본문 바로가기

보안라이프/이슈&이슈

안랩, 하드디스크 파괴 악성코드 상세분석결과 중간 발표

- 파일 삭제, 하드디스크 파괴, 하드디스크 파괴 기능의 MBR 삽입 등이 주요특징

- 3.20 사이버 테러 악성코드와 기능상 다양한 차이점 존재- V3 제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전))으로 진단/치료 가능 

 

정보보안 기업 안랩(대표 김홍선 www.ahnlab.com)은 지난 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격 관련 (26일 새벽 02 20분경 발표한)보도자료에서 언급한 '하드디스크 파괴기능을 가진 악성코드'의 상세분석결과를 28일 중간발표했다.

 

이번 악성코드의 특징은 감염 후 1.파일 삭제, 2. 사용자 PC 재부팅 시 하드디스크 파괴(MBR 삭제, 데이터 영역 삭제), 3.하드디스크 파괴 기능의 MBR(Master Boot Record) 직접 삽입이다.

 

특히 PC를 켜는데(PC 부팅) 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입되어있어 백신 제품의 치료를 어렵게 한다.

* MBR 기능: MBR은 부팅에 필요한  정보가 저장된 영역이다. PC에 전원이 들어오면 메모리가 MBR에 있는 정보를 읽어서 운영체제(OS:Operating System)를 작동시킨다.

 

또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 크래쉬(System Crash) 등 여러가지 이유로 BSOD(Blue Screen Of Death)현상이 나타나거나 재부팅하더라도 파괴 기능이 지속된다.

* 시스템 크래쉬(System Crash: 시스템 충돌. BSOD(Blue Screen Of Death), 재부팅 등 컴퓨터 장애의 원인 중 하나

* BSOD(Blue Screen Of Death:작동오류로 블루스크린이 나타나는 현상)

 

특히 안랩은 이번 공격에 사용된 악성코드는 2013.3.20 사이버 테러와는 차이를 보인다고 밝혔다.

 

안랩 관계자는 "감염 후 1. 파일을 삭제하고, 2.하드디스크 파괴 기능이 MBR(Master Boot Record) 삽입되어 있으며, 3. 데이터 영역 삭제 시에 특정 문자열(PRINCPES같은)이 아닌 랜덤 문자열로 덮어쓰기를 시도하고 ,감염 즉시 데이터 영역을 삭제하지 않고 재부팅시 삭제하는 점 등은 2013.3.20 사이버 테러에는 없던 증상"이라며 "이밖에 패스워드 변경 및 바탕화면 변경도 이전에는 없던 점"이라고 전했다.

 

해당 악성코드는 V3제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전)으로 진단/치료할 수 있으며, 볼륨보호 기능이 있어 MBR 파괴를 막을 수 있다.

 

안랩 관계자는 "현재까지 분석결과 악성코드가 기업,기관 등 서버 관리자를 타킷으로 한 것으로 보이나 내부 테스트결과 개인PC에서도 작동한다."며 주의를 당부했다.

 

안랩은 하드디스크파괴 악성코드 분석결과를 한국인터넷진흥원(KISA) 등 유관기관에 공유했다.


 항목

 3.20 사이버 테러

 6.25 사이버 테러 

주요 항목

 세부 항목

 주요 특징

 

 - MBR 삭제, 데이터 영역 삭제

 - MBR 삭제, 데이터 영역 삭제, 파일삭제

-MBR에 삭제 코드를 직접 삽입

 MBR 삭제

 MBR 삭제 코드 위치

 악성코드 자체에 기능으로 존재

 -MBR 코드를 수정하여 삭제 코드를 삽입

 MBR 삭제 방법

 -PRINCPESHASTATI” 등의 문자열로 덮어씀

 - 랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 MBR 삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제 ( 3 20 14 )

 - 재부팅 시 삭제

 데이터 영역 삭제

 데이터 영역 
삭제 방법

 - 5.3 MB 간격으로 100 KB 크기 만큼 덮어씀
PRINCPESHASTATI” 등의 문자열로 덮어씀

 -524 KB 간격으로 32KB 크기만큼 덮어씀
랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 데이터 영역
삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제
 ( 3 20 14 )

 -재부팅 시 삭제

 파일 삭제

 파일 삭제 방법

 -기능 없음

 -실행파일인 경우 바로 삭제
그림비디오웹관련 파일인 경우 이름 변경후 삭제
이외의 파일인 경우 쓰레기값으로 덮어쓴 후 삭제

 파일 삭제 시점

 -기능 없음

 -감염 즉시 삭제

 기타

 

 - 백신 제품 프로세스 강제 종료
원격 관리툴 설정파일 정보를 이용한 원격 접속 기능
- Unix 계열의 시스템도 공격 대상

 -특정 IP 에 접속하여 감염 PC 정보 유출
- Administrator 계정 P/W "highanon2013"으로 변경
바탕화면을 특정 그림파일로
변경