(cache) [잉카인터넷 대응팀] [긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생

[긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생

신규 악성 파일 정보 2013/03/20 15:15

■ 긴급 대응 중

2013년 03월 20일 14시 경부터 금융권, 방송사 등 컴퓨터가 동시다발적으로 부팅되지 않는 피해가 발생하였다. 잉카인터넷 대응팀은 의심파일을 다수 수집하여 다양한 분석업무와 전사긴급 대응체제를 가동 중에 있다.

[분석보고서 Ver 3.0]

[20130321]_KillMBR Ver 3.0.pdf

"악성코드 분석 결과 '2차 공격' 의심 문자열 발견"
http://www.yonhapnews.co.kr/economy/2013/03/20/0303000000AKR20130320217100017.HTML?template=2085

감염된 컴퓨터에 숨겨져 있던 암호, 알고 보니… '경악'
http://news.chosun.com/site/data/html_dir/2013/03/20/2013032002430.html

방송사 공격 해커, 추가경고 암시?
http://www.mt.co.kr/view/mtview.php?type=1&no=2013032022132628632&outlink=1

수집된 파일들 중 파일명이 확인된 것들은 다음과 같다.

- ApcRunCmd.exe
- AgentBase.exe
- OthDown.exe
- mb_join.gif (exe)
- container.exe
- orpsntls.exe
- csc.exe
- v3servc.exe
- shellservice.exe
- themeservics.exe
- logoninit.exe
- msnlsl.exe
- Update.exe
- schsvcsc.dll
- morpsntls.exe
- page.gif (exe)
- schsvcsc.exe
- 265fce.exe
- 2b64.exe 이외 파일명이 불분명한 악성파일 샘플이 다수 확보된 상태이다.

숙주역할의 파일도 여러 건이 확인된 상태로, Dropper 파일이 실행되면 사용자 계정의 임시폴더(Temp) 에 4개의 파일을 설치한다. 이 중 "AgentBase.exe" 파일은 MBR 영역을 파괴하는 악성파일이다.

"~pr1.tmp" 파일은 "SunOS", "AIX", "HP-UX". "Linux" 운영체제의 계열을 체크하고, 악의적인 파괴스크립트 기능을 수행한다.

"alg.exe" 파일은 Command-line SSH 정상프로그램이고, "conime.exe" 파일은 Command-line SCP/SFTP client 정상 프로그램이다.

또 다른 Dropper/Downloader 경우는 실행 시 그림파일 확장자로 위장한 악성파일을 국내 특정 웹 사이트에서 다운로드한다.

- http://www.*******.com*******************/paper.gif

"paper.gif" 파일은 사용자 계정의 임시폴더(Temp)에 "v3servc.exe" 이름으로 생성되고 실행된다. 그리고 "w7e89.tmp" 이름의 악성파일도 생성시킨다. 이후에 시스템 폴더 경로에 "shellservice.exe", "themeservics.exe" 등의 악성파일을 생성한다.

생성된 파일 중 일부코드에는 아래와 같이 제작자가 "Concealment Troy" 와 같이 숨김기능의 트로이목마라는 표현을 사용하고 있다.

더불어 국내 특정 전산망의 웹 사이트를 접속했을 시 발생했던 디페이스(Deface) 현상과 관련된 악성파일도 확인된 상태이다. 디페이스된 웹 사이트에는 다음과 같은 내용이 포함되어 있었다.

Hacked By Whois Team

Who is Whois?

We have an Interest in Hacking. This is the Beginning of Our Movement. User Acounts and All Data are in Our Hands. Unfortunately, We have deleted Your Data. We'll be back Soon.

('우리는 해킹에 관심 있다. 이것은 우리 행동의 시작이다. 사용자 계정과 데이터는 우리 손에 있다. 불행하게도 우리는 데이터를 삭제했다. 우리는 곧 다시 돌아온다.)

상기 화면에 사용된 코드를 보유하고 있는 악성파일이 확인되었는데, 이번 악성파일과 연관된 것으로 의심이 되고 있어 실제 디페이스를 한 공격자가 이번 공격에 가담했을 가능성을 염두에 두고 분석을 진행 중에 있다. 특히, 해당 악성파일도 MBR 및 파일 파괴 기능을 보유하고 있는 것으로 확인된 상태이다.

이번 디페이스와 관련된 악성파일이 발견되었고, 2012년 06월 09일 오후 6시 30분 경부터 발생했던 중앙일보 뉴스 사이트의 디페이스 형식과도 매우 유사하다. 당시에는 "Hacked by IsOne" 이라는 문구가 포함되어 있었다.

2013년 01월 16일 경찰청 사이버테러대응센터에서는 지난 해 중앙일보 서버를 공격한 것은 북한소행으로 최종 확인됐다고 공식 입장을 발표한 바 있다. 중앙일보의 수사 의뢰를 받은 경찰은 약 7개월간의 수사과정에서 국내 서버 2대와 10여개의 국가에 분산된 해외 서버 17대가 해킹의 경유지로 사용된 사실을 파악했다. 이 중 6개국의 서버 9대를 해당 국가로부터 제공받아 집중 분석한 경찰은 유일하게 접속 기록이 남아 있는 1대의 서버에서 이스원(IsOne)이라는 이름의 PC를 찾아냈다.

이어 해당 컴퓨터가 북한 체신성 산하 조선체신회사(KPTC)가 사용하는 IP주소로 접속한 사실을 확인했다. 북한은 이 서버를 경유해 중앙일보 신문제작 서버에 접속했고, 이 서버는 2011년 3월 DDoS 공격과 같은 해 4월 농협 전산망 해킹 당시 경유지로 이용되었던 서버와 동일한 것으로 확인됐다고 발표한 바 있다.

추가로 국내 언론 영문 방송 사이트가 [2013년 03월 21일 03:24 GMT] 디페이스(Deface) 공격 피해를 입었고, 화면에 Hastati 라는 문구가 포함되어 있다. 해당 문구는 국내 언론사와 금융사 등에 MBR 파괴기능을 수행했던 악성파일의 문구와 동일하다.

변조된 웹 사이트의 경우 메인주소는 아니다.

http://english.***.co.kr/tv/main.html?tv_code=17

* 참고 : 한국시간(KST) = GMT+9

또한, 웹페이지 하단에 포함된 링크에는 또 다른 국내 언론사 미국 사이트로 연결되어 지도록 만들어져 있어, 다른 언론사의 영문사이트가 공격대상이 될 수도 있을 것으로 추정된다.

디페이스된 웹 사이트 화면에는 다음과 같은 문구의 링크가 포함되어 있다.

T0 s33 7h47 the 0th3r Sit3 H4ck3d...click h3r3!!!
You'11 s33 th3 0ur im4g3...

숫자로 표현된 일종의 단순 암호문을 다시 변경하면 다음과 같다.

To see that the other site Hacked...click here!!!
You'll see the our image...

해킹당한 다른 사이트를 보시려면...여기를 클릭하세요!!!
우리의 이미지를 보시게 될 것입니다...

해당 문장에는 또 다른 영문 언론사 사이트가 연결되어 있다.

자세한 내용은 계속 업데이트 될 예정이며, 잉카인터넷 시큐리티 보안경보는 최고단계인 "위험"이 발령된 상태이다.

상기 동영상은 HD 화질로 선택하시면 좀더 고화질로 확인이 가능합니다.

현재 모든 가능성을 열어두고, 각종 단서와 정보를 수집 중에 있으며, 파괴된 MBR(Master Boot Record)에는 "PRINCPES", "HASTATI", "PR!NCPES" 라는 문자열이 포함된 것으로 확인됐다.

특히, ⓐMBR 영역과 ⓑ파일시스템 영역이 동시에 파괴되기 때문에 데이터 복구가 어려운 상태가 된다.

악성파일은 "JO840112-CRAS8468-11150923-PCI8273V" FileMapping 오브젝트를 생성하여 중복실행을 방지한다.

시스템 하위 경로의 임시폴더(Temp) 하위에 ~v3.log 파일이 존재하면 파괴 기능을 수행하지 않는다.

Taskkill 명령어를 통해서 국내 특정 보안프로그램의 프로세스를 강제 종료한다.

- Taskkill /F /IM pasvc.exe
- Taskkill /F /IM clisvc.exe

Windows 운영체제 버전에 따라 하드 디스크 파괴 기능을 수행한다.

특정 악성파일 내부에 파괴날짜가 포함된 것이 분석되었다. 2013년 03월 20일 오후 2시부터 파괴기능이 동작되도록 만들어져 있다.

특정 변종의 경우 시스템폴더 경로에 "schsvcsc.exe", "schsvcsc.dll" 파일을 생성하고, lsass.exe 정상 프로세스에 인젝션되어 작동되며, 컴퓨터의 시간이 03월 20일 오후 3시 이후부터 MBR 등의 파괴기능을 수행하게 된다.

[전용백신 & MBR Guard]
http://avs.nprotect2.net/nsp2010/downloader/nProtect_KillMBR_.exe
http://avs.nprotect2.net/nsp2010/downloader/nPMBRGuardSetup.exe

* MBR Guard 의 경우 MBR(Master Boot Record)외 VBR(Volume Boot Record) 파괴 기능에 대한 차단 기능을 추가한 새로운 버전을 제공할 예정이다.

'신규 악성 파일 정보' 카테고리의 다른 글

[긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생 (5)	2013/03/20
[주의]KRBanker 악성파일 제작자 하데스(Hades)로 귀환? (1)	2013/02/13
[추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체 (0)	2013/02/04
[주의]실제 공인인증서 서비스에서 암호 탈취를 시도하는 악성파일 (1)	2013/01/25
[주의]OTP 이벤트로 위장한 전자금융사기용 악성파일(KRBanker) (1)	2013/01/19
[주의]안랩 프로그램 사칭 인터넷 뱅킹용 악성파일 (0)	2013/01/18

Posted by nprotect

TAG AgentBase.exe, ApcRunCmd.exe, HASTATI, MBR, MBR Guard, msnlsl.exe, PR!NCPES, PRINCPES, schsvcsc.dll, schsvcsc.exe, shellservice.exe, themeservics.exe, v3servc.exe, 벨리테스, 에퀴티, 트리아리, 프린키페스, 하스타티

트랙백 3개, 댓글 5개가 달렸습니다

이전 1 2 3 4 5 ... 350 다음

[긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생

'신규 악성 파일 정보' 카테고리의 다른 글

트랙백 주소 : http://erteam.nprotect.com/trackback/408

링크

카테고리

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백

글 보관함

달력

« 2013/03 »
일	월	화	수	목	금	토
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31