6.25 사이버 공격에 대한 다른 시각과 분석 – 빛스캔
( 공격 주체에 의한 대규모 좀비 PC 확보 시도는 이미 있었으며, 실패하였다. )
빛스캔㈜에서는 5월 4주차부터 위협레벨을 "경고"로 상향 시킨 이후 정보에 대한 공개와 수집된 악성파일 및 C&C 주소에 대해 정보제공 서비스 구독 기업에게 공유한 바 있다. 6.25 사건 이후 확인된 사실에 대해 PCDS상의 기록을 확인해 본 결과 6.25일 국가기관 DNS 공격에 이용된 좀비PC 확보에 이용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 확인 되었다.
결론적으로 두 곳의 웹하드 업체가 동시에 악성코드 유포에 이용된 정황을 확인한 결과 6.25일 사건 이전에 5.31일과 6.1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든 접속자에게 대량 유포한 사실을 확인 하였으며, 이미 자료 공개 및 차단 데이터 제공으로 대량 좀비 PC 확보는 실패한 것으로 추정이 된다. 이후 6.25일 당일에 소규모 좀비 PC를 확보하여 파급 효과가 있는 국가기관의 DNS만을 집중해서 DDoS 공격을 한 것으로 예상 할 수 있다. 6.25일 공격에 동원된 좀비 PC가 상대적으로 소규모였으며, 서비스 장애가 목적이 아닌 이슈화가 목적인 공격에만 동원된 정황도 충분히 이해 할 수 있게 된다.
TrendMicro의 분석자료:
< Trendmicro 분석 결과에서 확인된 악성코드 감염 숙주 분석 이미지>
6.25일 사건에 이용된 숙주 사이트는 songsari.net 사이트와 simdisk.co.kr 두 사이트가 DDoS 공격용 악성코드를 유포한 것으로 확인을 하고 있다. Simdisk의 사례는 널리 알려져서 확인 할 수 있었으나, songsari.net 사이트의 경우는 금일에야 정보를 확인한 상황이라 연결 관계 분석이 늦어졌다.
두 곳의 6.25 관련 악성코드 숙주를 확인한 결과 simdisk의 경우 지금까지 대량 악성코드 유포 시도가 없었으나 5.31~6.1일 기간동안에 3회에 걸친 악성코드 유포 이슈가 처음 발견 된 상태로 확인 되었다. 또한 songsari.net 의 경우 2013년 3.16일부터 6.10일까지 총 5회에 걸쳐 악성코드 유포 이슈가 발견 된 바가 있다. 범위를 좁혀서 두 사이트가 동시에 이용된 정황은 2회가 PCDS상에서 확인이 되었다.
두 사이트의 내부로 침입하여 업데이트 파일을 변경할 정도라면 서비스의 모든 권한을 가지고 있다 보았을 때 악성코드 유포를 위한 악성링크 추가도 모든 권한을 가지고 변경을 할 수 밖에 없다. 결론적으로 songsari와 simdisk의 모든 권한을 가진 공격자 그룹에서 6.25 관련된 악성코드를 유포하는데 활용 한 상황이라 할 수 있고, 두 사이트의 모든 권한을 가진 것은 악성코드 경유지 활용 시에도 동일한 조건이므로 범위를 좁힐 수 있게 된다.
6.25 사건 – songsari , simdisk 서비스의 모든 권한을 가진 공격자가 내부 파일 변조를 통해 좀비 PC를 확보한 것이 핵심
모든 권한을 가진 상태에서는 소스코드도 임의로 변경이 가능한 상태이므로 5.31~6.1일 양일간 두 사이트를 동시에 악성코드 유포에 이용한 그룹도 6.25일 공격자와 동일한 권한을 가지고 있다고 추정할 수 있다. 서비스에 대한 모든 권한은 동일하다.
< 5.31일 동일 악성코드 감염 경유지로 활용된 경유지 리스트 >
<6.1일 동일 악성코드 감염 경유지로 활용된 경유지 리스트>
6.25 사건의 좀비 PC 확보에 사용된 두 곳의 사이트가 모두 포함이 된 것을 확인 할 수 있다. 더군다나 simdisk의 경우는 PCDS상에 감지된 악성코드 유포 이슈는 5.31일이 최초 경유지 활용일로 기록된 상태이다. Korea.com을 포함하여 중복을 제외하고 최소 9곳 이상이 동시에 활용된 것을 확인 할 수 있다. 휠씬 더 큰 범주에서 대규모의 좀비 PC 확보를 위한 노력이 있었다는 점을 알 수 있다.
<5.31일 발견된 Korea.com 사이트에서의 악성링크 실행 정보>
해당 악성코드는 웹서비스를 방문만 해도 감염이 되는 형태이며 Drive by download 형태로 감염이 이루어진다. 방문자의 PC를 공격대상으로 하고 있으며 이용되는 취약성은 cve 넘버에 따르면 다음과 같다. (3544-0507-1723-4681-5076-1889-0422-0634 ) . 즉 공다팩이 그대로 좀비 pc확보를 위해 이용되었으며, IE 취약성 1종과 Java 취약성 6종 , Flash 취약성 1종이 사용된 상황이다.
웹서비스를 방문한 방문자 PC에 대해 자동적인 공격을 실행하고 공격에 성공하게 되면 PC에 추가적인 다운로더와 트로이 목마를 설치하게 되어 있다. 당시에 감염된 악성파일은 zip.exe 라는 악성파일이 최초 감염에 이용된 상황이다. 추적과 차단을 회피하기 위해 악성링크 및 최종 악성파일을 다운로드 하는 곳들 모두를 국내 사이트를 이용한 상황이며, 관련된 모든 정보는 6.25일 정보 공유에 모두 제공된 바가 있다. 유포된 악성파일의 특성은 트로이 목마 계열과 정보 탈취 형태로 확인 되었다.
5월 4주차 PCDS 위협레벨의 상향 조정에는 분명한 원인이 있었으며, 해당 위협상황에 따라 자체적인 대응을 진행해온 상황이다. 대규모 좀비 PC를 동원한 연계 공격이 6.25일 사건에도 발생 하였다면 생각보다 큰 피해와 심리적인 충격들이 있었을 것이다. 단편적으로 드러난 사실을 이용하여 역으로 확인 하였을 때 이미 공격자들도 대량 좀비 PC 확보를 5.31일 무렵에 시행을 한 것이다. 결론적으로는 대규모 좀비 PC의 확보에는 실패하였기에 소규모 좀비 PC를 이용한 이슈화에만 집중한 것으로 볼 수 있다.
사전 대응과 정보제공을 통해 발생 될 수 있는 위협을 막는 것은 더 큰 위험을 줄여주는 역할을 한다. 6.25 사건에서 DDoS 공격에 이용된 좀비 PC가 상대적으로 소규모이고 극히 짧은 시간 ( 단지 9시간 미만 )에 확보된 좀비 PC들만을 이용했다는 점은 어떤 연유에서든 대규모 좀비 PC의 확보에는 실패했다는 것이며, 정보 공유와 위협레벨 상향에 따른 정보 제공 등이 일정 수준 영향을 준 것으로 추정된다.
빛스캔 무료 정보 메일은 info@bitscan.co.kr로 신청 할 수 있다. 또한 본 사건과 같이 위협레벨이 "경고" 등급 이상일 경우에는 정보제공서비스 등급에 관계 없이 C&C 주소 및 바이너리에 대한 무제한 공유를 실행 하고 있으며, 위험성이 높은 경우에는 선별하여 차단 리스트 형태로 제공을 하고 있다. 정보제공 서비스에 대한 문의도 동 메일로 문의 할 수 있다.
'Security Indicator > Insight' 카테고리의 다른 글
| 연목구어(緣木求魚) “문제의 해결은 원인을 제거함으로써 완성된다.” (0) | 2013.10.08 |
|---|---|
| 6.25 사건 이전의 징후에 대한 팩트 정보 ( Red October 류의 백도어 포함) (0) | 2013.07.03 |
| S.Korea millitary service Targeted attack without IE 8 zeroday ,Finally fireeye analysis is wrong. (0) | 2013.05.24 |
| IE 8 노린 제로데이 공격, 국내서 발생 (5월 3주차) (0) | 2013.05.22 |
| 안보 관련 연구소 대상 표적공격 (워터링 홀) 5월16일 발생- 기사원문 (0) | 2013.05.22 |
