최신 보안 동향

[버전업]3.3 DDoS 하드디스크 파괴 차단 프로그램 nProtect MBR Guard 무료 배포

TACHYON & ISARC 2011. 3. 15. 23:32

※ 안녕하세요 잉카인터넷 입니다. 본 게시글의 nProtect MBR Guard는 현재 새롭게 출시한 '개인용 안티바이러스 nProtect Anti-Virus/Spyware V4.0'의 프리미엄 기능에서 동일하게 서비스하고 있습니다. 이용에 참고하시기 바랍니다. 

nProtect Anti-Virus/Spyware V4.0 다운로드 바로가기
http://avs4.nprotect.com 


1. 당신의 하드디스크는 안녕하십니까?


최근 발생한 3.3 DDoS 공격과 관련해 하드디스크 파괴 기능을 가지는 추가 변종이 유포되면서 실제 하드디스크 파괴 사례가 다수 접수되고 있다. 이와 관련해 2011년 3월 7일경 감염되면 곧바로 하드디스크 파괴를 진행하는 또 다른 변종이 발견되어 추가적인 피해가 예상되고 있다. 추후 관련된 변종이 지속적으로 유포될 가능성이 충분하기에 잉카인터넷(시큐리티대응센터)에서는 이와 관련한 피해를 최소화시키기 위해 "하드디스크 실시간 파괴 차단"을 보유한 "MBR 원천 보호 프로그램"을 최초로 제작하여 무상 배포하게 되었다.

  

nProtect MBR Guard v2.0.1.4 (한글 Windows XP, Vista, 7 지원 / 서비스 모드 및 기능 추가)

nProtect MBR Guard는 현재 새롭게 출시한 '개인용 안티바이러스 nProtect Anti-Virus/Spyware V4.0'의 프리미엄 기능에서 동일하게 서비스하고 있습니다. 이용에 참고하시기 바랍니다. 

nProtect Anti-Virus/Spyware V4.0 다운로드 바로가기
http://avs4.nprotect.com 


※ nProtect MBR Guard v2.0.1.4 설치 및 동작 과정에서 이상 현상(오류)이 발생할 경우 대응팀 블로그에 댓글을 남겨 주시면 추가 확인 과정을 거쳐 좀더 신속하게 조치해 드릴 예정입니다.

※ 이번에 무료로 배포하는 "nProtect MBR Guard"를  Windows XP, Vista, 7 등 사용 가능한 대부분의 윈도우 OS 전용으로 개발함으로써 사용자 하드디스크의 MBR 영역을 안전하게 보호할 수 있게 되었고, 이를 바탕으로 보다 다양한 보안 위협에 대비할 수 있도록 지속적인 노력과 대응체계를 유지할 예정이다. 차기 버전에서는 좀더 강화된 기능을 제공할 예정에 있다.


[참고사항]
3.3 DDoS 악성파일의 HDD 파괴 기능은 윈도우 7 에서는 정상적으로 작동(파괴)되지 않으나, 새로운 변종 등이 출현할 것을 대비하기 위해서 MBR Guard 신버전은 윈도우 7 도 지원 중입니다.


3.3 DDoS 악성파일 하드디스크 파괴 시작 긴급 예방 조치법

http://erteam.nprotect.com/133

[대응]3.3 DDoS 공격 발생 - Update 03-08-01
☞ http://erteam.nprotect.com/131

[방통위 보도자료]새로운 악성코드 공격 대비 보안관리 철저 당부
http://m.kcc.go.kr/user.do?mode=view&boardId=1042&page=P05030000&dc=K05030000&cp=1&boardSeq=30918
  

2. 주요 기능


위와 같이 하드디스크에 대한 파괴 기능을 가지는 악성파일은 부팅 시 중요한 하드디스크의 MBR 영역의 값을 변조하는 기능을 통해 PC의 부팅 자체가 불가능해지는 증상을 유발하며, 아래의 그림과 같은 감염 동작 순서를 갖는다.



우선, 공격자에 의해 웹하드 사이트 변조가 이루어진 후 악성파일에 대한 삽입/유포가 이루어지며, 해당 악성파일을 다운로드 받아 감염된 PC들은 좀비 PC가 된다. 그 후 위 그림과 같이 C&C 서버로부터 하드디스크 파괴 기능을 가지는 DDoS 관련 악성파일을 추가적으로 다운로드할 수 있으며, 특정 조건이 충족되면 DDoS 공격 및 하드디스크 파괴가 이루어진다.

※ MBR(Master Boot Record)

하드디스크의 맨 앞 부분에 기록되어 있으며, 시스템 부팅 시 필요한 영역이다. 이 MBR 영역에 의해 윈도우와 같은 운영 체계(OS)가 기동 되며, 해당 부분이 아래의 그림과 같이 0 값으로 "Overwrite" 되어 변조되면 정상적인 부팅이 불가능해진다.

                               
[정상 MBR 영역]                                                    [파괴 MBR 영역]


[하드디스크 MBR 파괴 동작 테스트 동영상]

위 동영상은 하드디스크 파괴를 시도하는 악성파일(sample.exe)에 대한 감염 테스트 동영상이다.

1. 해당 악성파일에 감염되면 사용자가 인지하지 못하도록 백그라운드 상에서 감염 동작이 이루어진다.

2. 감염 후 약 2분 가량이 지나면 하드디스크의 MBR 영역 파괴가 이루어지며, 윈도우 상에서 일반적인 명령에 대한 수행 불가 및 BSOD(블루스크린) 등의 증상을 유발할 수 있다.

3. BSOD 등의 오류 증상 후 재부팅 되면 이후에는 정상적인 부팅이 불가능할 수 있다.

4. MBR이 손상된 하드디스크는 정상적인 부팅 및 저장된 데이터에 대한 복구는 어려울 수 있으나, 운영체제(OS)를 재설치 하면 MBR에 대한 셋팅이 다시 이루어지면서 하드디스크의 재사용이 가능하다.


잉카인터넷(시큐리티대응센터)에서 제공하는 "nProtect MBR Guard" 프로그램은 이러한 하드디스크의 MBR 영역 위변조를 원천적으로 차단하는 것을 주요 기능으로 하며, 이를 위해 윈도우상의 API 함수에 대한 흐름을 파악하여 해당 영역의 "Overwrite"를 제한하는 등의 Command-Filter Driver 방식을 채용하였다.

이는 PC 사용에 있어서 매우 중요한 물리적 드라이브의 무결성 확보 및 시스템 보호를 위한 최소한의 요소이며, 안전한 컴퓨터 사용을 위해서 반드시 보호되어야 하는 영역이다.

"nProtect MBR Guard"  드라이버 Layer 에 상주하여 모든 악의적 명령으로 부터 하드디스크(MBR) 를 보호하게 된다. 하드디스크상의 일반 드라이브 (C:\, D:\ 등) 영역은 Volume 으로 마운트 되어 File System Filter 모듈 등을 통해 해당 영역 보호가 가능하나, 부팅 시 필요한 하드디스크(MBR) 영역은 같은 방법으로 보호가 불가능하다. 때문에 하드디스크(MBR) 영역을 관장하고 있는 Disk.sys Driver 를 필터링 하는 "nProtect MBR Guard" 을 사용하여 다양한 Disk I/O의 흐름을 파악하고 차단할 수 있는 "Disk Filter" 방식을 채택하였다.


3. 사용 방법

nProtect 홈페이지의 전용백신 페이지 또는 아래의 링크를 통해 "nProtect MBR Guard"를 다운로드 받아 실행하게 되면 로고화면과 함께 프로그램 설치가 된다. 설치가 완료되면 바탕화면에 바로가기가 생성되고 트레이 아이콘이 활성화 되면서 MBR Guard가 실행된다.

※ nProtect MBR Guard는 현재 새롭게 출시한 '개인용 안티바이러스 nProtect Anti-Virus/Spyware V4.0'의 프리미엄 기능에서 동일하게 서비스하고 있습니다. 이용에 참고하시기 바랍니다. 

nProtect Anti-Virus/Spyware V4.0 다운로드 바로가기
http://avs4.nprotect.com 



트레이 아이콘을 오른쪽 마우스 버튼으로 활성화 시키면 다음과 같은 메뉴들을 볼 수 있다.



[MBR 보호]는 프로그램 설치 시 기본으로 설정되어 있는 기능으로 체크되어 있으면 MBR로 악의적 접근을 막아주게 된다. 
[자동시작] 기능도 프로그램이 설치될 때 설정되는 것으로 체크되어 있으면 컴퓨터 부팅 시 MBR Guard를 자동으로 실행시켜 주게된다.

[MBR 보호]가 활성화 되게 되면 MBR 영역에 접근하는 것을 막게 되기때문에 3.3 DDoS 악성파일이 MBR을 파괴 시키기 위한 동작을 하게 되어도 경고창과 함께 해당 PC를 안전하게 지켜주게 된다.


 [MBR Guard의 MBR 악성파일의 동작 차단 테스트 동영상]

위 동영상은 하드디스크 파괴를 시도하는 악성파일 (sample.exe)을 nProtect MBR Guard 제품을 사용하여 악성파일을 차단 하는 테스트 동영상이다.

1. 실행파일을 실행하여 트레이 아이콘을 활성화 시키고 [MBR 보호]을 실행하여 MBR Guard를 활성화 시킨다.

2. 글 상단에 포함된 [하드디스크 파괴 동작 테스트 동영상]에서 사용된 샘플과 동일한 악성파일을 실행하여 해당 악성파일이 백그라운드에서 동작하도록 한다.

3. 감염 후 약 2분이 지나면 BSOD(블루 스크린)가 나타나야 하지만 MBR Guard 에 의하여 악성파일이 MBR 영역에 접근하지 못하게 되므로 BSOD(블루 스크린)은 발생하지 않고, 다음과 같이 MBR Guard 가 띄어주는 경고창이 뜨게된다.