8월 17일 ASEC에서는 8월 15일 공개된 외국 언론 "Saudi Aramco says virus shuts down its computer network"을 통해 사우디 아라비아의 정유 업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생하였다는 것을 확인 하였다.


추가적으로 ASEC에서 관련 보안 위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 "The Shamoon Attacks"로 명명한 보안 위협과 관련되었음을 파악하였다.


Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명되었으며, 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다.


드로퍼(Dropper) - 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드

와이퍼(Wiper) - 실질적인 MBR(Master Boot Record)를 파괴 기능을 수행하는 악성코드

리포터(Reporter) - 공격자에게 감염된 시스템의 현황을 보고 기능을 수행하는 악성코드


해당 Disttrack는 관리 목적의 공유 폴더인 ADMIN$, C$, D$와 E$ 를 통해 네트워크에 이웃한 시스템으로 자신의 복사본을 전송하여 생성하게 된다.


그리고 감염된 시스템에 존재하는 JPEG 파일을 임이의 데이터로 덮어씀으로 이미지 파일을 정상적으로 사용하지 못하게 한다. 이와 함께 감염된 시스템의 MBR을 파괴하여 시스템의 정상적인 부팅과 사용을 방해하게 된다.


Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명된 악성코드는 V3 제품군에서 모두 다음과 같이 진단한다.


Win-Trojan/Disttrack.989184 

Win-Trojan/Disttrack.133120 

Win-Trojan/Disttrack.27280  

Win-Trojan/Disttrack.989184.B

Win-Trojan/Disttrack.194048 

Win-Trojan/Disttrack.31632  

Win-Trojan/Disttrack.532992 

Win-Trojan/Disttrack.227840 

Win-Trojan/Disttrack.155136 


현재 해당  Disttrack 악성코드가 계획적으로 정유 업체들을 대상으로 공격하였는지에 대해서는 명확하지 않은 상황이다. 그러나 일반적인 타겟 공격(Targeted Attack)과 다르게 내부 정보 유출 없이 시스템 파괴 기능만 가지고 있다는 점은 특이 사항으로 볼 수 있다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원