시만텍

사우디아라비아 정유 업체를 공격한 Disttrack 악성코드

8월 17일 ASEC에서는 8월 15일 공개된 외국 언론 “Saudi Aramco says virus shuts down its computer network“을 통해 사우디 아라비아의 정유 업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생하였다는 것을 확인 하였다. 추가적으로 ASEC에서 관련 보안 위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 “The Shamoon Attacks“로 명명한 보안 위협과 관련되었음을 파악하였다. Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명되었으며, 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다. 드로퍼(Dropper) – 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드 와이퍼(Wiper) – 실질적인 MBR(Master Boot Record)를 파괴 기능을 수행하는 악성코드 리포터(Reporter) – 공격자에게 감염된 시스템의 현황을 보고 기능을 수행하는 악성코드 해당 Disttrack는 관리 목적의 공유 폴더인 ADMIN$, C$, D$와 E$ 를 통해 네트워크에 이웃한 시스템으로 자신의 복사본을 전송하여 생성하게 된다. 그리고 감염된 시스템에 존재하는 JPEG 파일을 임이의 데이터로 덮어씀으로 이미지 파일을 정상적으로 사용하지 못하게 한다….