6.25 사이버공격 관련 추가로 발견된 악성파일에 의해서 시스템 파괴기능의 악성파일이 특정 사이트에서 다운로드되어 유입된 정황이 확인되었다.
 
아래는 잉카인터넷에서 추가로 발견된 악성코드에 대해 분석한 내용이다.
 
잉카인터넷 대응팀 관계자는 “해당 파일이 실행되면 가장 먼저 GetSystemDirectoryA API 함수를 이용하여 시스템 경로 하위에 "icfg" 이름의 폴더존재 여부와 속성을 확인 후 존재하지 않을 경우 "icfg" 이름의 폴더를 생성한다. 그 다음 국내 특정 호스트로 접속해 08.gif 파일이 존재할 경우 다운로드하여 "icfg" 폴더에 "logo.gif" 이름으로 저장한다”고 설명했다.
 
이후에 특정 호스트로부터 services.exe, lsass.exe 파일이 "icfg" 폴더에 생성되고 실행된다.
"services.exe" 파일은 실행시 OpenMutexA API 함수를 통해서 자신의 감염여부를 우선 체크하고, "RPCSECURITY_1358234201_56878293" 값이 존재하지 않을 경우 해당 Mutex 를 생성하고 실행된다.
 
ResourceType에 "IMG" 이름의 "1013", "1014" 2개의 리소스를 포함하고 있으며, 각각 특정 네트워크의 IP 대역대 및 계정정보 등이 XOR 로직으로 암호화되어 있다.
 
XOR KEY 0x78 로 복호화가 완료되면 "1013" 리소스에는 특정 컴퓨터 및 네트워크 IP대역의 고유한 계정정보 등이 존재하며 "1014" 리소스에는 바탕화면 변경 및 각종 파일과 MBR 파괴기능의 악성파일이 존재한다.
 
"1014" 리소스에 숨겨져 있는 파괴기능을 보유한 악성파일은 윈도우 하위 임시폴더에 TMP(임의).nms 파일로 생성시킨다. TMP(임의).tmp 파일은 0바이트로 생성된다. 시스템 하위폴더에는 "wlandlg.nms" 파일을 생성하고 내부에는 "DCOMEventLaunch" 등과 같은 이벤트를 기록한다.
 
암호화되어 있던 리소스 "1013" 코드에 포함되어 있던 네트워크 설정값을 이용해서 임의 접속을 시도하고, 단순계정 정보의 사전대입법 등을 이용한다.
 
공유 네트워크에 연결된 컴퓨터 중에 단순한 암호를 사용하는 컴퓨터가 존재하는 경우를 확인하기 위해서 암호 사전대입공격 기법을 활용하거나 생성되는 파괴기능의 악성파일명이 다양하게 설치되어, 자신을 숨기기 위한 목적으로 하드코딩된 악성파일명을 선택적으로 선정한다.
 
공유 네트워크로 파괴기능의 악성파일을 전파시키기 위해서 TCP 139/445 포트를 통해 지속적인 네트워크 스캐닝을 진행하고 이 때문에 컴퓨터에 다소 부하가 발생하게 된다.
 
공유 네트워크의 접근이 가능할 경우 시스템 경로를 공유폴더로 설정하기 위해서 NET SHARE 명령을 이용하게 된다.
 
보안이 상대적으로 취약한 네트워크 공유폴더 설정이 성공하면, CopyFileA API 함수를 통해서 파괴기능의 악성파일을 복사시도하고, GetFileTime API 함수를 통해서 계산기(calc.exe) 파일의 생성시간으로 악성파일을 설치해, 최근에 생성되지 않은 파일처럼 자신을 은폐시킨다. 그 이후에 NET SHARE shared$ /delete 파라미터를 이용해서 공유폴더를 제거하여 유입흔적을 지운다.
 
공유 네트워크에 생성되는 악성파일은 총 10가지(recdiscm.exe, taskhosts.exe, taskchg.exe, rdpshellex.exe, mobsynclm.exe, comon32.exe, diskpartmg.exe, dpnsvr32.exe, expandmn.exe, hwrcompsvc.exe)의 파일명 중 하나로 정해져 실행을 하게 되는데, 앞서 악성파일 숙주가 생성한 시스템 하위 경로의 "icfg" 폴더와 "lsass.exe" 파일 존재를 확인하고 존재할 경우 종료하고 없는 경우 실행된다.
 
"icfg" 하위 경로에 "lsass.exe" 이름의 악성파일이 존재한다는 것은 이미 네트워크에 악성파일을 전파시키는 Spread PC 로 활동을 하고 있었기 때문에 악성파일은 이 조건을 가장 우선적으로 체크하게 되는 것이다. 악성파일의 파괴기능은 이렇게 내부 공유 네트워크를 통해서 전파되는 과정을 거치며, 다양한 Case 조건에 따라 동작을 한다. 또한, 개별 인자선언에 따라 감염된 컴퓨터의 정보를 수집하거나 일부 윈도우 서비스 종료, 관리자 권한 설정, 바탕화면 이미지 설정 등의 명령을 수행하게 된다.
 
더불어 4,636 (0x121C) 바이트의 "i18n.nms" 파일이 존재하는지 크기를 비교하고, 내부에 암호화되어 저장되어 있는 실행시간 정보와 MBR 파괴 및 암호 변경 등의 정보를 비교하는데 사용한다.
 
"lsass.exe" 파일은 실행시 (임의파일명).tmp.bat 파일을 생성하고 실행하여 감염된 컴퓨터의 계정 암호를 "highanon2013" 으로 변경하여 기존사용자가 로그인하지 못하게 방해한다.

 
해킹된 피해 컴퓨터는 로그인 암호가 변경되었기 때문에 "hinganon2013"으로만 로그인이 가능하고, 공격자는 자신만이 감염 컴퓨터에 접근할 수 있도록 조치하는 기법을 악성파일 변종마다 다양하게 사용했다.
 
윈도우 임시폴더(Temp) 경로에 "_dbg_log.nms", "_dbg_log_(PID).nms" 형식의 파일을 생성하고, 각종 컴퓨터 정보를 저장한다
 
"_dbg_log.nms" 파일에는 개별적으로 실행된 프로세스별(PID) 디버그(Debug) 로그를 종합하여 기록하며, "AccessNetMgr" 서비스로 자신을 등록한다. 또한, 시작시간 및 각종 명령어의 로그를 기록해서 악성파일 전파서버로 활용하기 위한 준비과정으로 추정된다.
 
악성 파일은 AccessNetMgr"이라는 이름의 서비스로 자신을 등록하며, 설명에는 마치 모바일 브로드밴드 관련 내용추럼 위장하고 있다.
 
시스템 폴더에는 "ibmcenter.nms" 이름의 설정파일을 생성한다. "lsass.exe" 파일도 내부적으로 MBR 파괴명령을 수행할 수 있도록 기능을 가지고 있다.
 
또 6월 25일 청와대 홈페이지가 해킹을 당한 오전 9시 전후로 티브로드, 아름방송, 제주방송, 이데일리TV, 한국정책방송 KTV 보도정보시스템이 해킹으로 뚫렸다고 일부 언론사를 통해서 공식 보도화 되었다.
 
일부에선 영상이 삭제되는 피해를 입었다고 알려졌으며, 이데일리TV 관계자는 오전에 갑작스럽게 내부 컴퓨터 화면에 어나니머스를 상징하는 바탕화면이 뜨고, 시스템이 불통됐다고 밝혔다. 티브로드는 종합유선방송사업자(System Operator)의 지역뉴스를 만드는 보도시스템 서버가 해킹을 당했다고 한다.
 
아름방송의 경우 2013년 7월 3일까지도 웹 사이트가 정상적으로 운영되지 못하고 있는 상황이다.
 
매일신문과 대구일보 등 대구지역 신문사 2곳의 기사작성 송고시스템도 알 수 없는 장애가 발생하였던 것으로 알려졌다.
 
잉카인터넷 대응팀은 “6월 25일 오전 6시경에 제작된 악성파일이 어떤 과정을 통해서 특정 신문사의 내부에 전파되었고, MBR 및 데이터를 파괴했는지 프로파일링과 타임라인을 통해서 확인된 내용을 최초로 공개한다”며 “신문사에 따라 공격에 이용된 일부 악성파일은 2013년 3월 초에 제작된 경우도 존재하고 데이터 파괴 기능용은 2013년 6월 25일 제작된 것이 존재한다”고 밝혔다.
 
또 “특정 악성파일의 기능분석에 의해 공식 확인된 바에 의하면 신문사 내부적으로 활용하는 보도제작 및 관리 프로그램의 업데이트 기능을 해킹하고 변조하여 네트워크에 은밀하게 전파시켰던 것으로 파악되었다”고 설명했다.
 
공격자들은 업데이트 프로그램에 악성파일을 교묘하게 추가하고, 별도의 다운로드 기능 등을 추가했다. 이렇게 업데이트 프로그램이 변조되면 이용자가 새로운 패치작업을 하는 과정에 악성파일에 노출되게 되며 신문사나 환경에 따라 악성파일은 맞춤형으로 제작되었다.
 
팀 관계자는 이번 신문사 내부 프로그램의 업데이트 기능을 위변조해 악성파일을 설치했던 기능이 앞서 국내에서 발생했던 다수의 사건들과 어떤 부분에서 유사한지 아래와 같이 정리하고 있다.
 
2009년 7월 4일부터 발생한 7.7 DDoS 공격과 2011년 3월 3일부터 발생한 3.3(4) DDoS 공격 등은 특정 웹하드 업체들이 사용하는 다운로드 프로그램을 변조해 업데이트 시 악성파일에 노출되도록 이용하였고, MBR 파괴 등을 삭제하는 공격적 기능도 함께 수행했다.
 
2011년 4월 12일 발생한 농협 전산망에 대한 대규모 마비사태도 서버 유지보수를 담당하고 있는 외주업체 직원 한국IBM 한모씨가 2010년 9월 4일 경 특정 웹하드를 통해서 악성파일에 감염되면서 최대 7개월 가량 최고위 관리자 암호 등 전산망 관리를 위한 각종 정보가 탈취되고, 도청 프로그램이 설치되었던 것으로 밝혀진 바 있다.
 
2013년 3월 20일 발생한 방송사와 금융기관에 대한 사이버테러는 북한이 적어도 8개월 전부터 치밀하게 준비해 감행한 것이라는 것을 정부에서 공식발표한 바 있고, 악성파일은 기업내부에서 사용하는 특정 보안기업의 중앙관리서버와 업데이트 기능 등을 통해서 내부 사용자들에게 전파된 사례가 공개된 바 있다.
 
2013년 5월 31일 감지된 3.20 변종 악성파일의 경우는 특정 보안제품의 업데이트 모듈을 통해서 은밀하게 전파 중이던 정황이 이스트소프트에 의해서 최초 포착되었고, 잉카인터넷 대응팀과 연합으로 공조대응해 조기에 차단 조치함으로써, 추가적인 피해가 발생하는 것을 미연에 방지할 수 있었다.
 
잉카인터넷 대응팀 관계자는 “상기 사례를 비추어 일련의 과정을 종합적으로 비교해 보면 공통적으로 Drive By Download 방식을 거의 이용하지 않는 다는 것이다. 그들은 파일 공유 사이트 등에서 사용하는 정상 프로그램을 고의적으로 변조하거나 특정 보안솔루션의 서비스를 악용하고 있다”며 “이런 수법은 각종 보안 취약점을 이용해서 불특정 다수가 방문하는 웹 사이트를 통해서 전파시키는 악성파일 감염방식과는 크게 구분된다. 따라서 웹 사이트 방문만을 통해서 전파되는 악성파일이나 해킹 여부만을 집중관제하는 방식으로는 탐지자체가 불가능하고 매우 은밀하고 조용하게 특정조직들을 상대로 공격이 감행되고 있다는 것”이라고 설명했다.
 
또 “지난 6월 25일부터 발생하고 있는 6.25 사이버전도 같은 맥락에서 중요한 공통점이 확인되었고, 그것은 바로 일부 언론사에서 사용하는 특정 프로그램의 업데이트 기능이 악용되어 악성파일 전파에 사용된 정황이 포착된 것”이라고 밝히고 대표적인 사례를 공개했다.
 
먼저 해당 악성파일은 MutexName 값을 "HighAnon_Teras1"이라고 생성해 중복적으로 악성파일이 실행되지 않도록 만든다. HighAnon 이라는 문자열은 6.25 사이버전용 악성파일과 해킹사고에서 꾸준히 사용되고 있는 문자열이다. 일종의 작전명(Operation)이라 볼 수 있고, Teras는 사전적인 의미가 경사지 따위를 층층으로 깎은 대지 또는 베란다라는 명사로 사용되는데, 마치 테라스에서 공격지를 관제하고 지령을 내린다는 의미로 명명된 것으로 보인다.
 
C&C 서버인 210.127.39.29 호스트로 접속을 시도하지만 현재는 정상적으로 통신하지 않는다.
 
악성파일은 내부에 4개의 리소스를 가지고 있고, "150" 항목의 리소스에는 특정 프로그램의 업데이트 설정값이 포함되어 있다. 이 데이터와 FindResourceExA API 함수를 통해서 특정 신문사의 서버경로에 존재하는 정상프로그램을 악성파일로 교체하는 작업을 수행하게 된다.
 
파일에 포함되어 있는 리소스는 High Anon의 약자인 HA라는 문자열과 영문 숫자 등이 임의로 조합되고, 사용자 계정 하위의 임시폴더(Temp)에 tmp 확장자명으로 생성한다.
 
tmp 파일 중 일부는 악성파일이 실행된 시스템 하위의 "icfg" 경로에 nms라는 확장자명으로 일부 파일을 생성한다. 파일은 "bex.nms", "dex.nms", "xl.nms" 등이다.
 
"dex.nms" 파일은 해당 신문사의 서버에 변조되어 등록된 다운로더 기능의 악성파일이며,  6월 25일 오전 6시 경에 제작되었다.
 
"xl.nms" 파일은 모듈 업데이트에 사용되는 XML 파일이며, 특별한 Hash 무결성 체크 등의 기능이 없고, 데이터 베이스 암호화 등에 대한 보안기능이 적용되어 있지 상대적으로 쉽게 변조가 가능한 상태이다.
 
이처럼 정상적인 프로그램의 모듈 업데이트 기능과 내용을 위변조해 특정 신문사 내부의 네트워크에 다수의 악성파일을 전파시키는 용도로 사용한 것이다. 특히, 감염된 컴퓨터의 모든 드라이브에 존재하는 데이터 및 MBR 파괴의 기능이 작동하여 수 많은 데이터가 유실되는 피해가 발생하게 된다.
 
잉카인터넷 대응팀 관계자는 “우리 팀은 6월 25일부터 1주일 넘게 지속적인 악성파일 추적 및 역학조사를 수행하고 있으며 아직까지도 알려지지 않은 악성파일이 다수 존재할 것으로 보고 있다”며 “2009년 7.7 DDoS 대란 때부터 7.1 사이버 전까지 사이버공격을 일삼는 조직들은 보안 모니터링을 우회하고, 특정 조직에 대한 전문화된 정찰 및 침투, 정보수집 공격 등을 반복적으로 수행하고 있다는 점을 명심해야 한다. 더불어 각종 정상 프로그램의 업데이트 기능을 악용하는 공통점이 있다는 점에 주목하고 보안성 강화에 다양한 투자와 관심이 요구된다. 또한 Drive By Download 기법을 통해서 불특정 다수에게 전파되는 온라인 게임 및 금융정보 탈취형태의 사이버범죄형 악성파일 종류와는 공격기법과 목적이 크게 다르다는 것을 잊지 말아야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com