울지않는벌새 : Security, Movie & Society

국내 웹하드를 이용한 6.25 사이버 공격 조직 재활동 포착 (2013.7.14)

벌새::Analysis

2013년 6월 25일 오전 10시를 기점으로 청와대를 비롯한 정부 기관, 언론사 등에 대한 조직적인 사이버 공격이 이루어졌으며, 이에 대해 안랩(AhnLab) 보안 업체에서는 당시 유포된 악성 파일에 대해 Trojan/Win32.Ddkr 진단명으로 진단하고 있었습니다.

 

  6.25 DDoS 공격에 따른 알약(ALYac) 전용 백신 배포 (2013.6.25)

 

특히 사이버 공격 이후 PC방 관리 프로그램을 통해서도 추가적인 악성 프로그램 유포 정황이 있었다는 언론 보도도 있었습니다.

 

  <데일리시큐> 6.25 사이버공격 조직, 국내 PC방 관리프로그램도 이용! (2013.7.8)

 

이런 상황에서 당시 6월 25일 DDoS 공격을 위해 유포된 악성코드는 국내 웹하드 설치 파일 변조를 통해 전파가 이루어진 것으로 알려져 있는데, 2013년 7월 14일 새벽경에 해당 웹하드를 이용하여 재배포가 이루어지고 있는 부분을 또다시 확인하였습니다.

문제의 웹하드에서 제공하는 ActiveX 수동 설치 파일을 다운로드는 2013년 7월 14일 오전 12시 33분경 안랩 ASD 클라우드에 보고 되었으며, 설치 파일(MD5 : cc48a67a23edab321bf91bc6e4bb1301)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Ddkr.C170477 진단명으로 진단되고 있습니다.

다운로드된 웹하드 설치 파일 내부에는 "디지털 서명이 포함된 정상적인 웹하드 설치 파일 + SongsariUp.exe" 파일이 WinRAR SFX 실행 압축 방식으로 변조되어 있는 것을 확인할 수 있습니다.

공격자에 의해 리패키징된 설치 파일에 포함된 SongsariUp.exe 파일은 2013년 7월 13일 오후 1시경 제작된 것으로 추정되며, 해당 파일에 노출된 감염자는 수십명에 달할 것으로 보입니다.

 

참고로 해당 파일(MD5 : 9813d870fddbb3365afbf0ffd423db4c)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Ddkr.C173356 진단명으로 진단되고 있습니다.

사용자가 웹하드 설치 파일을 실행할 경우 화면상에서는 프로그램 이용약관 화면이 노출되지만, 이 과정에서 백그라운드 방식으로 다음과 같은 악의적인 기능을 수행합니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\RarSFX1\SongsariUp.exe :: WinRAR SFX 압축 해제

임시 폴더에 압축 해제된 SongsariUp.exe 파일은 "C:\WINDOWS\system32\skp.bin" 파일을 생성 시도합니다.

이 과정에서 네덜란드(Netherlands)에 등록된 "adultpic.nl(89.31.97.177)" 서버에 쿼리를 전송하는 동작을 확인할 수 있습니다.

이후 생성을 시도하던 "C:\WINDOWS\system32\skp.bin" 및 SongsariUp.exe 파일을 자가 삭제 처리하는 방식으로 더 이상의 동작을 하지 않는 것을 확인할 수 있었습니다.(※ 정상적인 동작이 이루어질 경우 adultpic.nl 서버에서 추가적인 다운로드가 예상되며, 테스트 시점에서는 서버 차단으로 감염이 안되었나 보군요. 오키)

 

이미 해당 웹하드는 6.25 DDoS와 같은 국가 기관을 표적으로 한 공격에 악용되었던 곳인데도 불구하고 1개월도 지나지 않아서 동일하게 또다시 유포에 악용되고 있다는 점에서 차후에도 언제든지 해당 공격 조직은 유사한 방식으로 지속적인 사이버 공격을 지속할 것으로 보입니다.