태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

6.25 사이버 공격에 대한 다른 시각과 분석>

http://p4ssion.com/375


관련하여 zip.exe 파일의 내용이 트로이 목마와 정보탈취용으로 언급한 바가 있습니다. 불필요한 언급들이 있어서 추가 다운로드 파일까지 확인된 모든 내역을 공개 합니다.




5.31일과 6.1일 이미 사전 좀비 PC 확보를 위한 노력들이 있었다는 것을 PCDS를 통해서 확인하고 알려 드린바가 있습니다. 해당 시점에 송사리와 심디스크 사이트가 경유지로 동시에 이용 당한 정황이 있었고 , 6.25일 공격에 두 사이트의 업데이트 파일이 이용된 정황이 발견 됨에 따라 연관 관계를 분석하여 전달 드린 바가 있습니다.

악성파일은 zip.exe 이고 두 종류의 zip.exe 파일이 존재합니다.
감염 이후 추가 다운로드 파일들도 있는 상태로 유포시점에 확인이 되었고, 추가 다운로드 및 변경된 zip.exe 파일까지 모두 포함하여 5종의 악성파일을 확인 하였습니다.

해당 파일들은 모두 6월초의 정보제공 서비스 가입기업에게 위협레벨에 따라 정보공유 된바가 있습니다.

일각에서 초기 악성파일의 특성 (게임계정탈취)만을 가지고 문제가 있다고 언급하는 곳들이 있어서 명확하게 알려 드립니다.

지난 주에 검증까지 완료 되었지만, 말씀을 드리지 않았는데 불필요한 추정과 언급을 끝내기 위해 자체 검증과는 별도로 시만텍과 공조하여 검증된 내용으로 확인 드립니다.

logo.jpg_5598F8A01D7F52A20ACC750EE98619CC_bitscan Trojan.Gen
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=24060>

server.exe_5598F8A01D7F52A20ACC750EE98619CC_bitscan Trojan.FakeAV
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=19446>

tvk.exe_0C0052C8EBE1C881C17E71FDDA575E94_bitscan Infostealer.Donx
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=54300>

tvk.exe 파일의 경우 Backdoor이며 시만텍의 분류에는 유명한 Red October 류의 트로이 목마로 분류하고 있네요. 워드와 엑셀로 메일을 통해서만 침입 하는 걸로 알려졌던 그 유형입니다. 




zip.exe_12C76FEE19D6460825CEAF0DAB9692C7_bitscan Infostealer.Gampass
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=40673>

zip.exe_7EBA645D591C8B6E8DD9F8B2673C0FA6_bitscan Trojan Horse
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=689>

송사리와 심디스크가 경유지중 하나로 이용된 악성링크에서 추가로 유포된 악성파일 5종에 대한 시만텍의 분석 내용입니다. 이중 처음에 유포된 것이 zip.exe Infostealer로 게임계정 탈취 버전이고 그 이후 유포된 것이 트로이 목마가 되겠습니다.

추가 다운로드까지 포함하여 트로이 목마 계열이 3종이 포함 되어 있었음을 공식적으로 알려 드립니다. 

감사합니다.

Posted by 바다란

댓글을 달아 주세요

6.25 사이버 공격에 대한 다른 시각과 분석 – 빛스캔

( 공격 주체에 의한 대규모 좀비 PC 확보 시도는 이미 있었으며, 실패하였다. )

 

 

빛스캔㈜에서는 5월 4주차부터 위협레벨을 "경고"로 상향 시킨 이후 정보에 대한 공개와 수집된 악성파일 및 C&C 주소에 대해 정보제공 서비스 구독 기업에게 공유한 바 있다. 6.25 사건 이후 확인된 사실에 대해 PCDS상의 기록을 확인해 본 결과 6.25일 국가기관 DNS 공격에 이용된 좀비PC 확보에 이용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 확인 되었다.

 

결론적으로 두 곳의 웹하드 업체가 동시에 악성코드 유포에 이용된 정황을 확인한 결과 6.25일 사건 이전에 5.31일과 6.1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든 접속자에게 대량 유포한 사실을 확인 하였으며, 이미 자료 공개 및 차단 데이터 제공으로 대량 좀비 PC 확보는 실패한 것으로 추정이 된다. 이후 6.25일 당일에 소규모 좀비 PC를 확보하여 파급 효과가 있는 국가기관의 DNS만을 집중해서 DDoS 공격을 한 것으로 예상 할 수 있다. 6.25일 공격에 동원된 좀비 PC가 상대적으로 소규모였으며, 서비스 장애가 목적이 아닌 이슈화가 목적인 공격에만 동원된 정황도 충분히 이해 할 수 있게 된다.

 

TrendMicro의 분석자료:

http://www.trendmicro.co.kr/kr/support/blog/compromised-auto-update-mechanism-affects-south-korean-users/index.html

 

< Trendmicro 분석 결과에서 확인된 악성코드 감염 숙주 분석 이미지>

 

6.25일 사건에 이용된 숙주 사이트는 songsari.net 사이트와 simdisk.co.kr 두 사이트가 DDoS 공격용 악성코드를 유포한 것으로 확인을 하고 있다. Simdisk의 사례는 널리 알려져서 확인 할 수 있었으나, songsari.net 사이트의 경우는 금일에야 정보를 확인한 상황이라 연결 관계 분석이 늦어졌다.

 

두 곳의 6.25 관련 악성코드 숙주를 확인한 결과 simdisk의 경우 지금까지 대량 악성코드 유포 시도가 없었으나 5.31~6.1일 기간동안에 3회에 걸친 악성코드 유포 이슈가 처음 발견 된 상태로 확인 되었다. 또한 songsari.net 의 경우 2013년 3.16일부터 6.10일까지 총 5회에 걸쳐 악성코드 유포 이슈가 발견 된 바가 있다. 범위를 좁혀서 두 사이트가 동시에 이용된 정황은 2회가 PCDS상에서 확인이 되었다.

 

두 사이트의 내부로 침입하여 업데이트 파일을 변경할 정도라면 서비스의 모든 권한을 가지고 있다 보았을 때 악성코드 유포를 위한 악성링크 추가도 모든 권한을 가지고 변경을 할 수 밖에 없다. 결론적으로 songsari와 simdisk의 모든 권한을 가진 공격자 그룹에서 6.25 관련된 악성코드를 유포하는데 활용 한 상황이라 할 수 있고, 두 사이트의 모든 권한을 가진 것은 악성코드 경유지 활용 시에도 동일한 조건이므로 범위를 좁힐 수 있게 된다.

 

6.25 사건 – songsari , simdisk 서비스의 모든 권한을 가진 공격자가 내부 파일 변조를 통해 좀비 PC를 확보한 것이 핵심

 

모든 권한을 가진 상태에서는 소스코드도 임의로 변경이 가능한 상태이므로 5.31~6.1일 양일간 두 사이트를 동시에 악성코드 유포에 이용한 그룹도 6.25일 공격자와 동일한 권한을 가지고 있다고 추정할 수 있다. 서비스에 대한 모든 권한은 동일하다.

 

< 5.31일 동일 악성코드 감염 경유지로 활용된 경유지 리스트 >

<6.1일 동일 악성코드 감염 경유지로 활용된 경유지 리스트>

 

6.25 사건의 좀비 PC 확보에 사용된 두 곳의 사이트가 모두 포함이 된 것을 확인 할 수 있다. 더군다나 simdisk의 경우는 PCDS상에 감지된 악성코드 유포 이슈는 5.31일이 최초 경유지 활용일로 기록된 상태이다. Korea.com을 포함하여 중복을 제외하고 최소 9곳 이상이 동시에 활용된 것을 확인 할 수 있다. 휠씬 더 큰 범주에서 대규모의 좀비 PC 확보를 위한 노력이 있었다는 점을 알 수 있다.

 

<5.31일 발견된 Korea.com 사이트에서의 악성링크 실행 정보>

 

해당 악성코드는 웹서비스를 방문만 해도 감염이 되는 형태이며 Drive by download 형태로 감염이 이루어진다. 방문자의 PC를 공격대상으로 하고 있으며 이용되는 취약성은 cve 넘버에 따르면 다음과 같다. (3544-0507-1723-4681-5076-1889-0422-0634 ) . 즉 공다팩이 그대로 좀비 pc확보를 위해 이용되었으며, IE 취약성 1종과 Java 취약성 6종 , Flash 취약성 1종이 사용된 상황이다.

 

웹서비스를 방문한 방문자 PC에 대해 자동적인 공격을 실행하고 공격에 성공하게 되면 PC에 추가적인 다운로더와 트로이 목마를 설치하게 되어 있다. 당시에 감염된 악성파일은 zip.exe 라는 악성파일이 최초 감염에 이용된 상황이다. 추적과 차단을 회피하기 위해 악성링크 및 최종 악성파일을 다운로드 하는 곳들 모두를 국내 사이트를 이용한 상황이며, 관련된 모든 정보는 6.25일 정보 공유에 모두 제공된 바가 있다. 유포된 악성파일의 특성은 트로이 목마 계열과 정보 탈취 형태로 확인 되었다.

 

5월 4주차 PCDS 위협레벨의 상향 조정에는 분명한 원인이 있었으며, 해당 위협상황에 따라 자체적인 대응을 진행해온 상황이다. 대규모 좀비 PC를 동원한 연계 공격이 6.25일 사건에도 발생 하였다면 생각보다 큰 피해와 심리적인 충격들이 있었을 것이다. 단편적으로 드러난 사실을 이용하여 역으로 확인 하였을 때 이미 공격자들도 대량 좀비 PC 확보를 5.31일 무렵에 시행을 한 것이다. 결론적으로는 대규모 좀비 PC의 확보에는 실패하였기에 소규모 좀비 PC를 이용한 이슈화에만 집중한 것으로 볼 수 있다.

 

사전 대응과 정보제공을 통해 발생 될 수 있는 위협을 막는 것은 더 큰 위험을 줄여주는 역할을 한다. 6.25 사건에서 DDoS 공격에 이용된 좀비 PC가 상대적으로 소규모이고 극히 짧은 시간 ( 단지 9시간 미만 )에 확보된 좀비 PC들만을 이용했다는 점은 어떤 연유에서든 대규모 좀비 PC의 확보에는 실패했다는 것이며, 정보 공유와 위협레벨 상향에 따른 정보 제공 등이 일정 수준 영향을 준 것으로 추정된다.

빛스캔 무료 정보 메일은 info@bitscan.co.kr로 신청 할 수 있다. 또한 본 사건과 같이 위협레벨이 "경고" 등급 이상일 경우에는 정보제공서비스 등급에 관계 없이 C&C 주소 및 바이너리에 대한 무제한 공유를 실행 하고 있으며, 위험성이 높은 경우에는 선별하여 차단 리스트 형태로 제공을 하고 있다. 정보제공 서비스에 대한 문의도 동 메일로 문의 할 수 있다.

Posted by 바다란

댓글을 달아 주세요