태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

3.20 이후 북한 추정 공격, 이미 5월 5일부터 시작


지난 5월 29일, 국내 보안기업의 전문가가 단독 인터뷰를 통해 3월 20일 국내 방송사와 금융사를 공격했던 사이버 해킹 조직(이후 북한의 소행으로 지목함)이 활동을 재개했다고 밝힌 바 있다.

 

이러한 주장의 배경에는 다운로드되는 악성파일, 감염된 PC가 연결하는 C&C 네트워크 정보, 해킹 조직이 사용하는 고유한 식별번호(8자리 숫자) 등이 있다.

 

또한 6월 4일 다수의 언론에서 3.20과 유사한 악성코드가 발견 되었고 5.31일 발견과 동시에 연결 주소를 차단하여 사전 차단의 귀감이라는 기사가 발표되고 있다. 빛스캔(주)에서는 현재 한국 인터넷상의 대량 악성코드 유포와 관련된 집중적인 모니터링을 수행하고 있으며, 기존 보도된 자료와 다른 내용들이 있어서 바로잡고자 한다.

 

개인 SNS 페이지를 통해 공개된 C&C 주소를 비교한 결과 빛스캔은 이 공격이 최초 5월 5일부터 감지가 되었으며, 최근 국가 기관 및 보안 업체가 5월 31일 사전에 차단했다고 밝힌 악성코드 또한 5월 23일부터 출현하기 시작한 것임을 확인하였으며 자세한 사항은 다음과 같다. 5월 1주차 이후 정보제공 서비스를 통해 제공된 보고서의 원문을 발췌하여 공개한다.

 

* 상세 기술적 내용은 PDF 참고


3.20 이후 북한 추정 공격,이미 5월 5일부터 시작.pdf



5월달에 발생한 공격에서 다운로드된 악성코드 파일은 총 6개 수집된 바 있다.

이러한 공격은 보통 APT 공격이라고 부르며, 백신과 같은 기존 보안 솔루션을 우회할 수 있도록 교묘하게 제작되고 있다. 또한, 다운로드되는 악성코드는 백신 등이 진단하기 전에 미리 다른 패턴으로 변경하기 때문에 더욱더 예방이나 차단이 어렵다.

 

일부 언론에 따르면 모 백신업체가 5월 30일 해당 악성코드를 입수 및 분석하고 정부기관과 공조하여 백신이 대응할 수 있도록 업데이트, C&C 네트워크와의 연결 차단 등의 대책을 성공적으로 마무리하였다고 자평하고 있다.

 

하지만, 앞에서도 언급한 바와 같이 최초 공격 시점과는 약 25일, 본격적인 공격으로부터는 약 7일 정도의 시간적 차이가 있음을 알 수 있다. 이를 통해 악성코드를 효과적으로 수집 및 대응하는 절차 상에 빈틈이 있을 수 있다는 반증이기도 하다. 이 점은 지난 3.20 사이버 테러 발생 때에도 동일하게 재현되었다.

 

참고로, 당사는 이러한 사실을 바탕으로 5월 4주차에 인터넷 위협 수준을 "경고"로 상향 조정하여 정보제공 서비스 가입 기관/기업에게 정보를 제공 하고 있으며, 심각한 사안에 대해서는 공개용으로 정보를 제공하고 있다. 위협레벨 상향이후 이미 확인된 C&C에 대한 정보들중 일부를 5월 30일자로 공개를 한바 있다. 이중에는 3.20 공격과 연관된 악성코드가 명령을 받는 것으로 알려진 C&C 주소도 일부 포함 되어 있다. 공개 목록은 본 자료의 상세 자료와 5.30일 2차 정보공유시에 공개된 목록 (http://p4ssion.com/365 )을 확인하여 보면 경고 등급 상향 이후 수집된 정보에 포함되어있음을 확인 할 수 있다.

 

5월 4주차 위협레벨 상향에 따라 공개된 정보중 관련 샘플 기록

[5.23~5.27 기간 발견된 내역 제공]

110.34.240.123-124 차단권고

www.hfhssv.cn:10086, hfhssv.cn, 199.193.68.136:10086 차단권고

 

본 자료는 해외에서 분석된 Castov 관련 악성코드와 관련하여 위험성을 인식시키기 위해, 국내 금융 기관을 노린 악성코드(castov)에 대한 정보를 수집하여 반영한 결과이기도 하다.

6월 4일 현재에도 한국 인터넷의 위협레벨은 여전히 "경고" 상태에 있으며, 5월 말을 기해 차단했다고 하는 유형보다 심각한 위협들이 계속 되고 있는 상황이라 여전히 경계를 늦춰서는 안되는 상황에 있다. 현재 차단된 위협은 전체 위협의 작은 부분일 차지할 뿐이다.우리는 여전히 위협을 관찰 하고 있다.

 

문의 info@bitscan.co.kr

Posted by 바다란

댓글을 달아 주세요

  1. 2013.06.05 14:32  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 바다란 2013.06.05 14:45 신고  댓글주소  수정/삭제

      그럼 다행이네..웹을 통해서 유포된 샘플을 확인해 주면 되는데 우린 정보를 받은적이 없어서.. 다만 동기간 차단된 C&C 내역은 역으로 확인이 가능한데..그 기간에 차단된 C&C 주소가 우리가 제공된 내역의 것과 동일한 것 정도는 확인 .

    • 2013.06.05 20:48  댓글주소  수정/삭제

      비밀댓글입니다

    • 2013.06.05 20:59  댓글주소  수정/삭제

      비밀댓글입니다

    • 바다란 2013.06.10 10:33 신고  댓글주소  수정/삭제

      ^^; 3.20 때에도 그랬지만 그쪽 ActiveX 영향력은 미미해. 범위가 안보이니 그게 전부인 것처럼 보이겠지만.. 실제로는 더 큰 것들이 움직여 가는데...

      가끔 보자구.

3.20 대란 초기 경고 및 추적, 대응 히스토리 (요약)

 

    - 2013.03.29 빛스캔㈜ info@bitscan.co.kr

 

 

초기 관찰과 추적, 경고에 이은 대응까지의 역할을 하나의 이미지로 축약한 부분.

 

본 3.20일 대란 발생 이전의 핵심적인 탐지 내역들이 있어서 사전 경고를 한 것이며 그 경고의 내용은 다음과 같다.

 

  1. 비정상적인 주중 악성코드 유포 행위의 지속 (관찰 2년 이내에 최초)
  2. 군 관련 모임과 매체에 대한 악성코드 감염 시도 발견 ( 3월 1~2주차)
  3. 주중 유포된 악성코드들의 대부분이 백도어 및 트로이 목마 유형 관찰

 

위의 세 가지 핵심적인 변화 관찰 결과에 따라 사이버공격 위협이 심각해 질 수 있는 상태이므로 경고를 한 상황입니다. 경고를 했음에도 불구하고 사고는 발생 된 상황이며 3.20 대란에 대한 논점은 명확히 짚고 넘어가야 할 부분입니다.

   

3.20 사건의 핵심 논점:

 

  • 내부망 침입 – Email을 통한 APT 혹은 Web 서핑을 통한 감염?
  • 악성코드 확산 도구 – 중앙에서 업데이트 되는 장비 ( 백신 업데이트용)
  • 최종 피해 – 파괴형 악성코드

 

공격이 발생 되기 위해서 필요한 세 가지 구성요소에서 확산 도구와 최종 피해를 입히는 부분은 확인 되었으나 최초 내부망의 PC에 어떻게 접근을 할 수 있었는지에 대해서는 알려져 있지 않다.

모든 피해가 서비스 운영이 아닌 개인 PC가 운영되는 네트워크 단위에서 발생 되었다는 점을 주목해 볼 때 두 가지 침입 가능한 지점을 확인 할 수 있다.

 

  • Email을 통한 악성파일 첨부 공격에 의한 감염
  • Web 서핑을 통한 악성코드 감염

 

빛스캔에서는 웹을 통한 대량 감염을 2년 이상 추적해 오고 있으며 180만여 개의 국내.외 웹서비스들에서의 악성코드 감염 이슈를 모니터링 해오고 있다. 따라서 이메일을 통한 공격은 제외하고 웹서핑을 통한 악성코드 감염 이슈를 중점으로 정보를 제공한 바 있다.

 

 

매주 평균 100~200 여개 이상의 악성링크가 공격에 이용되고 다수의 웹서비스들에서 모든 방문자를 대상으로 악성코드 감염 시도를 하고 있다. 그 중에는 방문자가 많은 서비스들도 포함이 되어 있는 상태라 불특정 다수에게 감염을 시킬 수 있는 상태이다. 공격자는 이미 권한을 가지고 있는 웹서비스들의 소스코드를 변경하여 방문 시마다 자동으로 실행하도록 하고 감염시키는 형태를 통해 감염자를 다수 늘린다. 최초 내부망으로 유입된 통로를 확인 할 수 없어서 3.20일까지는 추정되는 의심정보로 전달 한바 있다. 빛스캔의 추정은 웹을 통한 감염으로 추정을 하였다.

 

<Web 서핑을 통한 감염 시의 경로 추정>

 

3.17일 이후 imbc.exe , sbs.exe와 같은 특정 방송사명의 악성코드가 사용자들 PC에 설치가 되었으며, 그 중에서 imbc.exe 파일 내에는 감염 PC를 원격에서 조정 할 수 있는 C&C 주소가 발견 되어 관련성에 대해서 추정을 할 수 있는 상태였다.

 

3.20일의 파괴형 악성코드 동작 이후 3.24일에도 국내 사이트를 통한 악성코드 감염 사례가 발생 되었으며 해당 악성파일명은 naver01.exe 로 이용 되고 있었다. 해당 파일의 분석결과 여러 악성코드를 추가로 다운로드 받는 것이 관찰 되었고 공격자가 원격에서 조정하는 C&C 주소가 imbc.exe에서 발견된 C&C 주소와 동일한 것이 확인 되었다. 도메인의 이름만 변경되었으며 실제 IP 주소는 동일한 것으로 확인이 되었고, 시스템에 대한 파괴 행위도 3.20일 발견된 피해 악성코드의 기능과 유사한 변종으로 확인 되었다.

 

따라서 3.20일 사건에 대하여 3.17일 이후 대량으로 국내에 유포된 imbc.exe 악성코드와 실제 피해를 입힌 악성코드와의 연결 고리를 확인 할 수 있다.

 

  • 3.17일 이후 발견된 imbc.exe 악성코드와 3.24일 발견된 naver01.exe의 C&C IP 주소가 동일 ( *.hades08.com dns명은 다르나 IP는 동일)
  • 3.20일 파괴행위를 했던 최종 악성파일과 3.24일 발견된 파괴 행위가 유사한 형태의 변종

 

위의 두 가지 핵심적으로 관찰된 결과에 따라 동일 그룹의 소행이며, 동일 C&C를 사용한 것으로 추정된다.

 

최초 악성코드 유포지인 악성링크의 도메인 등록은 3.15일에 등록하였으며, 등록 이후 즉시 국내에 대한 공격을 시행함. hXXp://dxx.asdasd2012.com/ro/sunt.html(홍콩) . 악성링크 자동 실행이 되어 방문자의 브라우저에 대한 공격이 발생 하고 성공하게 되면 다음 도메인에서 imbc.exe 파일을 받아 온다. 최종다운로드 링크: hXXp://mx.asdasd2012.com/imbc.exe(일본)

 

결론적으로 관찰 결과에 따르면 3.20일 사건 이전에 필요한 준비기간은 단 5일 정도로 예상을 할 수 있다. 도메인 등록까지 포함해서 5일 정도로 예상이 되며, 실제 공격은 단 3일 동안에 대량 유포와 대상을 지정한 공격까지 모두 끝낸 상황으로 추정 할 수 있다. 3.24일 발견된 악성코드 감염의 사례는 국내 주요 사이트 최소 7~8곳에서 유포가 되었으며 방문과 동시에 감염이 되고 파괴형 악성코드도 즉시 설치되는 것을 확인 하였다. C&C의 명령에 따라 즉시 파괴가 가능함을 관찰 한바 있다.

 

웹을 통한 대량 유포와 감염의 이슈가 기업/기관의 내부망의 안전을 심각하게 위협하고 있는 상황에서 대량 유포를 위한 매커니즘을 줄여 나가고 근본적인 취약성을 개선 시켜나가지 않는다면 단 하루에도 문제는 심각한 양상이 될 수 있음은 3.20 사건을 통해 충분히 인식 하였을 것이다.


* 보강

Imbc.exe 17,18일 바이너리에서 C&C 주소 발견  ( xx.hades08.xxx).

24일 발견된 최종 파괴형 악성코드 변종 C&C의 주소 – imbc.exe 발견 주소와 동일

 

위의 두 가지 확인 사실로 인하여 웹을 통한 무작위 트로이 목마 감염을 통한 내부망 PC 침입 -> 중앙 업데이트 서버 확보 -> 파괴형 악성코드 강제 푸쉬 -> 특정 일시에 파괴 ( 3.20 )로 추정한 3.20 사건의 예상이 이메일을 통한 내부 침입보다 높은 가능성을 가지고 있는 것으로 판단 된다. 17일부터 24일까지 관찰내용에 따르면 동일한 공격그룹에 의한 테러 시도로 추정이 된다.

 

참고로 빛스캔의 PCDS 탐지 데이터를 기반으로 차단을 수행하는 트라이큐브랩㈜의 장비에서의 동기간 의심파일과 관련된 악성링크의 차단 수치는 다음과 같다. 국내 인터넷 구간의 극히 일부 영역의 차단 수치로 실제 확산 및 감염 수치는 폭 넓을 것으로 예상된다.

다운로드 악성코드

유포지 서비스

경유지 웹서비스

총 탐지 및 차단건수

Kbs.exe

1

17개 웹서버

9,743

Imbc.exe

7

40개 웹서버

71,050

Sbs.exe 

10

40개 웹서버

126,347

※ 하나의 경유지웹서버에서 imbc.exe sbs.exe 두 종류를 동시 다운로드한 웹서버수 23

※ 유포지서버 : 악성코드를 실제 유포시키는 서버

※ 경유지웹서버 : 유포지 서버로의 접근을 유도하는 웹서버 ( 일반 웹서비스)


빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종

악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의

정보들이 수집 및 축적되고 있으며 해당 자료들은 이번 3.20 대란 관련하여 정보제공에서 보셨듯이 핵심적인 역할을 하는 부분들입니다.  각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로

문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr) 

감사합니다

Posted by 바다란

댓글을 달아 주세요