추가적인 국내외 정보 신속하게 분석·배포

[보안뉴스 김태형] 위협관리시스템(TMS, Threat Management System) 전문 기업인 코닉글로리(대표 조명제)는 3.20대란과 관련된 지속적인 위협 정보 분석을 통해 2차 피해 확산에 총력을 기울이고 있다.

특히 자사의 TMS 제품과 연계된 글로벌 정보보안 분석 보고서인 DeepSight와의 연계를 통해 추가적인 국내외 정보를 신속하게 분석 배포하고 있다고 밝혔다.

조명제 대표는 “이번 사건의 2차 피해를 막기 위한 악성코드 분석과 관련된 자세한 분석 보고서를 DeepSight 서비스를 받는 기관에 이미 전달한 상태이며 추가피해를 막기 위해 유관기관과의 협조를 통해 최선을 다하고 있다고 밝혔다.

DeepSight에서 제공하는 분석 내용에서는 관련 악성 프로그램을 Trojan Horse/Trojan.Jokra 및 WS.Reputation.1로 탐지하고 있으며 이미 언론 보도를 통해 드러났듯이 이 악성 프로그램이 다음과 같은 작업들을 수행함과 동시에 리눅스를 비롯한 유닉스 운영체제에도 피해를 주는 것으로 확인 되었다.

1. 다음 이름을 사용해 스스로를 참조하기 위한 파일 매핑 개체를 생성한다.

- JO840112-CRAS8468-11150923-PCI8273V

또 로컬 안티바이러스/보안 제품 벤더들과 관련된 두 개의 프로세스를 종료한다.

- pasvc.exe 및 clisvc.exe

2. 모든 드라이브들을 확인해 MBR이나 여기에 저장된 모든 데이터를 ‘PRINCPES’ 혹은 ‘HASTATI’로 덮어쓴다. 이는 하드 디스크상의 모든 콘텐츠를 삭제하게 될 것이다.

3. 또한 이 위협은 감염된 컴퓨터에 연결된 모든 드라이브 혹은 매핑된 드라이브들에 대해서도 동일한 삭제 작업을 시도할 수 있을 것이다.

4. ‘shutdown -r -t 0’을 통해 컴퓨터를 재시작하려는 시도는 MBR 및 해당 드라이브의 콘텐츠들이 손실됐기 때문에 피해 시스템이 무용지물이 됐음을 보여주게 된다.

5. 세 개의 와이퍼들은 PIE(Position-Independent Executable), 그리고 네번째는 DLL(Dynamic-Link Library) 삽입 방식의 패키지로 이루어져 있다. 또한, 시간과 관련해서도 약간의 차이를 보인다.

6. 두 개의 와이퍼들에는 실행 후에 즉시 삭제되도록 명령이 주어져 있다. 나머지 하나에는 2013년 3월 20일 오후 2시에 삭제되도록 명령이 내려져 있다. 최근, 연도에 상관 없이 3월 20일에 삭제되도록 되어 있는 또 다른 샘플이 확인 되었다.

이러한 유사한 공격은 이미 언론에 보도된 다른 주요 사건들에 있어서의 디스크 삭제 결과와 일관성이 있으며, 2012년 8월에 있었던 다수의 중동 조직들에 대한 W32.DisttrackDisk(Shamoon) 감염에 있어서도 하드 디스크를 삭제하는 유사한 피해가 발생되었었다고 보고하고 있다.

현재 분석 업무를 총괄하고 있는 보안연구부 류동주 박사는 “이 같은 사건은 최근 들어 급증하고 있는 사이버 테러와 무관하지 않고, 국가간의 위협 정보를 긴밀하게 유지 관리해야 하는 현 상황에서의 다양한 위협 정보는 매우 유용하게 활용될 것으로 보이며 특히 조기 예, 경보 시스템인 TMS(위협관리시스템)와의 연동을 통해 그 효과를 극대화 할 수 있다”고 밝혔다.

이 외에도 심층 분석한 결과와 IP주소 및 관련 시그니쳐는 지속적으로 DeepSight 보고서와 자사 업데이트를 통해 관련 기관에 지속적으로 배포할 예정이라고 회사 측은 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>