본문 바로가기

Security Indicator/Insight

3.20 대란 초기 경고 및 추적, 대응 히스토리 (요약) - 빛스캔

3.20 대란 초기 경고 및 추적, 대응 히스토리 (요약)

 

    - 2013.03.29 빛스캔㈜ info@bitscan.co.kr

 

 

초기 관찰과 추적, 경고에 이은 대응까지의 역할을 하나의 이미지로 축약한 부분.

 

본 3.20일 대란 발생 이전의 핵심적인 탐지 내역들이 있어서 사전 경고를 한 것이며 그 경고의 내용은 다음과 같다.

 

  1. 비정상적인 주중 악성코드 유포 행위의 지속 (관찰 2년 이내에 최초)
  2. 군 관련 모임과 매체에 대한 악성코드 감염 시도 발견 ( 3월 1~2주차)
  3. 주중 유포된 악성코드들의 대부분이 백도어 및 트로이 목마 유형 관찰

 

위의 세 가지 핵심적인 변화 관찰 결과에 따라 사이버공격 위협이 심각해 질 수 있는 상태이므로 경고를 한 상황입니다. 경고를 했음에도 불구하고 사고는 발생 된 상황이며 3.20 대란에 대한 논점은 명확히 짚고 넘어가야 할 부분입니다.

   

3.20 사건의 핵심 논점:

 

  • 내부망 침입 – Email을 통한 APT 혹은 Web 서핑을 통한 감염?
  • 악성코드 확산 도구 – 중앙에서 업데이트 되는 장비 ( 백신 업데이트용)
  • 최종 피해 – 파괴형 악성코드

 

공격이 발생 되기 위해서 필요한 세 가지 구성요소에서 확산 도구와 최종 피해를 입히는 부분은 확인 되었으나 최초 내부망의 PC에 어떻게 접근을 할 수 있었는지에 대해서는 알려져 있지 않다.

모든 피해가 서비스 운영이 아닌 개인 PC가 운영되는 네트워크 단위에서 발생 되었다는 점을 주목해 볼 때 두 가지 침입 가능한 지점을 확인 할 수 있다.

 

  • Email을 통한 악성파일 첨부 공격에 의한 감염
  • Web 서핑을 통한 악성코드 감염

 

빛스캔에서는 웹을 통한 대량 감염을 2년 이상 추적해 오고 있으며 180만여 개의 국내.외 웹서비스들에서의 악성코드 감염 이슈를 모니터링 해오고 있다. 따라서 이메일을 통한 공격은 제외하고 웹서핑을 통한 악성코드 감염 이슈를 중점으로 정보를 제공한 바 있다.

 

 

매주 평균 100~200 여개 이상의 악성링크가 공격에 이용되고 다수의 웹서비스들에서 모든 방문자를 대상으로 악성코드 감염 시도를 하고 있다. 그 중에는 방문자가 많은 서비스들도 포함이 되어 있는 상태라 불특정 다수에게 감염을 시킬 수 있는 상태이다. 공격자는 이미 권한을 가지고 있는 웹서비스들의 소스코드를 변경하여 방문 시마다 자동으로 실행하도록 하고 감염시키는 형태를 통해 감염자를 다수 늘린다. 최초 내부망으로 유입된 통로를 확인 할 수 없어서 3.20일까지는 추정되는 의심정보로 전달 한바 있다. 빛스캔의 추정은 웹을 통한 감염으로 추정을 하였다.

 

<Web 서핑을 통한 감염 시의 경로 추정>

 

3.17일 이후 imbc.exe , sbs.exe와 같은 특정 방송사명의 악성코드가 사용자들 PC에 설치가 되었으며, 그 중에서 imbc.exe 파일 내에는 감염 PC를 원격에서 조정 할 수 있는 C&C 주소가 발견 되어 관련성에 대해서 추정을 할 수 있는 상태였다.

 

3.20일의 파괴형 악성코드 동작 이후 3.24일에도 국내 사이트를 통한 악성코드 감염 사례가 발생 되었으며 해당 악성파일명은 naver01.exe 로 이용 되고 있었다. 해당 파일의 분석결과 여러 악성코드를 추가로 다운로드 받는 것이 관찰 되었고 공격자가 원격에서 조정하는 C&C 주소가 imbc.exe에서 발견된 C&C 주소와 동일한 것이 확인 되었다. 도메인의 이름만 변경되었으며 실제 IP 주소는 동일한 것으로 확인이 되었고, 시스템에 대한 파괴 행위도 3.20일 발견된 피해 악성코드의 기능과 유사한 변종으로 확인 되었다.

 

따라서 3.20일 사건에 대하여 3.17일 이후 대량으로 국내에 유포된 imbc.exe 악성코드와 실제 피해를 입힌 악성코드와의 연결 고리를 확인 할 수 있다.

 

  • 3.17일 이후 발견된 imbc.exe 악성코드와 3.24일 발견된 naver01.exe의 C&C IP 주소가 동일 ( *.hades08.com dns명은 다르나 IP는 동일)
  • 3.20일 파괴행위를 했던 최종 악성파일과 3.24일 발견된 파괴 행위가 유사한 형태의 변종

 

위의 두 가지 핵심적으로 관찰된 결과에 따라 동일 그룹의 소행이며, 동일 C&C를 사용한 것으로 추정된다.

 

최초 악성코드 유포지인 악성링크의 도메인 등록은 3.15일에 등록하였으며, 등록 이후 즉시 국내에 대한 공격을 시행함. hXXp://dxx.asdasd2012.com/ro/sunt.html(홍콩) . 악성링크 자동 실행이 되어 방문자의 브라우저에 대한 공격이 발생 하고 성공하게 되면 다음 도메인에서 imbc.exe 파일을 받아 온다. 최종다운로드 링크: hXXp://mx.asdasd2012.com/imbc.exe(일본)

 

결론적으로 관찰 결과에 따르면 3.20일 사건 이전에 필요한 준비기간은 단 5일 정도로 예상을 할 수 있다. 도메인 등록까지 포함해서 5일 정도로 예상이 되며, 실제 공격은 단 3일 동안에 대량 유포와 대상을 지정한 공격까지 모두 끝낸 상황으로 추정 할 수 있다. 3.24일 발견된 악성코드 감염의 사례는 국내 주요 사이트 최소 7~8곳에서 유포가 되었으며 방문과 동시에 감염이 되고 파괴형 악성코드도 즉시 설치되는 것을 확인 하였다. C&C의 명령에 따라 즉시 파괴가 가능함을 관찰 한바 있다.

 

웹을 통한 대량 유포와 감염의 이슈가 기업/기관의 내부망의 안전을 심각하게 위협하고 있는 상황에서 대량 유포를 위한 매커니즘을 줄여 나가고 근본적인 취약성을 개선 시켜나가지 않는다면 단 하루에도 문제는 심각한 양상이 될 수 있음은 3.20 사건을 통해 충분히 인식 하였을 것이다.


* 보강

Imbc.exe 17,18일 바이너리에서 C&C 주소 발견  ( xx.hades08.xxx).

24일 발견된 최종 파괴형 악성코드 변종 C&C의 주소 – imbc.exe 발견 주소와 동일

 

위의 두 가지 확인 사실로 인하여 웹을 통한 무작위 트로이 목마 감염을 통한 내부망 PC 침입 -> 중앙 업데이트 서버 확보 -> 파괴형 악성코드 강제 푸쉬 -> 특정 일시에 파괴 ( 3.20 )로 추정한 3.20 사건의 예상이 이메일을 통한 내부 침입보다 높은 가능성을 가지고 있는 것으로 판단 된다. 17일부터 24일까지 관찰내용에 따르면 동일한 공격그룹에 의한 테러 시도로 추정이 된다.

 

참고로 빛스캔의 PCDS 탐지 데이터를 기반으로 차단을 수행하는 트라이큐브랩㈜의 장비에서의 동기간 의심파일과 관련된 악성링크의 차단 수치는 다음과 같다. 국내 인터넷 구간의 극히 일부 영역의 차단 수치로 실제 확산 및 감염 수치는 폭 넓을 것으로 예상된다.

다운로드 악성코드

유포지 서비스

경유지 웹서비스

총 탐지 및 차단건수

Kbs.exe

1

17개 웹서버

9,743

Imbc.exe

7

40개 웹서버

71,050

Sbs.exe 

10

40개 웹서버

126,347

※ 하나의 경유지웹서버에서 imbc.exe sbs.exe 두 종류를 동시 다운로드한 웹서버수 23

※ 유포지서버 : 악성코드를 실제 유포시키는 서버

※ 경유지웹서버 : 유포지 서버로의 접근을 유도하는 웹서버 ( 일반 웹서비스)


빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종

악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의

정보들이 수집 및 축적되고 있으며 해당 자료들은 이번 3.20 대란 관련하여 정보제공에서 보셨듯이 핵심적인 역할을 하는 부분들입니다.  각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로

문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr) 

감사합니다