태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

6.25 사이버 공격에 대한 다른 시각과 분석 – 빛스캔

( 공격 주체에 의한 대규모 좀비 PC 확보 시도는 이미 있었으며, 실패하였다. )

 

 

빛스캔㈜에서는 5월 4주차부터 위협레벨을 "경고"로 상향 시킨 이후 정보에 대한 공개와 수집된 악성파일 및 C&C 주소에 대해 정보제공 서비스 구독 기업에게 공유한 바 있다. 6.25 사건 이후 확인된 사실에 대해 PCDS상의 기록을 확인해 본 결과 6.25일 국가기관 DNS 공격에 이용된 좀비PC 확보에 이용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 확인 되었다.

 

결론적으로 두 곳의 웹하드 업체가 동시에 악성코드 유포에 이용된 정황을 확인한 결과 6.25일 사건 이전에 5.31일과 6.1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든 접속자에게 대량 유포한 사실을 확인 하였으며, 이미 자료 공개 및 차단 데이터 제공으로 대량 좀비 PC 확보는 실패한 것으로 추정이 된다. 이후 6.25일 당일에 소규모 좀비 PC를 확보하여 파급 효과가 있는 국가기관의 DNS만을 집중해서 DDoS 공격을 한 것으로 예상 할 수 있다. 6.25일 공격에 동원된 좀비 PC가 상대적으로 소규모였으며, 서비스 장애가 목적이 아닌 이슈화가 목적인 공격에만 동원된 정황도 충분히 이해 할 수 있게 된다.

 

TrendMicro의 분석자료:

http://www.trendmicro.co.kr/kr/support/blog/compromised-auto-update-mechanism-affects-south-korean-users/index.html

 

< Trendmicro 분석 결과에서 확인된 악성코드 감염 숙주 분석 이미지>

 

6.25일 사건에 이용된 숙주 사이트는 songsari.net 사이트와 simdisk.co.kr 두 사이트가 DDoS 공격용 악성코드를 유포한 것으로 확인을 하고 있다. Simdisk의 사례는 널리 알려져서 확인 할 수 있었으나, songsari.net 사이트의 경우는 금일에야 정보를 확인한 상황이라 연결 관계 분석이 늦어졌다.

 

두 곳의 6.25 관련 악성코드 숙주를 확인한 결과 simdisk의 경우 지금까지 대량 악성코드 유포 시도가 없었으나 5.31~6.1일 기간동안에 3회에 걸친 악성코드 유포 이슈가 처음 발견 된 상태로 확인 되었다. 또한 songsari.net 의 경우 2013년 3.16일부터 6.10일까지 총 5회에 걸쳐 악성코드 유포 이슈가 발견 된 바가 있다. 범위를 좁혀서 두 사이트가 동시에 이용된 정황은 2회가 PCDS상에서 확인이 되었다.

 

두 사이트의 내부로 침입하여 업데이트 파일을 변경할 정도라면 서비스의 모든 권한을 가지고 있다 보았을 때 악성코드 유포를 위한 악성링크 추가도 모든 권한을 가지고 변경을 할 수 밖에 없다. 결론적으로 songsari와 simdisk의 모든 권한을 가진 공격자 그룹에서 6.25 관련된 악성코드를 유포하는데 활용 한 상황이라 할 수 있고, 두 사이트의 모든 권한을 가진 것은 악성코드 경유지 활용 시에도 동일한 조건이므로 범위를 좁힐 수 있게 된다.

 

6.25 사건 – songsari , simdisk 서비스의 모든 권한을 가진 공격자가 내부 파일 변조를 통해 좀비 PC를 확보한 것이 핵심

 

모든 권한을 가진 상태에서는 소스코드도 임의로 변경이 가능한 상태이므로 5.31~6.1일 양일간 두 사이트를 동시에 악성코드 유포에 이용한 그룹도 6.25일 공격자와 동일한 권한을 가지고 있다고 추정할 수 있다. 서비스에 대한 모든 권한은 동일하다.

 

< 5.31일 동일 악성코드 감염 경유지로 활용된 경유지 리스트 >

<6.1일 동일 악성코드 감염 경유지로 활용된 경유지 리스트>

 

6.25 사건의 좀비 PC 확보에 사용된 두 곳의 사이트가 모두 포함이 된 것을 확인 할 수 있다. 더군다나 simdisk의 경우는 PCDS상에 감지된 악성코드 유포 이슈는 5.31일이 최초 경유지 활용일로 기록된 상태이다. Korea.com을 포함하여 중복을 제외하고 최소 9곳 이상이 동시에 활용된 것을 확인 할 수 있다. 휠씬 더 큰 범주에서 대규모의 좀비 PC 확보를 위한 노력이 있었다는 점을 알 수 있다.

 

<5.31일 발견된 Korea.com 사이트에서의 악성링크 실행 정보>

 

해당 악성코드는 웹서비스를 방문만 해도 감염이 되는 형태이며 Drive by download 형태로 감염이 이루어진다. 방문자의 PC를 공격대상으로 하고 있으며 이용되는 취약성은 cve 넘버에 따르면 다음과 같다. (3544-0507-1723-4681-5076-1889-0422-0634 ) . 즉 공다팩이 그대로 좀비 pc확보를 위해 이용되었으며, IE 취약성 1종과 Java 취약성 6종 , Flash 취약성 1종이 사용된 상황이다.

 

웹서비스를 방문한 방문자 PC에 대해 자동적인 공격을 실행하고 공격에 성공하게 되면 PC에 추가적인 다운로더와 트로이 목마를 설치하게 되어 있다. 당시에 감염된 악성파일은 zip.exe 라는 악성파일이 최초 감염에 이용된 상황이다. 추적과 차단을 회피하기 위해 악성링크 및 최종 악성파일을 다운로드 하는 곳들 모두를 국내 사이트를 이용한 상황이며, 관련된 모든 정보는 6.25일 정보 공유에 모두 제공된 바가 있다. 유포된 악성파일의 특성은 트로이 목마 계열과 정보 탈취 형태로 확인 되었다.

 

5월 4주차 PCDS 위협레벨의 상향 조정에는 분명한 원인이 있었으며, 해당 위협상황에 따라 자체적인 대응을 진행해온 상황이다. 대규모 좀비 PC를 동원한 연계 공격이 6.25일 사건에도 발생 하였다면 생각보다 큰 피해와 심리적인 충격들이 있었을 것이다. 단편적으로 드러난 사실을 이용하여 역으로 확인 하였을 때 이미 공격자들도 대량 좀비 PC 확보를 5.31일 무렵에 시행을 한 것이다. 결론적으로는 대규모 좀비 PC의 확보에는 실패하였기에 소규모 좀비 PC를 이용한 이슈화에만 집중한 것으로 볼 수 있다.

 

사전 대응과 정보제공을 통해 발생 될 수 있는 위협을 막는 것은 더 큰 위험을 줄여주는 역할을 한다. 6.25 사건에서 DDoS 공격에 이용된 좀비 PC가 상대적으로 소규모이고 극히 짧은 시간 ( 단지 9시간 미만 )에 확보된 좀비 PC들만을 이용했다는 점은 어떤 연유에서든 대규모 좀비 PC의 확보에는 실패했다는 것이며, 정보 공유와 위협레벨 상향에 따른 정보 제공 등이 일정 수준 영향을 준 것으로 추정된다.

빛스캔 무료 정보 메일은 info@bitscan.co.kr로 신청 할 수 있다. 또한 본 사건과 같이 위협레벨이 "경고" 등급 이상일 경우에는 정보제공서비스 등급에 관계 없이 C&C 주소 및 바이너리에 대한 무제한 공유를 실행 하고 있으며, 위험성이 높은 경우에는 선별하여 차단 리스트 형태로 제공을 하고 있다. 정보제공 서비스에 대한 문의도 동 메일로 문의 할 수 있다.

Posted by 바다란

댓글을 달아 주세요

3.20 대란 초기 경고 및 추적, 대응 히스토리 (요약)

 

    - 2013.03.29 빛스캔㈜ info@bitscan.co.kr

 

 

초기 관찰과 추적, 경고에 이은 대응까지의 역할을 하나의 이미지로 축약한 부분.

 

본 3.20일 대란 발생 이전의 핵심적인 탐지 내역들이 있어서 사전 경고를 한 것이며 그 경고의 내용은 다음과 같다.

 

  1. 비정상적인 주중 악성코드 유포 행위의 지속 (관찰 2년 이내에 최초)
  2. 군 관련 모임과 매체에 대한 악성코드 감염 시도 발견 ( 3월 1~2주차)
  3. 주중 유포된 악성코드들의 대부분이 백도어 및 트로이 목마 유형 관찰

 

위의 세 가지 핵심적인 변화 관찰 결과에 따라 사이버공격 위협이 심각해 질 수 있는 상태이므로 경고를 한 상황입니다. 경고를 했음에도 불구하고 사고는 발생 된 상황이며 3.20 대란에 대한 논점은 명확히 짚고 넘어가야 할 부분입니다.

   

3.20 사건의 핵심 논점:

 

  • 내부망 침입 – Email을 통한 APT 혹은 Web 서핑을 통한 감염?
  • 악성코드 확산 도구 – 중앙에서 업데이트 되는 장비 ( 백신 업데이트용)
  • 최종 피해 – 파괴형 악성코드

 

공격이 발생 되기 위해서 필요한 세 가지 구성요소에서 확산 도구와 최종 피해를 입히는 부분은 확인 되었으나 최초 내부망의 PC에 어떻게 접근을 할 수 있었는지에 대해서는 알려져 있지 않다.

모든 피해가 서비스 운영이 아닌 개인 PC가 운영되는 네트워크 단위에서 발생 되었다는 점을 주목해 볼 때 두 가지 침입 가능한 지점을 확인 할 수 있다.

 

  • Email을 통한 악성파일 첨부 공격에 의한 감염
  • Web 서핑을 통한 악성코드 감염

 

빛스캔에서는 웹을 통한 대량 감염을 2년 이상 추적해 오고 있으며 180만여 개의 국내.외 웹서비스들에서의 악성코드 감염 이슈를 모니터링 해오고 있다. 따라서 이메일을 통한 공격은 제외하고 웹서핑을 통한 악성코드 감염 이슈를 중점으로 정보를 제공한 바 있다.

 

 

매주 평균 100~200 여개 이상의 악성링크가 공격에 이용되고 다수의 웹서비스들에서 모든 방문자를 대상으로 악성코드 감염 시도를 하고 있다. 그 중에는 방문자가 많은 서비스들도 포함이 되어 있는 상태라 불특정 다수에게 감염을 시킬 수 있는 상태이다. 공격자는 이미 권한을 가지고 있는 웹서비스들의 소스코드를 변경하여 방문 시마다 자동으로 실행하도록 하고 감염시키는 형태를 통해 감염자를 다수 늘린다. 최초 내부망으로 유입된 통로를 확인 할 수 없어서 3.20일까지는 추정되는 의심정보로 전달 한바 있다. 빛스캔의 추정은 웹을 통한 감염으로 추정을 하였다.

 

<Web 서핑을 통한 감염 시의 경로 추정>

 

3.17일 이후 imbc.exe , sbs.exe와 같은 특정 방송사명의 악성코드가 사용자들 PC에 설치가 되었으며, 그 중에서 imbc.exe 파일 내에는 감염 PC를 원격에서 조정 할 수 있는 C&C 주소가 발견 되어 관련성에 대해서 추정을 할 수 있는 상태였다.

 

3.20일의 파괴형 악성코드 동작 이후 3.24일에도 국내 사이트를 통한 악성코드 감염 사례가 발생 되었으며 해당 악성파일명은 naver01.exe 로 이용 되고 있었다. 해당 파일의 분석결과 여러 악성코드를 추가로 다운로드 받는 것이 관찰 되었고 공격자가 원격에서 조정하는 C&C 주소가 imbc.exe에서 발견된 C&C 주소와 동일한 것이 확인 되었다. 도메인의 이름만 변경되었으며 실제 IP 주소는 동일한 것으로 확인이 되었고, 시스템에 대한 파괴 행위도 3.20일 발견된 피해 악성코드의 기능과 유사한 변종으로 확인 되었다.

 

따라서 3.20일 사건에 대하여 3.17일 이후 대량으로 국내에 유포된 imbc.exe 악성코드와 실제 피해를 입힌 악성코드와의 연결 고리를 확인 할 수 있다.

 

  • 3.17일 이후 발견된 imbc.exe 악성코드와 3.24일 발견된 naver01.exe의 C&C IP 주소가 동일 ( *.hades08.com dns명은 다르나 IP는 동일)
  • 3.20일 파괴행위를 했던 최종 악성파일과 3.24일 발견된 파괴 행위가 유사한 형태의 변종

 

위의 두 가지 핵심적으로 관찰된 결과에 따라 동일 그룹의 소행이며, 동일 C&C를 사용한 것으로 추정된다.

 

최초 악성코드 유포지인 악성링크의 도메인 등록은 3.15일에 등록하였으며, 등록 이후 즉시 국내에 대한 공격을 시행함. hXXp://dxx.asdasd2012.com/ro/sunt.html(홍콩) . 악성링크 자동 실행이 되어 방문자의 브라우저에 대한 공격이 발생 하고 성공하게 되면 다음 도메인에서 imbc.exe 파일을 받아 온다. 최종다운로드 링크: hXXp://mx.asdasd2012.com/imbc.exe(일본)

 

결론적으로 관찰 결과에 따르면 3.20일 사건 이전에 필요한 준비기간은 단 5일 정도로 예상을 할 수 있다. 도메인 등록까지 포함해서 5일 정도로 예상이 되며, 실제 공격은 단 3일 동안에 대량 유포와 대상을 지정한 공격까지 모두 끝낸 상황으로 추정 할 수 있다. 3.24일 발견된 악성코드 감염의 사례는 국내 주요 사이트 최소 7~8곳에서 유포가 되었으며 방문과 동시에 감염이 되고 파괴형 악성코드도 즉시 설치되는 것을 확인 하였다. C&C의 명령에 따라 즉시 파괴가 가능함을 관찰 한바 있다.

 

웹을 통한 대량 유포와 감염의 이슈가 기업/기관의 내부망의 안전을 심각하게 위협하고 있는 상황에서 대량 유포를 위한 매커니즘을 줄여 나가고 근본적인 취약성을 개선 시켜나가지 않는다면 단 하루에도 문제는 심각한 양상이 될 수 있음은 3.20 사건을 통해 충분히 인식 하였을 것이다.


* 보강

Imbc.exe 17,18일 바이너리에서 C&C 주소 발견  ( xx.hades08.xxx).

24일 발견된 최종 파괴형 악성코드 변종 C&C의 주소 – imbc.exe 발견 주소와 동일

 

위의 두 가지 확인 사실로 인하여 웹을 통한 무작위 트로이 목마 감염을 통한 내부망 PC 침입 -> 중앙 업데이트 서버 확보 -> 파괴형 악성코드 강제 푸쉬 -> 특정 일시에 파괴 ( 3.20 )로 추정한 3.20 사건의 예상이 이메일을 통한 내부 침입보다 높은 가능성을 가지고 있는 것으로 판단 된다. 17일부터 24일까지 관찰내용에 따르면 동일한 공격그룹에 의한 테러 시도로 추정이 된다.

 

참고로 빛스캔의 PCDS 탐지 데이터를 기반으로 차단을 수행하는 트라이큐브랩㈜의 장비에서의 동기간 의심파일과 관련된 악성링크의 차단 수치는 다음과 같다. 국내 인터넷 구간의 극히 일부 영역의 차단 수치로 실제 확산 및 감염 수치는 폭 넓을 것으로 예상된다.

다운로드 악성코드

유포지 서비스

경유지 웹서비스

총 탐지 및 차단건수

Kbs.exe

1

17개 웹서버

9,743

Imbc.exe

7

40개 웹서버

71,050

Sbs.exe 

10

40개 웹서버

126,347

※ 하나의 경유지웹서버에서 imbc.exe sbs.exe 두 종류를 동시 다운로드한 웹서버수 23

※ 유포지서버 : 악성코드를 실제 유포시키는 서버

※ 경유지웹서버 : 유포지 서버로의 접근을 유도하는 웹서버 ( 일반 웹서비스)


빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종

악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의

정보들이 수집 및 축적되고 있으며 해당 자료들은 이번 3.20 대란 관련하여 정보제공에서 보셨듯이 핵심적인 역할을 하는 부분들입니다.  각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로

문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr) 

감사합니다

Posted by 바다란

댓글을 달아 주세요