안랩, 하드디스크 파괴 악성코드 상세분석결과 중간 발표

보안라이프/이슈&이슈 2013. 6. 28. 11:26

- 파일 삭제, 하드디스크 파괴, 하드디스크 파괴 기능의 MBR 삽입 등이 주요특징

- 3.20 사이버 테러 악성코드와 기능상 다양한 차이점 존재- V3 제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전))으로 진단/치료 가능 

 

정보보안 기업 안랩(대표 김홍선 www.ahnlab.com)은 지난 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격 관련 (26일 새벽 02 20분경 발표한)보도자료에서 언급한 '하드디스크 파괴기능을 가진 악성코드'의 상세분석결과를 28일 중간발표했다.

 

이번 악성코드의 특징은 감염 후 1.파일 삭제, 2. 사용자 PC 재부팅 시 하드디스크 파괴(MBR 삭제, 데이터 영역 삭제), 3.하드디스크 파괴 기능의 MBR(Master Boot Record) 직접 삽입이다.

 

특히 PC를 켜는데(PC 부팅) 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입되어있어 백신 제품의 치료를 어렵게 한다.

* MBR 기능: MBR은 부팅에 필요한  정보가 저장된 영역이다. PC에 전원이 들어오면 메모리가 MBR에 있는 정보를 읽어서 운영체제(OS:Operating System)를 작동시킨다.

 

또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 크래쉬(System Crash) 등 여러가지 이유로 BSOD(Blue Screen Of Death)현상이 나타나거나 재부팅하더라도 파괴 기능이 지속된다.

* 시스템 크래쉬(System Crash: 시스템 충돌. BSOD(Blue Screen Of Death), 재부팅 등 컴퓨터 장애의 원인 중 하나

* BSOD(Blue Screen Of Death:작동오류로 블루스크린이 나타나는 현상)

 

특히 안랩은 이번 공격에 사용된 악성코드는 2013.3.20 사이버 테러와는 차이를 보인다고 밝혔다.

 

안랩 관계자는 "감염 후 1. 파일을 삭제하고, 2.하드디스크 파괴 기능이 MBR(Master Boot Record) 삽입되어 있으며, 3. 데이터 영역 삭제 시에 특정 문자열(PRINCPES같은)이 아닌 랜덤 문자열로 덮어쓰기를 시도하고 ,감염 즉시 데이터 영역을 삭제하지 않고 재부팅시 삭제하는 점 등은 2013.3.20 사이버 테러에는 없던 증상"이라며 "이밖에 패스워드 변경 및 바탕화면 변경도 이전에는 없던 점"이라고 전했다.

 

해당 악성코드는 V3제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전)으로 진단/치료할 수 있으며, 볼륨보호 기능이 있어 MBR 파괴를 막을 수 있다.

 

안랩 관계자는 "현재까지 분석결과 악성코드가 기업,기관 등 서버 관리자를 타킷으로 한 것으로 보이나 내부 테스트결과 개인PC에서도 작동한다."며 주의를 당부했다.

 

안랩은 하드디스크파괴 악성코드 분석결과를 한국인터넷진흥원(KISA) 등 유관기관에 공유했다.


 항목

 3.20 사이버 테러

 6.25 사이버 테러 

주요 항목

 세부 항목

 주요 특징

 

 - MBR 삭제, 데이터 영역 삭제

 - MBR 삭제, 데이터 영역 삭제, 파일삭제

-MBR에 삭제 코드를 직접 삽입

 MBR 삭제

 MBR 삭제 코드 위치

 악성코드 자체에 기능으로 존재

 -MBR 코드를 수정하여 삭제 코드를 삽입

 MBR 삭제 방법

 -PRINCPESHASTATI” 등의 문자열로 덮어씀

 - 랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 MBR 삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제 ( 3 20 14 )

 - 재부팅 시 삭제

 데이터 영역 삭제

 데이터 영역 
삭제 방법

 - 5.3 MB 간격으로 100 KB 크기 만큼 덮어씀
PRINCPESHASTATI” 등의 문자열로 덮어씀

 -524 KB 간격으로 32KB 크기만큼 덮어씀
랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 데이터 영역
삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제
 ( 3 20 14 )

 -재부팅 시 삭제

 파일 삭제

 파일 삭제 방법

 -기능 없음

 -실행파일인 경우 바로 삭제
그림비디오웹관련 파일인 경우 이름 변경후 삭제
이외의 파일인 경우 쓰레기값으로 덮어쓴 후 삭제

 파일 삭제 시점

 -기능 없음

 -감염 즉시 삭제

 기타

 

 - 백신 제품 프로세스 강제 종료
원격 관리툴 설정파일 정보를 이용한 원격 접속 기능
- Unix 계열의 시스템도 공격 대상

 -특정 IP 에 접속하여 감염 PC 정보 유출
- Administrator 계정 P/W "highanon2013"으로 변경
바탕화면을 특정 그림파일로
변경


댓글을 달아 주세요

안랩, 디도스 공격 악성코드 전용백신 제공

보안라이프/이슈&이슈 2013. 6. 28. 09:49

- 개인 및 기업 내 PC 좀비화 방지로 디도스 공격 근원 차단
- 개인은 물론 기업/기관도 무료 사용..기존 V3 사용자는 최신 버전으로 치료
 
정보보안 기업 안랩(대표 김홍선 www.ahnlab.com) 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격이 발생함에 따라 사용자가 공격에 악용되지 않도록 디도스 공격 유발 악성코드를 진단/치료하는 전용백신을 개발해 무료 제공하고 있다. (http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=111)
 
26일 오후 17 35분부터 제공 중인 1차 전용백신에는 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드에 대한 진단/치료 기능이 들어있다. 27일 오후 5시부터 제공 중인 2차 전용백신에는 청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 악성스크립트(JS/Agent)에 대한 진단/치료 기능이 추가됐다.      
 
이번 전용백신은 개인은 물론 기업/기관에서도 무료 사용할 수 있다. 또한 개인용 무료백신 ‘V3 LIte(http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&svccode=aa1001&contentscode=483)를 비롯해 ‘V3 365 클리닉’(http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=15), V3 Internet Security 8.0 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
 
한편, 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드는 각기 역할이 나눠져 있다. 사용자가 웹하드 관련 업데이트 파일로 오인해 SimDiskup.exe 파일을 실행하면 ~simdisk.exe 파일이 생성되고 디도스 공격을 수행하는 oleschedsvc.dll 파일을 다운로드한다. (보충자료)
 
청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 JS/Agent는 악성스크립트가 심어진 웹사이트에 접속했을 때 PC에 설치되는 악성코드이다. 이 악성코드는 악성스크립트가 심어진 웹사이트에 접속했을 때만 활성화하여 특정 웹사이트에 디도스 공격을 가한다.
 
안랩의 김홍선 대표는 “디도스 공격은 좀비PC에서 시작되므로, 개인용 PC와 기업 내 PC 모두 의도치 않게 공격자가 될 수 있다. 따라서 디도스 공격의 시발점인 PC에서 악성코드를 제거하는 것이 중요하다.”라고 강조했다. 또한 “웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화해야 한다.”라고 말했다.
 
----------<보충 자료>-----------
 
*디도스 공격 악성코드 파일명과 기능
파일명
기능
SimDiskup.exe
웹하드 사이트인 심디스크(Simdisk)설치 파일을 변조한 것으로 사용자를 속이기 위한 것이다.
servmgr.exe
드롭퍼(Dropper) 역할. 시스템의 운영체제 버전 정보를 체크한 후 동일한 악성코드에 이미 감염되어 있는지를 확인한다.
~simdisk.exe
네트워크 접속 정보의 감시, 추적 및 분석을 어렵게 .
ole(정상윈도우서비스명).dll
특정 URL로 접속해 디도스 공격 시각(6 25 10) 정보를 담은 파일을 다운로드한다.
wuauieop.exe
디도스 공격을 수행한다.
~DR.tmp
ole(정상윈도우서비스명).dll 파일을 생성하고 윈도우 서비스에 등록한다.
~ER.tmp
32비트 윈도우 운영체제에서 UAC(User Account Control, 사용자 계정 컨트롤)를 우회한다.
~ER.tmp
64비트 윈도우 운영체제에서 UAC를 우회한다.
 
*디도스 공격 악성코드 관계도 


댓글을 달아 주세요

일부 정부기관 디도스 공격 분석 내용 중간 발표

보안라이프/이슈&이슈 2013. 6. 25. 20:18
안랩, 25 00시부터 웹하드를 통해 디도스 유발 악성코드 배포 확인
- 좀비PC를 치료하는 것이 근본적인 해결책, 백신 업데이트 후 검사 필요
- 안랩 V3에 긴급 엔진업데이트 완료, 추후 지속적 업데이트 및 상세분석 예정

안랩(대표 김홍선 www.ahnlab.com)은 금일 일부 정부기관을 공격한 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 악성코드에 대한 분석내용을 중간 발표했다.
 
안랩은 이번 디도스 공격을 유발한 악성코드는 25 00시부터 배포되었으며, 25일 오전 10시에 DDoS 공격을 수행하도록 C&C 서버로부터 명령을 받은 것으로 확인되었다. 또한, 2011 3.4 DDoS 때와 같이 웹하드를 통해 악성코드가 배포된 것으로 분석했다.
 
안랩은 "공격자가 웹하드 업데이트 기능을 이용해 개인사용자 PC를 악성코드로 감염시킨 후 좀비PC를 만들고, 이들(좀비PC)을 이용해 다량의 트래픽(DNS(Domain Name System) 쿼리(Query))을 정부기관 네임서버에 일시에 보내 정부기관 접속을 방해한 것으로 분석되었다"고 현재까지의 분석 결과를 밝혔다.
 
한편, 안랩은 이번 디도스 유발 악성코드를 분석하는 한편, 악성코드 샘플과 유포지 정보를 관계기관에 공유했다.
 
안랩은 악성코드들 일부를 이미 진단하고 있었으며, 추가 발견된 악성코드에 대해서 V3엔진에 긴급 반영 했다. 또한 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다.
 
안랩은 "만약 상당히 많은 좀비 PC가 사용되었을 경우 엄청난 트래픽 공격으로 인해 서버 다운 등의 추가 피해가 있을 수 있어 주의가 요구된다" "디도스 공격을 유발하는 좀비PC와 악성코드 유포지를 차단하는 것이 시급하다."라고 밝혔다.
 
또한 PC사용자들이 백신을 최신으로 업데이트해 PC를 정밀검사하는 것이 반드시 필요하다고 당부했다.

현재 안랩은 확보한 디도스 유발 악성코드 샘플을 상세 분석 중이며, 향후 추가적으로 자세한 사항을 공유할 예정이다. <Ahn>


댓글을 달아 주세요