지난 7일, 북한발 공격으로 의심되는 악성코드가 발견되었다. 해당 악성코드는 국내에서 서비스 중인 각 종 액티브X 취약점과 플래시 플레이어의 취약점(CVE-2014-0515)를 통해 배포되었다.
 
NSHC(대표 허영일) Red Alert팀은 상세 분석 리포트를 공개하고 “다양한 안티디버깅 기법이 적용되어 있으며 시스템을 감염시킨 뒤 추가 공격을 위해 C&C서버의 명령을 대기한다”며 “감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다”고 강조했다.

 
보고서에는 악성코드 감염시 접속하는 C&C 서버 정보도 공개돼 있다. 또 악성코드 실행시 백신 실행여부를 확인하고 백신이 동작할 경우 악성코드는 자가삭제 동장과 함께 프로세스 종료돼 더 이상 시스템 침해 동작을 하지 않는다고 전했다. 즉 백신이 탐지하면 스스로 동작을 멈추고 삭제처리하고 있다는 것이다. 또 자동분석 시스템인지 확인되어도 악성코드는 행동을 멈추게 되어 있다.
 
만약 악성코드가 시스템에 감염될 경우, OS버전, 컴퓨터 이름, 맥어드레스, C&C 정보 등을 수집해 공격자 C&C 서버로 전송한 뒤 명령을 대기한다. 서버의 특정 명령이 내려지면, 파일을 추가로 다운받아 2차 공격을 실행하게 되는 방식이다.
 
Red Alert팀은 “기존 악성코드에서는 커스텀패킹을 이용해 코드를 보호하고 백신을 우회하건나 가상머신을 탐지하는 등 안티디버깅 기법이 적용되었다. 더불어 이번 샘플에서는 추가적으로 자동분석 시스템을 탐지하는 로직이 발견됐다”며 “악성코드를 분석할 때, 점점 지능화되는 악성코드의 안티디버깅 기법을 고려해 분석을 해야 할 것으로 판단된다”고 밝혔다.
 
보다 자세한 분석 내용은 Red Alert팀 페이스북 페이지와 데일리시큐 자료실에서 다운로드 가능하다.
-Red Alert팀: www.facebook.com/nshc.redalert?ref=profile
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com