우크라이나 대규모 정전사태, 발생원인은 악성코드 블랙에너지3로 드러나
C&C 명령으로 악성행위, C&C서버 통신 데이터 복호화, 플러그인 설치 등 수행
[보안뉴스 김경애] 우크라이나에서 발생한 대규모 정전사태의 원인이 악성코드로 밝혀지면서 사회기반시설 제어망의 보안문제가 큰 이슈로 떠올랐다. 해당 악성코드는 이메일 첨부파일을 통해 유입됐으며, 악용된 악성코드는 블랙에너지3(Black Energy 3)로 드러났다.
2007년 처음 개발된 블랙에너지는 과거 미국을 비롯한 전력업체 공격에 악용됐는데 점차 진화하고 있다. 2010년 블랙에너지2가 등장했으며, 2011년 UAC 우회기능이 추가됐다. 2013년에는 64비트 드라이버가 지원됐으며, 2014년에는 가상환경 실행방지, 안티 디버깅 기능, 보안기능 프로그램 종료, 다양한 플러그인 지원 등 자가보호 기능이 대거 추가된 블랙에너지3이 등장했다.
공격자는 이메일에 첨부된 마이크로소프트사의 엑셀, 워드, 파워포인트 문서를 통해 악성코드 감염을 시도한다. 최근에는 악의적인 행위를 하는 매크로가 포함된 워드문서를 이용하는 사례가 증가하고 있다. 또한, 블랙에너지와 유사한 공격방식을 이용하는 Dridex 악성코드가 국내 전략업체들을 대상으로 공격한 사례도 발견되고 있다.
NSHC RedAlert팀 곽성현 연구원은 “블랙에너지의 가장 큰 위협은 플러그인(Plugin) 설치를 이용한 2차 공격”이라며 “최근 국내 전력시설에도 블랙에너지처럼 매크로를 이용한 Dridex/Dyre의 공격이 탐지되고 있다”고 말했다. 이어 그는 “APT 공격에 대한 경각심을 고취시켜야 한다”고 덧붙였다.
블랙에너지는 △C&C 명령을 통해 추가 악성 행위 실행 △C&C서버 통신 데이터 복호화 △플러그인 설치 △RPC 서버 생성 △IE 레지스트리(REGISTRY) 변경 등의 특징을 지녔다.
해당 악성코드를 분석한 NSHC RedAlert 측은 “블랙에너지에 감염된 시스템은 C&C 서버에 연결을 요청하며, 연결이 되면 악성코드 관련 파일 전체 삭제, 플러그인 설치, 플러그인 삭제 프로세스 등을 생성하게 된다”고 설명했다.
플러그인은 C&C 서버 명령을 통해 공격자가 자유자재로 설치·삭제할 수 있으며, 플러그인 기능에 따라 다양한 공격이 가능하다. 플러그인 설치 명령에 따라 생성되는 파일은 CSIDL_PROFILE\NTUSER.LOG이며, 윈도우 시스템 폴더와 시간을 일치시켜 은닉을 시도하는 것으로 분석됐다.
특히, 블랙에너지 플러그인 중에는 킬디스크(KILL DISK)를 통해 △MBR 파괴 △파일변조 △프로세스를 강제종료 시키고, SSH 백도어(Back Door)를 실행시킨다.
MBR 파괴의 경우 시스템에 연결되어 있는 물리 디스크 10개를 대상으로 MBR 파괴가 진행된다.
파일변조의 경우 시스템에 생성돼 있는 고정 드라이브와 원격 드라이브 안에서 EXE, SYS, DRV, DOC, DOCX, XLS, XLSX, MDB, PPT, PPTX, XML, JPG, JPEG, INI, INF, TTF 확장자를 가진 파일들에 대해 공격이 이루어진다. 해당 파일들은 파일 삭제 후 0바이트(Byte)의 같은 파일을 생성하고, NULL 오버라이트(Overwrite), 파일삭제 방법을 이용해 시스템에서 삭제된다.
프로세스 강제 종료의 경우 툴 헬프(Tool Help) 계열 API를 이용해 현재 실행 중인 프로세스 리스트를 획득하고, 모든 프로세스를 강제 종료시킨다. 종료된 프로세스에 대한 파일들도 파일 변조 방식을 이용해 시스템에서 삭제된다. 최종적으로 시스템을 강제 재부팅시켜 사용불가능한 상태로 만든다는 것.
SSH 백도어에 대해 NSHC 곽성현 연구원은 “피해 시스템에 SSH 서버가 설치되어 공격자가 원격에서 피해 시스템에 접속이 가능하다”고 설명했다. 다음으로 PRC 서버가 생성되면 135/TCP 포트가 활성화돼 외부로부터 접속이 허용되는 방식이다.
특히, 블랙에너지는 레지스트리를 이용해 인터넷 익스플로러(Explorer)의 환경설정을 수정하는 것으로 드러났다. 레지스트리 수정을 통해 기본 브라우저 설정 알림 표시 해제, 살펴보기 탭 해제, 보호 모드 사용 해제, IE 알림표시줄 사용 안함, 팝업 차단 사용 안함, 스마트스크린(Smart Screen) 필더 사용해제, 임시 파일 삭제, 여러 탭을 닫을 때 메시지 표시 사용 안함, 마지막 검색 세션 다시 열기 해제 등 IE의 보안수준을 낮추는 행위를 할 수 있다.
이에 따라 NSHC RedAlert 측은 “윈도우 탐색기의 폴더 옵션에서 ‘보호된 운영체제 파일 숨기기(권장)’ 체크박스의 체크를 해제하고 ‘숨김 파일 및 표시’의 라디오 버튼을 클릭해 적용해야 한다”며 “CSIDL_STARTUP\{[Adaptor Name]}.lnk와 CSIDL_LOCAL_APPDATA\FONTCACHE.DAT 파일, CSIDL_PROFILE\NTUSER.LOG 파일을 삭제할 것”을 당부했다.
만약 의도치 않은 PRC 서버가 활성화된 상태라면 관련 프로세스를 종료해야 한다고 덧붙였다.
또한, IE의 인터넷 옵션에서 복원 기능을 이용해 필요한 경우 IE 관련 레지스트리를 복원할 필요가 있다는 설명이다.
[김경애 기자(boan3@boannews.com)]
C&C 명령으로 악성행위, C&C서버 통신 데이터 복호화, 플러그인 설치 등 수행
[보안뉴스 김경애] 우크라이나에서 발생한 대규모 정전사태의 원인이 악성코드로 밝혀지면서 사회기반시설 제어망의 보안문제가 큰 이슈로 떠올랐다. 해당 악성코드는 이메일 첨부파일을 통해 유입됐으며, 악용된 악성코드는 블랙에너지3(Black Energy 3)로 드러났다.
2007년 처음 개발된 블랙에너지는 과거 미국을 비롯한 전력업체 공격에 악용됐는데 점차 진화하고 있다. 2010년 블랙에너지2가 등장했으며, 2011년 UAC 우회기능이 추가됐다. 2013년에는 64비트 드라이버가 지원됐으며, 2014년에는 가상환경 실행방지, 안티 디버깅 기능, 보안기능 프로그램 종료, 다양한 플러그인 지원 등 자가보호 기능이 대거 추가된 블랙에너지3이 등장했다.
공격자는 이메일에 첨부된 마이크로소프트사의 엑셀, 워드, 파워포인트 문서를 통해 악성코드 감염을 시도한다. 최근에는 악의적인 행위를 하는 매크로가 포함된 워드문서를 이용하는 사례가 증가하고 있다. 또한, 블랙에너지와 유사한 공격방식을 이용하는 Dridex 악성코드가 국내 전략업체들을 대상으로 공격한 사례도 발견되고 있다.
NSHC RedAlert팀 곽성현 연구원은 “블랙에너지의 가장 큰 위협은 플러그인(Plugin) 설치를 이용한 2차 공격”이라며 “최근 국내 전력시설에도 블랙에너지처럼 매크로를 이용한 Dridex/Dyre의 공격이 탐지되고 있다”고 말했다. 이어 그는 “APT 공격에 대한 경각심을 고취시켜야 한다”고 덧붙였다.
블랙에너지는 △C&C 명령을 통해 추가 악성 행위 실행 △C&C서버 통신 데이터 복호화 △플러그인 설치 △RPC 서버 생성 △IE 레지스트리(REGISTRY) 변경 등의 특징을 지녔다.
해당 악성코드를 분석한 NSHC RedAlert 측은 “블랙에너지에 감염된 시스템은 C&C 서버에 연결을 요청하며, 연결이 되면 악성코드 관련 파일 전체 삭제, 플러그인 설치, 플러그인 삭제 프로세스 등을 생성하게 된다”고 설명했다.
플러그인은 C&C 서버 명령을 통해 공격자가 자유자재로 설치·삭제할 수 있으며, 플러그인 기능에 따라 다양한 공격이 가능하다. 플러그인 설치 명령에 따라 생성되는 파일은 CSIDL_PROFILE\NTUSER.LOG이며, 윈도우 시스템 폴더와 시간을 일치시켜 은닉을 시도하는 것으로 분석됐다.
특히, 블랙에너지 플러그인 중에는 킬디스크(KILL DISK)를 통해 △MBR 파괴 △파일변조 △프로세스를 강제종료 시키고, SSH 백도어(Back Door)를 실행시킨다.
MBR 파괴의 경우 시스템에 연결되어 있는 물리 디스크 10개를 대상으로 MBR 파괴가 진행된다.
파일변조의 경우 시스템에 생성돼 있는 고정 드라이브와 원격 드라이브 안에서 EXE, SYS, DRV, DOC, DOCX, XLS, XLSX, MDB, PPT, PPTX, XML, JPG, JPEG, INI, INF, TTF 확장자를 가진 파일들에 대해 공격이 이루어진다. 해당 파일들은 파일 삭제 후 0바이트(Byte)의 같은 파일을 생성하고, NULL 오버라이트(Overwrite), 파일삭제 방법을 이용해 시스템에서 삭제된다.
프로세스 강제 종료의 경우 툴 헬프(Tool Help) 계열 API를 이용해 현재 실행 중인 프로세스 리스트를 획득하고, 모든 프로세스를 강제 종료시킨다. 종료된 프로세스에 대한 파일들도 파일 변조 방식을 이용해 시스템에서 삭제된다. 최종적으로 시스템을 강제 재부팅시켜 사용불가능한 상태로 만든다는 것.
SSH 백도어에 대해 NSHC 곽성현 연구원은 “피해 시스템에 SSH 서버가 설치되어 공격자가 원격에서 피해 시스템에 접속이 가능하다”고 설명했다. 다음으로 PRC 서버가 생성되면 135/TCP 포트가 활성화돼 외부로부터 접속이 허용되는 방식이다.
특히, 블랙에너지는 레지스트리를 이용해 인터넷 익스플로러(Explorer)의 환경설정을 수정하는 것으로 드러났다. 레지스트리 수정을 통해 기본 브라우저 설정 알림 표시 해제, 살펴보기 탭 해제, 보호 모드 사용 해제, IE 알림표시줄 사용 안함, 팝업 차단 사용 안함, 스마트스크린(Smart Screen) 필더 사용해제, 임시 파일 삭제, 여러 탭을 닫을 때 메시지 표시 사용 안함, 마지막 검색 세션 다시 열기 해제 등 IE의 보안수준을 낮추는 행위를 할 수 있다.
이에 따라 NSHC RedAlert 측은 “윈도우 탐색기의 폴더 옵션에서 ‘보호된 운영체제 파일 숨기기(권장)’ 체크박스의 체크를 해제하고 ‘숨김 파일 및 표시’의 라디오 버튼을 클릭해 적용해야 한다”며 “CSIDL_STARTUP\{[Adaptor Name]}.lnk와 CSIDL_LOCAL_APPDATA\FONTCACHE.DAT 파일, CSIDL_PROFILE\NTUSER.LOG 파일을 삭제할 것”을 당부했다.
만약 의도치 않은 PRC 서버가 활성화된 상태라면 관련 프로세스를 종료해야 한다고 덧붙였다.
또한, IE의 인터넷 옵션에서 복원 기능을 이용해 필요한 경우 IE 관련 레지스트리를 복원할 필요가 있다는 설명이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
