BLACK ENERGY 악성코드 분석 보고서

 


1. 개요

지난해 말 악성코드에 의한 최초의 정전사태로 기록된 우크라이나 정전사태의 주범으로 Black Energy(블랙에너지)가 주목 받고 있다. Black Energy는 하나의 악성 파일이 아닌침투-정보수집-확산-공격-파괴 의 절차를 가진 APT 공격 전체를 지칭하는 것으로다양한 목적을 가진 악성파일들과 악성행위들을 모두 일컫는 말이다이 보고서에서는 Black Energy의 시발점이 된 엑셀 문서 파일과전체 공격의 일부로 사용된 MBR 파괴 모듈에 대해 알아보고자 한다.


                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

BlackEnergy.xls

파일크기

734,724 byte

진단명

Trojan-Dropper/X97M.BlackEnergy

악성동작

xls 매크로




 


2-2. 유포 경로

이 사건과 관련하여 언론매체에서는 MS 오피스 문서에 포함된 매크로 악성코드가 공격의 시작이라 말하고 있다. 또한, 스피어 피싱 기법을 사용하여 사용자의 흥미를 끄는 이메일 첨부파일을 통해 악성파일 실행을 유도한다. 이렇게 감염된 PC는 추가 악성 모듈 다운로드백도어 등의 동작을 수행해 감염 PC 네트워크에 대한 공격의 발판으로 이용된다.



2-3. 실행 과정

악성 .xls 파일에는 악성 코드를 생성 및 실행하는 매크로가 등록되어 있다. .xls 파일의 매크로가 실행되기 위해선 사용자가 직접 매크로를 활성화해야 한다매크로를 허용하지 않는다면 악성동작이 수행되지 않지만피해자가 관심을 가질 만한 내용으로 위장한 파일이거나매크로 사용이 빈번한 사용자라면 매크로 실행이 허용될 수 있다. (일반적으로 매크로를 허용하지 않을 시 대체로 문서의 내용을 볼 수 없다고 표기된다.)


스피어 피싱 이메일에 포함된 오피스 파일은 매크로 악성코드와 유사한 형태의 동작을 수행한다. .xls 문서 파일에서 실행되는 악성코드는 최종적으로 원격지 서버에 접속을 시도하며연결에 성공 시 추가 악성코드를 다운로드 한다.

매크로 실행을 허용하면 아래 경로에 악성 파일을 생성하고 실행한다.

C:\Documents and Settings\Administrator\Local Settings\Temp\vba_macro.exe




[
그림매크로 보안경고 알림




[
그림엑셀 매크로 악성코드




매크로로 생성된 파일 vba_macro.exe 은 또 다른 악성파일 FONTCACHE.DAT 을 생성 및 윈도우 정상 프로세스 rundll32.exe 를 이용하여 자동실행 등록한다이후 악성동작은 이 파일을 이용해 이뤄진다.




[
그림생성된 vba_macro.exe 의 악성동작, FONTCACHE.DAT 생성





[그림자동실행 등록하는 .lnk 파일 및 그 내용




 

3. 악성 동작

3-1. 원격지 연결

APT 공격은 장기간에 걸쳐 지속적으로 이뤄지는 만큼 악성코드의 업데이트 및 네트워크, PC 정보 수집에 관한 동작이 다수를 이룬다. FONTCACHE.DAT 또한 이러한 역할을 하는 모듈로써원격 연결을 이용해 해커가 언제든 감염 PC에 접근할 수 있기 때문에 공격 대상 네트워크에 대한 지속적인 위협을 가할 수 있다.


실행중인 FONTCACHE.DAT는 RPC통신을 이용하여 원격지와 연결을 시도한다원격지 주소는 http://5.***.***.114/ Microsoft/Update/KC074913.php 와 같으며 현재는 접속되지 않지만 연결에 성공 시 추가 악성코드를 다운로드 할 것으로 보인다.





[
그림] RPC 통신




[
그림원격지 연결 시도




[그림접속 시 추가 악성파일 생성 코드

 


 

3-2. MBR 파괴

MBR(Master Boot Record)이란 파티션 된 저장장치(하드 디스크이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다.


Black Energy 의 일부인 KillDisk 의 변종으로 MBR파괴 동작을 수행하는 모듈이다실행 시 특정 레지스트리를 검사하여 중복실행 되지 않을 때에만 동작한다. %Windows% 하위에 svchost.exe 로 자신을 복사하고 이 파일을 서비스로 등록한다서비스로 동작되면 PC의 MBR영역과 함께 특정 확장자를 가진 파일을 0으로 덮어쓰고 강제 재부팅 시켜 PC를 사용 불가능한 상태로 만든다.






[그림파괴대상 물리드라이브 및 파일 확장자





[그림파괴된 MBR





[그림파괴된 파일

 


 

4. 결론

국내 사용자를 대상으로 시도 때도 없이 배포되는 KRBanker, 랜섬웨어 등을 보고있으면 우크라이나에서 발생한 해킹공격은 너무 먼 이야기로 들릴지 모른다하지만 악성코드는 해커들 사이에서 쉽게 공유되고 변형된다국내를 대상으로 한 동일 변종이 나타나지 말란 법은 없다실제로 해외 보안 업체에 따르면 Black Energy 또한 2014 10월부터 꾸준히 업데이트 되며 사용한 악성코드기도 하다.


잉카인터넷은 2011년 북한 발 MBR 파괴 공격, 3.20, 6.25 사이버테러 사태 시 PC MBR영역을 보호기능을 제공하는 nProtect MBR Guard를 제작 및 배포한 이력이 있다. nProtect MBR Guard MBR 보호 기능은 잉카인터넷 백신 AVS V4.0에 기본 탑재되어 있어부가적 프로그램 설치 없이 백신 프로그램 nProtect AVS 제품만으로도 MBR보호 동작을 수행할 수 있다.


잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

PC 부팅을 막는 MBR 악성코드



1. 개요


하드디스크의 MBR(Master Boot Record ; 마스터부트레코드) 영역을 파괴하여 PC 부팅을 못 하게 만드는 MBR 악성코드가 성행하기 시작했다. MBR 영역을 파괴하는 악성코드는 이전 한수원 해킹 사건, 3.20 사이버 테러, 6.25 사이버테러 등에서 국내 주요기관을 마비시킨 이력이 있다. 


MBR이란 파티션 된 저장장치(하드 디스크, 이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는, 저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보, 부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다.


이에 잉카인터넷 시큐리티 대응센터(ISARC)는 해당 악성코드에 감염되면 MBR영역이 어떻게 변하는 지에 대해 분석 하였으며, 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus/Spyware V4.0 (nProtect AVS V4.0)의 MBR 보호 기능을 소개하고자 한다.





2. MBR 악성코드 감염


아래 그림은 PC에 장착된 하드디스크에 직접 접근하여 저장된 데이터를 확인한 모습이다. 하드디스크의 시작부분(0번 섹터, 512 byte)에 MBR이 저장된 모습을 확인할 수 있다. 0번 섹터의 마지막 2바이트에 55 AA를 확인할 수 있는데, 이것은 이 MBR이 정상이라는 표식(시그니처)으로, 이 부분이 손상되면 정상적인 MBR이 저장되어 있더라도 손상된 것으로 간주한다.




[그림] 감염 전 정상 MBR





MBR 악성코드 중 하나인 KillDisk3.exe 에 감염된 후 동일 하드디스크를 확인해 보면 아래와 같이 MBR의 모든 데이터가 0으로 채워진 것을 확인할 수 있다. 물론 마지막 55 AA 시그니처 또한 손상되어, 이 하드디스크로는 더 이상 부팅을 할 수 없게 된다.




[그림] 감염 후 MBR




[그림] 부팅 실패





3. MBR 보호


아래는 동일 PC 동일 환경에 잉카인터넷 백신 nProtect AVS V4.0을 설치한 상태로 진행한 테스트 화면이다. [2. MBR 악성코드 감염]과 동일한 환경에서 같은 악성코드를 실행했다. 그 결과 nProtect AVS V4.0의 MBR 보호 기능이 동작하며 MBR 파괴 행위를 막고 해당 영역을 보호한 것을 확인 할 수 있다.


따라서 알려지지 않은 악성코드(백신이 감지하지 못한 악성코드)에 감염되더라도 MBR 파괴 행위를 방지하여 최소 MBR영역의 파괴를 막을 수 있는 것이다.

 



[그림] MBR 보호 기능 작동




[그림] 보호된 MBR





잉카인터넷은 2011년 북한 발 MBR 파괴 공격, 3.20, 6.25 사이버테러 사태 시 PC의 MBR영역을 보호기능을 제공하는 nProtect MBR Guard를 제작 및 배포한 이력이 있다. nProtect MBR Guard의 MBR 보호 기능은 잉카인터넷 백신 AVS V4.0에 기본 탑재되어 있어, 부가적 프로그램 설치 없이 백신 프로그램 nProtect AVS 제품만으로도 MBR보호 동작을 수행할 수 있다.


nProtect AVS는 MBR영역 뿐만 아니라 볼륨영역을 함께 보호 할 수 있어 KillMBR 계열의 악성코드 위협으로부터 PC를 안전하게 지킬 수 있다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

 


  

[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면




[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면


※ nProtect AVS V4.0 베타버전을 사용하고 싶은 사용자는 http://avs4.nprotect.com/에 접속하면 제품 설치본과 소개서를 다운받을 수 있다.


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

잉카인터넷, 더욱 강력해진 사용자용 PC보안 제품 'nProtect Anti-Virus/Spyware V4.0 베타' 출시


○ 행위기반탐지 강화로 신규 변종 바이러스, 스파이웨어 감지
○ MBR, 볼륨 영역의 변조를 방지하는 MBR보호 기능 탑재





 정보보안 전문기업 잉카인터넷(대표 주영흠)이 사용자 컴퓨터의 안전을 위해 보안 기능을 대폭 강화한 사용자용 PC보안 제품 ‘nProtect Anti-Virus/Spyware V4.0 (이하 nProtect AVS V4.0) 베타버전’을 새롭게 출시했다고 4일 밝혔다.


잉카인터넷 신제품 nProtect AVS V4.0은 기존기능에 행위기반탐지와 MBR보호가 추가된 것이 특징이다. 먼저, 행위기반탐지는 사용자 PC의 침투한 악성코드 행위를 관찰하여 진단하는 기술이다. 기존 시그니처 방식으로는 탐지가 어려웠던 알려지지 않은 바이러스까지 탐지하는 것이 장점이다.


특히, 행위기반탐지 기술은 문서프로그램의 취약점을 이용해 공격하는 악성코드의 실행을 실시간으로 차단하고, 파일의 변형을 막는다. 이로 인해 워드나 엑셀 등의 매크로를 이용해 작업한 문장을 바꾸는 매크로바이러스에 대한 사전 방지를 할 수 있으며, 문서 취약점을 이용한 APT 공격에 대한 탐지가 강력해졌다.


두 번째 강화한 기능은 하드디스크의 MBR(마스터부트레코드) 영역 파괴를 방지하는 ‘MBR보호’이다. MBR이란 컴퓨터가 부팅할 때 필요한 정보를 저장하는 장소이며 메모리가 이 MBR의 정보를 읽어 운영체제(OS)를 작동시킨다.


만약 MBR영역이 파괴되면 PC 부팅이 불가하므로 시스템을 사용하지 못한다. 악성파일이 백그라운드 상에서 MBR영역을 파괴시키면 블루스크린이 뜨고, 윈도우 사용이 불가하다. MBR이 손상된 하드디스크는 정상적인 부팅이 어렵고 저장된 데이터에 대한 복구가 어려운 것이 문제다.


MBR보호 기능은 이러한 문제를 방지하기 위해 악성파일이 MBR영역과 더불어 볼륨영역에 접근하는 것을 막아 MBR영역의 손상을 차단한다. 특히, 잉카인터넷의 MBR보호 기술은 과거 전용 솔루션 nProtect MBR Guard로 제작, 국내 주요 은행과 방송사를 마비시킨 3.20, 6.25 사이버테러 사태 때 무료 배포되어 DDoS 공격을 예방하고 사용자 사이에서 그 기술력을 인정받은 이력이 있다.


기본 기능인 안티 바이러스, 스파이웨어 탐지도 향상됐다. 이번 기본기능의 중점은 자체 개발한 타키온 엔진을 향상시켜 빠른 스캐닝과 멀티 진단이 가능하다는 점이다. 이로 인해, 컴퓨터에 침투한 바이러스, 스파이웨어의 실시간 탐지가 더욱 가벼워지고 빨라졌다. 또한 탐지된 악성코드에 대한 진단 및 치료, 삭제 기능을 멀티로 구현하여 더욱 업그레이드시켰다.


이 외에도 ▲하드웨어 변경 없이 간단한 조작으로 게임 성능 및 인터넷 속도를 최적화시켜주는 게임최적화 기능 ▲제품 내 모듈의 위, 변조와 해킹 여부를 확인하는 무결성 검증 ▲제품 자체 레지스트리, 파일, 프로세스 보호 ▲바이러스 검역소 백업 및 복원 등 부가 기능을 강화하였다. 또한, 최근 출시한 윈도우10을 지원한다.


게다가 전문 인력으로 구성된 잉카인터넷 시큐리티 대응센터(ISARC)가 365일 실시간으로 악성코드, 해킹에 대응하며, 수집한 악성코드 정밀분석, 분석 보고서 제공과 정기 업데이트를 통해 신규 악성코드에 대한 빠른 보안을 제공한다.


잉카인터넷은 nProtect AVS V4.0 베타버전을 사용자에게 공개하여 제품에 관한 피드백을 적극적으로 수렴해 정식 버전 개발에 참고할 계획이다. nProtect AVS V4.0 베타버전을 사용하고 싶은 사용자는 http://avs4.nprotect.com/에 접속하면 제품 설치본과 소개서를 다운받을 수 있다.
 

저작자 표시 비영리 변경 금지
신고
Posted by nProtect