백신업체, 악성코드 변종 치료 위한 솔루션 무료 배포 

또 다른 형태의 공격이나 악성코드 유포 주의!  

[보안뉴스 김태형] 지난 3.20 전산망 사이버테러에 이용된 악성코드 변종이 발견되어 이로 인한 다른 공격과 피해에 우려가 높아지고 있다. 이에 보안전문 기업들도 이러한 악성코드 변종의 위험성을 경고하고 치료를 위한 솔루션 무료 배포에 나섰다.

잉카인터넷 대응팀 측은 27일 “이번 사건과 관련한 악성코드 분석 결과 파일 매핑 오브젝트 값이 ‘SERPPPE2-ABCD8468-CREATE76-PCI8273V’인 새로운 변종이 추가 발견됐다”고 밝혔다.

잉카인터넷의 관계자는 “지난 3월 24일 새로운 형태가 발견됐는데, 특정 프로그램의 업데이트 파일명처럼 위장했고 국내 특정 날씨관련 사이트의 악성 스크립트(blank_image.js)를 통해서 유포됐다”면서 “따라서 불특정 다수의 사용자가 감염되었을 가능성이 있다. 이 파일은 ‘mb_join.gif’ 그림 파일로 위장하고 있으며, 0x30, 0x82로 시작된다”고 설명했다.

이는 ‘mb_join.gif’ 파일 내부에 포함되어 있는 명령을 통해서 또 다른 악성파일이 다운로드(X********_updatge.gif) 되는데, 악성파일은 보안제품들의 실시간 탐지를 우회하기 위해서 실행파일(EXE)의 헤더를 43바이트 조작(0x30 0x82 시작)했고, ‘xupdate.exe’ 파일로 생성 및 실행된다.

‘xupdate.exe’ 파일이 실행되면 아래의 경로로 접근해 마치 그림파일처럼 위장한 ‘logo.jpg’ (exe) 파일을 다운로드하고 실행한다. 그러면 사용자 계정의 임시폴더(TEMP)에 ‘LGservc.exe’, ‘w7e89.tmp’ 파일 등이 생성된다.

또한, 시스템 폴더에 ‘schedsrv.dll’ 파일을 생성하고 특정 웹사이트 등으로 접속을 시도한다.

http://webmail.metr****-group.com/mail/sort.html

http://webmail.imag****.com.hk/mail/sort.html

http://webmail.svenska****.se/sort.html

http://webmail.impuls****.com/mail/sort.html

http://webmail.victoph****.com.vn:32000/mail/sort.html

잉카인터넷 관계자는 “지난 26일에는 YTN과 모든 계열사 인터넷 홈페이지가 사이버 테러 추정의 이상 증세로 접속이 이뤄지지 않는 사고가 발생했으며 이 외에도 탈북자 단체 및 대북매체 관련 사이트도 피해가 발생하고 있다”면서 “이 변종코드는 디스크까지 파괴하는 기능이 포함되어 있어 개인 피해가 증가할 가능성이 있다”고 강조했다.

이에 잉카인터넷에은 지난 26일부터 홈페이지(www.nprotect.com)를 통해 개인 사용자를 대상으로 변종 악성코드 피해를 막을 수 있는 ‘엔프로텍트 MBR 가드’ 솔루션을 무료 배포하고 있다.

이 ‘엔프로텍트 MBR 가드’는 HDD의 MBR 영역 위·변조를 차단하고, 디스크 IO 모니터링을 통해 파티션 영역의 쓰기접근 차단을 통해 HDD의 데이터 파괴를 방지한다.

또한, 안랩도 지난 25일 3.20 전산망 사이버테러를 일으킨 악성코드의 변종이 배포된 징후를 포착했다면서 이 변종 악성코드는 기업 외 불특정 다수의 개인용 PC도 공격대상인 것으로 알려졌다고 밝혔다.

안랩 측은 “이 악성코드는 MBR(부팅영역) 파괴기능과 함께 C&C(명령제어) 서버와 통신하는 백도어 설치기능을 추가해 공격자가 C&C 서버와 교신하며 원하는 시간에 공격을 단행할 수 있도록 설계됐다”면서 “기존 백신의 진단과 치료를 방해하는 기능도 있다”고 밝혔다.

이에 안랩 측은 “현재 C&C 서버가 차단돼 실행명령은 내려올 수 없으나 기존과는 다른 방식으로 변종 배포 시도가 이뤄지고 있어 일반 PC 사용자들도 주의해야 한다”며, “사람들이 많이 가지 않는 웹사이트는 당분간 이용하지 않는 것도 방법”이라고 조언했다.

이에 안랩은 또 다른 공격에 의한 피해 방지를 위해 지난 25일부터 ‘APT 트레이스 스캔’을 고객사를 중심으로 제공하고 있다. 이 솔루션은 APT 공격 노출여부와 잔여 흔적을 추적하는 기능을 갖췄다.

이와 같은 악성코드의 변종이 발견됨에 따라 일각에서는 지난 20일 공격의 2차 공격이 아니냐는 우려가 높은 가운데, YTN 계열사에도 추가 피해가 발생했다. 이러한 추가 피해 모두가 이번 3.20 사이버테러를 일으킨 해커의 치밀한 계산에 의한 것이라면 앞으로 있을 추가 공격이나 또 다른 형태의 공격에도 대비해야 한다는 얘기다.

이와 관련 문종현 잉카인터넷 팀장은 “이번에 발견된 악성코드 변종은 3.20 전산 대란 관련 파일을 추적하고 분석하는 과정에서 발견된 것이다. 그러나 이 변종 악성파일이 2차 공격을 위한 것이라고는 단정할 수는 없다”고 설명했다.

덧붙여 그는 “공격자는 이번 공격을 위해 아주 오래전부터 준비해왔고, 오랜기간에 걸쳐 나타나기도 하기 때문에 이와 같은 악성파일이 얼마나 많이, 언제 유포됐는지 알기 어렵다”며, “3.20 대란 이전에 발견될 수 있었던 게 나중에 발견된 경우도 있기 때문”이라고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>