본문 바로가기

카테고리 없음

대북 긴장 국면, 사이버 이상 증세 발견에 따른 주의 필요 – 3.15일 보도자료분

대북 긴장 국면, 사이버 이상 증세 발견에 따른 주의 필요

  *본 내용은 지난 주에 특이동향 발견에 따른 보도자료 형식으로 제공된 내용입니다.  현재 최종 바이너리와 기본 분석에 대한 내용을 정보제공 예정으로 있으며 준비중에 있습니다. 본 보도자료 내용에 대해 문의가 너무 많아서 공개 합니다.  정보의 내용은 지난 대선 DDoS 대응 당시 제공 했던 유형과 동일합니다. 최종 바이너리 , C&C 및 네트워크 연결 정보. 신청은 기관명/부서/이름/연락처 기재하셔서 info@bitscan.co.kr


*안보 관련 협회, 안보매체, 방문자 대상의 악성코드 감염 공격 발견

* 특이사항: 주중 공격 지속 및 원격 조정되는 백도어 유형 유포 계속

 

현재 빛스캔은 국내외 도메인 180만여 개 이상에서의 대량 악성코드 유포를 PCDS (Pre Crime Detect Satellite)체제를 이용하여 모니터링하고 있다. 키리졸브 훈련과 관련하여 남.북 긴장이 높아지는 시기에 따라 사이버 보안 분야에서도 경계를 높이고 있는 상태이다. 그러나 최근 2~3일간에 걸쳐 발견된 몇 가지 사례들은 보다 높은 수준의 주의와 관찰, 정보 협력이 요구되는 상태로 판단되고 있다.

 

관찰된 특이 사항은 다음과 같다.

 

  • 안보 관련 매체 및 모임에 대한 웹서비스 변조 후 접속자 악성코드 감염 시도 발견
  • 위의 두 사이트 모두 악성링크는 러시아 도메인을 이용하였으며, 기존의 자동화된 공격팩과는 다른형태를 사용하고 있었음.
  • 공격 특징으로 보면 BlackHole Exploit kit과 유사한 취약성 공격 활용

     

  • 주말에만 높게 발생되는 대량 감염 공격이 주중에도 계속 발생됨
  • 3.11~3.15일까지 특정 파일 (원격 조정되는 백도어 추정) 형태만을 지속적으로 유포함. 국내 주요백신은 계속 우회된 상태로 변경을 하여 감염 비율 높을 것으로 예상됨.

 

3. 10일까지의 관찰 결과도 방문자가 많은 서비스를 대상으로 4~5종의 악성코드들을 대량 감염시킨 정황이 발견되어 주의가 필요한 상태이다. 또한 2011년부터의 관찰 결과를 보면 주중 악성코드 유포는 일상적이지 않았으나 3.11일부터 현재까지 지속해서 몇몇 유형의 악성코드들을 감염시키는 유형이 계속 발견 되고 있는 상황이다.

 

*최종 설치되는 파일은 다운로더의 기능으로도 동작하여 추가 악성파일을 받아 설치도 한다.

 

3.8~3.10일 주말기간 발견된 최초 다운로드 악성파일명 (대량감염 기준)

Bull.exe , Sun.exe ,asd.exe,38.exe ,39.exe ,c0308.exe, 310.exe - 다운로더 및 백도어

 

3.11일 이후 현재까지 사용자 PC에 최초 다운로드 되는 악성파일명 (대량감염 기준)

Sad.exe(3.11~3.12) , down.exe(3.13~3.14),, v3lite.exe (3.15) – 모두 백도어와 트로이 목마

 

관찰 현상으로 특징적인 사안들은 백도어와 트로이목마 같은 원격조정이 되는 악성코드들이 백신탐지를 우회하여 다수 배포되는 상황이 주중에 발견된 상황이라 향후 높은 수준의 관찰이 필요한 상황이라 판단된다. 목적을 가지고 배포되고 있다고 의심할 수 밖에 없는 특정 악성파일들의 유포는 또 다른 사건/사고로 이어질 수 있음을 잊지 말아야 한다. 7.7 DDoS와 3.4 DDoS 사건에서 보듯 실제 사건이 발생되기 이전에는 전혀 징후를 알 수 없었으나 모든 사건에는 대량으로 유포된 동일 형태의 악성코드가 기본이 됨은 분명한 사실이다.

 

동일한 악성코드에 감염되어 동시에 원격에서 조정이 되는 상태를 유지하고 있는 다수의 좀비PC들이 있는 상태에서 사건/사고가 발생된 이후 대응이 된다면 피해는 이미 발생된 것이다. 피해를 줄이는 것도 중요한 부분이나, 사전에 위험요소들을 인지하고 대비할 수 있다면 초기에 발생될 피해를 대폭 줄일 수 있을 것이다.

 

국내 안보관련 모임과 매체의 웹서비스를 공격하여 소스코드를 변경함으로써 해당 서비스의 모든 방문자를 대상으로 자동 실행된 악성링크의 내용은 .ru (러시아) 도메인이 사용되었다.

 

 

xxx.ru:8080/forum/links/news.php - 안보매체 웹서비스에 추가된 악성링크

xxx.ru/new/dvd/h/hwpjava.html – 안보관련 모임 웹서비스에 추가된 악성링크

xxx.ru/new/dvd/h/hwp.html –안보관련 모임 웹서비스에 추가된 악성링크

 

< 안보매체를 통해 실행된 악성링크의 내용 – 난독화된 상태>

 

방문자 PC의 다중 취약성을 공격하여 특정 악성코드들을 설치하는 형태이며, 방문자 PC를 공격하는데 사용된 도구들은 BlackHole Exploit Kit과 유사함을 가지고 있으나 보다 정교하게 작성된 것으로 판단되고 있다.

 

안보관련매체의 경우 2012년 2월에 최초로 공격자에 의해 악성링크가 추가된 사례가 있으며, 이후 1년 이상을 공격하지 않았다. 2013년 3월 들어 현재 4차례에 걸쳐 방문자를 대상으로한 악성코드 감염시도가 발견 되었으며, 모두 .ru 도메인을 이용한 시도로 확인 되었다.

 

안보관련 모임의 경우 2012년 7월이 마지막 공격기록으로 PCDS상에 남아 있으나 이번 발생된 공격은 올해 들어 처음 발생 되었으며, 시점이 남.북 긴장이 고조된 시기인 3.12일에 발견 되었다. 두 사건 모두 관련 기관에 정보를 전달하여 현재는 처리된 상태를 유지하고 있다.

 

그 외에도 국가정보기관 등을 전문으로 하는 입시학원에서도 유사한 사례가 작년부터 최근 며칠전까지 발생하고 있으나, 사안이 중하지 않아 생략한다.

 

남.북간의 긴장이 격화됨에 따라 PCDS의 관찰 결과에서 특정 대상을 한정한 악성코드 유포 시도도 발견이 되고 있으며, 특정 목적에 적극 이용 될 수 있는 유형의 동일 악성코드들이 대량으로 유포되고 있는 상황이다.

 

현재도 악성코드 감염은 계속 되고 있으며, 실제로 드러나는 공격인 3.4 DDoS , 7.7 DDoS와 같은 사건이 발생될 수 있는 조건은 이미 완성이 된 상태로 판단된다.

 

경계와 대응을 늦추어선 안될 시점에 돌입 하였으므로 향후에도 높은 수준의 관찰과 사전 위협의 탐지와 제거에 계속 노력해야 할 것이다.

 

빛스캔은 사이버상의 특이동향으로 " 목적에 따라 이용 될 수 있는 악성파일의 확산 계속" , " 이례적인 주중 공격 발생" , " 공격 활동이 최근 발견된 바 없는 안보관련 매체와 모임에 대한 공격과 방문자 감염시도" 가 발견되어 특이 동향이 분명히 관찰되는 상태라는 점을 명확히 전달 드립니다.