨부파일이나 메신저, SNS(Social Network Service) 등의 링크를 통해 유포될 수 있다.


위 그림과 같이 국내 백신사의 아이콘을 도용해 일반 사용자들은 쉽게 현혹될 수 있다. 또한, 해당 백신사의 디지털 서명을 사용한 것으로 알려졌으며, 아래의 그림과 같이 디지털 서명이 존재하지 않는 변종이 발견된 것으로 미루어 보아 지속적인 변종 제작 및 유포가 시도될 수 있다.

위 그림을 살펴보면 국내 백신사의 아이콘을 도용하면서 파일 내부적으로 공급자가 "Microsoft Corporation"으로 지정되어 있는 것이 특징이다.

해당 악성파일에 감염되면 아래와 같은 추가적인 악성파일들을 생성한다.

※ 생성파일

  - (윈도우 시스템 폴더)\inpleqlxa.exe (179,181 바이트)
  - (사용자 계정 폴더)\Temp\(7~8자리 임의의 숫자)_lang.dll (125,570 바이트)

또한, 아래와 같이 레지스트리 값을 등록하여 생성된 악성파일이 위도우 시작시 마다 실행될 수 있도록 한다. 

※ 레지스트리 생성 값

  - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\해당 CLSID]
  - 값 이름 : "stubpath"
  - 값 데이터 : (윈도우 시스템 폴더)\inldtepix.exe

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

※ (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정) 이다.

현재 해당 악성파일은 DDoS와 같은 증상은 나타나지 않고 있다. 키로깅 등을 이용해 최종적으로 계정 정보 탈취 등의 동작을 수행하려는 것으로 추정되고 있으며, 현재 정밀분석이 진행중이다.

3. 예방 조치 방법

현재 DDoS가 사회적으로 이슈가 되고있는 만큼 신뢰할 수 있는 출처에서 제공된 정보를 선별적으로 접하는 습관이 중요하다. 또한, 해당 악성파일로 부터 안전하게 PC를 사용하기 위해 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화 하고, ▶메신저, SNS 등을 통한 링크 접속에 주의를 기울여야 한다. 마지막으로 무엇보다 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하는 것이 중요하다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2011년 03월 03일경 부터 국내 주요 웹 사이트를 대상으로 한 분산 서비스 거부(DDoS:Distributed Denial of Service) 공격이 발생하고 있어 잉카인터넷(시큐리티대응센터/대응팀)에서는 "긴급 경보"를 발령 한 상태이다.


잉카인터넷 대응팀은 03월 03일부터 비상근무체제를 유지하고 있으며, nProtect Anti-Virus 제품에 악성파일 치료기능을 2011년 03월 03일자부터 긴급으로 업데이트하여 제공 중에 있다. 특히, 해당 악성파일들이 국내 주요 Anti-Virus 제품의 업데이트를 방해하고 있기 때문에 전용백신을 사용하거나 nProtect Anti-Virus 제품의 최신 업데이트 패턴을 이용하면 좀더 완벽한 치료가 가능하다.
  

[무료 전용백신 v9]3.3 DDoS 악성파일 * HDD 파괴악성파일 치료 기능 포함
http://avs.nprotect.net/FreeAV/nProtectEAVDllbot.com

[HDD 파괴 피해 예방 안내]3.3 DDoS 악성파일 하드디스크 파괴시작 긴급 예방 조치법
http://erteam.nprotect.com/133

3.3 DDoS 악성파일 분석 보고서 (내용 계속 업데이트 중) 

[2011.03.09]_DDoS_분석_보고서_V8.0.pdf

 
  

참고로 호스트 파일을 변조해 Anti-Virus 제품의 정상적인 엔진/패턴 업데이트를 방해하는 주소는 다음과 같다.


이번에 발견된 악성파일들 중 일부는 사용자 컴퓨터내에 존재하는 중요 문서 파일 등을 암호화 압축(손상)하여 사용자가 정상적으로 사용하지 못하게 하는 피해 증상과 특정 조건에 따라 하드 디스크(HDD)를 파괴하는 기능(조건:설치된 시간+7일), 사용자 PC 정보 유출 등을 수행하는 것으로 파악되고 있으며, 현재 일반 사용자로 부터 문서 파일이 손상된 피해 사례가 아래와 같이 신고 접수된 상태이다.


잉카인터넷(http://www.nprotect.com) 시큐리티대응센터(대응팀)는 긴급 보안 공지와 함께 전사 비상 대응 체제를 가동하고 있으며, 아직까지 대규모 공격 수준은 아니지만, 스케줄링되어 있는 순차적 공격을 대비하여 인터넷 상황을 예의 주시 중에 있다.


이번 DDoS 공격 기능을 보유한 악성파일은 국내 특정 웹 하드 업체에서 유포되었기 때문에 수 많은 이용자의 컴퓨터가 Zombie PC 역할을 수행하고 있을 것으로 예상되며, 2009년 07월 07일부터 09일까지 국내 주요 17개 웹 사이트를 공격했던 7.7 DDoS 공격의 변형된 방식으로 동일한 공격자의 소행으로 추정된다.

지금까지 파악된 공격 대상 웹 사이트는 다음과 같고, 변형된 파일이나 추가 변종 공격에 따라서 웹 페이지가 변경될 수 있다.

http://www.naver.com/  [네이버]
http://www.daum.net/  [다음]
http://www.auction.co.kr/ [옥션]
http://www.hangame.com/  [한게임]
http://www.dcinside.com/  [디시인사이드]
http://www.gmarket.co.kr/ [G마켓]
http://www.cwd.go.kr/  [청와대]
http://www.mofat.go.kr/  [외교통상부]
http://www.nis.go.kr/  [국가정보원]
http://www.unikorea.go.kr/ [통일부]
http://www.assembly.go.kr/ [대한민국 국회]
http://www.korea.go.kr/  [국가대표포털]
http://www.dapa.go.kr/  [방위사업청]
http://www.police.go.kr/  [사이버경찰청]
http://www.nts.go.kr/  [국세청]
http://www.customs.go.kr/ [관세청]
http://www.mnd.mil.kr/  [국방부]
http://www.jcs.mil.kr/  [합동참모본부]
http://www.army.mil.kr/  [육군]
http://www.airforce.mil.kr/ [공군]
http://www.navy.mil.kr/  [해군]
http://www.usfk.mil/  [주한미군]
http://www.dema.mil.kr/  [국방홍보원]
http://www.kunsan.af.mil/ [주한미공군]
http://www.kcc.go.kr/  [방송통신위원회]
http://www.mopas.go.kr/  [행정안전부]
http://www.kisa.or.kr/  [한국인터넷진흥원]
http://www.ahnlab.com/  [안철수연구소]
http://www.fsc.go.kr/  [금융위원회]
http://www.kbstar.com/  [국민은행]
http://www.wooribank.com/ [우리은행]
http://www.hanabank.com/  [하나은행]
http://www.keb.co.kr/  [외환은행]
http://www.shinhan.com/  [신한은행]
http://www.jeilbank.co.kr/ [제일저축은행]
http://www.nonghyup.com/  [농협]
http://www.kiwoom.com/  [키움증권]
http://www.daishin.co.kr/ [대신증권]
http://www.korail.com/  [한국철도공사]
http://www.khnp.co.kr/  [한국수력원자력]

DDoS 공격에 사용된 악성파일들은 다음과 같고, 계속해서 변종이 수집되고 있다.


설치되는 일부 dll 파일들은 조작된 것으로 보여지는 디지털 서명을 사용하고 있기도 하다.

[클릭하면 전체 화면을 볼 수 있음]


잉카인터넷에서 긴급 업데이트된 악성파일의 대응 이력은 다음과 같고, 변종 발견에 따라 계속 추가될 수 있다.

2011년 03월 03일 02번째 긴급 업데이트 (23시 20분경 완료)
Trojan/W32.Dllbot.40960
Trojan/W32.Dllbot.46432
Trojan/W32.Dllbot.71008

2011년 03월 04일 01번째 긴급 업데이트 (01시 00경 완료)
Trojan/W32.Agent.10240.OO
Trojan/W32.Agent.11776.OF

2011년 03월 04일 02번째 긴급 업데이트 (11시 00분경 완료)
Trojan/W32.Agent.118784.ACE
Trojan/W32.Agent.131072.YG

2011년 03월 04일 03번째 긴급 업데이트 (11시 30분경 완료)
Trojan/W32.Agent.20480.AZR
Trojan/W32.Agent.11776.OG
Trojan/W32.Agent.16384.ALF

2011년 03월 04일 04번째 긴급 업데이트 (17시 15분경 완료)
Trojan/W32.Agent.126976.XY
Trojan/W32.Agent.16384.ALF

2011년 03월 04일 05번째 긴급 업데이트 (18시 30분경 완료)
Trojan/W32.Agent.42320
Trojan/W32.Agent.46416.B

2011년 03월 04일 06번째 긴급 업데이트 (22시 20분경 완료)
Trojan/W32.Agent.24576.BGE
Trojan/W32.Agent.10752.PI

2011년 03월 05일 02번째 긴급 업데이트 (12시 30분경 완료)
Trojan/W32.Agent.77824.AMN
Trojan/W32.Agent.71000.B
Trojan/W32.Agent.13312.MD
Trojan/W32.Agent.36864.BZN

2011년 03월 05일 03번째 긴급 업데이트 (13시 15분경 완료)
Trojan/W32.Agent.27648.OV

2011년 03월 06일 01번째 긴급 업데이트 (14시 30분경 완료)
Trojan/W32.Agent.16384.ALI
Trojan/W32.Agent.16384.ALJ
Trojan/W32.Agent.24576.BGF
Trojan/W32.Agent.57948.C

2011년 03월 07일 04번째 긴급 업데이트 (20시 45분경 완료)
Trojan/W32.Agent.24576.BGG
Trojan/W32.Agent.56167

2011년 03월 09일 02번째 긴급 업데이트 (21시 53분경 완료)
Trojan/W32.Agent.42488.B
Trojan/W32.Agent.45056.AUY
Trojan/W32.Agent.57344.BDK

2011년 03월 10일 02번째 긴급 업데이트 (09시 00분경 완료)
Trojan/W32.Agent.229376.ML
Trojan/W32.Agent.245760.IX
  

[nProtect Anti-Virus/Spyware 2007 알고 사용하자!]

http://erteam.nprotect.com/16
  


2011년 3월 4일 오후 06시 30분을 기점으로 2차 DDoS 공격이 이루어졌지만 대규모 공격은 발생하지 않아 아직까지 특별한 피해사례는 보고되지 않고있다.

또한, 기존에 예상되었던 시점보다 앞당겨져 하드디스크 손상을 초래하는 기능 동작이 2011년 3월 6일 보고되었으며, C&C 서버로 부터 감염된 PC에 해당 명령이 전달되어 동작이 진행중인 것으로 현재 추정되고 있다. 이는 현재까지 3.3 DDoS 공격으로 인해 뚜렷한 피해가 발생하지 않자 추가적인 피해 발생을 위해 진행된 것으로 추정되고 있으며, 현재 해당 건과 관련하여 긴급 업데이트가 완료되었으니 최신 엔진 및 패턴 버전으로 업데이트가 필요하다.

잉카인터넷(시큐리티대응센터/대응팀)에서는 이번 3.3 DDoS 공격과 관련하여 다양한 보안 위협에 대응하기 위해 24시간 지속적인 비상 대응체계를 유지하고 있으며, 관련 내용에 대해 계속해서 정보를 제공할 예정이다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 DDoS 공격명령 전달 등이 가능한 트위터 봇을 생성하는 툴킷이 보고되면서 사용자들의 각별한 주의가 요구되고 있다. 이러한 툴킷은 악성파일 제작 전문가가 아니더라도 해당 툴을 이용해 DDoS 공격명령 전달 등이 가능한 악성파일을 손쉽게 제작할 수 있어 많은 주의가 필요하며, 관련한 대책 마련이 시급한 상황이다.

[참고 : 백신 못 잡는 ‘트위터 좀비PC’, 누구든 완전범죄 공격자로 ]

http://www.boannews.com/media/view.asp?idx=24702&kind=1

2. 감염 경로 및 증상

해당 트위터 봇 생성 툴킷은 Google 등 검색 포털 사이트를 통해 쉽게 접할 수 있으며, 악성파일 제작자가 아니더라도 해당 생성 툴킷을 이용해 손쉽게 악성파일을 제작할 수 있다.

검색 포털 사이트 등을 통해 아래의 그림과 같은 툴킷을 다운로드할 수 있다.

해당 파일은 닷넷프레임워크 4.0 이상 버전이 설치되어 있어야 정상적인 실행이 가능하며, 설치되지 않았을 때에는 아래의 그림과 같은 오류 창을 보여줄 수 있다.


닷넷프레임워크 4.0 이상 버전 설치 후 다운로드된 툴킷 파일을 실행하면 아래와 같은 메인화면이 출력된다.


◆ 인터페이스

- Twitter Username : 사용자의 트위터 계정을 입력한다.
- File Name : 원하는 파일명을 입력한다. "파일명.exe" 형식으로 입력해야 한다.
  (참고로 툴킷의 메뉴얼에는 "Winlogon.exe"와 같은 정상파일명과 흡사한 파일명 사용을 권하고 있다.)
- Internal : 초 단위로 입력되며, 트위터 페이지에 대한 체크 주기를 설정할 수 있다.
- Build TweBot Server : 트위터 봇을 생성한다.

위 인터페이스와 같이 설정을 완료한 후 "Build TweBot Server" 버튼을 클릭하면 하기의 그림과 같이 트위터 봇 파일이 생성된다.


이러한 트위터 봇에 감염되면 해당 PC는 좀비 PC가 되며, 공격자가 트위터에 DDoS 공격명령 코드를 입력해 악의적 기능을 수행할 수 있게 하는 것으로 알려졌다. 트위터를 통해 공격명령을 전달하는 것은 이전의 DDoS 공격명령 전달과는 다른 방법으로, 공격자는 트위터의 특성을 악용해 자신에 대한 추적을 어렵게 한 것으로 추정된다.

3. 예방 조치 방법

트위터는 수많은 사람들이 글을 게재하고 읽어보며 정보를 획득한다. 공격자가 이러한 특성을 가지는 트위터에 공격명령 코드를 실시간으로 게재하게 되면 찾아내기 어려울 뿐만 아니라 3G나 와이파이(WiFi) 등의 무선 환경을 이용할 경우 공격자의 IP 등을 추적하기란 사실상 불가능할 수도 있다.

이러한 툴킷은 Google 등 검색 포털 사이트를 이용해 쉽게 접할 수 있어 악성파일에 대한 범법의식이 미약한 사용자들을 통해 악용이 가능할 것이다. 지속적인 변종이 출현하면 백신에서는 이러한 변종에 대해 사후예방이 가능하지만, 먼저 악성파일이 유포된 후 처리되는 이런 방식에는 그에 따른 사전피해가 있을 수 있고 지속적인 변종출현으로 인해 엄청나게 소모적인 진행방식 또한 따르게 된다. 이러한 종류의 악성파일에 대비하기 위한 가장 좋은 방법은 트위터에서 해당 악성파일에 의한 네트워크 통신 및 공격명령을 사전에 탐지하여 차단하는 방법, 또는 단축주소와 같은 변형주소를 사용하는 출처가 불분명한 링크 등을 사전탐지 하여 접근을 제한하는 방법 등이 있을 수 있으나 현재로선 해당 방법들에 한계가 있는 것이 사실이다.

이러한 악성파일로부터 안전하기 위해서는 사용자들 스스로의 관심이 필요하며, ▶윈도우와 같은 OS 및 각종 응용 프로그램에 대한 최신 보안패치의 생활화, ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 "ON" 상태로 유지해 사용, 또한 ▶출처가 불분명한 이메일에 대한 열람 자제 및 확인되지 않은 링크 등은 접근에 주의하는 등의 노력이 필요하다.

잉카인터넷 대응팀에서는 이번 설 연휴는 물론 매일 24시간 이러한 악성파일을 포함해 모든 보안위협에 대한 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2009년 07월 07일 화요일 오후 6시경을 기점으로 청와대, 국방부, 국회 등 국내외 주요 국가기관 및 금융기관 등이 블록버스터급의 분산서비스거부(DDoS) 공격을 받고 연쇄적으로 접속 불통이 되는 초유의 인터넷 대란 사태가 시작됐다.

지난 15년간 악성코드와 관련된 일을 하면서 처음으로 경험한 대규모 사이버 위협의 신호탄이었던 것으로 기억이 생생하다. 7.7 DDoS 대란 1주기를 즈음하여 그 어느 때보다 신중하고 지혜로운 모습이 필요한 때일 것이며, 잊을 수 없었던 1년 전 과거로의 시간 여행을 떠나보고자 한다.

● 평온했던 월요일 대응 근무.. 그것은 사전 예고에 불과했다.

2009년 07월 06일 월요일 여느때와 마찬가지로 월요일은 여러가지 보안 이슈가 참 많았고, 바쁘게 하루 업무를 진행하고 있었다.

시계 초침이 오후 6시를 넘어 한참 퇴근 준비를 하고 있던 바로 그때 였다. nProtect 제품 고객사로 부터 일부 컴퓨터가 과도한 트래픽을 발생하고 있으니, 원격 접속으로 악성코드 존재 유무를 점검해 달라는 요청이 급박하게 접수되었다.

원격 접속을 통해서 해당 컴퓨터를 확인해 본 결과, 특정 파일이 미국 아마존 닷컴(Amazon.com) 사이트를 대상으로 서비스거부(DoS) 공격을 하는 것으로 분석되었다.

이전에도 이러한 형태의 악성코드는 지속적으로 목격되고 있었기 때문에 수동으로 해당 컴퓨터를 조치하고, 악성코드 샘플을 채취하여 업데이트에 추가할 수 있도록 처리를 완료 한 후 퇴근을 하였다.

● 긴박했던 7.7 DDoS 대란의 시작 절묘하게 조짐이 달랐다.

2009년 07일 07일 화요일, 전날 야간 근무로 인한 피로감이 조금 남았지만 당일 근무기간 중에는 특별한 이상 징후가 포착되지 않았고, 평상시와 같이 일반적인 보안 관제 및 대응 업무가 진행되었다. 

퇴근 후 이제 갓 2살이 되어가는 아들과 평온하고 즐거운 저녁 시간을 보내고, 잠들기 전 잠시 컴퓨터 앞에 앉았다. 특이 상황 여부를 파악하기 위해서 주요 보안 이슈 등을 모니터링하던 중 포털 등 몇몇 사이트의 접속 장애가 발생하고 있다는 정황을 포착하였다.

처음에는 장애가 발생하고 있는 사이트들의 일상적인 유지보수 정도라고 생각했지만 지속적으로 발견되는 접속 마비 장애에 이상 징후를 감지하고 새벽 5시경 부리나케 회사에 긴급 출근을 한다. 잉카인터넷(INCA Internet) 대응팀에 입사한 이후 처음으로 새벽에 출근을 감행(?)한 첫 날로 생생하게 기억이 난다.

● 강도높고 피말린 DDoS 공격, 일사분란하게 대응에 착수

2009년 07월 08일 수요일 새벽 5시 자가용을 몰아 적막한 어둠을 뚫고 숨가쁘게 회사에 도착하자마자 DDoS 상황 추이를 파악해 보았고, 그 결과 징후가 심상치 않음을 본능적으로 직감했다.

곧바로 사내 시큐리티 대응시스템에 예사롭지 않은 비상 상황을 전파함과 동시에 대응팀 전원에게 긴급 소집 지시를 내렸다.

이렇게 하여 일명 "7.7 DDoS 대란"이라고 불려지는 3박 4일간의 짧고도 길었던 잉카인터넷의 전사적 긴급 대응체계가 돌입하게 되었고, 많은 연구원들이 철야근무에 새우잠을 자면서 고군분투를 하게된다. 

하나씩 하나씩 계속해서 악성코드 변종들이 수집되고 분석되어지면서 07월 05일 고객사에 의해서 기접수되었던 파일이 7.7 DDoS 악성코드 파일 중 하나였고, 아마존 닷컴에 대한 DoS 공격이 7.7 DDoS 공격의 첫번 째 목격이었던 것을 알게 되는 순간 이미 예견되었던 지능적인 공격이었다는 점에서 "아차" 하는 마음을 한동안 떨칠 수가 없었다.

보통 7.7 DDoS 공격이라고 말하면 대부분이 2009년 07월 07일에 시작된 내용만으로 알기 쉽지만 실제로 작년 7.7 DDoS 공격자는 미국의 독립기념일(Independence Day)이었던 2009년 07월 04일(2009/07/04 02:50:16 UTC)을 타겟으로 공격을 감행한 것을 파악할 수 있으며, 한참 이전부터 치밀하게 수립된 계획으로 다양한 변종 악성코드를 전방위적으로 유포했다는 것을 알 수 있다.

7.7 DDoS 공격에 사용되었던 악성코드는 Independence 라는 Spam 성 이메일을 발송하기도 하고, Memory of the Independence Day 라는 문자열로 물리적 데이터(MBR)를 파괴 시도하였다는 점도 미국의 독립기념일과의 연계성을 증명해 주는 중요한 단서로 지목하는 부분이기도 하다. 다만, 한국 사이트에 대한 공격이 2009년 07월 07일부터 시작되었기 때문에 일반적으로 "7.7 DDoS 대란"이라는 용어를 사용하고 있는 것이다.

잉카인터넷은 금융권 및 게임회사 등에 특화화되어 서비스되고 있는 nProtect Anti-Virus 기능을 통해서 실시간으로 접속되는 다수의 사용자들에게 무료로 악성코드를 진단하고 치료해 줄 수 있도록 하여 악성코드 치료율을 높이는데 주안점을 두고 긴급 대응을 펼쳐 효과적인 대국민 보안 서비스를 제공하기도 하였다.

● 3박 4일간의 눈코 뜰새 없던 대응의 끄트머리 

2009년 07월 11일 토요일, 나흘간 쉴 새 없이 숨막히게 진행된 7.7 DDoS 공격은 어느정도 소강상태에 접어들었고, 전사적 비상대응체계도 조금씩 부분 하향 조정되었다.

이번 사태를 겪으면서 악성코드에 감염된 컴퓨터들(Zombie PC / Bot Net)이 악의적인 의도를 가진 사람들에 의해서 고의적으로 조정(C&C)이 될 경우 국가적으로 얼마나 큰 피해가 발생할 수 있는지를 여실히 보여준 중요한 사례라 할 수 있을 것이고, 가상 시나리오만으로 시사되었던 사이버 테러에 대한 잠재적 보안 위협이 어느 정도 현실화 되었다는 점도 매우 중요한 부분일 것이다.

사명감을 가진 전문 보안 인력들이 똘똘뭉쳐 모두 하나가 되어 신속한 대응을 이뤄내고 국가안보에 조금이나마 도움이 되었다는 뿌듯한 보람과 자긍심을 느끼는 좋은 기회가 되기도 하였고, 사이버 테러에 대한 경각심이 고취되었던 반면에 IT 강국인 대한민국의 허술한 보안 허점을 보여준 안타까운 현실을 뼈저리게 알게 된 계기가 되었던 것도 잊어서는 안될 것이다.

● DDoS 공격 위협 대응을 위한 3박자 갖추기

수 많은 보안 공격은 우리가 잠든 시간에도 끊임없이 시도되고 있기 때문에 좀더 효과적으로 대응하기 위해서는 다양한 노력이 절실히 필요하다. 그중에서도 개인 컴퓨터 사용자들은 악성코드에 감염되는 Zombie PC 로 전락하지 않도록 보안의식에 대한 좀더 많은 주의를 기울인다면, 7.7 DDoS 와 같은 보안불감증 피해는 사전에 충분히 예방할 수 있을 것이다.

1. 운영체제는 항시 최신 서비스 팩과 보안 패치 버전이 유지되도록 하며, MS오피스, 인터넷 익스플로러, Flash Player, Adobe Reader 등 주요 응용 프로그램들은 항상 최신 버전으로 업데이트하여 사용한다.

2. 신뢰할 수 있는 보안업체의 ▲개인용 보안 제품(Firewall, Anti-Virus)을 반드시 설치하며, ▲지속적인 최신 업데이트 유지와 실시간 감시 활성화, ▲정기적 검사 수행 등을 통해서 보안 위협 요소를 제거하고, 허용되지 않는 외부 명령을 차단하도록 한다.

3. 각종 보안 정보에 관심을 기울여 각종 Zero-Day Attack 이나 최신 보안 이슈를 통해서 신속하고 적절한 보안 대책을 강구하여 안전한 시스템을 구축하도록 한다.



신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect