■ 긴급 대응 중
2013년 03월 20일 14시 경부터 금융권, 방송사 등 컴퓨터가 동시다발적으로 부팅되지 않는 피해가 발생하였다. 잉카인터넷 대응팀은 의심파일을 다수 수집하여 다양한 분석업무와 전사긴급 대응체제를 가동 중에 있으며, 이글은 2013년 03월 20일부터 계속적으로 업데이트되고 있다.
[분석보고서 Ver 3.0]
수집된 파일들 중 파일명이 확인된 것들은 다음과 같다.
- ApcRunCmd.exe
- AgentBase.exe
- OthDown.exe
- mb_join.gif (exe)
- container.exe
- orpsntls.exe
- v3servc.exe
- shellservice.exe
- themeservics.exe
- logoninit.exe
- msnlsl.exe
- Update.exe
- xupdate.exe
- schsvcsc.dll
- morpsntls.exe
- page.gif (exe)
- schsvcsc.exe
- LGservc.exe (logo.jpg)
- vmsinstaller.exe
- oleshsvcs.dll
- schedsrv.dll
- kpo.exe 등 외 다수
숙주역할의 파일도 여러 건이 확인된 상태로, Dropper 파일이 실행되면 사용자 계정의 임시폴더(Temp) 에 별도의 파일을 설치한다. 이 중 "AgentBase.exe" 파일명은 MBR 영역을 파괴하는 악성파일이고, 파일명은 동일하지만 다른 형태의 악성파일도 존재하는 경우가 있다.
"~pr1.tmp" 파일은 "SunOS", "AIX", "HP-UX". "Linux" 운영체제의 계열을 체크하고, 악의적인 파괴스크립트 기능을 수행한다.
"alg.exe" 파일은 Command-line SSH 정상프로그램이고, "conime.exe" 파일은 Command-line SCP/SFTP client 정상 프로그램이다.
또 다른 Dropper/Downloader 경우는 실행 시 그림파일 확장자로 위장한 악성파일을 국내 특정 웹 사이트에서 다운로드한다.
"paper.gif" 파일은 사용자 계정의 임시폴더(Temp)에 "v3servc.exe" 이름으로 생성되고 실행된다. 그리고 "w7e89.tmp" 이름의 악성파일도 생성시킨다. 이후에 시스템 폴더 경로에 "shellservice.exe", "themeservics.exe" 등의 악성파일을 생성한다.
생성된 파일 중 일부코드에는 아래와 같이 제작자가 "Concealment Troy" 와 같이 숨김기능의 트로이목마라는 표현을 사용하고 있다.
더불어 국내 특정 전산망의 웹 사이트를 접속했을 시 발생했던 디페이스(Deface) 현상과 관련된 악성파일도 발견된 상태이다. 디페이스된 웹 사이트에는 다음과 같은 내용이 포함되어 있었다.
Hacked By Whois Team
Who is Whois?
We have an Interest in Hacking. This is the Beginning of Our Movement. User Acounts and All Data are in Our Hands. Unfortunately, We have deleted Your Data. We'll be back Soon.
('우리는 해킹에 관심 있다. 이것은 우리 행동의 시작이다. 사용자 계정과 데이터는 우리 손에 있다. 불행하게도 우리는 데이터를 삭제했다. 우리는 곧 다시 돌아온다.)
상기 화면에 사용된 코드를 보유하고 있는 악성파일이 확인되었고, 연관성에 대한 조사와 분석을 계속 진행 중에 있다. 특히, 해당 악성파일도 MBR 및 파일 파괴 기능을 보유하고 있는 것으로 확인된 상태이다.
이번 디페이스는 2012년 06월 09일 오후 6시 30분 경부터 발생했던 중앙일보 뉴스 사이트의 디페이스 형식과도 매우 흡사하다. 당시에는 "Hacked by IsOne" 이라는 문구가 포함되어 있었다.
디페이스된 웹 사이트 화면에는 다음과 같은 문구의 링크가 포함되어 있고, 숫자로 표현된 일종의 단순 암호문을 다시 변경하면 그 아래와 같다.
T0 s33 7h47 the 0th3r Sit3 H4ck3d...click h3r3!!!
You'11 s33 th3 0ur im4g3...
To see that the other site Hacked...click here!!!
You'll see the our image...
해킹당한 다른 사이트 보려면...여기를 클릭!!!
우리의 이미지를 보시게 될 것이다...
해당 문장에는 또 다른 영문 언론사 사이트가 연결되어 있으며, 해당 이미지는 Adobe Photoshop 7.0 으로 만들어졌고, 2013년 03월 14일 만들어진 것으로 추정된다.
악성파일 중에는 하드디스크의 MBR(Master Boot Record)영역을 파괴하고, 데이터 파일들도 복구가 어렵도록 조작하고 파괴하는 기능이 다수 존재한다.
변종에 따라서 MBR 영역에 특정 문구(HASTATI, PRINCPES, PR!NCPES)가 포함되는데 일부는 문자열이 없이 파괴되는 경우도 존재한다.
악성파일은 "JO840112-CRAS8468-11150923-PCI8273V" FileMapping 오브젝트를 생성하여 중복실행을 방지하고, 변종에
따라서 오브젝트 값이 조금씩 다른 경우가 존재한다.
또한, Taskkill 명령어를 통해서 국내 특정 보안프로그램의 프로세스를 강제 종료하는 기능 등도 수행한다.
- Taskkill /F /IM pasvc.exe
- Taskkill /F /IM clisvc.exe
더불어 잉카인터넷은 특정 악성파일 내부에 파괴날짜가 포함된 것을 최초로 발견하였다. 2013년 03월 20일 오후 2시 이후부터 파괴기능이 동작되도록 만들어져 있고, 변종에 따라 즉시 파괴작동을 수행하거나 03월 20일 오후 3시 이후부터 파괴동작을 작동하는 변종도 발견되었다.
특정 변종의 경우 시스템폴더 경로에 "schsvcsc.exe", "schsvcsc.dll" 파일을 생성하고, lsass.exe 정상 프로세스에 인젝션되어 작동되며, 컴퓨터의 시간이 03월 20일 오후 3시 이후부터 MBR 등의 파괴기능을 수행하게 된다.
2013년 03월 24일 경 새로운 형태가 발견되었는데, 특정 프로그램의 업데이트 파일명처럼 위장하였고, 국내 특정 날씨 관련 사이트의 악성 스크립트(blank_image.js)를 통해서 유포되었다. 따라서 불특정 다수의 사용자가 감염되었을 가능성이 있다. 이 파일은 "mb_join.gif" 그림파일로 위장하고 있으며, 0x30, 0x82 로 시작된다.
"mb_join.gif" 파일 내부에 포함되어 있는 명령을 통해서 또 다른 악성파일이 다운로드(X********_updatge.gif)되는데, 악성파일은 보안 제품들의 실시간 탐지를 우회하기 위해서 실행파일(EXE)의 헤더를 43 바이트 조작(0x30 0x82 시작)하였고, "xupdate.exe" 파일로 생성되고 실행된다.
"xupdate.exe" 파일이 실행되면 아래의 경로로 접근하여 마치 그림파일처럼 위장한 "logo.jpg" (exe) 파일을 다운로드하고 실행한다. 그러면 사용자 계정의 임시폴더(TEMP)에 "LGservc.exe", "w7e89.tmp" 파일 등이 생성된다.
2013년 3월 26일 오후 1시 53분 기준 등록된 YTN 미투데이에서는 YTN과 모든 계열사 인터넷 홈페이지가 사이버 테러 추정의 이상 증세로 접속이 이뤄지지 않는다고 밝혔다.
이외에도 탈북자 단체 및 대북매체 관련 사이트도 피해가 발생하였고, 일부는 복구가 된 상태이다.
잉카인터넷에서는 해당 악성파일과 MBR 영역을 보호하는 솔루션 등을 무료로 배포하고 있고, nProtect AVS 3.0 제품에는 다양한 변종에 대한 탐지 및 치료기능을 추가하고 있다.
[전용백신 & MBR Guard]
http://avs.nprotect2.net/nsp2010/downloader/nProtect_KillMBR_.exe
http://avs.nprotect2.net/nsp2010/downloader/nPMBRGuardSetup.exe
2013년 03월 20일 14시 경부터 금융권, 방송사 등 컴퓨터가 동시다발적으로 부팅되지 않는 피해가 발생하였다. 잉카인터넷 대응팀은 의심파일을 다수 수집하여 다양한 분석업무와 전사긴급 대응체제를 가동 중에 있으며, 이글은 2013년 03월 20일부터 계속적으로 업데이트되고 있다.
[분석보고서 Ver 3.0]
[20130321]_KillMBR_Ver_3.0.pdf
수집된 파일들 중 파일명이 확인된 것들은 다음과 같다.
- ApcRunCmd.exe
- AgentBase.exe
- OthDown.exe
- mb_join.gif (exe)
- container.exe
- orpsntls.exe
- v3servc.exe
- shellservice.exe
- themeservics.exe
- logoninit.exe
- msnlsl.exe
- Update.exe
- xupdate.exe
- schsvcsc.dll
- morpsntls.exe
- page.gif (exe)
- schsvcsc.exe
- LGservc.exe (logo.jpg)
- vmsinstaller.exe
- oleshsvcs.dll
- schedsrv.dll
- kpo.exe 등 외 다수
숙주역할의 파일도 여러 건이 확인된 상태로, Dropper 파일이 실행되면 사용자 계정의 임시폴더(Temp) 에 별도의 파일을 설치한다. 이 중 "AgentBase.exe" 파일명은 MBR 영역을 파괴하는 악성파일이고, 파일명은 동일하지만 다른 형태의 악성파일도 존재하는 경우가 있다.
"~pr1.tmp" 파일은 "SunOS", "AIX", "HP-UX". "Linux" 운영체제의 계열을 체크하고, 악의적인 파괴스크립트 기능을 수행한다.
"alg.exe" 파일은 Command-line SSH 정상프로그램이고, "conime.exe" 파일은 Command-line SCP/SFTP client 정상 프로그램이다.
또 다른 Dropper/Downloader 경우는 실행 시 그림파일 확장자로 위장한 악성파일을 국내 특정 웹 사이트에서 다운로드한다.
"paper.gif" 파일은 사용자 계정의 임시폴더(Temp)에 "v3servc.exe" 이름으로 생성되고 실행된다. 그리고 "w7e89.tmp" 이름의 악성파일도 생성시킨다. 이후에 시스템 폴더 경로에 "shellservice.exe", "themeservics.exe" 등의 악성파일을 생성한다.
생성된 파일 중 일부코드에는 아래와 같이 제작자가 "Concealment Troy" 와 같이 숨김기능의 트로이목마라는 표현을 사용하고 있다.
더불어 국내 특정 전산망의 웹 사이트를 접속했을 시 발생했던 디페이스(Deface) 현상과 관련된 악성파일도 발견된 상태이다. 디페이스된 웹 사이트에는 다음과 같은 내용이 포함되어 있었다.
Hacked By Whois Team
Who is Whois?
We have an Interest in Hacking. This is the Beginning of Our Movement. User Acounts and All Data are in Our Hands. Unfortunately, We have deleted Your Data. We'll be back Soon.
('우리는 해킹에 관심 있다. 이것은 우리 행동의 시작이다. 사용자 계정과 데이터는 우리 손에 있다. 불행하게도 우리는 데이터를 삭제했다. 우리는 곧 다시 돌아온다.)
상기 화면에 사용된 코드를 보유하고 있는 악성파일이 확인되었고, 연관성에 대한 조사와 분석을 계속 진행 중에 있다. 특히, 해당 악성파일도 MBR 및 파일 파괴 기능을 보유하고 있는 것으로 확인된 상태이다.
이번 디페이스는 2012년 06월 09일 오후 6시 30분 경부터 발생했던 중앙일보 뉴스 사이트의 디페이스 형식과도 매우 흡사하다. 당시에는 "Hacked by IsOne" 이라는 문구가 포함되어 있었다.
추가로 국내 언론 영문 방송 사이트가 [2013년 03월 21일 03:24 GMT] 디페이스(Deface) 공격 피해를 입었고, 화면에 Hastati 라는 문구가 포함되어 있다. 해당 문구는 국내 언론사와 금융사 등에 MBR 파괴기능을 수행했던 악성파일의 내부 문구와 동일하다.
디페이스된 웹 사이트 화면에는 다음과 같은 문구의 링크가 포함되어 있고, 숫자로 표현된 일종의 단순 암호문을 다시 변경하면 그 아래와 같다.
T0 s33 7h47 the 0th3r Sit3 H4ck3d...click h3r3!!!
You'11 s33 th3 0ur im4g3...
To see that the other site Hacked...click here!!!
You'll see the our image...
해킹당한 다른 사이트 보려면...여기를 클릭!!!
우리의 이미지를 보시게 될 것이다...
해당 문장에는 또 다른 영문 언론사 사이트가 연결되어 있으며, 해당 이미지는 Adobe Photoshop 7.0 으로 만들어졌고, 2013년 03월 14일 만들어진 것으로 추정된다.
악성파일 중에는 하드디스크의 MBR(Master Boot Record)영역을 파괴하고, 데이터 파일들도 복구가 어렵도록 조작하고 파괴하는 기능이 다수 존재한다.
변종에 따라서 MBR 영역에 특정 문구(HASTATI, PRINCPES, PR!NCPES)가 포함되는데 일부는 문자열이 없이 파괴되는 경우도 존재한다.
악성파일은 "JO840112-CRAS8468-11150923-PCI8273V" FileMapping 오브젝트를 생성하여 중복실행을 방지하고, 변종에
따라서 오브젝트 값이 조금씩 다른 경우가 존재한다.
또한, Taskkill 명령어를 통해서 국내 특정 보안프로그램의 프로세스를 강제 종료하는 기능 등도 수행한다.
- Taskkill /F /IM pasvc.exe
- Taskkill /F /IM clisvc.exe
더불어 잉카인터넷은 특정 악성파일 내부에 파괴날짜가 포함된 것을 최초로 발견하였다. 2013년 03월 20일 오후 2시 이후부터 파괴기능이 동작되도록 만들어져 있고, 변종에 따라 즉시 파괴작동을 수행하거나 03월 20일 오후 3시 이후부터 파괴동작을 작동하는 변종도 발견되었다.
특정 변종의 경우 시스템폴더 경로에 "schsvcsc.exe", "schsvcsc.dll" 파일을 생성하고, lsass.exe 정상 프로세스에 인젝션되어 작동되며, 컴퓨터의 시간이 03월 20일 오후 3시 이후부터 MBR 등의 파괴기능을 수행하게 된다.
2013년 03월 24일 경 새로운 형태가 발견되었는데, 특정 프로그램의 업데이트 파일명처럼 위장하였고, 국내 특정 날씨 관련 사이트의 악성 스크립트(blank_image.js)를 통해서 유포되었다. 따라서 불특정 다수의 사용자가 감염되었을 가능성이 있다. 이 파일은 "mb_join.gif" 그림파일로 위장하고 있으며, 0x30, 0x82 로 시작된다.
"mb_join.gif" 파일 내부에 포함되어 있는 명령을 통해서 또 다른 악성파일이 다운로드(X********_updatge.gif)되는데, 악성파일은 보안 제품들의 실시간 탐지를 우회하기 위해서 실행파일(EXE)의 헤더를 43 바이트 조작(0x30 0x82 시작)하였고, "xupdate.exe" 파일로 생성되고 실행된다.
"xupdate.exe" 파일이 실행되면 아래의 경로로 접근하여 마치 그림파일처럼 위장한 "logo.jpg" (exe) 파일을 다운로드하고 실행한다. 그러면 사용자 계정의 임시폴더(TEMP)에 "LGservc.exe", "w7e89.tmp" 파일 등이 생성된다.
2013년 3월 26일 오후 1시 53분 기준 등록된 YTN 미투데이에서는 YTN과 모든 계열사 인터넷 홈페이지가 사이버 테러 추정의 이상 증세로 접속이 이뤄지지 않는다고 밝혔다.
이외에도 탈북자 단체 및 대북매체 관련 사이트도 피해가 발생하였고, 일부는 복구가 된 상태이다.
잉카인터넷에서는 해당 악성파일과 MBR 영역을 보호하는 솔루션 등을 무료로 배포하고 있고, nProtect AVS 3.0 제품에는 다양한 변종에 대한 탐지 및 치료기능을 추가하고 있다.
[전용백신 & MBR Guard]
http://avs.nprotect2.net/nsp2010/downloader/nProtect_KillMBR_.exe
http://avs.nprotect2.net/nsp2010/downloader/nPMBRGuardSetup.exe
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[긴급]6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중 Update # 130701-21 (1) | 2013.07.01 |
---|---|
[주의]국내 인터넷 뱅킹용 악성파일 포털사이트 접근까지 변조시도 (0) | 2013.05.28 |
[주의]KRBanker 악성파일 제작자 하데스(Hades)로 귀환? (0) | 2013.02.13 |
[추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체 (0) | 2013.02.04 |
[주의]실제 공인인증서 서비스에서 암호 탈취를 시도하는 악성파일 (0) | 2013.01.25 |