에스이웍스·와우해커, 이번 사이버테러 분석보고서 발표
MBR영역에 ‘HASTATI’라는 문자열 대량 삽입해 부트로더 파괴

[보안뉴스 김태형] 에스이웍스(대표 홍민표)는 지난 20일 발생한 방송사 및 금융권 전산망 마비 사태와 관련, 에스이웍스 연구원이 해당 악성코드 샘플을 입수해 분석한 결과를 발표했다.

에스이웍스 측은 분석결과 “아직 패치되지 않은 제로데이 취약점 등을 이용한 APT 공격으로 추정하고 있다. 이번 공격은 KBS·MBC·YTN 등의 방송사와 농협·신한은행·제주은행 등의 금융권을 타깃으로 감염된 시스템들을 불능 상태로 만들기 위해 악성코드는 MBR(Master Boot Record) 영역에 ‘HASTATI.’라는 문자열을 대량 삽입해 부트로더를 파괴한다”고 설명했다.

‘HASTATI’는 로마군 보병대의 3개 대열 중 맨 앞줄 선봉부대라는 뜻으로 제1열이 무너지면 제2, 제3 열이 싸운다는 의미여서 제2, 제3의 해커 공격 가능성을 암시한다는 추측도 있다. 지난 2009년 ‘7.7 디도스 대란’ 때도 첫 공격 이후 24시간 만에 2차 공격이 있었다.

Reboot and Select proper Boot Device or Insert Media in Selected Boot Device and press a key

분석 결과 부팅시 위와 메시지를 확인할 수 있다. 하지만 부팅이 되지 않는다.

입수한 악성코드파일을 디버깅(분석)해보면 아래와 같은 문자열들을 메모리에서 참조해 MBR 영역을 덮어쓰게 된다.

덮어썼을 때의 모습은 아래와 같다.

마스터(Master)의 명령이 전달되면, SeShutdownPrivilege() Native API를 호출해 shutdown 명령을  실행할 특권을  확보하고 ‘shutdown -r -t 0’ 명령을 실행해 컴퓨터를 강제 종료하는 기능이 포함되어 있으며 pasvc.exe, clisvc.exe를 taskkill 명령을 이용해 강제 종료시키는 기능도 있다고 에스이웍스 측은 분석했다.

Pasvc asvc 정보

제품: Ahnlab Policy Agent

회사: Ahnlab Inc.

설명: paSvc

Clisvc 정보

제품: VIRobot ISMS

회사: Hauri

설명: Service for VISMS Agent

또 PhysicalDrive0 디바이스에 접근하여 MBR의 위치를 찾아 상기 기술한 문자열로 덮어씌우는 부분도 찾을 수 있으며, v3.log 파일에 액세스하는 부분도 있다.

특징은 2013년 3월 20일 14시 00분이 넘어가면 코드를 실행한다. 그 이전에는 절대로 코드를 실행하지 않는다.

에스이웍스 측은 이에 대한 임시대응방안으로 “해당 공격은 제로데이 취약점을 동반한 APT 공격으로서, C&C 서버 IP 확보 후 차단 및 게이트웨이 종류로 외부망과 연결하는 대역의 감시를 강화해야 하며 모든 서비스를 항상 최신 버전으로 유지해야 하고 아래 파일들에 대한 필터 및 감시 또한 필요하다”고 강조했다.

apcruncmd.exe, imbc.exe, kbs.exe, sbs.exe, Bull.exe, asd.exe, Sun.exe, 38.exe, 39.exe, Sad.exe, v3lite.exe, down.exe

한편, 손충호 와우해커 연구원도 20일 방송사와 금융사 전산망을 마비시킨 악성코드 바이너리에 대한 상세한 분석 보고서를 와우해커 홈페이지에 공개했다.

이 분석보고서를 통해 손 연구원은 해커가 악성코드를 이용해서 피해를 입은 방송사와 금융사 직원들의 PC가 강제종료 될 때까지의 과정을 자세하게 밝혔다.

보고서 결론에서는 이 모든 과정을 모두 통과하면 자동으로 윈도우가 재부팅 또는 종료된다. 기존 C드라이브 같은 경우도 Dummy 값으로 일부 덮어버렸기 때문에 MBR을 복구한다고 할지라도 쉽게 C드라이브 같은 영역은 복구하기 힘들 것이라고 분석했다.

이 와우해커의 분석 보고서는 wowhacker.com/board.php에서 다운로드 받을 수 있도록 공개하고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>