2024-03-29 19:05 (금)
[6.25 해킹] NSHC RedAlert팀 분석 보고서 최종본 발표!
상태바
[6.25 해킹] NSHC RedAlert팀 분석 보고서 최종본 발표!
  • 길민권
  • 승인 2013.06.26 20:34
이 기사를 공유합니다

“청와대 홈페이지 해킹은 웹쉘 공격으로 추정…오랜 기간 준비된 공격”
NSHC(대표 허영일) RedAlert팀에서 6월 25일 발생한 사이버테러 분석 보고서 최종본을 자신들의 페이스북 페이지에 공개했다.
 
팀 관계자는 “최종본에는 입수한 DDoS 악성코드 분석 정보와 피해 현황 및 복구 현황이 포함돼 있다”고 설명했다.

 
특히 청와대 홈페이지 변조와 관련해서는 “청와대 해킹 동영상을 토대로 대략 추정한 결과 공격 대상인 청와대 웹서버 플랫폼은 ‘솔라리스 10 Sparc machine’으로 추정된다. 해당 영상에서는 쉘을 사용해 자동으로 back-end 실행되어 정확한 취약점 정보를 확인할 수 있는 없지만 WAS 취약점 혹은 게시판 글쓰기를 통한 파일 업로드 및 다운로드 취약점으로 추정된다”고 언급했다.
 
또한 “파일 업로드 및 다운로드 취약점을 토대로 영상을 분석한 결과 웹쉘 공격에 무게가 실리고 있다. 근거로는 영상에서 w3b_avtix 툴이 동작되는 도중 패턴 분석과 스캐닝을 하는 과정이 확인됐고 공격에 성공한 후 최초 쉘 경로와 uid, gid가 999(www)로 설정되어 있었던 것을 들 수 있다. 단순히 툴을 이용한 웹 사이트 변조는 오랜 기간 준비된 공격 형태로 추정된다”고 설명했다.

 
DDoS 공격 과정에 대해서도 상세하고 언급하고 있다. 보고서에 따르면, “악성코드 명은 wuauieop.exe다. 악성코드가 제작된 시간은 6월 24일 09시 45분경으로 확인됐고 악성코드 샘플의 디버그 스트링 정보를 확인한 결과 Themida 패킹으로 확인됐다”고 밝혔다.  
 
또 “Themida로 패킹되어 있는 악성코드를 언패킹하면 UDP 소켓을 생성하고 DNS포인트 53번 포트로 IP 주소를 설정한다. 이때 악성코드는 두 개의 스레드를 이용해 반복 공격을 수행한다”고 설명했다.
 
RedAlert팀이 공개한 6월 25일 사이버테러 분석 보고서 최종본은 팀 페이스북에서 다운로드 가능하며 데일리시큐 자료실에서도 다운로드 가능하다.
- www.facebook.com/nshc.redalert
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★