2024-04-26 14:00 (금)
[6.25 해킹] “범용 가상화 기반 샌드박스 장비마저 우회하는 악성코드였다”
상태바
[6.25 해킹] “범용 가상화 기반 샌드박스 장비마저 우회하는 악성코드였다”
  • 길민권
  • 승인 2013.06.26 14:22
이 기사를 공유합니다

파이어아이 “6.25 사이버전, 진화된 악성코드에 의한 보안기술 무력화가 핵심”
지능형 사이버 공격 방어 전문기업 파이어아이 코리아(지사장 전수홍 www.fireeye.com)가 25일 주요 정부기관의 전산 시스템을 마비시킨 소위 ‘625 사이버테러’에 대한 분석 리포트를 발표했다.
 
‘625 사이버테러’는 웹하드 파일을 변조하는 방법을 통해서 악성코드를 다량으로 유포하였으며, 유포된 악성코드를 통해서 좀비PC를 생성하고 대규모 봇넷을 구성하여 지정된 시간에 DDoS 공격을 수행하도록 동작된 것으로 밝혀졌다. 

 
업체 관계자는 “이번 사이버테러에 사용한 악성코드는 기업들이 기존에 사용하던 보안 기술을 무력화하기 위해 이전에 비해 매우 진화되고 지능적인 기술을 사용했다”며 “지난 320 사태와 같이 사용자가 신뢰할 수 있는 사이트를 통해 악성코드가 배포되었다. 이번 악성코드는 최근의 사이버 공격의 주요한 흐름인 “알려지지 않은 악성코드”여서 대부분의 백신에서도 탐지가 되지 않는다”고 설명했다.
 
또한 “여기에서 한 단계 더 진화해 가장 최신의 악성코드 탐지 기술로 알려진 가상화 기반의 샌드박스에서는 악성행위를 하지 않음으로, 해당 보안기술을 우회하는 치밀함까지 보여줬다”며 “더군다나 안티-디버깅(Anti-Debugging) 등의 기능이 포함된 themida packer라는 팩킹 기술을 활용하여 분석 및 탐지를 어렵게 해 범용 가상화 기반의 샌드박스에서는 분석이 거의 불가능하게 만들어졌다”고 덧붙였다.
 
즉, “이전에 발견된 악성코드들과 달리 매우 지능적으로 악성행위를 하므로 백신은 물론 현재 APT 솔루션이라고 분류되는 대다수의 장비에서도 탐지가 불가능할 것으로 추정된다”는 것이다.   
 
이는 누구나 쉽게 접할 수 있는 범용 가상화 제품 기반 탐지 기술로는 빠르게 진화하는 지능형 악성코드와 그로 인해 발생하는 신종 사이버 공격을 막기에는 어려움이 있다는 것을 단적으로 보여주는 것이다.
 
파이어아이 코리아 전수홍 지사장은 "이번 625 사이버테러는 다수의 개인 PC가 악성코드에 의해 좀비PC화 되어 사이버 공격에 사용되었으나, 향후 기업 및 공공 기관의 내부 PC가 유사한 악성코드에 의해 장악되는 경우 그 피해는 심각한 재난으로 이어질 수 있다”라며, “이번 사건을 계기로, 기업 및 공공 기관의 보안 부서는 알려지지 않은 지능형 악성코드 방어를 위해 새로운 기술 도입과 통합 방어 시스템 구현 검토가 시급히 요청된다”라고 밝혔다.
 
◇공격 방법 및 악성코드 분석 내용
파이어아이에서 분석한 공격 방법 및 악성코드 분석 내용은 다음과 같다. 이번의 공격의 최종 형태는 DDoS 형태를 보이고 있지만, 실제로는 해커 그룹이 생성한 악성코드를 이용해서 다수의 PC를 좀비화 시키고 대규모 봇넷을 구성한 후에 특정 사이트를 DDoS로 공격한 사례이다.
 
1. 파일공유 사이트인 Simdisk 해킹
2. 해당 사이트에서 파일다운로드 시 사용되는 실행파일인 Simdisk.exe 파일에 대한 변조(해킹)
3. 해당 사이트 접속한 사용자에 의한 다운로드
4. 사용자 PC 에 다운로드 된 Simdisk.exe 에서 www.habang.co.kr/images/korea/c.jpg 다운로드 실행
5. c.jpg가 추가로 악성행위가 내포된 파일들을 다운로드 하여 해당 PC를 좀비PC화 시킴
6. 이후 추가적으로 생성되는 파일에서 시스템의 시간을 체크하여, 2013-06-25 10:00가 되었을 때 DDoS공격이 감행되도록 동작
7. 최종적으로 DNS 서버 공격 감행(*.gcc.go.kr)에 대한 대대적인 공격으로 주요 정부사이트 마비 *부분은 랜덤 값으로 채워짐
 
이번 파이어아이 분석 보고서는 데일리시큐 자료실에서도 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★