분석 정보/악성코드 분석 정보

이란의 철도 시스템을 공격한 와이퍼 악성코드 Meteor

2021. 8. 10. 18:23

와이퍼 악성코드란 감염된 컴퓨터의 하드 드라이브를 사용자가 사용할 수 없도록 의도된 악성코드이다. 와이퍼 악성코드는 금전이나 데이터 탈취의 목적이 아닌 주로 사용자가 PC를 이용할 수 없게 하고, 시스템을 복원할 수 없게 만드는 목적으로 유포된다.

 

최근 도쿄 올림픽 이슈를 악용하거나 새롭게 등장한 이란 해커 그룹이 이스라엘 정부를 목표로 와이퍼 악성코드를 유포한 사례들이 있었다.

 

아래의 링크는 자사 블로그에 게시된 "도쿄 올림픽 이슈를 악용한 와이퍼 악성코드 공격"에 대한 보고서이다.
2021.07.28 - [분석 정보/악성코드 분석 정보] - 도쿄 올림픽 이슈를 악용한 와이퍼 악성코드

 

또한, 202179, 이란의 열차 시스템이 Meteor 와이퍼 악성코드 공격을 받았다. 이번 공격으로 인해 한동안 열차의 운행이 중단됐고, 열차 행정 시스템이 마비되어 고객 응대를 할 수 없었다. Meteor 와이퍼 악성코드 측은 플랫폼 내의 모니터의 배경 화면을 변경하여 이란 최고 지도자 하메네이의 사무실 전화번호를 기재하고, 불만 사항을 토로하라는 문구로 이란 정부를 조롱했다.

 

Meteor 와이퍼 악성코드는 배치 파일을 시작으로 스크립트 코드에 기재된 다음 배치 파일을 실행한다. 최종적으로 악성 페이로드인 Meteor 와이퍼 악성코드를 실행하고, 사용자 PC에 스크린 락(Screen Lock)을 설정해 공격자가 설정한 화면을 띄우고, 사용자가 PC를 이용할 수 없게 만든다.

 

[그림 1] Meteor 와이퍼 악성코드 공격 흐름도

 

1. 전체 파일 동작

시작 파일인 "setup.bat"이 실행되면 연쇄적으로 추가 배치 파일을 실행하는 방식으로 악성 동작을 한다. 또한, 암호화된 압축된 파일이 이전 배치 파일에서 비밀번호를 명령 인자로 받아 압축을 해제하고, 다음 배치 파일을 실행한다.

 

실행될 배치 파일이 이전 파일에 기재된 경로와 다르거나 비밀번호를 포함한 명령 인자가 입력되지 않은 경우 실행이 되지 않는다.

 

또한, Meteor 와이퍼 악성코드의 최종 페이로드인 "env.exe"또는 "msapp.exe" 파일은 실행 시 작업 스케줄러에 등록되어 스크린 락(Screen Lock) 동작을 하는 파일인 "mssetup.exe"를 실행한다.

 

아래의 [1]은 실행되는 파일들의 동작이다.

 

[표 1] 파일 동작 정보

 

2. Meteor 와이퍼 악성코드의 보조 파일

mssetup.exe

"mssetup.exe" 파일은 실행 시, [그림 2]의 화면을 띄우며 아랍어로 이란 최고 지도자 '하메네이'의 사무실 전화번호를 기재하고, 불만 사항을 토로하라는 문구가 담겨있다. 또한, 스크린 락(Screen Lock)으로 인해 사용자가 PC를 이용할 수 없게 한다.

 

[그림 2] 스크린 락(Screen Lock) 화면

 

msconf.conf

"msconf.conf" 파일은 암호화된 JSON 구조에 대한 값으로 작업 스케줄러에 페이로드인 "env.exe" 파일과 함께 등록된다. 해당 파일은 "env.exe"가 실행될 때 복호화하여 사용된다.

 

[표 2] msconf.conf 복호화 후 정보

 

3. Meteor 와이퍼 악성코드

env.exe or msapp.exe

최종 페이로드인 "env.exe"또는 "msapp.exe" 파일은 해당 파일이 동작할 때 사용되는 정보가 담긴 "msconf.conf"을 로드하여 실행된다. 그 후, 감염된 사용자가 시스템을 복원할 수 없도록 볼륨 섀도우 복사본을 삭제하고, 화면 잠금을 위한 파일인 "mssetup.exe" 파일을 실행한다.

 

파일 내부 코드에는 [2]와 같은 다양한 기능들이 있었지만 이번 공격에 사용된 샘플에서는 해당 기능들이 구현되지 않았다.

 

[표 3] Meteor 와이퍼 악성코드의 페이로드 기능

 

Meteor 와이퍼 악성코드는 배치 파일이 실행할 다음 파일이 해당 경로에 존재하지 않으면 실행되지 않거나 기능 구현이 완전히 이루어지지 않는 다는 점에서 완성되지 않은 모습을 보인다.

 

해당 악성코드는 실행 시 PC를 이용하지 못할 뿐만 아니라 시스템 복원도 불가능하다는 점에서 사용자는 보안에 신경 써서 사전에 감염을 예방하는 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[ 그림 3] TACHYON Internet Security 5.0 진단 및 치료 화 면