SimDiskup.exe, 추가 악성코드 다운로드하도록 악성파일 생성
포티넷 코리아, ‘6.25 DNS DDoS 공격 분석 리포트’ 발표

[보안뉴스 김경애] 북한 정찰총국 해커조직으로 추정되는 6.25사이버테러로 인해 청와대를 비롯한 다수의 정부 웹사이트가 다운되거나 접속 불가 등 피해가 잇따랐다. 이번 6.25 사이버테러는 DDoS 공격을 수행하는 악성코드가 정부 웹사이트의 대표 DNS 서버 두곳인 ns.gcc.go.kr과 ns2.gcc.go.kr을 공격하여 발생된 것으로 알려져 있다.

이와 관련 포티넷 코리아가 분석한 ‘6.25 DNS DDoS 공격 분석 리포트’에 따르면 이번 조사과정에서 최초의 공격의 원인이 되는 샘플이 simdisk.co.kr 주소의 웹사이트에서 다운로드되었다는 사실을 발견했다는 것. 다운로드된 파일은 SimDisk_setup.exe라는 파일명의 실행프로그램으로 스스로 압축을 푸는(self-extract) RAR 파일이라는 것이다.

해당 압축 파일 내에는 아래와 같이 2개의 파일이 존재한다.

SimDiskup.exe 파일은 지난 24일에 생성된 악성파일이며, 해당 파일은 원격으로 웹사이트에서 추가 악성코드를 다운로드하도록 작동하며, 해당 웹사이트에서 c.jpg 파일을 다운로드한다.

c.jpg 파일은 실제로는 실행 파일이며, 다운로드가 완료된 후 저장될 때에는 ~simdisk.exe 라는 실행파일로 저장된다.

~simdisk.exe (c.jpg)는 파일 실행과 함께 alg.vexe, config.ini, explorer.vexe 등과 같은 3가지 파일을 생성하며, 이는 모두 가상 터미널 네트워크를 이용하는 TOR 시스템 버전 0.2.3.25로 밝혀졌다는 것이다.

이후, TOR 시스템을 통해 최종적으로 DDoS 공격을 감행하는 파일을 다운로드한다는 것이 포티넷의 설명이다. 그러나 Themida 파일로 구성되어 있었지만 공격을 감행하는 최종 DDoS 파일은 아니었다고 밝혔다.

따라서 최종 공격 순서를 살펴보면 △가장 먼저 FileMapping Object를 체크한 것으로 지난 3.20 공격과 유사한 방식으로 진행됐다.  △이후, PC의 OS버전이 32비트인지 64비트인지 검사하여 32비트의 OS일 경우 ~DR[랜덤 숫자].tmp 파일을 드롭하고 ~DR[랜덤 숫자].tmp 파일을 로딩한 후 서비스를 위한 또 다른 DLL 파일을 생성한다.  △서비스가 시작되면 FileMapping Object를 체크  △API 주소를 파악하여 쓰레드(Thread)를 생성한 후 접속 시도  △ 응답 데이터를 구성한다.

여기서 응답데이터는 아래와 같이 2개의 파트로 구성한다.

(1) BM6W는 바이너리 상에 심어진 유일한 명령어로 만약 응답 데이터가 BM6W와다를 시 정지 후 재시도한다.

(2) 시한폭탄(Time Bomb) 형태로써 3.20 공격에 사용된 하드디스크 파괴 공격과 유사하다. 만약 시스템시간이 6월 25일 10:00 보다 커지면 자동적으로 Themida로 구성된 추가 파일을 드롭한다.

따라서 최종 DDoS 공격 시작은 두 개의 쓰레드 쿼리에서 [랜덤 스트링].gcc.go.kr을 통해 DDoS 공격을 감행했다는 것이다. 2개의 DDoS 타깃은 바이너리 상에서 심어져 있으며, 그 타깃은 152.99.1.10과 152.99.200.6 임이 확인됐다.

이에 따라 포티넷은 대응조치로 현재 6.25 사이버 테러와 관련된 시그니처는 데이터베이스에 모두 업데이트 완료됐다고 밝혔다. 고객들은 채널 및 자동 업데이트 등을 통해 최신 업데이트된 시그니처를 다운로드 받을 수 있다고 덧붙였다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>