| [6.25 사이버테러] 이슈화 가능한 국가기관 집중 공격 | 2013.07.02 | ||||
대량 좀비 PC확보 실패, 파급 효과 큰 국가기관 DNS 집중 공격
[보안뉴스 김경애] 6.25사이버테러와 관련하여 국가기관 DNS 공격에 이용된 좀비 PC 확보에 활용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 확인된 것으로 나타났다. 빛스캔의 PCDS분석 보고서에 따르면, 두 곳의 웹하드 업체가 동시에 6.25 사이버테러 이전인 5월 31일과 6월 1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든 접속자에게 대량 유포한 사실이 확인됐으며, 이미 자료 공개 및 차단 데이터 제공으로 대량 좀비 PC 확보는 실패한 것으로 추정된다고 밝혔다. 25일 당일에는 소규모 좀비 PC를 확보하여 파급 효과가 있는 국가기관의 DNS만을 집중해서 DDoS 공격을 하고, 동원된 좀비 PC가 상대적으로 소규모로 서비스 장애가 목적이 아닌 이슈화가 목적인 공격에만 동원되었다는 것이다.
6.25 사이버테러에 이용된 숙주 사이트는 songsari.net와 simdisk.co.kr로 DDoS 공격용 악성코드를 유포했다. simdisk의 경우, 지금까지 대량 악성코드 유포시도는 없었으나 5월 31일~6월 1일 기간동안 3회에 걸친 악성코드 유포 이슈가 처음 발견 됐고, songsari.net의 경우 지난 3월 16~6월 10일까지 총 5회에 걸쳐 악성코드 유포 이슈가 발견됐다고 밝혔다. 또한, 두 사이트가 동시에 이용된 정황은 PCDS상에서 2회 확인됐다고 덧붙였다. 두 사이트의 내부로 침입하여 업데이트 파일을 변경할 정도라면 서비스의 모든 권한을 가지고 있다고 보았을 때 악성코드 유포를 위한 악성링크 추가도 모든 권한을 가지고 변경할 수 밖에 없다는 것이 빛스캔의 설명이다. 결론적으로 songsari와 simdisk의 모든 권한을 가진 공격자 그룹에서 6.25 사이버테러와 관련된 악성코드를 유포하는데 활용한 상황이라 할 수 있고, 두 사이트의 모든 권한을 가진 것은 악성코드 경유지 활용 시에도 동일한 조건이므로 범위를 좁힐 수 있다는 것이다.
songsari, simdisk 서비스의 모든 권한을 가진 공격자가 내부파일 변조 등과 같은 모든 권한을 가진 상태에서는 서비스에 대한 모든 권한이 동일하기 때문에 소스코드도 임의로 변경 가능한 것. 5월 31일~6월 1일 양일간 두 사이트를 동시에 악성코드 유포에 이용한 그룹도 6.25 사이버테러 공격자와 동일한 권한을 가지고 있는 것으로 추정할 수 있다는 얘기다.
해당 악성코드는 웹서비스 방문만 해도 감염이 되는 형태이며, Drive by download 형태로 감염이 이루어진다. 방문자의 PC를 공격대상으로 하고 있으며 이용되는 취약성은 cve 넘버에 따르면 다음과 같다(3544-0507-1723-4681-5076-1889-0422-0634 ). 즉, 공다팩이 그대로 좀비PC 확보를 위해 이용됐으며, IE 취약성 1종과 Java 취약성 6종, Flash 취약성 1종이 사용된 상황이라는 것이다. 빛스캔에 따르면 “웹서비스 방문자 PC에 대해 자동적인 공격을 실행하고 공격에 성공하게 되면 PC에 취약한 파일이 최초 감염에 이용된 상황”이라며 “추적과 차단을 회피하기 위해 악성링크 및 최종 악성파일을 다운로드 하는 곳 모두를 국내 사이트를 이용한 상황으로 관련된 모든 정보는 6.25일 정보 공유에 모두 제공된 바가 있다”고 밝혔다. [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
