내부정보 유출 없이 시스템 파괴 기능만 가지고 있는 점이 특징

[보안뉴스 김태형] 안랩 시큐리티대응센터(이하 ASEC)에서는 지난 8월 15일에 공개된 외국 언론 ‘Saudi Aramco says virus shuts down its computer network’을 통해 사우디아라비아의 정유업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생했다는 것을 확인했다고 밝혔다.

추가적으로 ASEC에서 관련 보안위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 ‘The Shamoon Attacks’로 명명한 보안위협과 관련되었음을 파악했다.

Shamoon 보안위협과 관련된 악성코드는 Disttrack로 명명되었으며 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다.

·드로퍼(Dropper): 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드

·와이퍼(Wiper): 실질적인 MBR(Master Boot Record)를 파괴 기능을 수행하는 악성코드

·리포터(Reporter): 공격자가에게 감염된 시스템의 현황을 보고 기능을 수행하는 악성코드

해당 Disttrack는 관리 목적의 공유 폴더인 ADMIN$, C$, D$와 E$ 를 통해 네트워크에 이웃한 시스템으로 자신의 복사본을 전송하여 생성하게 된다.

그리고 감염된 시스템에 존재하는 JPEG 파일을 임이의 데이터로 덮어씀으로 이미지 파일을 정상적으로 사용하지 못하게 한다. 이와 함께 감염된 시스템의 MBR을 파괴하여 시스템의 정상적인 부팅과 사용을 방해하게 된다.

Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명된 악성코드는 V3 제품군에서 모두 다음과 같이 진단한다.

·Win-Trojan/Disttrack.989184

·Win-Trojan/Disttrack.133120

·Win-Trojan/Disttrack.27280 

·Win-Trojan/Disttrack.989184.B

·Win-Trojan/Disttrack.194048

·Win-Trojan/Disttrack.31632 

·Win-Trojan/Disttrack.532992

·Win-Trojan/Disttrack.227840

·Win-Trojan/Disttrack.155136

ASEC는 “현재 해당  Disttrack 악성코드가 계획적으로 정유 업체들을 대상으로 공격했는지에 대해서는 명확하지 않은 상황이다. 그러나 일반적인 타깃 공격(Targeted Attack)과 다르게 내부정보 유출 없이 시스템 파괴 기능만 가지고 있다는 점은 특이 사항으로 볼 수 있다”고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>