2024-03-28 17:45 (목)
북한에서 직접 바이러스토탈에 올린 '실리 왁찐' 사칭 악성코드...이례적
상태바
북한에서 직접 바이러스토탈에 올린 '실리 왁찐' 사칭 악성코드...이례적
  • 길민권 기자
  • 승인 2019.03.23 17:45
이 기사를 공유합니다

▲ 북한에서 직접 바이러스토탈에 올린 '실리 왁찐' 사칭 악성코드 실행화면
▲ 북한에서 직접 바이러스토탈에 올린 '실리 왁찐' 사칭 악성코드 실행화면
3월 15일 바이러스토탈 사이트에 흥미로운 악성코드 하나가 올라왔다. 바로 북한에서 제작된 것으로 알려진 일명 '실리 왁찐(Sili Anti Virus Scanner)'이라는 악성코드가 올라온 것이다.

북한에는 '클락새(Kulak)'라는 이름의 바이러스 백신프로그램이 있다. 이는 마치 '벌레를 잡아먹는 새'의 상징적 의미처럼 컴퓨터에 존재하는 웜(악성 코드)을 제거한다는 의미를 가지고 있으며 북한에서는 '백신' 대신 '왁찐'이라는 한글 표기를 쓰고 있다. 이외에도 '신기(Singi)', '실리 왁찐(Sili Anti-Virus)' 등의 윈도우용 백신 프로그램이 개발되어 있다.

특히, '실리 왁찐' 프로그램의 경우 2018년 5월 보안기업 체크포인트에서 'SiliVaccine: Inside North Korea’s Anti-Virus' 게시글을 통해 자세한 분석자료를 공개한 바 있다.

이스트시큐리티 ESRC 측은 "3월 23일, 바이러스토탈 사이트에 북한에서 제작된 것으로 알려진 일명 '실리 왁찐(Sili Anti Virus Scanner)'이 며칠 전 등록된 것을 확인했고 상세한 분석을 진행한 결과 새로운 악성코드로 확인됐다"며 "특히 이 악성 파일이 북한 지역에서 업로드 되었다는 점에 주목하고 있다. 다른 국가들에 비해 외부 네트워크 접속이 자유롭지 않은 북한에서 인터넷 망을 통해 최신 악성파일을 외부 웹 사이트로 등록했다는 점은 매우 흥미로운 점이다"라고 말했다.

물론 지난 2012년과 2014년에도 이와 유사한 사례가 있었다. 당시에는 디버그 및 릴리즈용 프로그래밍 버전의 악성코드가 'TEST.exe' 이름으로 실제 업로드된 적이 있었다.

이번에 식별된 파일이 북한 내부의 실제 침해사고와 관련성이 있는지 아니면 다른 컴퓨터 보안 제품들의 악성여부 탐지 테스트를 한 것인지는 아직 불분명하다. 해당 악성파일에 감염될 경우 키보드 입력 내용이 유출되거나 공격자의 추가 명령에 따라 여타 예기치 못한 피해로 이어질 수 있다.

ESRC는 이번 악성 파일의 위협배후에 다양한 가능성을 열어두고 있으며 악성 코드가 실행되면 '평양 광명 정보 기술사' 표시로 현혹했다는 점 그리고 북한 지역에서 발견되었다는 특징을 종합해 '오퍼레이션 다크 평양(Operation Dark Pyongyang)'으로 명명했다.

북한 지역에서 바이러스 토탈에 업로드된 파일은 구글 크롬 브라우저로 다운로드한 임시파일명(Unconfirmed 10525.crdownload)을 가지고 있었으며, RAR 압축파일 형태다. 압축 내부에는 'Sili Anti Virus Scanner.exe' 파일이 포함되어 있다.

압축 파일은 바이러스토탈 기준, 2019년 3월 15일에 업로드됐고 압축 내부에 존재하는 'Sili Anti Virus Scanner.exe' 파일은 한국 시간 기준으로 2019년 3월 13일 10시 8분에 제작되었다.

실제 파일이 제작된지 얼마 지나지 않은 시점에 북한 지역에서 인터넷을 통해 파일이 올려진 것을 알 수 있다.

'Sili Anti Virus Scanner.exe' 파일은 '실리 왁찐' 프로그램 아이콘과 속성 정보를 보유하고 있다. 파일이 실행되면 실제 프로그램과 거의 흡사한 화면이 나오고 [START SCAN] 버튼이 보여진다.

만약, [START SCAN] 버튼을 클릭하게 되면 실제 검사 진행바가 동작하고 마치 시스템을 검사하는 것처럼 보인다.

하지만 실제로는 보안기능은 전혀 존재하거나 작동하지 않고 은밀히 추가 악성 파일을 컴퓨터에 설치하고 작업 스케줄러를 통해 지정한 시간마다 악성 파일이 자동으로 실행되도록 설정한다.

사용자는 여기까지 화면을 보고, 해당 프로그램의 작동이 정상적으로 끝난 것으로 인식하고 프로그램을 종료하게 된다. 그러나 이때부터 해당 프로그램에 숨겨져 있던 악성 코드가 작동하고 컴퓨터의 정보 탈취를 시도하는 기능을 수행하기 시작한다.

먼저, 'Sili Anti Virus Scanner.exe' 파일은 32비트로 만들어진 실행파일로 1개의 'DATA' 리소스 영역이 존재한다. 프로그램이 작동된 후 [START SCAN] 명령이 작동하면, 해당 리소스에 포함된 코드가 로드된다.

'DATA' 영역에 포함되어 있는 '137' 리소스 코드는 2단계로 인코딩 처리되어 있다. BASE64 방식과 0xFF 키 값으로 XOR 연산을 해 내부 코드를 암호화해 두었고 복호화 과정이 진행되면 또 다른 페이로드(Payload) 코드가 경로에 생성된다.

생성되는 'mbmob.exe' 코드는 64비트로 제작되었기 때문에 윈도우 64비트 운영체제만 감염대상으로 삼고 있다. 악성 파일은 작업 스케줄러에 'Emergency Updater' 이름으로 등록하고 2019년 1월 1일 오후 12시에 트리거된 후 무기한으로 10분마다 반복되도록 설정한다.

작업 스케줄러에 의해 트리거가 작동하게 되면 C2 서버로 통신을 시도하게 되며 파워쉘이나 CMD 명령 등을 실행할 수 있다. C2 서버는 FreeDNS (freedns.afraid.org) 서비스로 등록이 된 것으로 보인다. 'keylog.txt' 파일을 통해 컴퓨터 키로깅 데이터 등을 수집할 수도 있다.

ESRC 측은 "해당 악성코드가 은밀하게 수행하는 통신 기능에 주목하고 있으며 유사 보안 위협에 대한 모니터링을 강화하고 있다"고 밝혔다.


-국내 최대 개인정보보호&정보보안 컨퍼런스 <G-PRIVACY 2019> 4월 10일 개최. 7시간 보안교육 이수 가능.

-사전등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★