[악성코드 분석] Black Energy (우크라이나 정전사태 관련 악성코드)

BLACK ENERGY 악성코드 분석 보고서

 

1. 개요

지난해 말 악성코드에 의한 최초의 정전사태로 기록된 우크라이나 정전사태의 주범으로 Black Energy(블랙에너지)가 주목 받고 있다. Black Energy는 하나의 악성 파일이 아닌, 침투-정보수집-확산-공격-파괴 의 절차를 가진 APT 공격 전체를 지칭하는 것으로, 다양한 목적을 가진 악성파일들과 악성행위들을 모두 일컫는 말이다. 이 보고서에서는 Black Energy의 시발점이 된 엑셀 문서 파일과, 전체 공격의 일부로 사용된 MBR 파괴 모듈에 대해 알아보고자 한다.

                                                  

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	BlackEnergy.xls
파일크기	734,724 byte
진단명	Trojan-Dropper/X97M.BlackEnergy
악성동작	xls 매크로

 

2-2. 유포 경로

이 사건과 관련하여 언론매체에서는 MS 오피스 문서에 포함된 매크로 악성코드가 공격의 시작이라 말하고 있다. 또한, 스피어 피싱 기법을 사용하여 사용자의 흥미를 끄는 이메일 첨부파일을 통해 악성파일 실행을 유도한다. 이렇게 감염된 PC는 추가 악성 모듈 다운로드, 백도어 등의 동작을 수행해 감염 PC 네트워크에 대한 공격의 발판으로 이용된다.

2-3. 실행 과정

악성 .xls 파일에는 악성 코드를 생성 및 실행하는 매크로가 등록되어 있다. .xls 파일의 매크로가 실행되기 위해선 사용자가 직접 매크로를 활성화해야 한다. 매크로를 허용하지 않는다면 악성동작이 수행되지 않지만, 피해자가 관심을 가질 만한 내용으로 위장한 파일이거나, 매크로 사용이 빈번한 사용자라면 매크로 실행이 허용될 수 있다. (일반적으로 매크로를 허용하지 않을 시 대체로 문서의 내용을 볼 수 없다고 표기된다.)

스피어 피싱 이메일에 포함된 오피스 파일은 매크로 악성코드와 유사한 형태의 동작을 수행한다. .xls 문서 파일에서 실행되는 악성코드는 최종적으로 원격지 서버에 접속을 시도하며, 연결에 성공 시 추가 악성코드를 다운로드 한다.

매크로 실행을 허용하면 아래 경로에 악성 파일을 생성하고 실행한다.

C:\Documents and Settings\Administrator\Local Settings\Temp\vba_macro.exe

[그림] 매크로 보안경고 알림

[그림] 엑셀 매크로 악성코드

매크로로 생성된 파일 vba_macro.exe 은 또 다른 악성파일 FONTCACHE.DAT 을 생성 및 윈도우 정상 프로세스 rundll32.exe 를 이용하여 자동실행 등록한다. 이후 악성동작은 이 파일을 이용해 이뤄진다.

[그림] 생성된 vba_macro.exe 의 악성동작, FONTCACHE.DAT 생성

[그림] 자동실행 등록하는 .lnk 파일 및 그 내용

 

3. 악성 동작

3-1. 원격지 연결

APT 공격은 장기간에 걸쳐 지속적으로 이뤄지는 만큼 악성코드의 업데이트 및 네트워크, PC 정보 수집에 관한 동작이 다수를 이룬다. FONTCACHE.DAT 또한 이러한 역할을 하는 모듈로써, 원격 연결을 이용해 해커가 언제든 감염 PC에 접근할 수 있기 때문에 공격 대상 네트워크에 대한 지속적인 위협을 가할 수 있다.

실행중인 FONTCACHE.DAT는 RPC통신을 이용하여 원격지와 연결을 시도한다. 원격지 주소는 http://5.***.***.114/ Microsoft/Update/KC074913.php 와 같으며 현재는 접속되지 않지만 연결에 성공 시 추가 악성코드를 다운로드 할 것으로 보인다.

[그림] RPC 통신

[그림] 원격지 연결 시도

[그림] 접속 시 추가 악성파일 생성 코드

 

 

3-2. MBR 파괴

MBR(Master Boot Record)이란 파티션 된 저장장치(하드 디스크, 이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는, 저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보, 부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다.

Black Energy 의 일부인 KillDisk 의 변종으로 MBR파괴 동작을 수행하는 모듈이다. 실행 시 특정 레지스트리를 검사하여 중복실행 되지 않을 때에만 동작한다. %Windows% 하위에 svchost.exe 로 자신을 복사하고 이 파일을 서비스로 등록한다. 서비스로 동작되면 PC의 MBR영역과 함께 특정 확장자를 가진 파일을 0으로 덮어쓰고 강제 재부팅 시켜 PC를 사용 불가능한 상태로 만든다.

[그림] 파괴대상 물리드라이브 및 파일 확장자

[그림] 파괴된 MBR

[그림] 파괴된 파일

 

 

4. 결론

국내 사용자를 대상으로 시도 때도 없이 배포되는 KRBanker, 랜섬웨어 등을 보고있으면 우크라이나에서 발생한 해킹공격은 너무 먼 이야기로 들릴지 모른다. 하지만 악성코드는 해커들 사이에서 쉽게 공유되고 변형된다. 국내를 대상으로 한 동일 변종이 나타나지 말란 법은 없다. 실제로 해외 보안 업체에 따르면 Black Energy 또한 2014년 10월부터 꾸준히 업데이트 되며 사용한 악성코드기도 하다.

잉카인터넷은 2011년 북한 발 MBR 파괴 공격, 3.20, 6.25 사이버테러 사태 시 PC의 MBR영역을 보호기능을 제공하는 nProtect MBR Guard를 제작 및 배포한 이력이 있다. nProtect MBR Guard의 MBR 보호 기능은 잉카인터넷 백신 AVS V4.0에 기본 탑재되어 있어, 부가적 프로그램 설치 없이 백신 프로그램 nProtect AVS 제품만으로도 MBR보호 동작을 수행할 수 있다.

잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면