12월 첫 째주 FBI 긴급 경고(Flash Warning) 대상이었던 파괴력 강한 악성 코드 Backdoor.Destover와 앞서 한국에서 발생했던 공격 간에 몇 가지 공통점이 있습니다. 일부 Destover 샘플이 리포팅하는 C&C(명령 및 제어) 서버가 한국의 표적을 공격하기 위해 개발되었던 Trojan.Volgmer의 한 버전에서도 사용된 것입니다. 이러한 C&C 공유는 동일 조직이 두 공격의 배후에 있을 가능성을 시사합니다.
Volgmer는 일종의 표적 악성 코드로 단일 조직에서 사용하는 것으로 보입니다. 일부 한정된 공격에 동원되었으며 1단계 정찰 툴 역할을 담당하는 것 같습니다. 이 악성 코드는 시스템 정보를 수집하고 추가 실행 파일을 다운로드하는 데 이용될 수 있습니다. 특히 Destover와 동일한 C&C를 사용하는 Volgmer 버전은 한국의 표적을 공격하도록 구성되었으며 한국에 있는 시스템에서만 실행됩니다.
Destover는 2013년에 한국에서 발생한 Jokra 공격과도 몇 가지 기술 및 구성 요소 이름이 동일합니다. 그러나 아직 이들을 연결시킬 만한 명확한 증거는 없으며, 모방 범죄의 가능성도 배제할 수 없습니다. Shamoon 공격과도 연관성이 있는데, 두 공격에서 모두 동일한 상용 드라이버를 사용한 것입니다. 두 공격의 배후 조직이 동일할 가능성은 낮지만, Destover 분석을 통해 확인된 공격 기법은 Shamoon에서 사용된 기법들을 모방한 것처럼 보일 정도로 유사합니다.
Destover 현황
Destover는 감염된 시스템을 완전히 지울 수 있기 때문에 큰 피해를 야기시키는 악성 코드 유형입니다. 이 악성 코드의 변종 중 하나 이상이 잘 알려진 공격에 사용된 것으로 확인되자 FBI는 지난 주에 긴급 경보를 발효하기도 했습니다.
아래와 같은 몇 가지 악성 파일이 FBI Destover 보고서에서 언급된 내용과 연관되어 있습니다.
- diskpartmg16.exe
- net_ver.dat
- igfxtrayex.exe
- iissvr.exe
Diskpartmg16.exe는 감염된 시스템에서 맨 처음 생성되는 파일입니다. 이 파일이 실행되면 net_ver.dat와 igfxtrayex.exe라는 파일이 만들어집니다.
“diskpartmg16.exe”가 실행되면서 일련의 IP 범위에 속하는 다수의 특정 IP 주소 및 “USSDIX[시스템 이름]” 형식의 시스템 이름과 연결됩니다. 따라서 이 Destover 변종은 무차별적 공격을 위한 것이 아니며 어느 한 조직의 시스템만 공격하도록 구성된 악성 코드임을 알 수 있습니다.
Destover의 파괴적인 페이로드는 igfxtrayex.exe에 의해 전달됩니다. 실행 시 경우에 따라 아래와 같은 결과가 나타납니다.
- 고정 드라이브 및 원격 드라이브의 모든 파일 삭제
- 파티션 테이블 수정
- 추가 모듈(iissvr.exe) 설치
- 포트 8080 및 8000에서 다수의 IP 주소에 연결
한편 Iissvr.exe는 백도어로서 포트 80에서 수신 기능을 수행합니다. 공격자가 감염된 시스템과 통신하기 시작하면 이 파일은 아래와 같은 메시지를 표시합니다.
“우리는 이미 너희에게 경고했으며 이것은 시작일 뿐이다.
우리는 우리의 요구가 관철될 때까지 공격을 계속할 것이다.
우리는 너희의 비밀과 최고 기밀을 포함한 모든 내부 데이터를 확보했다.
우리의 요구를 따르지 않으면 아래와 같은 데이터를 세상에 공개할 것이다.
11월 24일, 11:00 PM(GMT)까지 어떻게 할 것인지 결정하라.
Twitter와 Facebook에 이메일 주소 하나와 다음 문장을 게재하면 그 주소로 연락하겠다.
세계 평화에 크게 이바지하는 God’sApstls(원문 그대로 표기)에게 감사한다.
우리의 정체를 밝히려는 시도만으로도 모든 데이터가 당장 공개될 것이다."
Volgmer와의 연관성
시만텍이 분석한 일부 Destover 샘플은 과거 여러 Trojan.Volgmer 변종에서 사용했던 C&C 서버와 연관성이 있습니다. 시만텍은 몇 개월간 Trojan.Volgmer를 추적했습니다. Volgmer는 감염된 시스템의 백도어를 열 수 있는 보안 위협으로, 이를 통해 악성 코드가 C&C 서버와 통신하면서 시스템 정보를 검색하고 명령을 실행하며 파일을 업로드하고 실행 파일을 다운로드합니다.
흥미로운 것은 Destover와 같은 C&C 서버를 사용하는 Volgmer 변종이 감염된 시스템의 국가가 "한국"이 아닐 경우 실행을 종료하도록 구성되었다는 점입니다.
Jokra와의 연관성
Destover 공격자는 2013년에 한국에서 발생한 Jokra 공격과 유사한 기법과 구성 요소(예: 파일 이름)를 사용합니다. Jokra는 한국의 몇몇 은행과 방송사에서 서버 장애를 일으키고 한 한국 통신사의 웹 사이트를 손상시키기도 했습니다.
Jokra 공격에 이용된 악성 코드에는 지정된 기간이 만료되어야 하드 드라이브 지우기를 시작하는 코드가 들어 있었습니다. 또한 Destover는 시간차를 두고 지우기를 수행하도록 구성되었습니다. 그 외에도 한국 언론 보도에 따르면, 두 공격에서 다수의 유사한 파일 이름이 사용되었습니다.
Shamoon 공격과의 유사점
Destover는 Shamoon 공격과도 몇 가지 공통점이 있습니다. Destover와 Shamoon 공격에 사용된 악성 코드(W32.Disttrack)는 몇몇 동일한 드라이버를 사용합니다. 이는 악성 파일이 아닌 상용 드라이버입니다. Destover와 Disttrack 모두 파괴적인 악성 코드이지만 두 공격의 배후 조직이 같다는 증거는 없습니다.
시만텍의 보호 방안
시만텍 및 노턴 제품은 이 보안 위협을 Backdoor.Destover로 탐지합니다.