■ 긴급 대응 중

2013년 03월 20일 14시 경부터 금융권, 방송사 등 컴퓨터가 동시다발적으로 부팅되지 않는 피해가 발생하였다. 잉카인터넷 대응팀은 의심파일을 다수 수집하여 다양한 분석업무와 전사긴급 대응체제를 가동 중에 있으며, 이글은 2013년 03월 20일부터 계속적으로 업데이트되고 있다.

[분석보고서 Ver 3.0]

[20130321]_KillMBR_Ver_3.0.pdf


수집된 파일들 중 파일명이 확인된 것들은 다음과 같다.

- ApcRunCmd.exe
- AgentBase.exe
- OthDown.exe
- mb_join.gif (exe)
- container.exe
- orpsntls.exe
- v3servc.exe
- shellservice.exe
- themeservics.exe
- logoninit.exe
- msnlsl.exe
- Update.exe
- xupdate.exe
- schsvcsc.dll
- morpsntls.exe
- page.gif (exe)
- schsvcsc.exe
- LGservc.exe (logo.jpg)
- vmsinstaller.exe
- oleshsvcs.dll
- schedsrv.dll
- kpo.exe 등 외 다수

숙주역할의 파일도 여러 건이 확인된 상태로, Dropper 파일이 실행되면 사용자 계정의 임시폴더(Temp) 에 별도의 파일을 설치한다. 이 중 "AgentBase.exe" 파일명은 MBR 영역을 파괴하는 악성파일이고, 파일명은 동일하지만 다른 형태의 악성파일도 존재하는 경우가 있다.


"~pr1.tmp" 파일은 "SunOS", "AIX", "HP-UX". "Linux" 운영체제의 계열을 체크하고, 악의적인 파괴스크립트 기능을 수행한다.


"alg.exe" 파일은 Command-line SSH 정상프로그램이고, "conime.exe" 파일은 Command-line SCP/SFTP client 정상 프로그램이다.


또 다른 Dropper/Downloader 경우는 실행 시 그림파일 확장자로 위장한 악성파일을 국내 특정 웹 사이트에서 다운로드한다.

"paper.gif" 파일은 사용자 계정의 임시폴더(Temp)에 "v3servc.exe" 이름으로 생성되고 실행된다. 그리고 "w7e89.tmp" 이름의 악성파일도 생성시킨다. 이후에 시스템 폴더 경로에 "shellservice.exe", "themeservics.exe" 등의 악성파일을 생성한다.


생성된 파일 중 일부코드에는 아래와 같이 제작자가 "Concealment Troy" 와 같이 숨김기능의 트로이목마라는 표현을 사용하고 있다.

더불어 국내 특정 전산망의 웹 사이트를 접속했을 시 발생했던 디페이스(Deface) 현상과 관련된 악성파일도 발견된 상태이다. 디페이스된 웹 사이트에는 다음과 같은 내용이 포함되어 있었다.

Hacked By Whois Team
Who is Whois?
We have an Interest in Hacking. This is the Beginning of Our Movement. User Acounts and All Data are in Our Hands. Unfortunately, We have deleted Your Data. We'll be back Soon.

('우리는 해킹에 관심 있다. 이것은 우리 행동의 시작이다. 사용자 계정과 데이터는 우리 손에 있다. 불행하게도 우리는 데이터를 삭제했다. 우리는 곧 다시 돌아온다.)


상기 화면에 사용된 코드를 보유하고 있는 악성파일이 확인되었고, 연관성에 대한 조사와 분석을 계속 진행 중에 있다. 특히, 해당 악성파일도 MBR 및 파일 파괴 기능을 보유하고 있는 것으로 확인된 상태이다.

이번 디페이스는 2012년 06월 09일 오후 6시 30분 경부터 발생했던 중앙일보 뉴스 사이트의 디페이스 형식과도 매우 흡사하다. 당시에는 "Hacked by IsOne" 이라는 문구가 포함되어 있었다.

 


추가로 국내 언론 영문 방송 사이트가 [2013년 03월 21일 03:24 GMT] 디페이스(Deface) 공격 피해를 입었고, 화면에 Hastati 라는 문구가 포함되어 있다. 해당 문구는 국내 언론사와 금융사 등에 MBR 파괴기능을 수행했던 악성파일의 내부 문구와 동일하다.


디페이스된 웹 사이트 화면에는 다음과 같은 문구의 링크가 포함되어 있고, 숫자로 표현된 일종의 단순 암호문을 다시 변경하면 그 아래와 같다.

T0 s33 7h47 the 0th3r Sit3 H4ck3d...click h3r3!!!
You'11 s33 th3 0ur im4g3...

To see that the other site Hacked...click here!!!
You'll see the our image...

해킹당한 다른 사이트 보려면...여기를 클릭!!!
우리의 이미지를 보시게 될 것이다...

해당 문장에는 또 다른 영문 언론사 사이트가 연결되어 있으며, 해당 이미지는 Adobe Photoshop 7.0 으로 만들어졌고, 2013년 03월 14일 만들어진 것으로 추정된다.



악성파일 중에는 하드디스크의 MBR(Master Boot Record)영역을 파괴하고, 데이터 파일들도 복구가 어렵도록 조작하고 파괴하는 기능이 다수 존재한다.

변종에 따라서 MBR 영역에 특정 문구(HASTATI, PRINCPES, PR!NCPES)가 포함되는데 일부는 문자열이 없이 파괴되는 경우도 존재한다.




악성파일은 "JO840112-CRAS8468-11150923-PCI8273V" FileMapping 오브젝트를 생성하여 중복실행을 방지하고, 변종에
따라서 오브젝트 값이 조금씩 다른 경우가 존재한다.

또한, Taskkill 명령어를 통해서 국내 특정 보안프로그램의 프로세스를 강제 종료하는 기능 등도 수행한다.

- Taskkill /F /IM pasvc.exe
- Taskkill /F /IM clisvc.exe


더불어 잉카인터넷은 특정 악성파일 내부에 파괴날짜가 포함된 것을 최초로 발견하였다. 2013년 03월 20일 오후 2시 이후부터 파괴기능이 동작되도록 만들어져 있고, 변종에 따라 즉시 파괴작동을 수행하거나 03월 20일 오후 3시 이후부터 파괴동작을 작동하는 변종도 발견되었다.


특정 변종의 경우 시스템폴더 경로에 "schsvcsc.exe", "schsvcsc.dll" 파일을 생성하고, lsass.exe 정상 프로세스에 인젝션되어 작동되며, 컴퓨터의 시간이 03월 20일 오후 3시 이후부터 MBR 등의 파괴기능을 수행하게 된다.


2013년 03월 24일 경 새로운 형태가 발견되었는데, 특정 프로그램의 업데이트 파일명처럼 위장하였고, 국내 특정 날씨 관련 사이트의 악성 스크립트(blank_image.js)를 통해서 유포되었다. 따라서 불특정 다수의 사용자가 감염되었을 가능성이 있다. 이 파일은 "mb_join.gif" 그림파일로 위장하고 있으며, 0x30, 0x82 로 시작된다.


"mb_join.gif" 파일 내부에 포함되어 있는 명령을 통해서 또 다른 악성파일이 다운로드(X********_updatge.gif)되는데, 악성파일은 보안 제품들의 실시간 탐지를 우회하기 위해서 실행파일(EXE)의 헤더를 43 바이트 조작(0x30 0x82 시작)하였고, "xupdate.exe" 파일로 생성되고 실행된다.


"xupdate.exe" 파일이 실행되면 아래의 경로로 접근하여 마치 그림파일처럼 위장한 "logo.jpg" (exe) 파일을 다운로드하고 실행한다. 그러면 사용자 계정의 임시폴더(TEMP)에 "LGservc.exe", "w7e89.tmp" 파일 등이 생성된다.


2013년 3월 26일 오후 1시 53분 기준 등록된 YTN 미투데이에서는 YTN과 모든 계열사 인터넷 홈페이지가 사이버 테러 추정의 이상 증세로 접속이 이뤄지지 않는다고 밝혔다.


이외에도 탈북자 단체 및 대북매체 관련 사이트도 피해가 발생하였고, 일부는 복구가 된 상태이다.


잉카인터넷에서는 해당 악성파일과 MBR 영역을 보호하는 솔루션 등을 무료로 배포하고 있고, nProtect AVS 3.0 제품에는 다양한 변종에 대한 탐지 및 치료기능을 추가하고 있다.


[전용백신 & MBR Guard]
http://avs.nprotect2.net/nsp2010/downloader/nProtect_KillMBR_.exe
http://avs.nprotect2.net/nsp2010/downloader/nPMBRGuardSetup.exe


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 온라인 게임 계정정보 탈취를 목적으로 하는 악성파일이 웹 하드 사이트 등을 중심으로 지속적인 유포가 이루어지고 있는 가운데 MBR(Master Boot Record)을 변조하여 지속적인 감염을 유발하는 변종이 출현해 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 감염 후 백신 등을 통해 치료를 진행하여도 재부팅되면 지속적으로 재감염되는 감염증상을 가지고 있어 안전한 PC사용을 위해서는 백신의 실시간 감시 기능 등으로 사전 예방 대책을 마련하는 것이 무엇보다 중요하다고 할 수 있다.

  

2. 유포 경로 및 감염 증상

해당 악성파일은 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 같이 각종 웹 하드 사이트 등을 통해 유포될 수 있으며, 이메일의 첨부파일 형태나 SNS 및 메신저 등을 통해서도 유포될 수 있다.

해당 악성파일은 imm32.dll, lpk.dll 파일과 같은 정상파일을 Patched 형태로 감염 시키는 증상을 보이는 등 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 동일한 감염증상을 보이고 있다. 다만, MBR을 변조하여 지속적인 재감염 증상을 유발하는 것이 핵심이자 차이점이라 할 수 있다.
  

◆ 변조되기 전 MBR

변조된 MBR

위 그림은 MBR의 변조 전과 변조 후의 상태를 보여주고 있다. 위 그림과 같이 MBR이 변조되면 게임 계정 정보를 탈취하는 악성파일이 치료된다고 해도 재부팅될 시 지속적인 재감염 증상을 나타낼 수 있다.

재감염 유발 코드가 포함된 MBR 은 아래의 그림을 통해 확인이 가능하다.

재감염 코드가 포함된 변조된 MBR

  

또한, 감염되면 아래와 같은 추가적인 악성파일들이 생성 및 다운로드 될 수 있다.

※ 생성 파일

 - C:\Windows\lpk.dll
 - C:\Windows\system32\DiskSystem.exe
 - C:\Windows\system32\halc.dll
 - C:\Windows\system32\imm32.dll
 - C:\Windows\system32\ws2sock.dll
 - C:\Windows\system32\dnetcom.dll
 - C:\Windows\system32\drivers\FileEngine.sys


위와 같이 추가적으로 생성된 악성파일까지 감염이 완료되면 lpk.dll 파일 등과 같이 정상파일에 대한 Patched 형태의 악성파일을 통해 온라인 게임 계정정보가 탈취될 수 있으며, FileEngine.sys파일에 의해 특정 백신에 대한 프로세스 실행 감시 기능 등이 동작될 수 있다.

3. 예방 조치 방법

위와 같은 악성파일은 감염될 경우 MBR을 변조시키기 때문에 백신에 의한 완전한 치료가 어려울 수 있다. 이 경우 MBR에 대한 복원 작업이 선행되어야 하므로 아래의 방법을 통해 MBR을 복원 후 백신에 의한 치료를 진행할 수 있도록 하자.

  

변조된 MBR에 대한 수동 복구 및 치료 방법

① 우선 가지고 있는 "윈도우 설치 CD"를 사용하여 아래의 그림과 같이 진행 후 키보드에서 "R" 키를 입력하여 복구 콘솔을 실행한다.


② 아래의 그림과 같이 "로그온할 Windows 설치를 선택하십시오." 메시지가 출력되면 키보드에서 숫자 "1"키를 누른 후 계정 암호 입력창이 출력되면 암호 입력 후 Enter키를 누른다. 그 후 "C:\WINDOWS>_" 와 같이 프롬프트가 활성화 되면 "fixmbr" 명령어를 입력 후 Enter키를 누른다. 아래의 그림과 같은 "주의" 메시지가 출력된 후 MBR 생성 여부를 묻는 메시지가 출력되면 키보드에서 "Y"키를 입력한다.

 

③ 위와 같이 ①, ② 번 항목을 수행하면 MBR에 대한 복구가 완료되며, 백신을 통해 나머지 악성파일들에 대한 치료를 완료 할 수 있도록 한다. 

  

일반 사용자의 경우 위와 같은 악성파일에 의해 MBR 영역이 변조 되더라도 MBR 변조 여부에 대해 인지하기가 쉽지 않으며, 일반적인 방법으로 치료가 어려울 수 있다. 때문에 위와 같은 악성파일로부터 안전한 PC사용을 위해서는 잉카인터넷에서 배포하는 MBR Guard 등 MBR 영역을 보호할 수 있는 사전 방역 프로그램 사용과 동시에 아래와 같은 "보안 관리 수칙"을 준수하는 것이 최선의 방법이라고 할 수 있다.

 

※ 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 정보에 대한 출처가 불분명한 SNS 혹은 메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 당신의 하드디스크는 안녕하십니까?


최근 발생한 3.3 DDoS 공격과 관련해 하드디스크 파괴 기능을 가지는 추가 변종이 유포되면서 실제 하드디스크 파괴 사례가 다수 접수되고 있다. 이와 관련해 2011년 3월 7일경 감염되면 곧바로 하드디스크 파괴를 진행하는 또 다른 변종이 발견되어 추가적인 피해가 예상되고 있다. 추후 관련된 변종이 지속적으로 유포될 가능성이 충분하기에 잉카인터넷(시큐리티대응센터)에서는 이와 관련한 피해를 최소화시키기 위해 "하드디스크 실시간 파괴 차단"을 보유한 "MBR 원천 보호 프로그램"을 최초로 제작하여 무상 배포하게 되었다.

  

nProtect MBR Guard v2.0.1.4 (한글 Windows XP, Vista, 7 지원 / 서비스 모드 및 기능 추가)
http://avs.nprotect.net/FreeAV/NPMBRGuardSetup.exe

※ nProtect MBR Guard v2.0.1.4 설치 및 동작 과정에서 이상 현상(오류)이 발생할 경우 대응팀 블로그에 댓글을 남겨 주시면 추가 확인 과정을 거쳐 좀더 신속하게 조치해 드릴 예정입니다.

※ 이번에 무료로 배포하는 "nProtect MBR Guard"를  Windows XP, Vista, 7 등 사용 가능한 대부분의 윈도우 OS 전용으로 개발함으로써 사용자 하드디스크의 MBR 영역을 안전하게 보호할 수 있게 되었고, 이를 바탕으로 보다 다양한 보안 위협에 대비할 수 있도록 지속적인 노력과 대응체계를 유지할 예정이다. 차기 버전에서는 좀더 강화된 기능을 제공할 예정에 있다.


[참고사항]
3.3 DDoS 악성파일의 HDD 파괴 기능은 윈도우 7 에서는 정상적으로 작동(파괴)되지 않으나, 새로운 변종 등이 출현할 것을 대비하기 위해서 MBR Guard 신버전은 윈도우 7 도 지원 중입니다.


3.3 DDoS 악성파일 하드디스크 파괴 시작 긴급 예방 조치법

http://erteam.nprotect.com/133

[대응]3.3 DDoS 공격 발생 - Update 03-08-01
☞ http://erteam.nprotect.com/131

[방통위 보도자료]새로운 악성코드 공격 대비 보안관리 철저 당부
http://m.kcc.go.kr/user.do?mode=view&boardId=1042&page=P05030000&dc=K05030000&cp=1&boardSeq=30918
  

2. 주요 기능


위와 같이 하드디스크에 대한 파괴 기능을 가지는 악성파일은 부팅 시 중요한 하드디스크의 MBR 영역의 값을 변조하는 기능을 통해 PC의 부팅 자체가 불가능해지는 증상을 유발하며, 아래의 그림과 같은 감염 동작 순서를 갖는다.



우선, 공격자에 의해 웹하드 사이트 변조가 이루어진 후 악성파일에 대한 삽입/유포가 이루어지며, 해당 악성파일을 다운로드 받아 감염된 PC들은 좀비 PC가 된다. 그 후 위 그림과 같이 C&C 서버로부터 하드디스크 파괴 기능을 가지는 DDoS 관련 악성파일을 추가적으로 다운로드할 수 있으며, 특정 조건이 충족되면 DDoS 공격 및 하드디스크 파괴가 이루어진다.

※ MBR(Master Boot Record)

하드디스크의 맨 앞 부분에 기록되어 있으며, 시스템 부팅 시 필요한 영역이다. 이 MBR 영역에 의해 윈도우와 같은 운영 체계(OS)가 기동 되며, 해당 부분이 아래의 그림과 같이 0 값으로 "Overwrite" 되어 변조되면 정상적인 부팅이 불가능해진다.

                               
[정상 MBR 영역]                                                    [파괴 MBR 영역]


[하드디스크 MBR 파괴 동작 테스트 동영상]

위 동영상은 하드디스크 파괴를 시도하는 악성파일(sample.exe)에 대한 감염 테스트 동영상이다.

1. 해당 악성파일에 감염되면 사용자가 인지하지 못하도록 백그라운드 상에서 감염 동작이 이루어진다.

2. 감염 후 약 2분 가량이 지나면 하드디스크의 MBR 영역 파괴가 이루어지며, 윈도우 상에서 일반적인 명령에 대한 수행 불가 및 BSOD(블루스크린) 등의 증상을 유발할 수 있다.

3. BSOD 등의 오류 증상 후 재부팅 되면 이후에는 정상적인 부팅이 불가능할 수 있다.

4. MBR이 손상된 하드디스크는 정상적인 부팅 및 저장된 데이터에 대한 복구는 어려울 수 있으나, 운영체제(OS)를 재설치 하면 MBR에 대한 셋팅이 다시 이루어지면서 하드디스크의 재사용이 가능하다.


잉카인터넷(시큐리티대응센터)에서 제공하는 "nProtect MBR Guard" 프로그램은 이러한 하드디스크의 MBR 영역 위변조를 원천적으로 차단하는 것을 주요 기능으로 하며, 이를 위해 윈도우상의 API 함수에 대한 흐름을 파악하여 해당 영역의 "Overwrite"를 제한하는 등의 Command-Filter Driver 방식을 채용하였다.

이는 PC 사용에 있어서 매우 중요한 물리적 드라이브의 무결성 확보 및 시스템 보호를 위한 최소한의 요소이며, 안전한 컴퓨터 사용을 위해서 반드시 보호되어야 하는 영역이다.

"nProtect MBR Guard"  드라이버 Layer 에 상주하여 모든 악의적 명령으로 부터 하드디스크(MBR) 를 보호하게 된다. 하드디스크상의 일반 드라이브 (C:\, D:\ 등) 영역은 Volume 으로 마운트 되어 File System Filter 모듈 등을 통해 해당 영역 보호가 가능하나, 부팅 시 필요한 하드디스크(MBR) 영역은 같은 방법으로 보호가 불가능하다. 때문에 하드디스크(MBR) 영역을 관장하고 있는 Disk.sys Driver 를 필터링 하는 "nProtect MBR Guard" 을 사용하여 다양한 Disk I/O의 흐름을 파악하고 차단할 수 있는 "Disk Filter" 방식을 채택하였다.


3. 사용 방법

nProtect 홈페이지의 전용백신 페이지 또는 아래의 링크를 통해 "nProtect MBR Guard"를 다운로드 받아 실행하게 되면 로고화면과 함께 프로그램 설치가 된다. 설치가 완료되면 바탕화면에 바로가기가 생성되고 트레이 아이콘이 활성화 되면서 MBR Guard가 실행된다.

- http://www.nprotect.com/
-
http://avs.nprotect.net/FreeAV/NPMBRGuardSetup.exe


트레이 아이콘을 오른쪽 마우스 버튼으로 활성화 시키면 다음과 같은 메뉴들을 볼 수 있다.



[MBR 보호]는 프로그램 설치 시 기본으로 설정되어 있는 기능으로 체크되어 있으면 MBR로 악의적 접근을 막아주게 된다. 
[자동시작] 기능도 프로그램이 설치될 때 설정되는 것으로 체크되어 있으면 컴퓨터 부팅 시 MBR Guard를 자동으로 실행시켜 주게된다.

[MBR 보호]가 활성화 되게 되면 MBR 영역에 접근하는 것을 막게 되기때문에 3.3 DDoS 악성파일이 MBR을 파괴 시키기 위한 동작을 하게 되어도 경고창과 함께 해당 PC를 안전하게 지켜주게 된다.


 [MBR Guard의 MBR 악성파일의 동작 차단 테스트 동영상]

위 동영상은 하드디스크 파괴를 시도하는 악성파일 (sample.exe)을 nProtect MBR Guard 제품을 사용하여 악성파일을 차단 하는 테스트 동영상이다.

1. 실행파일을 실행하여 트레이 아이콘을 활성화 시키고 [MBR 보호]을 실행하여 MBR Guard를 활성화 시킨다.

2. 글 상단에 포함된 [하드디스크 파괴 동작 테스트 동영상]에서 사용된 샘플과 동일한 악성파일을 실행하여 해당 악성파일이 백그라운드에서 동작하도록 한다.

3. 감염 후 약 2분이 지나면 BSOD(블루 스크린)가 나타나야 하지만 MBR Guard 에 의하여 악성파일이 MBR 영역에 접근하지 못하게 되므로 BSOD(블루 스크린)은 발생하지 않고, 다음과 같이 MBR Guard 가 띄어주는 경고창이 뜨게된다.




 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect