2013 년 03 월 20 일 오후 2 시경 3 대 방송사 및 일부 금융권을 대상으로 한 사이버 공격이 발생하였다. 당사 연구원이 해당 악성코드 샘플을 입수해 분석한 결과, 아직 패치되지 않은 제로데이 취약점 등을 이용한 APT 공격으로 추정하고 있다.
피해시스템
금융권 |
언론사 |
| 농협 신한은행 제주은행 |
KBS |
공격과정
감염된 시스템들을 불능 상태로 만들기 위해 악성코드는 MBR(Master Boot Record)영역에 ‘HASTATI.’ 라는 문자열을 대량 삽입해 부트로더를 파괴한다.
| Reboot and Select proper Boot Device or Insert Boot Media in Selected Boot Device and press a key 부팅시 위 메시지를 확인할 수 있음[부팅이 안됨] |
입수한 악성코드파일을 디버깅(분석)해보면, 아래와 같은 문자열들을 메모리에서 참조해 MBR 영역을 덮어쓰게 된다.
덮었을 때의 모습은 아래와 같다.
마스터(Master)의 명령이 전달되면, SeShutdownPrivilege() Native API 를 호출해 shutdown 명령을 실행할 특권을 확보하고, ‘shutdown -r -t 0’ 명령을 실행해 컴퓨터를 강제 종료하는 기능이 포함되어 있으며 pasvc.exe, clisvc.exe 를 taskkill 명령을 이용하여 강제 종료시키는 기능도 있다.
Pasvc 정보
Clisvc 정보
PhysicalDrive0 디바이스에 접근하여 MBR 의 위치를 찾아 상기 기술한 문자열로 덮어씌우는 부분도 찾을 수 있으며, v3.log 파일에 액세스하는 부분도 있다.
특징은 2013 년 3 월 20 일 14 시 00 분이 넘어가면 코드를 실행한다. 그 이전에는 절대로 코드를 실행하지 않는다.
임시대응방안
해당 공격은 제로데이 취약점을 동반한 APT 공격으로서, C&C 서버 IP 확보후 차단 및 게이트웨이 종류로 외부망과 연결하는 대역의 감시를 강화해야 하며 모든 서비스를 항상 최신 버전으로 유지하여야 하며, 아래 파일들에 대한 필터 및 감시 또한 필요하다.
apcruncmd.exe, imbc.exe, kbs.exe, sbs.exe, Bull.exe, asd.exe, Sun.exe, 38.exe, 39.exe, Sad.exe, v3lite.exe, down.exe |
'이슈토픽 > IT/과학' 카테고리의 다른 글
| GOOGLE NOSE BETA 구글의 새로운 기능! (0) | 2013.04.01 |
|---|---|
| 방송사·금융사 전산망 마비시킨 악성코드 치료 전용백신 배포 (0) | 2013.03.22 |
| 넥서스4, 5개월 지각 국내 출시 (0) | 2013.03.09 |
| 세계에서 가장 작은 휴대전화 (0) | 2013.03.09 |
| 투명한 유리 스마트폰 (0) | 2013.02.10 |
