.gif)
삼성 메신저 사칭 악성코드와 소니픽처스때 사용된 악성코드 유사
윈도우 원격 터미널 실행해 원격 서비스 위장...서비스 종료해도 악성코드 그대로
요청 파일 검색, 시스템 정보 탈취 등 백도어 기능만 무려 28개
[보안뉴스 김경애] 삼성의 메신저인 ‘마이싱글’로 위장된 악성코드와 소니픽처스때 사용된 악성코드가 유사한 것으로 나타나 이목이 집중되고 있다.
해당 악성코드는 작년 4월에 발견됐으며, 악성코드 정보 공유 사이트인 바이러스토탈에 올라와 있다.
이에 대해 한 보안전문가는 “이미 작년 4월에 바이러스토탈에 올라간 샘플로 뒤늦게 이슈가 된 사항”이라며 “현재 국내 백신에서는 대부분 차단하고 있는 것으로 알고 있으며, 일부 외산 제품의 경우 아직 차단되지 않는 것으로 알고 있다”고 말했다.
이어 그는 “당시 북한 추정 공격은 삼성 외에 다른 대기업도 대상이 됐으며, 정치권, 대기업, 금융회사, 병원 등 다양한 곳을 타깃으로 공격했다”고 밝혔다.
특히, 삼성 메신저인 마이싱글로 위장된 악성코드의 경우 소니픽처스때 사용된 악성코드와 유사한 것으로 분석됐다는 게 보안전문가들의 공통된 의견이다.
이에 대해 사이버전 전문 악성코드 추적그룹인 사이버워 측은 “북한의 사이버전사가 개발한 다수의 악성코드 변종 시리즈 중 하나로 2013년 6.25, 2014년 소니픽쳐스 공격에 사용된 코드와 일치한다”고 밝혔다.
특히, 해당 악성코드는 이전에 소니픽쳐스 해킹에 사용된 백도어와 유사한 기능을 가지고 있으며 원격 터미널을 열어 의심을 피하고 있다.
이를 분석한 하우리 측은 “윈도우 원격 터미널을 실행해 원격 서비스로 위장하고 있다”며 “원격 서비스를 종료해도 악성코드는 종료되지 않는다”고 밝혔다.
해당 악성코드는 윈도우 원격 서비스를 실행한 뒤 쓰레드를 생성한다. 악성코드가 사용하는 API들은 모두 암호화되어 있으며, 이 문자열을 복호화 한 후 메모리에 로드해 사용하는 것으로 분석됐다.
이후 206.***.**.124:443와 94.***.***.55:443 주소로 C&C 연결을 시도하며, C&C로 연결되면 명령코드를 받아 명령코드에 따른 악성행위를 수행한다.
백도어의 주요 기능은 △요청 파일 검색 △요청 프로세스 종료 △시스템 정보 탈취 △특정 시그니처의 파일 검색 △특정 파일 리드 △다른 네트워크 접속시도 △파일 생성 △임시파일 경로 확인 △특정 파일 실행 △각 드라이브 타입 확인 △임시 파일에 파일 리스트 정보 기록 및 탈취 △임시 폴더에 존재하는 PM*.tmp, DWS*.tmp, MD*.tmp 파일 삭제 △특정 파일에 파일 리스트 정보 기록 및 탈취 △특정 파일의 생성 시간 변경 △관리자 권한으로 파일 실행 △실행 프로세스 및 모듈 정보 탈취 △특정 파일 탈취 △데이터 전송 및 수신 확인 △데이터 전송 및 수신 확인 △수신 받은 경로가 디렉토리 일 경우 이름 변경, 파일일 경우 파일 끝에 수신 받은 문자열 추가 △수신 받은 경로 파일의 존재여부 확인 △수신 받은 경로에 0x00으로 채워진 파일 생성 △생성한 랜덤값 메모리에 적재 △수신 받은 문자열을 복호화 후 메모리에 적재 △자가 삭제 플래그 활성화 △특정 라이브러리 로드 △not 문자열 암호화 전송기능 등을 갖췄다.
하지만 삼성 메신저를 사칭한 악성메일과 사이버 위기경보가 격상된 것과는 관계가 없는 것으로 알려졌다.
이와 관련 하우리 김정수 팀장은 “마이싱글 악성코드는 4월 10일경 제작되어 배포됐다”며 “사실 삼성 이슈는 작년에 시도했던 악성코드라서 최근에 격상된 사이버경보와는 관계가 없다”고 밝혔다.
하지만 최근 청와대를 사칭한 악성메일을 비롯해 지속적으로 북한 추정 사이버공격이 포착되는 만큼 주의해야 한다는 게 그의 설명이다.
이에 대해 김정수 팀장은 “북한 핵실험 이후 지속적으로 북한 추정의 악성메일이 발견되고 있는 만큼 기본적인 보안수칙 내용을 준수하고, 각종 OS, 응용 프로그램 취약점 패치, 최신 백신 업데이트, 메일 수신자 재확인 등이 필요하다”며 “이번에 발견된 공격들은 대부분 APT 공격이라 기관과 기업 등이 각별히 주의해야 한다”고 당부했다.
한편, 25일 기준으로 미래창조과학부는 북한의 4차 핵실험 이후 최근 청와대 사칭한 악성메일 등 북한의 사이버공격 가능성에 대비해 사이버경보를 ‘정상’에서 ‘관심’으로 한 단계 격상했다. 이어 국가정보원의 사이버위기 경보단계와 한국인터넷진흥원의 인터넷침해사고 경보단계 역시 ‘관심’ 단계를 유지하고 있으며, 사이버안전국에서 발표하는 사이버범죄 주의경보의 개인정보 도용 부문도 ‘주의 단계’를 유지하고 있다.
[김경애 기자(boan3@boannews.com)]
윈도우 원격 터미널 실행해 원격 서비스 위장...서비스 종료해도 악성코드 그대로
요청 파일 검색, 시스템 정보 탈취 등 백도어 기능만 무려 28개
[보안뉴스 김경애] 삼성의 메신저인 ‘마이싱글’로 위장된 악성코드와 소니픽처스때 사용된 악성코드가 유사한 것으로 나타나 이목이 집중되고 있다.
해당 악성코드는 작년 4월에 발견됐으며, 악성코드 정보 공유 사이트인 바이러스토탈에 올라와 있다.
이에 대해 한 보안전문가는 “이미 작년 4월에 바이러스토탈에 올라간 샘플로 뒤늦게 이슈가 된 사항”이라며 “현재 국내 백신에서는 대부분 차단하고 있는 것으로 알고 있으며, 일부 외산 제품의 경우 아직 차단되지 않는 것으로 알고 있다”고 말했다.
이어 그는 “당시 북한 추정 공격은 삼성 외에 다른 대기업도 대상이 됐으며, 정치권, 대기업, 금융회사, 병원 등 다양한 곳을 타깃으로 공격했다”고 밝혔다.
특히, 삼성 메신저인 마이싱글로 위장된 악성코드의 경우 소니픽처스때 사용된 악성코드와 유사한 것으로 분석됐다는 게 보안전문가들의 공통된 의견이다.
이에 대해 사이버전 전문 악성코드 추적그룹인 사이버워 측은 “북한의 사이버전사가 개발한 다수의 악성코드 변종 시리즈 중 하나로 2013년 6.25, 2014년 소니픽쳐스 공격에 사용된 코드와 일치한다”고 밝혔다.
특히, 해당 악성코드는 이전에 소니픽쳐스 해킹에 사용된 백도어와 유사한 기능을 가지고 있으며 원격 터미널을 열어 의심을 피하고 있다.
이를 분석한 하우리 측은 “윈도우 원격 터미널을 실행해 원격 서비스로 위장하고 있다”며 “원격 서비스를 종료해도 악성코드는 종료되지 않는다”고 밝혔다.
해당 악성코드는 윈도우 원격 서비스를 실행한 뒤 쓰레드를 생성한다. 악성코드가 사용하는 API들은 모두 암호화되어 있으며, 이 문자열을 복호화 한 후 메모리에 로드해 사용하는 것으로 분석됐다.
이후 206.***.**.124:443와 94.***.***.55:443 주소로 C&C 연결을 시도하며, C&C로 연결되면 명령코드를 받아 명령코드에 따른 악성행위를 수행한다.
백도어의 주요 기능은 △요청 파일 검색 △요청 프로세스 종료 △시스템 정보 탈취 △특정 시그니처의 파일 검색 △특정 파일 리드 △다른 네트워크 접속시도 △파일 생성 △임시파일 경로 확인 △특정 파일 실행 △각 드라이브 타입 확인 △임시 파일에 파일 리스트 정보 기록 및 탈취 △임시 폴더에 존재하는 PM*.tmp, DWS*.tmp, MD*.tmp 파일 삭제 △특정 파일에 파일 리스트 정보 기록 및 탈취 △특정 파일의 생성 시간 변경 △관리자 권한으로 파일 실행 △실행 프로세스 및 모듈 정보 탈취 △특정 파일 탈취 △데이터 전송 및 수신 확인 △데이터 전송 및 수신 확인 △수신 받은 경로가 디렉토리 일 경우 이름 변경, 파일일 경우 파일 끝에 수신 받은 문자열 추가 △수신 받은 경로 파일의 존재여부 확인 △수신 받은 경로에 0x00으로 채워진 파일 생성 △생성한 랜덤값 메모리에 적재 △수신 받은 문자열을 복호화 후 메모리에 적재 △자가 삭제 플래그 활성화 △특정 라이브러리 로드 △not 문자열 암호화 전송기능 등을 갖췄다.
하지만 삼성 메신저를 사칭한 악성메일과 사이버 위기경보가 격상된 것과는 관계가 없는 것으로 알려졌다.
이와 관련 하우리 김정수 팀장은 “마이싱글 악성코드는 4월 10일경 제작되어 배포됐다”며 “사실 삼성 이슈는 작년에 시도했던 악성코드라서 최근에 격상된 사이버경보와는 관계가 없다”고 밝혔다.
하지만 최근 청와대를 사칭한 악성메일을 비롯해 지속적으로 북한 추정 사이버공격이 포착되는 만큼 주의해야 한다는 게 그의 설명이다.
이에 대해 김정수 팀장은 “북한 핵실험 이후 지속적으로 북한 추정의 악성메일이 발견되고 있는 만큼 기본적인 보안수칙 내용을 준수하고, 각종 OS, 응용 프로그램 취약점 패치, 최신 백신 업데이트, 메일 수신자 재확인 등이 필요하다”며 “이번에 발견된 공격들은 대부분 APT 공격이라 기관과 기업 등이 각별히 주의해야 한다”고 당부했다.
한편, 25일 기준으로 미래창조과학부는 북한의 4차 핵실험 이후 최근 청와대 사칭한 악성메일 등 북한의 사이버공격 가능성에 대비해 사이버경보를 ‘정상’에서 ‘관심’으로 한 단계 격상했다. 이어 국가정보원의 사이버위기 경보단계와 한국인터넷진흥원의 인터넷침해사고 경보단계 역시 ‘관심’ 단계를 유지하고 있으며, 사이버안전국에서 발표하는 사이버범죄 주의경보의 개인정보 도용 부문도 ‘주의 단계’를 유지하고 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
