본문 바로가기

벌새::Security

Kaspersky에서 공개한 북한 APT 공격 정보 : Trojan.Win32.Kimsuky (2013.9.12)

러시아(Russia) Kaspersky 보안 업체에서 한국 정부 및 정치 기관, 연구소, 기업, 국방 관련 종사자를 대상으로 한 북한 APT 공격(일명 Kimsuky Operation)에 대한 자세한 정보를 공개하였습니다.

 

실제 북한이 한국의 특정인을 타켓으로 한 맞춤형 APT 공격은 2000년대 중반부터 현재까지 꾸준하고 은밀하게 발생하고 있는 것으로 알려져 있으며, 이번에 공개된 정보는 해외 보안 업체라는 특수성으로 인해 그동안 공개되지 않은 부분을 엿볼 수 있는 기회라고 볼 수 있습니다.

 

  <Kaspersky SecureList Blog> Kimsuky APT: Operation’s possible North Korean links uncovered (2013.9.11)

 

이 글에서는 공개된 정보를 바탕으로 요약을 한 것이므로 자세한 내용은 원문을 참고하시기 바랍니다.

 

Kaspersky 보안 업체에서는 몇 개월 동안의 모니터링을 통해 북한에서 제작된 악성코드가 한국의 특정 조직을 타켓으로 한 공격을 확인하였으며, 몇 가지 흥미로운 부분을 발견할 수 있었습니다.

  1. 불가리아(Bulgarian) 웹 기반 무료 이메일 서버(mail.bg) 이용
  2. 한국어가 포함된 컴파일 경로가 포함된 파일 발견 : D:\rsh\공격\UAC_dll(완성)\Release\test.pdb(rsh : Remote Shell의 단축어)

실제 북한 APT 공격의 목표가 되는 대상이 누군인지는 모두 확인이 불가능하지만 "The Sejong Institute(세종연구소), Korean Institute For Defense Analyses(KIDA)<한국국방연구원>, Ministry of Unification(통일부), Hyundai Merchant Marine(현대상선)" 등 한국에 위치한 11곳과 중국에 위치한 2곳의 한국 기관도 포함되어 있습니다.

 

가장 대표적인 APT 공격 방식으로는 특정 목표에게 맞춤형 이메일을 발송하여 수신자가 첨부된 악성 한글(HWP) 문서를 실행할 경우 시스템 감염이 이루어지도록 제작되어 있습니다.(※ 특정인을 대상으로 한 APT 공격으로 인해 일반인은 악성 HWP 문서 파일을 이메일을 통해 수신하는 경우는 극히 없을 것으로 생각됩니다.)

 

  한글(HWP) 보안 업데이트 (2013.8.30)

 

이로 인하여 현재 (주)한글과컴퓨터에서는 최신 보안 패치가 이루어진 상태에서도 시스템 감염이 발생하는 제로데이(0-Day) 보안 취약점이 확인될 경우 업데이트를 통해 보안 패치를 하고 있습니다.(※ 한글 보안 업데이트가 있다는 것은 북한 APT 공격이 있었다는 역설적 의미일 수도 있습니다.)

 

표적이 된 사용자가 이메일에 첨부된 악성 한글(HWP) 문서 파일을 오픈하면 DLL 형태의 드랍퍼(Dropper) 악성 파일이 생성되며, Windows 7 운영 체제 환경에서 해당 파일은 Metasploit Framework 오픈 소스 코드를 사용하여 explorer.exe 시스템 프로세스에 인젝션(Injection)되어 권한 상승을 시도합니다.

 

다른 방식으로는 사용자 임시 폴더에 "C:\Users\(사용자 계정)\AppData\Local\Temp\~DFE8B437DD7C417A6D.TMP" 파일과 같은 랜덤(Random)한 파일을 생성하여 자기 자신을 시스템 폴더에 DLL 파일(KBDLV2.DLL, AUTO.DLL) 형태로 복제하고, 서비스에 등록하여 시스템 시작시마다 svchost.exe 프로세스를 통해 동작하도록 구성되어 있습니다.(※ 대표적인 서비스명 : DriverManage, WebService, WebClientManager, Remote Access Service)

 

성공적으로 감염이 이루어진 시스템에서는 다음과 같은 파일을 생성하여 감염된 시스템에서 다양한 악의적인 기능을 수행합니다.

  1. Keystroke logging :: 키로깅
  2. Directory listing collection :: 디렉토리 목록 수집(※ dir <drive letter>: /a /s /t /-c 명령어 수행)
  3. HWP document theft :: 한글 문서 탈취(※ 특정 암호화된 검색 키워드 값을 이용하여 유사 문서를 수집할 수 있습니다.)
  4. Remote control download and execution :: 원격 다운로드 및 실행
  5. Remote control access :: 원격 접속

기본적으로 감염된 시스템에서는 "C:\Program Files\Common Files\System\Ole DB" 폴더 내부에 수집된 정보를 다음과 같은 파일로 저장을 할 수 있습니다.

  • C:\Program Files\Common Files\System\Ole DB\oledvbs.inc :: 시스템 정보, 폴더 목록
  • C:\Program Files\Common Files\System\Ole DB\msolui80.inc :: 키로깅 정보
  • C:\Program Files\Common Files\System\Ole DB\xmlrwbin.inc :: 사용자 정보(※ RC4 암호화)

수집된 파일은 사용자 정보가 포함된 xmlrwbin.inc 파일과 합쳐서 RSA 암호화된 상태로 "(시스템 시간)_(불가리아 이메일 서버 계정명).txt" 이름으로 이메일 전송이 이루어지며, 전송이 완료된 후에는 사용자 PC에 저장된 정보 파일은 자동 삭제 처리합니다.

 

수집된 정보를 불가리아 이메일 서버로 전송하기 위해 Windows 방화벽, AhnLab V3 Internet Security 2007, AhnLab V3 Internet Security 8.0 제품 방화벽 기능을 무력화하기 위해 레지스트리 값을 수정합니다.(※ 안랩(AhnLab) 방화벽은 Windows 작업 관리자 프로세스(taskmgr.exe)를 참조하여 설치 여부를 체크하며, 30분 간격으로 자신의 감염 상태를 공격자에게 보고합니다.)

SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
 - EnableFirewall = 0

 

SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
 - EnableFirewall = 0

 

HKLM\SOFTWARE\AhnLab\V3IS2007\InternetSec
 - FWRunMode = 0

 

HKLM\SOFTWARE\Ahnlab\V3IS80\is
 - fwmode = 0

특히 안랩(AhnLab) 보안 제품만을 특정한 이유는 한국 타켓의 대부분은 안랩(AhnLab) 보안 제품을 사용한다는 점을 북한이 매우 잘 알고 있기 때문이며, 이로 인하여 해외 보안 제품의 진단을 우회하려는 노력은 하지도 않습니다.


   <AhnLab 블로그> 금일 카스퍼스키社의 보도자료 내용 중 안랩 언급 부분에 대한 설명자료 (2013.9.12)


참고로 안랩(AhnLab) 보도 자료에 의하면 AhnLab V3 방화벽 기능의 무력화를 시도하지만 V3 자체 보호 기능으로 인하여 실제 성공하지 못한다고 밝히고 있습니다.

 

이렇게 수집된 정보는 불가리아 웹 기반 무료 이메일 서버(mail.bg)로 전송하고 있으며, Kaspersky 보안 업체에서는 사용된 이메일 계정 주소를 필터링 없이 공개한 상태입니다.

 

또한 mail.bg 계정으로 수집된 정보는 다시 2개의 마스터(Master) 이메일(iop110112@hotmail.com, rsh1213@hotmail.com)로 전송이 이루어진다고 밝히고 있습니다.

 

(1) 한글(HWP) 문서 탈취

 

Kaspersky 분석 내용 중 한글(HWP) 문서를 탈취하는 방법에 대한 내용이 있는데, 조금 더 세부적으로 살펴보도록 하겠습니다.

 

감염된 시스템에서 "C:\Program Files\Hnc\HncReporter.exe" 악성 파일(※ 원래 위치는 "C:\Program Files\Hnc\Common80\HncReporter.exe" 입니다.)복사합니다.

HKEY_CLASSES_ROOT\Hwp.Document.7\shell\open\command

HKEY_CLASSES_ROOT\Hwp.Document.8\shell\open\command

 - (기본값) = "C:\Program Files\Hnc\Hwp80\Hwp.exe" "%1"

기본값에서는 사용자가 한글(HWP) 문서를 오픈할 경우 "C:\Program Files\Hnc\Hwp80\Hwp.exe" 파일을 통해 실행되도록 되어 있지만, 감염된 환경에서는 레지스트리 값을 ["C:\Program Files\Hnc\HncReporter.exe "%1"] 값으로 변경을 합니다.

 

이를 통해 사용자가 문서를 오픈할 때마다 자동으로 이메일 첨부 파일(※ 이메일 제목 : Hwp)로 외부에 전송을 하는 방식으로 한글(HWP) 문서를 탈취하며, 전송이 완료된 후에는 정상적인 "C:\Program Files\Hnc\Hwp80\Hwp.exe" 파일을 통해 한글(HWP) 문서를 오픈하여 사용자는 화면으로 문서를 확인할 수 있기에 쉽게 눈치챌 수 없습니다.

 

참고로 한글(HWP) 문서를 이메일로 전송하는데 사용되는 루틴 모듈은 다음의 파일로 구성되어 있습니다.

  • C:\Program Files\Common Files\System\Ole DB\xmlrwbin.inc
  • C:\Program Files\Common Files\System\Ole DB\msdaipp.cnt
  • C:\Program Files\Common Files\System\Ole DB\msdapml.cnt
  • C:\Program Files\Common Files\System\Ole DB\msdaerr.cnt
  • C:\Program Files\Common Files\System\Ole DB\msdmeng.cnt
  • C:\Program Files\Common Files\System\Ole DB\oledjvs.inc

(2) 원격 컨트롤 모듈

 

해당 APT 공격을 통해 감염된 시스템에서는 외부에서 원격 접속이 가능하도록 해외에서 제작된 원격 프로그램으로 유명한 TeamViewer 5.0.9104 버전을 변조한 백도어(Backdoor)를 사용한다고 합니다.

  • C:\Windows\System32\netsvcs.exe :: TeamViewer Client 변조 파일
  • C:\Windows\System32\netsvcs_ko.dll :: TeamViewer Client 리소스 라이브러리
  • C:\Windows\System32\vcmon.exe :: 설치 파일 및 시작 파일

위와 같은 정상적인 TeamViewer Client 프로그램을 악의적으로 변조하여 사용되는 파일에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Patched.ps 진단명으로 진단되고 있습니다.

 

Kaspersky 보안 업체에서는 한국을 표적으로 한 북한 APT 공겨과 관련하여 마스터(Master) 이메일 계정을 근거로 조사를 한 결과 "김석양(kimsukyang), Kim asdfa"이라는 정보로 등록되어 있는 것을 확인하였습니다.

 

물론 김석양(KimSukYang)이라는 이름 자체가 실명인지 아닌지 여부는 알 수 없지만, 한국을 대상으로 하는 위와 같은 한글(HWP) 문서를 이용한 APT 공격은 중국(China)에 위치한 지린성(Jilin), 랴오닝성(Liaoning) IP 대역과 일치한다는 점에서 북한에서 수행하고 있을 가능성이 매우 높습니다.

 

  <보안뉴스> 북한추정 해커조직이 수행한 사이버첩보전의 실체 (2013.9.12)

 

실제 국내 하우리(Hauri) 보안 업체에서 북한 추정 해커 조직에 대한 정보를 공개한 내용을 살펴보면 중국(China)의 활동 지역이 일치하고 있으며, 다양한 IP를 기반으로 한국을 표적으로 한 사이버 정찰 및 공격이 발생하고 있습니다.

 

하지만 과거 대규모 DDoS 공격, 청와대 해킹 등 사이버 테러에 대해 일부 사람들이 정부가 발표하는 북한 공격설에 대해 의구심을 갖고 있다는 점은 분명히 문제가 있으며, 이제는 북한의 사이버 테러 활동에 대해 국민들이 인지해야겠습니다.(※ 물론 일련의 사이버 공격에 대해 북한이라는 조건으로 인해 누구도 책임지지 않고 면제부가 주어지고 있는 것은 분명 비판의 여지가 있습니다.)

 

 

해당 동영상은 제가 2012년경에 통일 관련 내용으로 위장한 악성 한글(HWP) 문서를 실행한 경우 시스템 감염을 시도하는 과정에서 Kaspersky Internet Security 2012 버전으로 사전 차단하는 모습을 동영상으로 제작한 것이므로 감상해 보시기 바랍니다.(6분 36초, 480p 화질로 보시기 바랍니다.)

 

마지막으로 기업 차원에서는 위와 같은 한글(HWP) 문서 취약점을 이용한 Exploit 공격으로부터 시스템을 보호하기 위해서는 행위 기반 및 평판 기반으로 대응이 가능한 보안 솔루션을 사용해야 합니다.

 

예를 들어 Hauri ViRobot APT Shield for Document 제품과 AhnLab V3 Internet Security 9.0 보안 제품은 좋은 제품이 아닐까 생각됩니다.