3주차 DDoS 악성코드사례② - 6.25 사이버테러

제 3 장 악성코드 상세 분석

제 4 절 6.25 사이버테러 악성코드

2013년 6월 25일 언론사 11곳, 정보기관 및 정당 5곳 등 총 16개 기관에 홈페이지 변조, 디도스 공격(Distributed Denial of Service), 컴퓨터 디스크 파괴 등을 수행한 악성코드

 

가. 디도스

과정

1. 메인 드롭퍼에서 감염 PC의 윈도우 운영체제 버전과 환경을 확인하여 각각 다른 악성코드를 생성한다.

2. 두 번째 드롭퍼는 윈도우 서비스에 악성코드를 등록하고, 마지막 드롭퍼를 생성한다.

3. 마지막 드롭퍼에서는 특정 C&C 서버에 접속하여 파일을 다운로드하며, 파일에 저장된 시그니처 (*M*W)와 시간을 확인한다.

4. 2013년 6월 25일 오전 10시에 최종 악성코드를 생성해 디도스 공격을 수행한다. 

 

상세 과정

1. (그림 3-39)는 감염 PC내에 있는 서비스 레지스트리 값에 악성코드를 등록하기 위한 루틴이며, rand()함수로 랜덤한 정수형 숫자를 얻고 이를 서비스 레지스트리 검색 시 사용한다. 

2. (그림 3-40)은 등록된 서비스 레지스트리 중 “ImagePath”와 “%SystemRoot%\system32\svchost.,exe –k netsvcs” 문자열이 포함된 키를 찾는다.

3. (그림 3-41)은 랜덤한 정상 서비스 레지스트리를 찾으면 하위 키들을 복사하고, 정상 서비스명 뒤에 “*v*”문자열을 삽입하며, ServiceDLL의 키 값 앞에 “ole”문자열을 넣어 악성코드를 서비스에 등록한다.

4. (그림 3-42) 악성코드는 특정 C&C서버에서 파일을 다운로드하고, 파일 안에 있는 “*M*W”시그니처가 있는지 확인한다. 

5. (그림 3-43) 만약 다운로드한 파일에 시그니처가 있을 경우 뒤에 있는 시간을 가져와 컴퓨터 시간과 비교하며 대시하고, 지정된 시간이 되면 디도스 악성코드를 생성한다. 

6. 하드코딩 된 특정 주소에 디도스 공격을 수행한다. 

나. 디스크 파괴 

과정

1. (그림 3-45)와 같이 MBR 영역에 접근해 해당 값을 수정하여 부팅이 정상적으로 되지 않도록 하고 악성코드에 따라 추 가적인 행위를 수행한다.

(그림 3-46)를 통해 MBR 영역 변조 전과 후를 확인할 수 있다.

2. (그림 3-47)은 감염 PC에 있는 특정 확장자 “.doc .xls .ppt .docx .xlsx .pptx .txt .eml .pst .dbx .onenote .pdf .hwp .jpg .jpeg .png .rar .alz”를 가진 파일을 삭제하거나 변경하고, 사용자의 바탕화면을 임의의 이미지로 변경하는 악성 행위를 수행한다.

2-1. (그림 3-48)과 (그림 3-49)를 통해 변경된 바탕화면을 확인할 수 있다. 

 

3. (그림 3-50)는 감염 PC의 사용자 계정의 비밀번호를 변경하는 부분이 며, 공격자가 지정한 암호로 변경한다.

2. 분석 결과 

가. C&C 서버

6.25 사이버테러 악성코드에서 사용하는 C&C 서버의 주소는 아래 표와 같다. 악성코드에 감염된 PC는 해당 C&C 서버에 수집된 정보 전송하거나 추가 명령어를 수신하며, 추가 악성코드를 다운로드한다.

나. 토르 주소

6.25 사이버테러 악성코드에서 사용하는 토르 주소는 아래 표와 같다. 공격자는 네트워크 추적을 피하고자 토르 네트워크를 이용하여 감염 PC 와 통신을 한다.

다. 악성코드 통계

6.25 사이버테러 악성코드 샘플 108개 중 36개의 샘플이 드롭퍼(34%), 36개의 샘플이 백도어(34%), 11개의 샘플이 다운로더(13%), 9개의 샘플이 디스크 파괴(13%), 디도스(2%), UAC우회(2%), 기타(8%)은 정보탈취, 키로 거, 파일실행, DHCP변조, 권한변경, 바탕화면 변조, 토르, 포트확인, 실행 불가능한 샘플이 각각 1개씩이며, 전체 악성코드 유형 통계는 (그림 3-51)이다.