최신 보안 동향

PC 부팅을 막는 MBR 악성코드

TACHYON & ISARC 2016. 1. 18. 13:50

PC 부팅을 막는 MBR 악성코드



1. 개요


하드디스크의 MBR(Master Boot Record ; 마스터부트레코드) 영역을 파괴하여 PC 부팅을 못 하게 만드는 MBR 악성코드가 성행하기 시작했다. MBR 영역을 파괴하는 악성코드는 이전 한수원 해킹 사건, 3.20 사이버 테러, 6.25 사이버테러 등에서 국내 주요기관을 마비시킨 이력이 있다. 


MBR이란 파티션 된 저장장치(하드 디스크, 이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는, 저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보, 부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다.


이에 잉카인터넷 시큐리티 대응센터(ISARC)는 해당 악성코드에 감염되면 MBR영역이 어떻게 변하는 지에 대해 분석 하였으며, 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus/Spyware V4.0 (nProtect AVS V4.0)의 MBR 보호 기능을 소개하고자 한다.





2. MBR 악성코드 감염


아래 그림은 PC에 장착된 하드디스크에 직접 접근하여 저장된 데이터를 확인한 모습이다. 하드디스크의 시작부분(0번 섹터, 512 byte)에 MBR이 저장된 모습을 확인할 수 있다. 0번 섹터의 마지막 2바이트에 55 AA를 확인할 수 있는데, 이것은 이 MBR이 정상이라는 표식(시그니처)으로, 이 부분이 손상되면 정상적인 MBR이 저장되어 있더라도 손상된 것으로 간주한다.




[그림] 감염 전 정상 MBR





MBR 악성코드 중 하나인 KillDisk3.exe 에 감염된 후 동일 하드디스크를 확인해 보면 아래와 같이 MBR의 모든 데이터가 0으로 채워진 것을 확인할 수 있다. 물론 마지막 55 AA 시그니처 또한 손상되어, 이 하드디스크로는 더 이상 부팅을 할 수 없게 된다.




[그림] 감염 후 MBR




[그림] 부팅 실패





3. MBR 보호


아래는 동일 PC 동일 환경에 잉카인터넷 백신 nProtect AVS V4.0을 설치한 상태로 진행한 테스트 화면이다. [2. MBR 악성코드 감염]과 동일한 환경에서 같은 악성코드를 실행했다. 그 결과 nProtect AVS V4.0의 MBR 보호 기능이 동작하며 MBR 파괴 행위를 막고 해당 영역을 보호한 것을 확인 할 수 있다.


따라서 알려지지 않은 악성코드(백신이 감지하지 못한 악성코드)에 감염되더라도 MBR 파괴 행위를 방지하여 최소 MBR영역의 파괴를 막을 수 있는 것이다.

 



[그림] MBR 보호 기능 작동




[그림] 보호된 MBR





잉카인터넷은 2011년 북한 발 MBR 파괴 공격, 3.20, 6.25 사이버테러 사태 시 PC의 MBR영역을 보호기능을 제공하는 nProtect MBR Guard를 제작 및 배포한 이력이 있다. nProtect MBR Guard의 MBR 보호 기능은 잉카인터넷 백신 AVS V4.0에 기본 탑재되어 있어, 부가적 프로그램 설치 없이 백신 프로그램 nProtect AVS 제품만으로도 MBR보호 동작을 수행할 수 있다.


nProtect AVS는 MBR영역 뿐만 아니라 볼륨영역을 함께 보호 할 수 있어 KillMBR 계열의 악성코드 위협으로부터 PC를 안전하게 지킬 수 있다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

 


  

[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면




[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면


※ nProtect AVS V4.0 베타버전을 사용하고 싶은 사용자는 http://avs4.nprotect.com/에 접속하면 제품 설치본과 소개서를 다운받을 수 있다.