[정보]방위산업체와 화학업체를 대상으로 한 Nitro 공격

1. 개요 

해외 날짜로 2011년 10월 31일경 해외 보안 업체인 시만텍(Symantec)에서 Nitro(니트로)로 명명되어진 보안 위협을 최근 공개하였다. 현재까지 공개되어진 보안 위협은 APT 기반 형태의 공격으로 스팸메일과 같은 사회공학적 기법을 이용하여 악성파일을 유포하는 것으로  알려졌다.

시만텍이 공개한 보고서에 의하면 최소 48개에 이르는 미국과 영국의 방위산업체, 화학업체들이 일명 Poison Ivy 라는 악성 파일(원격 제어 기능)에 감염됐으며, 화학회사 중 일부는 군용차량 제작에 참여한 것으로 알려져 있다. 또한 이 사어버 공격의 진원지를 역추적한 결과 중국 허베이성에 사는 20대 남성이 미국 내에 소유한 컴퓨터인 것으로 밝혔졌다고 알려져 있다.

※ 참고 자료

[The Significance of the“Nitro”Attacks]
http://blog.trendmicro.com/the-significance-of-the-nitro-attacks/

[A Websense White Paper : ADVANCED PERSISTENT THREATS AND OTHER ADVANCED ATTACKS]
http://www.websense.com/assets/white-papers/advanced-persistent-threats-and-other-advanced-attacks.pdf?cmpid=slbl

[Symantec "Nitro" Report]
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_nitro_attacks.pdf

※ APT 공격 (Advanced Persistent Threat : 지능적 지속 위협)

특정 기업과 같은 공격 목표 대상을 사전에 확보하고 다양한 경로를 통하여 내부망으로 침투한 다음 수집된 정보를 외부로 유출하는 등 획득한 정보를 바탕으로 기업적 손실을 유발 시킬수 있는 보안 위협

※ 참고 자료 : The Nitro Attacks : Stealing Secrets from the Chemical Industry (이미지출처 : Symantec)

a. Geographic Location of Infected Computers

b. Country of origin of targeted organizations

2. 감염 과정 및 증상

이번에 보고된 보안 위협은 특정 기업 또는 특정인을 대상으로 원격제어 코드가 포함된 악성파일을 스팸메일에 첨부하여 전송하고, 이를 사용자가 실행할 경우 사용자 컴퓨터의 제어권 및 주요 정보가 외부로 유출이 가능하게 된다. 또한, Nitro 공격은 기존의 봇넷과 달리 공격자와 피해자간 실시간 상호작용을 기반으로 동작하게 되는것이 특징이다.

현재 이와 같은 스팸메일은 아래와 같은 이메일 내용이나 첨부파일을 포함하고 있으며, 추가적인 변형이 언제든지 발생할 수 있는 상황이다.

[첨부 파일 형식]
 - Antivirus_update_package.7z
 - acquisition,7z
 - offer.7z
 - update_flashplayer10ax.7z

이외에 다수의 변종이 추가로 확인 되었으며, 현재 Nitro 보안위협과 관련한 악성파일은 자동화 생성 툴킷을 이용하여 악성파일을 직접 제작하여 유포한 것으로 추정하고 있다. 현재까지도 Poison Ivy 와 같은 Remote Administration Tool 과 같은 자동화 빌더가 특정 밴더를 통하여 배포가 되어지고 있으며, 기능면을 강화한 통합 모듈까지도 업데이트 되어지고 있는 상황이기에 앞으로 이와같은 보안 위협이 더욱 높아질 것으로 보여진다.

악성파일에 감염되어진 컴퓨터는 아래의 그림과 같이 감염자 PC와 소켓 연결되어 상대방 컴퓨터의 정보를 모니터링 할 수 있다.

Poison Ivy와 같은 원격 제어툴이 제공하는 일부 기능을 이용하여 다음과 같이 감염자 PC의 정보를 확인할 수 있었다.

a. 감염자 PC의 레지스트리 정보

b. 감염자 PC Screen Capture

c. 기타 감시 정보

 - Remote Shell
 - Surveillance(Key Logger, Screen Capture, Webcam Capture)
 - Remote Port Scanner
 - WiFi Scanner
 - Remote PC Information(File, Service, Device, Installed Application etc)

Symantec 에서는 이번에 공개한 Nitro 보안 위협과 관련하여 지능적 지속 위협(APT), 사회공학 기법(Social Engineering) 외에도 원격 관리 도구(RATs) 등과 같은 다양한 공격 기법을 융합하여 특정 기업을 공격 시도하며, 해당 공격으로 인하여 유출되어진 기업의 주요 자산 및 정보는 기업의 막대한 자산 손실을 유발할 수 있으므로 보다 안전한 기업 보안 대책이 마련되어야 할 것임을 설명하고 있다.

3. 예방 조치 방법

Nitro 보안 위협은 산업시설을 포함한 여러 기업조직 등에 막대한 금전적 피해를 줄 수 있는 보안 위협이다. 이러한 지속적인 보안 위협으로 부터 안전한 기업 보안 문화를 정착하기 위해서는 다음과 같은 조직문화가 필요하다.

이번에 보고된 해당 보안 위협으로부터 안전하기 위해서는 ▶조직원들에 대해 중요 문건과 같은 정보 관리의 보안 의식 함양 및 교육이 중요하며, 추가적으로 ▶조직원들이 사용 중인 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치, ▶조직원들이 사용하고 있는 비밀번호 등의 정보에 대한 주기적 갱신, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 항상 "ON" 상태로 유지하여 전 조직원들이 사용하는 것, ▶출처가 불분명한 곳으로부터 수신되는 모든 매체에 대한 접근 주의, 마지막으로 ▶조직별로 이러한 보안 위협에 대비할 수 있는 전문 보안 인력 육성 및 배치 등에 좀 더 관심을 가져야할 것이다

※ 잉카인터넷 대응팀에서는 이러한 보안 위협에 대비하기 위해 24시간 주기적인 대응체계를 유지하고 있으며, nProtect Anti-Virus 제품군을 통해 아래와 같은 진단/치료 기능을 제공하고 있다.

◆ 진단 현황
- Backdoor/W32.Poison.133511
- Backdoor/W32.Poison.128421.B
- Backdoor/W32.Poison.128405
- Backdoor/W32.Poison.177722
- Backdoor/W32.Poison.135794
- Backdoor/W32.Poison.132031
- Backdoor/W32.Poison.128204
- Trojan-Dropper/W32.Agent.153938
- Trojan/W32.Agent2.536397
- Trojan/W32.Agent2.141530
- Trojan/W32.Chifrax.150357
- Trojan/W32.Genome.155705
- Trojan/W32.Inject.136314
- Trojan-Downloader/W32.Injecter.532499
- Trojan-Downloader/W32.Injecter.153026
- Trojan-Downloader/W32.Injecter.159762
- Trojan-Downloader/W32.Injecter.150937
- Trojan-Downloader/W32.Injecter.173068
- Trojan-Downloader/W32.Injecter.154827