최신 보안 동향

[긴급]6.25 사이버전, 신문사, PC방 프로그램 업데이터 모듈공격 최초공개 - Update #130708-01

TACHYON & ISARC 2013. 7. 4. 01:11
1. 국가기관 및 언론 사이트 등 동시다발적 공격

2013년 06월 25일 오전 10시경 전후로 청와대와 국무조정실 등의 웹 사이트가 해킹되었고, 당시에 시스템 긴급 점검 안내 페이지가 출력되었다. 이에 잉카인터넷은 nProtect 시큐리티 보안경보를 [위험]으로 상향조정하고 비상근무태세를 유지하고 있는 상태이다.

 

 



2. 해킹된 청와대 홈페이지 화면에는 다음과 같은 내용들이 포함되어 있다. (일부 모자이크 처리)

 




Hacked by Anonymous
민주와 통일을 지향하는 #어나니머스코리아
통일대통령 김정은장군님 만세!

공격은 계속될껏이다.
우리를 기다리라.
우리를 맞이하라.



공격 당시 다음 웹사이트가 접속장애가 발생했다.

국방부, 국정원 등 다수의 정부기관
새누리당 각 지역시당



청와대 홈페이지 변조를 통해서 알려진 공개자료 링크라는 곳에는 실제로 특정인들의 정보가 포함되어 있는 상태이다.

01234


청와대 홈페이지 해킹한 자들은 YouTube 사이트에 동영상까지 올려두었다.






분산서비스거부(DDoS) 공격용에 사용된 것으로 의심되는 악성파일은 국내 특정 파일공유(웹하드) 사이트 2곳의 설치프로그램 변조를 통해서 유포된 것으로 확인되었다.

■ A 웹하드 업체



악성파일은 정상적인 웹하드 셋업파일을 변조하여 설치 시 악성파일이 함께 설치하도록 압축(SFX RAR)되어 있다. 내부에는 ***Diskup.exe 라는 이름의 악성파일이 포함되어 있다.


악성파일은 한국시간으로 2013년 06월 24일 오후 08시:04분 경(24/06/2013 11:04:46 UTC)에 만들어져 있다.


웹하드 설치프로그램으로 위장하여 숨겨져 있는 악성파일이 실행되면, 국내의 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 c.jpg 파일이 다운로드되어 설치된다. 이 파일은 그림파일처럼 위장하고 있지만, 실제로는 실행가능한 EXE 악성파일이다. 더불어 해당 사이트에는 또 다른 악성파일도 숨겨져 있다.

c.jpg 파일은 임시폴더(Temp)에 ~***disk.exe 라는 파일로 생성되고 실행된다. 그 이후에 감염 시스템에 실행되어 있는 프로세스 파일 중에 하나의 파일명을 선정하여 악성파일의 복사본을 생성하며, Identities 하위의 폴더명도 감염될 때마다 랜덤하게 다르게 생성된다. 실행 후에 ~***disk.exe 파일은 배치파일 명령을 통해서 스스로 삭제된다.


C:\Documents and Settings\[사용자계정]\Application Data\Identities\{489181c0-a73e-11de-9470-806d6172696f}

config.ini
svchost.exe (파일명 변수)
explorer.exe (파일명 변수) / 악용된 정상 Tor 파일


Tor 방식을 이용해서 탐지우회 등을 적용한 부분이 특징이다.

C:\Documents and Settings\[사용자계정]\Application Data\tor 폴더를 생성하고, 각종 설정파일을 등록한다.



■ B 웹하드 업체


두번째 웹하드 사이트에서도 설치프로그램이 변조되어 악성파일이 포함되어 유포되었다.


웹하드 설치 프로그램에 은밀하게 숨겨져 있는 악성파일이 실행되면 국내의 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 d.jpg 파일이 다운로드되어 설치되고 A 웹하드 업체에서 설치된 악성파일과 동일한 방식으로 기능이 수행된다.



2013년 06월 25일 오전 6시경 제작된 악성파일도 발견되었는데, 이 악성파일은 감염시 특정 조건에 따라 시스템폴더에 oleschedsvc.dll (생성될 때마다 파일명 랜덤), wuauieop.exe 등을 생성한다.
 
이 악성파일은 기존 웹하드 설치프로그램을 통해서 유포되었던 것으로 추정되며, 다음과 같은 절차를 통해서 감염이 진행되며, 감염전에 먼저 OpenFileMappingA API 함수를 호출하여 "Global\MicrosoftUpgradeObject9.6.4" 값이 존재하는지 비교를 통해서 감염여부를 체크한다.

SimDisk_setup.exe -> Simdiskup.exe -> c.jpg(~simdisk.exe) -> sermgr.exe -> ~DR(숫자).tmp -> ~DL(숫자).tmp -> ole(윈도우 시스템 서비스명).dll -> wuauieop.exe


c.jpg 파일의 경우 그림파일로 위장하고 있지만 실제로는 exe 실행형 악성파일이다.

윈도우 OS가 32비트인 경우에는 임시폴더(Temp)에 "~DR(숫자).tmp" 파일을 생성하고, 실행한다. 그리고 동일 경로에 생성된 "~DL(숫자).tmp" 파일은 ole(윈도우 시스템 서비스명).dll 파일로 자신을 복사하고 실행한다.



ole(윈도우 시스템 서비스명).dll 파일은 특정 웹 사이트로 접속하여 추가파일을 다운로드 시도한다.

 

상기 웹메일 서비스는 지난 3.20 사이버 테러 때와 5.31 사이버공격용 악성파일들이 사용하던 방식과 일치하는 수법이다. 2013년 5월 31일 발견되었던 악성파일은 3.20 변종 악성파일로 분류되어 잉카인터넷과 이스트소프트가 연합대응을 진행한 바 있다.

아래는 2013년 05월 31일에 접속을 시도했던 웹메일 서비스의 사이트 화면으로 이번에 악성파일이 C&C 통신하는데 사용한 구성과 일치하는 것을 알 수 있다.


만약 파일 접속이 성공하게 되면 윈도우 하위의 임시폴더(Temp)에 "~MR(숫자).tmp 파일로 다운로드한다. 분석시 "ct.jpg" 파일이 다운로드 되었다.


ole(윈도우 시스템 서비스명).dll 파일은 자신이 보유하고 있는 고유 인자값 "BM6W" 와 공격명령(06월 25일 오전 10시 이후) 시간을 비교한다. [ConvertStringSecurityDescriptorToSecurityDescriptorA]


감염된 시스템의 날짜와 공격명령 조건이 일치할 경우 시스템 폴더에 "wuauieop.exe" 악성파일을 생성시키고, 실행하게 된다. 본격적인 DDoS 공격 명령을 스케줄에 따라서 수행하게 되는 것이다.

악성파일은 다량의 패킷 쿼리를 대전 정부통합전산센터(*.gcc.go.kr) 서버로 전송하여 DNS 서버의 리소스를 소모시켜, 결과적으로 정부기관의 웹 사이트에 과부하를 일으키는 일종의 DNS DDoS 공격 기법이라 할 수 있다.


공격 IP 대상은 [152.99.1.10:53], [152.99.200.6:53] 로 UDP Port 53 번을 이용해서 DNS 상위 루트서버에 질의응답을 무작위로 발송하게 되고, 임의로 생성되는 도메인은 문자열이 최대 28자까지 허용하여 gcc.go.kr 서버에 과부하가 발생하게 된다.

- ns.gcc.go.kr [152.99.1.10]
- ns2.gcc.go.kr [152.99.200.6]

특정 도메인에 대한 개별 서비스거부(DoS)공격을 수행하는 것 보다는 정부기관의 DNS 서버를 공격해서 공격효과를 극대화하기 위해서 사용된 지능화된 공격수법이라 할 수 있고, ANY Query 패킷을 전송함과 동시에 NS와 NS2에 질의를 함께 요청함에 따라 과부하 발생을 최대한 유도하였다.


DNS 서버의 부하증가를 시키기 위해서 일반적인 DNS Query 크기보다 상대적으로 큰 1300~1500 Bytes 값으로 Query 를 보내게 된다.

 
악성파일들은 다수의 변종들이 발견되고 있으며, nProtect Anti-Virus 제품에서는 대표진단명인 Trojan/W32.KRDDoS 탐지명으로 치료기능이 지속적으로 추가 중이다.

 




어나니머스에서는 웹기반의 DDoS 공격방식을 공개하였다. 이용자들이 단순히 웹사이트 접속만으로 북한의 특정사이트를 자동으로 공격하는 방식이다.


이 공격명령 스크립트에서 TARGET 사이트만 변경되면 특정 사이트에 대한 지속적인 공격이 가능하기 때문에 악용될 우려가 있다.


실제 일간베스트저장소 사이트를 통해서 청와대, 국정원, 새누리당 등을 공격하는 코드가 삽입되었던 것으로 확인됐고, 그외로 고시생 기숙사 관련 커뮤니티인 하방 사이트에도 악성 스크립트가 삽입되어 있었다.

그러나 하방 사이트의 경우 실제 웹하드 사이트에서 유포된 악성파일이 추가로 접속하는 C&C서버이고, 일반적으로 접속자가 많지 않은 편이기 때문에 공격자가 테스트 목적으로 등록했던 것으로 보여진다. 


일간 베스트는 6월 25일 오후 6시 30분경부터 모든 게시물이 "Hacked by anonymous_kor,anonsj, anonymous" 라는 내용으로 도배되었고, 어나니머스 코리아는 트위터를 통해서 "일베가 해킹당했다. 그러나 어나니머스는 하지 않았다" 라는 글을 올린 바 있다.

 


마치 어나니머스 소속의 트위터처럼 보여지는 hack********** 라는 사람이 일베를 탱고다운 시키겠다고 글을 올렸는데, 그 트위터 계정은 기존 Hacktivist(@anonymous_kor)와는 다른 계정이므로 오해해서는 안된다.

 


공격에 이용된 악성 스크립트 방식은 코드에 설정된 공격 대상 서버에 다량의 HTTP GET 요청을 통해서 악의적인 과부하 트래픽을 유발시키게 된다. 0.25[ms] 간격으로 공격을 수행하게 된다. makeHttpRequest Function 부분에서 실제 공격 URL 내용을 구성해 HTTP GET REQUEST 트래픽을 유발시킨다.

http://(공격 URL)?proc=(현재시간)&modules=(현재시간)
http://(공격 URL)?proc=(현재시간)&code=AnonymousID(현재시간)


어나니머스가 공개한 북한의 웹 사이트 공격하는 방식으로 국내 주요 정부기관 사이트가 동시에 공격을 받았다. 겉으로 보기에는 어나니머스가 국내 웹 사이트를 공격하고 있는 것처럼 보여질 수 있다. 그러나 이것은 공개된 공격전술을 상대방이 역이용하여 정치적으로 우호적인 웹 사이트에 심리전술을 교묘하게 가미한 지능적인 사이버전이라 할 수 있다. 


TARGET 사이트는 계속해서 변경되고 있다.



2013년 06월 25일 기점으로 어나니머스 코리아 SNS 등을 통해서 북한의 조선중앙통신(kcna.kp), 노동신문(rodong.rep.kr), 평양방송(gnu.rep.kr), 고려항공(airkoryo.com.kp), 벗(friend.com.kp), 평양상업대학(business-school-pyongyang.org), 평양대학(pust.kr), 조선체육기금(ksf.com.kp), 조선의소리(vok.rep.kp), 노소텍(nosotek.com), 여명민족화해협의회(ryomyong.com), 류경(ryugyongclip.com), 아리랑(alirang.org) 등이 마비되었다고 알려졌다.


또한, 어나니머스는 북한내 개인정보를 포함한 기밀문서를 일부 공개했는데, 이곳에는 북한 고위직 실무자 13명의 이름, 생년월일, 전화번호, 주소, 소속 등이 표기되어 있다. 그외의 정보들은 위키리크스를 통해서 공개한다고 한다.


한국의 경우 청와대와 국무조정실, 국정원 등 다수의 정부기관, 조선일보, 대구일보와 매일신문 기사송고시스템, 새누리당 지역 시도당 등의 일부 웹 사이트가 DDoS 공격을 받았다.

국제 해킹그룹 어나니머스는 며칠 전부터 2013년 06월 25일 12시 전후로 대대적인 북한 웹 사이트 공격을 사전예고한 바 있다. 그런 가운데 북한 웹 사이트 공격예정 시간보다 이른 06월 25일 10시 전후로 한국의 주요 정부기관 등의 웹 사이트가 선제공격을 받았다. 이처럼 예고된 북한 웹 사이트 공격은 단방향 사이버공격에서 양방향 사이버전쟁으로 촉발되고 있는 상황이다.

계속해서 수집된 악성파일과 공격 수법들에 대한 종합적인 분석이 진행되고 있는 상황이지만, 현재까지 파악된 정황으로는 어나니머스의 북한 사이트 공격과 북한내 고위직 인물들의 정보공개에 대한 보복성으로 한국내 주요 정부기관을 공격한 것으로 보이며, 이것은 사이버테러를 넘어 6.25 사이버전의 형태를 띄고 있다.

앞서 설명한 바와 같이 2013년 6월 25일 발생한 남북 웹 사이트의 침해사고는 사이버전(Cyber War)의 신호탄이라 말할 수 있고, 다양한 사이버 군사전술 및 전략이 동원되고 있다.

ⓐ 기습 전술

먼저 어나니머스가 사전예고한 2013년 06월 25일 오후12시 공격시간대 이전인 오전 10시 경 청와대 웹 사이트가 해킹되었고, 정부주요기관의 개인신상정보가 다량 노출되었다. 어나니머스 공격보다 선제공격을 감행하였다.

ⓑ 위장 전술

해킹된 청와대 홈페이지에는 "Hacked by Anonymous" 등 마치 어나니머스가 해킹한 것처럼 위장하였고, 시스템 파괴 및 해킹시 어나니머스 내용처럼 사칭하고 있다.

ⓒ 교란 전술

보수성향의 웹 사이트로 알려져 있는 일간베스트(일베) 웹 사이트는 6월 25일 오후 6시 30분경부터 모든 게시물이 "Hacked by anonymous_kor,anonsj, anonymous" 라는 내용으로 도배되었다.

 기만 전술

해킹된 청와대 홈페이지에는 "공격은 계속될껏이다. 우리를 기다리라. 우리를 맞이하라. 통일대통령 김정은장군님 만세!" 등 위기감을 조성하는 등 위협을 노골적으로 표현하였다. 또한, YouTube 동영상 사이트에 청와대 해킹 관련 동영상을 등록하였다.

 인해 전술

이용자가 많은 웹하드의 설치 및 업데이트 프로그램 변조를 통해서 짧은기간에 많은 좀비군단을 만들어서 정부기관의 웹 사이트를 공격할 수 있는 교두보 및 전초기지를 확보하였다.

 정보 전술

어나니머스가 SNS 등을 통해서 공개한 웹 사이트 기반의 Script DDoS 공격정보를 획득하여 동일하게 맞불작전에 활용하였고, 정부기관의 개인신상 정보를 고의적으로 공개하였다.

 심리 전술

일간베스트(일베)를 해킹하여 접속자로 하여금 청와대, 국정원, 새누리당 등의 웹 사이트를 공격하도록 하고, 그것이 마치 어나니머스가 사용하는 방식과 동일하다는 것을 은근슬쩍 퍼지도록 만든다.

 은폐 전술

DDoS 공격에 이용된 악성파일은 웹하드 설치프로그램에 은밀하게 숨겨져 있고, 분석 및 추적을 방해하기 위해서 대표적인 상용 패킹 프로그램인 Themida 로 실행압축을 하거나, Tor 통신을 통해서 안정성 및 익명성이 보장되는 분산된 프록시 네트워크를 이용한다.

ⓖ 파괴 전술

MBR 등 하드디스크를 파괴하거나 중요한 개인 데이터를 유출, 파괴시킨다. 특히, 파괴된 자료의 복원을 어렵게 하기 위해서 암호화 압축을 한 후 삭제한다거나, 파일의 내부 자료를 변경 한 후 삭제하는 기법이 이용된다. 실제로 언론사 뉴스 송고시스템을 마비시키는 등 파괴적인 동작이 보고된 바 있다.



2013년 06월 26일 주한 미군관련 사이트가 해킹되어서 메인페이지가 변경되었고, 미군관련 개인 신상정보가 다수 공개되었다.


2013년 06월 26일 오전 추가 공개됨

일부 악성파일의 경우 파괴기능을 이용해서 사용자 컴퓨터에 존재하는 파일의 코드를 변경하고 삭제하여, 복구를 어렵게 만들수 있다.

악성파일 전파에 악용되었던 심디스크와 송사리 사이트는 프로그램 설치본에서 악성파일을 제거하고 공지를 등록한 상태이다.





※ 6.25 Cyber War 파괴전술 수행 중!
 


6.25 사이버전과 관련하여 시스템을 파괴시키는 악성파일들이 발견되고 있다. 일부 언론사 등을 상대로 시스템 파괴 기능명령을 수행하고 있어 각별한 주의가 필요하다.

이번에 발견되는 악성파일은 7.7 DDoS, 3.3(4) DDoS, 3.20 금융 및 언론사 사이버테러 때와 마찬가지로 시스템의 중요한 파일들을 삭제한다. 또한, 하드디스크(HDD)의 마스터부트섹터(MBR)를 공격하는 기능도 기존과 동일하다.


시스템 파괴 기능이 동작하면 변종에 따라 바탕화면을 임의로 변경하거나 드라이브에 존재하는 모든 파일들을 삭제시도하기 때문에 갑자기 프로그램이 실행되지 않고 재부팅될 수 있다. 

아래 화면은 변경되는 바탕화면 이미지(desktop_image001.bmp)들이다.



악성파일은 사용자 계정 하위의 임시폴더(Temp) 경로에 임의의 이름을 가진 tmp.bat 파일을 생성하고 실행하는데, 이 파일 내부에는 어나니머스를 의미하는 anon 이라는 문자가 포함되어 있고, NET USER 명령을 이용하여 "highanon2013" 이라고 사용자 계정의 암호를 변경시도한다. 생성되는 파일명은 매번 가변적으로 만들어진다.

 


사용자 계정의 암호를 변경하는 BAT 파일은 일반적으로 이용되는 윈도우 시스템 계정들을 제외하고 생성하게 된다.

- NetworkService
- LocalService
- All Users
- Default Public
- Default User


계정을 변경하고 스스로 삭제하게 되는 BAT 파일도 삭제될 때 다음과 같이 임의의 값으로 파괴되고 삭제된다.



다음 화면은 악성파일에 의해서 시스템에 존재하는 파일들의 이름이 변경되는 화면이다.


파일명을 변경하고 삭제하여, 정상적으로 복원하더라도 어떤 파일인지 구분하기가 어려워 사용이 어렵다.


또한, 악성파일은 하드디스크의 마스터부트섹터 영역(MBR)을 파괴시도하기 때문에 nProtect MBR Guard 를 설치해 두면 MBR 파괴를 사전에 탐지하고 방어할 수 있다. 그러나 파일들도 동시에 삭제되기 때문에 악성파일을 탐지할 수 있는 nProtect AVS3.0 제품 등을 동시에 사용하는 것이 좋다.

[nProtect MBR Guard]
http://pds.nprotect.com/upload_file/pds_vaccine/nPMBRGuardSetup.exe




파괴동작을 수행할 경우에는 다음과 같은 확장자의 파일을 확인하며, 기존과 다르게 특정 언론기업을 의미하는 ".nms" 확장명과 웹 프로그램용으로 사용하는 ".do" 확장자가 포함되어 있는 것이 특징이다.

아래의 확장자를 가진 조건에 파일이름 문자가 8자리 범위안에 확장자가 3자리(DOS 8.3 파일명 규칙)일 경우 즉시 파일을 삭제시도한다. 대부분 실행파일(PE 구조)들이 여기에 포함된다.

*.sys
*.ocx
*.dll
*.exe

다음의 확장자를 가진 파일의 경우 파일의 맨 뒷부분에 0x80 값을 덧붙이고, 처음부터 특정 위치까지 임의의 특정코드를 덮어쓰기하여 복구를 어렵게 방해한다. 그리고 알파벳과 숫자조합에서 파일명만큼 랜덤한 문자로 파일명을 변경 후 삭제한다.

*.nms
*.png
*.jpeg
*.jpg
*.gif
*.bmp
*.mp4
*.wmv
*.mpeg
*.flv
*.mpg
*.avi
*.php3
*.php
*.do
*.jsp
*.asp
*.aspx
*.htm
*.html



청와대 홈페이지는 2013년 06월 28일 현재 아래와 같은 공지를 보여주고 있다.

 


추가로 발견된 악성파일에 의해서 시스템 파괴기능의 악성파일이 특정 사이트에서 다운로드되어 유입된 정황이 확인되었다.

해당 파일이 실행되면 가장 먼저 GetSystemDirectoryA API 함수를 이용하여 시스템 경로 하위에 "icfg" 이름의 폴더존재 여부와 속성을 확인 후 존재하지 않을 경우 "icfg" 이름의 폴더를 생성한다. 그 다음 국내 특정 호스트로 접속하여 08.gif 파일이 존재할 경우 다운로드하여 "icfg" 폴더에 "logo.gif" 이름으로 저장한다.


이후에 특정 호스트로부터 services.exe, lsass.exe 파일이 "icfg" 폴더에 생성되고 실행된다.



"services.exe" 파일은 실행시 OpenMutexA API 함수를 통해서 자신의 감염여부를 우선 체크하고, "RPCSECURITY_1358234201_56878293" 값이 존재하지 않을 경우 해당 Mutex 를 생성하고 실행된다.


ResourceType 에 "IMG" 이름의 "1013", "1014" 2개의 리소스를 포함하고 있으며, 각각 특정 네트워크의 IP 대역대 및 계정정보 등이 XOR 로직으로 암호화되어 있다.


XOR KEY 0x78 로 복호화가 완료되면 "1013" 리소스에는 특정 컴퓨터 및 네트워크 IP대역의 고유한 계정정보 등이 존재하며 "1014" 리소스에는 바탕화면 변경 및 각종 파일과 MBR 파괴기능의 악성파일이 존재한다.


"1014" 리소스에 숨겨져 있는 파괴기능을 보유한 악성파일은 윈도우 하위 임시폴더에 TMP(임의).nms 파일로 생성시킨다. TMP(임의).tmp 파일은 0바이트로 생성된다. 시스템 하위폴더에는 "wlandlg.nms" 파일을 생성하고 내부에는 "DCOMEventLaunch" 등과 같은 이벤트를 기록한다.


암호화되어 있던 리소스 "1013" 코드에 포함되어 있던 네트워크 설정값을 이용해서 임의 접속을 시도하고, 단순계정 정보의 사전대입법 등을 이용한다.

 


공유 네트워크에 연결된 컴퓨터 중에 단순한 암호를 사용하는 컴퓨터가 존재하는 경우를 확인하기 위해서 암호 사전대입공격 기법을 활용하거나 생성되는 파괴기능의 악성파일명이 다양하게 설치되어, 자신을 숨기기 위한 목적으로 하드코딩된 악성파일명을 선택적으로 선정한다.


공유 네트워크로 파괴기능의 악성파일을 전파시키기 위해서 TCP 139/445 포트를 통해 지속적인 네트워크 스캐닝을 진행하고 이 때문에 컴퓨터에 다소 부하가 발생하게 된다.


공유 네트워크의 접근이 가능할 경우 시스템 경로를 공유폴더로 설정하기 위해서 NET SHARE 명령을 이용하게 된다.


보안이 상대적으로 취약한 네트워크 공유폴더 설정이 성공하면, CopyFileA API 함수를 통해서 파괴기능의 악성파일을 복사시도하고, GetFileTime API 함수를 통해서 계산기(calc.exe) 파일의 생성시간으로 악성파일을 설치하여, 최근에 생성되지 않은 파일처럼 자신을 은폐시킨다. 그 이후에 NET SHARE shared$ /delete 파라미터를 이용해서 공유폴더를 제거하여 유입흔적을 지운다.


공유 네트워크에 생성되는 악성파일은 총 10가지(recdiscm.exe, taskhosts.exe, taskchg.exe, rdpshellex.exe, mobsynclm.exe, comon32.exe, diskpartmg.exe, dpnsvr32.exe, expandmn.exe, hwrcompsvc.exe)의 파일명 중 하나로 정해져 실행을 하게 되는데, 앞서 악성파일 숙주가 생성한 시스템 하위 경로의 "icfg" 폴더와 "lsass.exe" 파일 존재를 확인하고 존재할 경우 종료하고 없는 경우 실행된다.

"icfg" 하위 경로에 "lsass.exe" 이름의 악성파일이 존재한다는 것은 이미 네트워크에 악성파일을 전파시키는 Spread PC 로 활동을 하고 있었기 때문에 악성파일은 이 조건을 가장 우선적으로 체크하게 되는 것이다. 악성파일의 파괴기능은 이렇게 내부 공유 네트워크를 통해서 전파되는 과정을 거치며, 다양한 Case 조건에 따라 동작을 한다. 또한, 개별 인자선언에 따라 감염된 컴퓨터의 정보를 수집하거나 일부 윈도우 서비스 종료, 관리자 권한 설정, 바탕화면 이미지 설정 등의 명령을 수행하게 된다.

더불어 4,636 (0x121C) 바이트의 "i18n.nms" 파일이 존재하는지 크기를 비교하고, 내부에 암호화되어 저장되어 있는 실행시간 정보와 MBR 파괴 및 암호 변경 등의 정보를 비교하는데 사용한다.

"lsass.exe" 파일은 실행시 (임의파일명).tmp.bat 파일을 생성하고 실행하여 감염된 컴퓨터의 계정 암호를 "highanon2013" 으로 변경하여 기존사용자가 로그인하지 못하게 방해한다.



해킹된 피해 컴퓨터는 로그인 암호가 변경되었기 때문에 "hinganon2013" 으로만 로그인이 가능하고, 공격자는 자신만이 감염 컴퓨터에 접근할 수 있도록 조치하는 기법을 악성파일 변종마다 다양하게 사용했다.


윈도우 임시폴더(Temp) 경로에 "_dbg_log.nms", "_dbg_log_(PID).nms" 형식의 파일을 생성하고, 각종 컴퓨터 정보를 저장한다
.

 


"_dbg_log.nms" 파일에는 개별적으로 실행된 프로세스별(PID) 디버그(Debug) 로그를 종합하여 기록하며, "AccessNetMgr" 서비스로 자신을 등록한다. 또한, 시작시간 및 각종 명령어의 로그를 기록해서 악성파일 전파서버로 활용하기 위한 준비과정으로 추정된다.


악성 파일은 AccessNetMgr" 이라는 이름의 서비스로 자신을 등록하며, 설명에는 마치 모바일 브로드밴드 관련 내용추럼 위장하고 있다.

This service manages mobile broadband (GSM & CDMA) data card/embedded module adapters and connections by auto-configuring the networks. It is strongly recommended that this service be kept running for best user experience of mobile broadband devices.


시스템 폴더에는 "ibmcenter.nms" 이름의 설정파일을 생성한다.


"lsass.exe" 파일도 내부적으로 MBR 파괴명령을 수행할 수 있도록 기능을 가지고 있다.


6월 25일 청와대 홈페이지가 해킹을 당한 오전 9시 전후로 티브로드, 아름방송, 제주방송, 이데일리TV, 한국정책방송 KTV 보도정보시스템이 해킹으로 뚫렸다고 일부 언론사를 통해서 공식 보도화 되었다. 더불어 매일신문과 대구일보 등 대구지역 신문사 2곳의 기사작성 송고시스템도 알 수 없는 장애가 발생하였던 것으로 언론을 통해서 알려졌다. 

[ZDNet Korea]
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130625183656&type=xml

[전자신문]
http://www.etnews.com/news/computing/security/2788510_1477.html 

일부에선 영상이 삭제되는 피해를 입었다고 알려졌으며, 이데일리TV 관계자는 오전에 갑작스럽게 내부 컴퓨터 화면에 어나니머스를 상징하는 바탕화면이 뜨고, 시스템이 불통됐다고 밝혔다. 티브로드는 종합유선방송사업자(System Operator)의 지역뉴스를 만드는 보도시스템 서버가 해킹을 당했다고 한다.

아름방송의 경우 2013년 07월 03일 현재까지도 웹 사이트가 정상적으로 운영되지 못하고 있는 상황이다.

 


잉카인터넷 대응팀은 2013년 06월 25일 오전 6시경에 제작된 악성파일이 어떤 과정을 통해서 특정 신문사의 내부에 전파되었고, MBR 및 데이터를 파괴했는지 프로파일링과 타임라인을 통해서 확인된 내용을 최초로 전격 공개한다. 신문사에 따라 공격에 이용된 일부 악성파일은 2013년 03월 초에 제작된 경우도 존재하고 데이터 파괴 기능용은 2013년 06월 25일 제작된 것이 존재한다. 


다양한 신문사가 공통적으로 사용하는 집배신 프로그램(기사를 올리고 고치는 내부 인트라넷)이 악성파일 전파 매개체로 이용되었다.

특정 악성파일의 코드분석에 의해 공식 확인된 바에 의하면
신문사 내부적으로 활용하는 보도제작 및 관리 프로그램의 업데이트 기능을 해킹하고 변조하여 네트워크에 은밀하게 전파시켰던 것으로 파악되었고, 2009년 7.7 DDoS 때 부터 최근 3.20 사이버테러까지 Updater 프로그램을 공격통로로 동일하게 사용하고 있다.

http://desk.non****.com/data/UPDATER/UpdateRoot/ProgramInstall/**Updater/**updater.exe
http://desk.ida***.com/data/UPDATER/UpdateRoot/ProgramInstall/**Updater/**updater.exe
http://nsx.her****.com/data/UPDATER/UpdateRoot/ProgramInstall/**Updater/**updater.exe


업데이트 프로그램에 악성파일을 교묘하게 추가하고, 별도의 다운로드 기능 등을 추가하였다. 이렇게 업데이트 프로그램이 변조되면 이용자가 새로운 패치작업을 하는 과정에 악성파일에 노출되게 되며, 신문사나 환경에 따라 악성파일은 맞춤형으로 제작되었다.



우선 금번 신문사 내부 프로그램의 업데이트 기능을 위변조하여 악성파일을 설치했던 기능설명에 앞서 국내에서 발생했던 다수의 사건들과 어떤 부분에서 유사한지 먼저 정리해 보고자 한다.

2009년 07월 04일(미국 독립기념일)부터 발생한 7.7 DDoS 공격과 2011년 03월 03일부터 발생한 3.3(4) DDoS 공격 등은 특정 웹하드 업체들이 사용하는 다운로드 프로그램을 변조하여 업데이트 시 악성파일에 노출되도록 이용하였고, MBR 파괴 등을 삭제하는 공격적 기능도 함께 수행하였다.


2011년 04월 12일 발생한 농협 전산망에 대한 대규모 마비사태도 서버 유지보수를 담당하고 있는 외주업체 직원 한국IBM 한모씨가 2010년 09월 04일 경 특정 웹하드를 통해서 악성파일에 감염되면서 최대 7개월 가량 최고위 관리자 암호 등 전산망 관리를 위한 각종 정보가 탈취되고, 도청 프로그램이 설치되었던 것으로 밝혀진 바 있다.

2013년 03월 20일 발생한 방송사와 금융기관에 대한 사이버테러는 북한이 적어도 8개월 전부터 치밀하게 준비해 감행한 것이라는 것을 정부에서 공식발표한 바 있고, 악성파일은 기업내부에서 사용하는 특정 보안기업의 중앙관리서버와 업데이트 기능 등을 통해서 내부 사용자들에게 전파된 사례가 공개된 바 있다.

2013년 05월 31일 감지된 3.20 변종 악성파일의 경우는 특정 보안제품의 업데이트 모듈을 통해서 은밀하게 전파 중이던 정황이 이스트소프트에 의해서 최초 포착되었고, 잉카인터넷 대응팀과 연합으로 공조대응하여 조기에 차단조치함으로써, 추가적인 피해가 발생하는 것을 미연에 방지할 수 있었다.

상기 사례를 비추어 일련의 과정을 종합적으로 비교해 보면 공통적으로 Drive By Download 방식을 사용하지 않는 다는 점이다. 그들은 파일 공유 사이트(웹하드) 등에서 사용하는 정상 프로그램을 고의적으로 변조하거나 특정 보안솔루션의 서비스를 교묘하고 치밀하게 악용하고 있다. 이런 수법은 각종 보안 취약점을 이용해서 불특정 다수가 방문하는 웹 사이트를 통해서 전파시키는 악성파일 감염방식과는 크게 구분된다. 따라서, 웹 사이트 방문만을 통해서 전파되는 악성파일이나 해킹 여부만을 집중관제하는 방식으로는 사전 탐지자체가 불가능에 가깝고, 매우 은밀하고 조용하게 특정조직들을 상대로 공격이 감행되고 있다는 것이다.

2013년 06월 25일부터 발생하고 있는 6.25 사이버전도 같은 맥락에서 중요한 공통점이 확인되었고, 그것은 바로 일부 신문사에서 사용하는 특정 프로그램의 업데이트 기능을 악용하여 악성파일 전파에 역이용되었다는 점이다. 대표적인 사례를 공개하면 아래와 같다.


먼저 해당 악성파일은 MutexName 값을 "HighAnon_Teras1" 이라고 생성하여 중복적으로 악성파일이 실행되지 않도록 만든다. HighAnon 이라는 문자열은 앞서 여러차례 언급한 바와 같이 6.25 사이버전용 악성파일과 해킹사고에서 꾸준히 사용되고 있는 문자열이다. 일종의 작전명(Operation)이라 볼 수 있고, Teras 는 사전적인 의미가 경사지 따위를 층층으로 깎은 대지 또는 베란다라는 명사로 사용되는데, 마치 테라스에서 공격지를 관제하고 지령을 내린다는 의미로 명명된 것으로 보인다.



C&C 서버인 210.127.39.29 호스트로 접속을 시도하지만 현재는 정상적으로 통신하지 않고, 다양한 Multi C&C 가 존재한다.


악성파일은 내부에 4개의 리소스를 가지고 있고, "150" 항목의 리소스에는 특정 프로그램의 업데이트 설정값이 포함되어 있다. 이 데이터와 FindResourceExA API 함수를 통해서 특정 신문사의 서버경로에 존재하는 정상프로그램을 악성파일로 교체하는 작업을 수행하게 된다.



파일에 포함되어 있는 리소스는 High Anon 의 약자인 HA 라는 문자열과 영문 숫자 등이 임의로 조합되고, 사용자 계정 하위의 임시폴더(Temp)에 tmp 확장자명으로 생성한다.



tmp 파일 중 일부는 악성파일이 실행된 시스템 하위의 "icfg" 경로에 nms 라는 확장자명으로 일부 파일을 생성한다. 파일은 "bex.nms", "dex.nms", "xl.nms" 등이다.



"dex.nms" 파일은 해당 신문사의 서버에 변조되어 등록된 다운로더 기능의 악성파일이며,  2013년 06월 25일 오전 6시 경에 제작되었다.


"xl.nms" 파일은 모듈 업데이트에 사용되는 XML 파일이며, 특별히 Hash 무결성 체크 등의 기능이 없고, 데이터 베이스 암호화 등에 대한 보안기능이 전혀 적용되어 있지 않아 상대적으로 쉽게 변조가 가능한 상태이다.


상기와 같이 정상적인 프로그램의 모듈 업데이트 기능과 내용을 위변조하여 특정 신문사 내부의 네트워크에 다수의 악성파일을 전파시키는 용도로 사용하였다. 특히, 감염된 컴퓨터의 모든 드라이브에 존재하는 데이터 및 MBR 파괴의 기능이 작동하여 수 많은 데이터가 유실되는 피해가 발생하게 된다.

잉카인터넷 대응팀은 2013년 06월 25일부터 1주일 넘게 지속적인 악성파일 추적 및 역학조사를 수행하고 있으며, 아직까지도 알려지지 않은 악성파일이 다수 존재할 것으로 보고 있다.

2009년 7.7 DDoS 대란 때부터 7.1 사이버 전까지 사이버공격을 일삼는 조직들은 보안 모니터링을 우회하고, 특정 기업 및 조직에 대한 전문화된 정찰 및 침투, 정보수집과 공격 등을 반복적으로 수행하고 있다는 점을 필히 명심하여야 한다. 더불어 각종 정상 프로그램의 업데이트 기능을 악용하는 공통점이 있다는 점에 주목하고, 보안성 강화에 다양한 투자와 관심이 요구되어진다. 또한, Drive By Download 기법을 통해서 불특정 다수에게 전파되는 온라인 게임 및 금융정보 탈취형태의 사이버범죄형 악성파일 종류와는 공격기법과 목적이 크게 다르다는 것을 잊지 말아야 한다. 




동일조직이 개발한 것으로 의심되는 악성파일 중 일부 파일이 게임방 클라이언트 관리(업데이트) 프로그램을 통해서도 전파된 정황이 포착되었다. 현재 해당 관리 프로그램은 다운로드가 중단된 상태이다. 공격자들은 PC방 컴퓨터들을 상대로 지능적인 공격을 수행하기도 하였다. 이번에도 동일하게 업데이트 기능을 악용한 사례이다.

http://www.game******.co.kr/pds/Client_setup.exe


해당 프로그램의 개발사는 2013년 07월 04일부터 설치파일 다운로드를 중단한 상태이고, 다음과 같은 공지를 안내하고 있다.


PC방 관리용 설치프로그램에는 수정한 날짜가 2013년 06월 14일 오전 8시 44분으로 지정된 "Setuplnit.exe" 파일이 포함되어 있다.


"Setuplnint.exe" 파일은 마치 셋업용 초기화 기능처럼 보이도록 파일명이 명명되어 있으며, 2013년 06월 14일 오전 8시 42분에 제작되었다.


여기서 정상 PC방 관리프로그램의 모듈을 악성파일로 변조하는 시점은 매우 지능적이라 할 수 있다. 대부분의 PC방 업체들은 효율적인 컴퓨터 관리목적으로 특정시점을 지정하여 재부팅시 자동으로 초기화하거나 복원되도록 복구시점을 별도로 지정해서 사용한다. 복구지점 안에 포함만 되면 악성파일의 생존력은 극대화되고 장기간 잠복 및 침투활동을 연속으로 이어갈 수 있고, 상황에 따라 자동복원되는 불사조 좀비군단으로 활용할 수 있기 때문이다.

실제 해당 PC방 업체는 2013년 06월 13일 오전 10시에 프로그램 업데이트를 공지하였고, 해당 프로그램은 06월 14일에 악의적으로 변조되었기 때문에 많은 PC방 업체들이 게임관리용 클라이언트 프로그램 교체 작업시점 및 복구지점 범위에 포함되었을 가능성이 높다. 이는 매우 지능적으로 PC방 내부 관리체계를 잘 알고 있었다는 반증이며, 적절한 업데이트 타이밍을 노렸다는 점이 주목된다.


악성파일에 감염된 채 복원시점을 지정한 경우에는 문제가 없는 최신버전으로 반드시 교체하여야 한다. 해당 프로그램 개발사에 의하면 2013년 07월 08일부터 제공할 예정이라고 공지한 상태이다.