B1u3Sky

[3.20 전산망 마비] 악성코드 분석 본문

News

[3.20 전산망 마비] 악성코드 분석

장기려 2013. 3. 22. 19:24

2013 / 03 / 20

오후 2시부터 MBC전산망을 시작으로 KBS, YTN 등 방송사의 PC가 다운 되기 시작하였다.

더불어 금융기관으로는 농협은행, 신한은행, 제주은행, 농협생명 보험 4곳이 다운되었다.


이번 공격의 방식은 APT공격 기법으로 추정이 되며 어느정도 긴 시간동안 준비한 과정으로 보인다.


방송사들의 PC경우 방송 서버 쪽의 PC들은 정상 적인 반면 업무용 PC들은 모두 다운이 되었다.


첫번째 시스템 피해 현황으로는 MBR영역(Master Boot Record)의 일부를 더미 데이터들로 Overwrite하여 시스템의 부팅이 정상적으로 되지 않게 하였다.



아래 사진과 같이 변조된 MBR영역을 살펴보면 HASTATI라는 문자열 들을 볼 수 있다.




HASTATI라는 단어를 처음 보았기 때문에 이 문자열을 검색해보았다.

[HASTATI]는 로마군 보병대의 3개 대열 중 맨 앞줄 선봉부대라는 뜻으로 제1 열이 무너지면 제2, 제3 열이 싸운다.

위와 같은 의미의 단어라면 제 1차 공격일 뿐이라는 의미가 해석되며 제2, 3차 적 그 이상의 공격이 준비중이다 라는 말로 해석이 된다.





PhysicalDrive에 복제될 값이 명시되어 있으며,

악성코드에 감염이 된 후 악성코드는 [shutdown -r -t 0] 명령어를 수행하여 자동으로 컴퓨터의 재부팅을 유도한다.

또한 [taskkill]명령어를 이용하여 강제적으로[pasvc.exe]와 [clisvc.exe]프로세스를 종료한다.

 taskkill /F /IM pasvc.exe     &&     taskkill /F /IM Clisvc.exe

 

재부팅 이후에는 부팅이 정상적으로 진행되지 않는다.

확인 결과 MBR영역과 더불어 MFT 영역 또한 같이 손상이 된다.

 

추가로 변종이 70종이 넘는 걸로 확인되었으며 HASTATI 이외에 PRINCEPER와 같은 변종 문자열도 존재한다.

각 악성코드마다 피해 규모가 다르기 때문에 변종마다 파일 복구의 가능성이 모두 다른 것으로 확인이 되었다.

 

 

파일 복구의 방법으로는 피해 하드디스크를 정상적인 PC에 추가로 연결하여 [Winhex] , [Encase] , [Final Data]와 같은 디지털 포렌식 도구로 디스크를 이미징 작업을 걸쳐 파일 복구 시도를 해야 할 것 같다.


0 Comments
댓글쓰기 폼