요약

1. BPFDoor는 유닉스·리눅스 기반의 백도어 악성코드로, 강력한 은닉 기능이 특징이며 APT 공격에 주로 사용됨.

2. 해당 악성코드는 중국 해킹그룹인 레드멘션(Red Menshen)에서 활용하고 있으며,
   미국 통신·IT기업, 아시아 통신기업·정부기관을 공격한 악성코드로 알려짐.

3. 일반적인 서버 안티바이러스 및 EDR 솔루션으로 검출 및 격리할 수 있음.

4. 그러나 운영 서버는 안정성 문제로 인해 안티바이러스 솔루션 설치율이 낮은 편임.

────────────────────────────────────────────────────────────

1. 개요

중국과 연관된 것으로 추정되는 공격자 ‘Red Menshen’은
BPFDoor라는 맞춤형 백도어를 활용하여
중동 및 아시아 지역의 통신, 정부, 교육, 물류 분야를 표적으로 삼은 공격 활동을 전개하고 있다.

버클리 패킷 필터(BPF)는 운영체제 커널 수준에서
네트워크 패킷을 필터링하고 캡처할 수 있도록 지원하는 메커니즘이다.
사용자 공간 프로그램은 필터 조건을 정의해 원하는 패킷만 수신할 수 있으며,
이를 통해 시스템 성능과 분석 효율성을 높일 수 있다.

리눅스를 포함한 대부분의 유닉스 계열 시스템에서 사용되며,
이를 확장한 eBPF는 보안 정책 적용, 커널 트레이싱 등 다양한 용도로 활용된다.

BPFDoor는 BPF를 악용해 특정한 매직 패킷을 감지하고 외부로부터 은밀하게 명령을 수신한다.
별도의 리슨 포트를 열지 않기 때문에 일반적인 보안 모니터링 도구로는 탐지하기 어려우며,
장기간 시스템 내에 숨어 활동할 수 있다.

실행 시 프로세스 이름을 정상적인 시스템 데몬처럼 위장해 사용자 눈에 잘 띄지 않으며,
전반적으로 은폐와 지속성을 극대화하는 방식으로 설계되어 있다.

 

────────────────────────────────────────────────────────────

2. 정보

 

2.1 침해지표

2.2 MITRE ATT&CK

 

────────────────────────────────────────────────────────────

3. 분석

BPFDoor는 리눅스 환경에서 BPF 필터링 메커니즘을 활용해
리슨 포트 없이 특정 매직 패킷을 감지하고 명령을 실행하는 백도어이다.

프로세스 이름 위장, 메모리 기반 실행, 실행 후 자가 삭제 기법을 함께 사용하여
탐지 및 분석을 극도로 어렵게 만든다.

 

3.1 실행 은폐 메커니즘

3.1.1 디스크 흔적 최소화 / 자가 삭제

BPFDoor는 /dev/shm/kdmtmpflush 경로에 자신을 복사하여 메모리 기반 파일 시스템에서 실행된다.
이는 디스크 흔적을 최소화하며, ‘kdmtmpflush’라는 이름은 실제 커널 유틸리티와 유사하여
정상 캐시 관리 작업처럼 위장한다.

 

[그림 1] 파일 복사 & 실행 & 자가 삭제

 

[표 1] 명령어 표

 

────────────────────────────────────────────────────────────

3.1.2 정상적인 시스템 데몬 프로세스로 위장

또 다른 은폐 기능으로 실행 시 프로세스 이름을 랜덤하게 변경한다.
/sbin/udevd, dbus-daemon –system 등
일반적인 리눅스 시스템 데몬 이름을 무작위로 선택하여 프로세스 명으로 사용한다.

 

[그림 2] 프로세스 명 은폐 코드

 

────────────────────────────────────────────────────────────

3.1.3 RC4 기반 통신 암호화

BPFDoor는 외부 명령 수신 및 통신 시,
RC4 스트림 암호화 알고리즘을 이용해 패킷 내용을 암호화 및 복호화한다.
RC4는 키 스트림을 기반으로 데이터를 바이트 단위로 XOR 처리하는 방식으로,
구현이 단순하고 빠르다는 장점이 있어 오래전부터 많이 사용되어 왔다.

명령 전송을 네트워크 보안 장비 로그 상에서 쉽게 식별하지 못하게 하며,
네트워크 기반 탐지 우회를 위한 은폐 수단으로 작동한다.

 

[그림 3] RC4 전송 처리

 

────────────────────────────────────────────────────────────

3.1.4 세션 분리 및 데몬화

BPFDoor는 자신을 사용자 터미널과 분리된 독립 세션으로 전환한다.
마치 운영체제 내부의 정상 데몬처럼 조용히 백그라운드에서 동작한다.
이로 인해 해당 프로세스는 정상적인 시스템 데몬과 구분이 어려워지며
사용자나 관리자에 의한 식별을 어렵게 만든다.

셸 실행 시에는 가짜 터미널을 생성해 주 세션으로 설정하고 기존 연결 흔적을 제거하여,
보안 솔루션이나 행위 기반 탐지를 우회할 수 있도록 자신을 은폐한다.

이런 세션 분리 및 데몬화는 타 악성코드에서 사용되었던 일반적인 은닉 기법 중 하나이다.

 

[그림 4] 세션 분리 데몬화 코드

 

────────────────────────────────────────────────────────────

3.2 BPF 필터 수신 루프

일반적인 백도어는 특정 포트에서 요청을 기다린다.
따라서 포트 스캔을 통해서 백도어 동작 여부 식별이 가능했다.

BPFDoor는 운영체제의 패킷 필터 기능(BPF)을 이용해 특별한 조건의 네트워크 패킷만 골라낸다.
이렇게 하면 외부에서는 BPFDoor가 포트를 열고 있지 않은 것처럼 보이므로
포트 스캔을 통한 악성코드 검출을 무력화한다.

 

────────────────────────────────────────────────────────────

3.2.1 패킷 필터(BPF) 설정

특정한 조건을 만족하는 패킷만 선택하도록 BPF(Bytecode 형태의 필터)를 설정한다.
OS 수준에서 이더넷 프레임을 직접 수신할 수 있는 RAW 소켓을 만들고,
여기에 위에서 정의한 필터를 적용한다.

 

[그림 5] 패킷 필터 설정

 

────────────────────────────────────────────────────────────

3.2.2 프로토콜별 패킷 분석 및 매직 패킷 오프셋 추출

수신된 패킷을 분석하여 magic_packet 의 오프셋을 찾는다.
magic_packet은 BPFDoor 악성코드가 감염된 서버를 제어할 명령어가 포함된 패킷으로
명령어 앞에 특정 문자열 (magic bytes)이 포함되어 있기에 매직 패킷이라 한다.

[그림 6] 수신된 패킷 형식 확인

 

[그림 7] 매직 패킷 구조

 

[표 2] 매직 패킷 구조

 

────────────────────────────────────────────────────────────

3.2.3 매직 패킷 명령 수행

A. Reverse Shell 연결 시도 (“justforfun”)

BPFDoor의 magic_packet은
“justforfun”과 “socket”의 대표적인 2가지 명령어 문자열을 가지고 있으며
해당 명령어에 따른 명령을 수행한다.

[그림 8] 매직 패킷 명령 수행 코드

 

A. Reverse Shell 연결 시도
“justforfun” 명령 수신 시,
try_link() 함수를 통해 magic_packet에 공격자가 지정한 IP와 port로 TCP 연결을 시도한다.
공격자의 IP와 Port로 TCP 연결이 성립되면,
shell() 함수를 통해 즉시 셸이 생성되어 명령 실행 및 결과 송신이 가능해진다.

 

[그림 9] 문자열이 “justforfun”일 때 동작

 

[그림 10] Reverse shell 실행

 

────────────────────────────────────────────────────────────

B. Host 서버 방화벽 규칙 적용 (“socket”)

“socket” 명령 수신 시 공격자가 지정한 IP와 Port를 대상으로
iptables 규칙을 설정해 연결을 허용한 뒤,
셸 수신을 위한 리스너 소켓을 열어 리버스 셸 접속을 대기한다.

[그림 11] 문자열이 “socket” 일때 동작

 

공격자의 요청을 수신하기 위한 환경을 구성하기 위해
4개의 iptables 명령 포맷 문자열을 사용한다.

 

[그림 12] iptables 명령 포맷 문자열

 

이 명령들은 각각 다음과 같은 목적을 가진다: 

[그림 13] 공격자 명령 수신을 위한 포트 리다이렉션 및 셸 실행

 

────────────────────────────────────────────────────────────

C. 생존 신호(beacon) 전송

공격자가 지정한 IP와 Port로 생존 신호(beacon)인
1바이트 크기의 UDP 패킷을 전송하여 후속 연결을 유도하는 트리거 역할을 수행한다.

[그림 14] UDP 비콘 전송

────────────────────────────────────────────────────────────

4. 서버 안티바이러스(Server-i AV)의 탐지 및 대응

[그림 15] Server-i AV 탐지 화면

소만사 Server-i의 리눅스 안티바이러스 탐지 엔진은
BPFDoor 악성코드가 생성될 때 실시간 탐지 및 파일 격리를 수행한다.
타사의 서버 보안 솔루션도 유사한 방식으로 탐지 및 대응이 가능할 것으로 예측된다.

[소만사 악성코드 분석리포트 ] “EDR 킬러“ BYOVD 공격 분석

인증기관으로부터 허가받은 서명이 적용된 정상 드라이버로 위장, 관리자 권한 보다 높은 시스템 권한을 실행하여 탐지 및 차단이 불가능

 

1. 요약
      1) BYOVD 공격은 합법적인 서명이 되어 있어서 시스템은 정상 드라이버로 인식하지만
          실제로는 취약점을 가진 드라이버를 악용하는 것을 말함.
      2) BYOVD 공격은 관리자 권한보다 높은 시스템 권한을 실행할 수 있어
          일반적인 탐지 및 차단이 불가능하여 보안 솔루션을 쉽게 우회할 수 있다는 것이 특징.
      3) 2023년부터 랜섬웨어 제작 그룹 등에 활발히 사용.
          그룹에서 공격 범위를 넓혀가는 추세, 국내 공격 사례는 북한 라자루스 그룹의 정보 탈취 행위에 사용.
          본격적인 공격에 활용될 가능성이 높음.

 

2. 대응 방안
     1) EDR/AV 솔루션 적용 (행위기반으로 차단)
     2) 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비
     3) 논리적 망분리(VDI)를 적용하여 악성코드 PC 유입을 원천 차단
     4) 신뢰할 수 없는 메일의 첨부파일 실행 금지
     5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단
     6) PC취약점 점검과 조치 (OS나 어플리케이션은 가급적 최신 버전 유지하며 취약점 점검 및 조치)

 

────────────────────────────────────────────────────────────

1. 개요

1.1 배경

[그림 1] 시스템을 공격하는 해커

 

BYOVD 공격은 Bring-Your-Own-Vulnerable-Driver의 약자로
신뢰 가능한 인증 기관으로부터 허가받은 합법적 서명이 적용된 드라이버를 사용하는 공격이다.
서명 덕분에 시스템은 이를 정상 드라이버로 인식하지만,
실제 드라이버는 보안 제품을 무력화하는 데 악용된다.

2023년부터 랜섬웨어 제작 그룹 등에 의해 활발히 사용되기 시작한 BYOVD 공격은
드라이버를 통해 관리자 권한보다 높은 시스템 권한으로 악의적인 행위를 수행하므로
보안 솔루션을 쉽게 무력화할 수 있다.
이를 증명하듯 실제로 ‘EDR Killer’라는 별칭의 다양한 BYOVD 공격 드라이버가 판매되고 있다.

 

[그림 2] 외신 Bleeping Computer의 BYOVD 관련 기사

 

BYOVD 공격은 시스템 권한을 통한 악성 행위를 수행할 뿐만 아니라
일반적인 서드파티 솔루션에 내장된 드라이버도 BYOVD 공격의 도구가 될 수 있다는 점에서 또 다른 위협이 된다.
실제로 마이크로소프트의 ‘ProcExp’ 도구는 특정 프로세스를 종료하는 기능을 가진 강력한 드라이버를 내장하고 있다.
공격자들은 해당 드라이버를 추출해 보안 솔루션을 종료하는 자신들의 공격에 사용한다.

공격자들이 BYOVD 공격을 랜섬웨어 공격의 일부로 사용한다는 것을 다양한 보도에서 발견할 수 있으며,
Lockbit과 BlackByte 갱단 등이 BYOVD 공격의 범위를 점차 늘려가는 추세이다.
국내 BYOVD 공격 사례는 북한 Lazarus 그룹의 정보 탈취 행위에 그쳤지만,
추후 이를 넘어 본격적인 공격에 BYOVD 공격이 사용될 가능성이 다분하다.

 

[그림 3] 다국적 보안 기업 Sophos의 BYOVD 공격 분석 발췌

 

국내에는 많이 알려지지 않았지만,
이미 다국적 보안 기업들은 BYOVD 공격에 대해 심각한 위협을 인지하고 있으며
공격 및 대응방안에 대한 분석이 활발하게 이루어지고 있다.
위 이미지는 다국적 보안 기업인 Sophos의 BYOVD 공격 기법 분석 내용에서 발췌했다.
다양한 드라이버가 BYOVD 공격에 사용될 수 있으며, 대비책을 마련하고 있음을 알 수 있다.

[그림 4] BYOVD 탐지 및 차단 기능이 적용된 Privacy-i EDR

 

소만사 악성코드 분석 센터는 BYOVD 공격의 위험성을 인지하고
BYOVD 공격이 무엇이며 어떤 방식으로 이루어지는지 본 보고서에 상세히 기술하였다.
이와 더불어 자사 Privacy-i EDR을 통해 BYOVD 공격을 사전에 탐지하고 차단하는 과정까지 기재하였다.

 

────────────────────────────────────────────────────────────

2. 분석

2.1 파일 정보

Name: [Backstab].exe
Type: Windows PE EXE File
Behavior: Malicious EDR Killer
SHA-256: 24e15686f4fd0a49f96f8095dc53b7c97c99992268205c9244fde3c27fe3c99f

 

[표 1] BYOVD 공격에 사용되는 드라이버에 악성 명령을 전송하는 실행 파일

 

[표 2] BYOVD 공격에 사용되는 서명된 정상 Process Explorer 드라이버 파일

 

[그림 5] 보호된 (PPL) 프로세스인 윈도우 디펜더를 종료하는 BYOVD 공격

본 보고서에서 서술하는 BYOVD 공격은 위와 같이
강력한 PPL AntiMalware 권한으로 보호되고 있는 마이크로소프트 윈도우 디펜더 프로세스조차 종료시킬 수 있다.

 

────────────────────────────────────────────────────────────

2.2 BYOVD 공격 흐름

[그림 6] 보안 제품을 무력화하는 BYOVD 공격 흐름

 

① Initial Access
・ 초기 침투를 위해 계정 정보/인증서 탈취 등을 통해 시스템에 침입한다.

② Privilege Escalation
・ BYOVD 공격을 수행하기 위해 드라이버 설치 권한을 확보한다.

③ Vulnerable Driver Installation
・ 권한이 확보된 후 BYOVD 공격에 사용할 드라이버를 시스템에 설치한다.

④ Attack Protected Security Program
・ 시스템의 보호를 담당하는 주요 보안 제품을 무력화하기 위해 공격을 수행한다.

⑤ Kill Security Program
・ 주요 보안 제품은 BYOVD 공격에 의해 무력화되며, 시스템의 보호는 무력화된다.

⑥ Infect System
・ 보안 제품이 무력화되어 시스템은 공격자에게 장악당한다.

 

────────────────────────────────────────────────────────────

3. 분석

3.1 악성 PE 파일 분석

3.1.1 현재 프로세스 토큰 권한 확인

[그림 7] 현재 프로세스 토큰 권한 확인

 

악성 PE 파일은 현재 프로세스의 토큰을 확인하여 소유하고 있는 권한 정보를 얻는다.
이는 추후 악성 행위를 위한 드라이버 설치 및 로드에 필요한 권한을 보유하고 있는지 확인하기 위함이다.

 

3.1.2 디버그 권한 획득

[그림 8] 디버그 권한 획득

 

PE 파일 실행 시 입력받은 PID를 통해 프로세스의 정보 등을 얻기 위해
시스템 내 프로세스에 접근이 가능한 디버그 권한을 획득하고 자기 자신의 권한을 상승시킨다.

 

3.1.3 동적으로 NTAPI 주소 획득

[그림 9] NTAPI 주소 획득

 

추후 행위에 필요한 NTAPI의 주소를 동적으로 획득한다.
이 때 주요한 NTAPI는 NtLoadDriver이다.

 

3.1.4 리소스 내 드라이버 추출

[그림 10] 리소스에서 드라이버 추출

 

본 악성 PE 파일은 리소스 영역에 BYOVD 공격을 위한 드라이버를 내장하고 있다.
이를 추출하여 향후 BYOVD 공격에 사용한다.
드라이버를 추출해 파일의 형태로 만드는 경로는 공격자가 입력한 경로이며
시스템 내 모든 경로에 추출이 가능하다.

 

3.1.5 추출된 드라이버

[그림 11] 추출된 드라이버

 

이전의 리소스 추출 행위 결과로 공격자가 지정한 경로에 BYOVD 공격에 사용할 드라이버가 추출됐다.
추출된 드라이버는 마이크로소프트의 신뢰있는 서명을 받은 정상 드라이버이다.
그러나 본 드라이버는 공격자에 의해 보안 프로그램 종료 등에 악용된다.
이처럼 정상 드라이버를 공격에 악용하는 것이 BYOVD 공격의 핵심이다.

 

3.1.6 드라이버 로드를 위한 권한 상승

[그림 12] SE_LOAD_DRIVER_NAME 권한 상승

 

BYOVD공격은 SE_LOAD_DRIVER_NAME 권한을 획득하고 자기 자신을 상승시키는데,
이는 이전에 추출한 BYOVD 공격용 드라이버를 로드하기 위해 필요한 권한이다.
이 권한은 일반 프로세스가 드라이버를 로드하기 위해 필수적인 권한으로서
추후 레지스트리에 접근하여 값을 쓰고 드라이버를 로드할 수 있게 해준다.

 

3.1.7 드라이버 서비스 레지스트리 등록

[그림 13] 드라이버 서비스 등록

 

HKLM\System\CurrentControlSet\Services\[ServiceName] 경로에 드라이버 서비스를 등록한다.
이는 드라이버 로드에 필수적인 과정으로, 드라이버가 서비스로 설치되고 실행되는
윈도우 메커니즘에 있어 레지스트리에 서비스로 등록하는 과정이 필수적이다.

 

3.1.8 레지스트리 등록 결과

[그림 14] 레지스트리 등록 확인

 

HKLM\System\CurrentControlSet\Services\ProcExp64 라는 레지스트리가 등록되었으며,
레지스트리 내 드라이버 경로가 기재된 모습을 볼 수 있다.

 

3.1.9 NtLoadDriver API를 통한 드라이버 로드

[그림 15] 드라이버 로드

 

SE_LOAD_DRIVER_NAME 권한 상승과 레지스트리 등록이 끝났으므로,
이전에 동적으로 획득한 NTAPI인 NtLoadDriver API를 호출한다.
NtLoadDriver의 인자에 이전에 등록한 레지스트리를 기재하면 드라이버는 시스템의 메모리 내 로드된다.

 

3.1.10 드라이버와 연결

[그림 16] 드라이버 연결

 

로드된 드라이버를 BYOVD 목적으로 사용하기 위해 드라이버와 연결을 수행한다.
위 이미지는 드라이버 핸들을 획득하기 위해 CreateFileA API를 호출해 드라이버와 연결하는 모습이다.

 

3.1.11 보호된 프로세스 핸들 획득

[그림 17] 핸들 획득

 

일반 프로세스 권한으로는 획득할 수 없는 보안 솔루션 핸들을
이전에 로드한 드라이버에 명령을 내려 반환하도록 한다.
이는 시스템 권한이 드라이버 프로세스 보호 정책을 무시할 수 있기 때문에 가능하다.

 

3.1.12 보호된 프로세스 정보 획득

[그림 18] 정보 획득

 

드라이버로부터 받은 핸들로 보호된 보안 제품의 핸들을 열고 프로세스 정보를 획득한다.
본 시나리오 내에서 대상 프로세스는 윈도우 디펜더 프로세스이다.

 

3.1.13 보안 제품 무력화

[그림 19] 보안 제품 무력화 시도

ProcExpKillHandle 이라는 함수 내 DeviceIoControl API을 호출하여 무력화 대상 PID를 전달한다.
본 과정을 통해 드라이버를 통해 보안 제품을 무력화하는 BYOVD 공격이 수행된다.

 

3.1.14 보안 제품 무력화 결과

[그림 20] MsMpEng.exe 종료

BYOVD 공격의 결과로 윈도우 디펜더 프로세스인 MsMpEng.exe 프로세스가 무력화되었다.

 

────────────────────────────────────────────────────────────

3.2 BYOVD (ProcExp.sys) 드라이버 분석

3.2.1 보호된 프로세스 핸들 전달

[그림 21] 보호된 핸들 전달

 

본 드라이버에는 전달받은 PID의 핸들을 열고 이를 복제하여
전달을 요청한 프로세스에게 돌려주는 기능이 있다.
본 기능을 통해 이전의 악성 PE 파일은 보호 권한의 보안 제품 핸들을 얻을 수 있다.

 

3.2.2 대상 프로세스 종료

[그림 22] 핸들 객체 제거

 

본 드라이버에는 또 다른 기능인 핸들 객체 제거를 통한 프로세스 종료 기능이 있다.
이전과 같이 전달받은 PID를 가진 프로세스의 열린 모든 핸들을 오픈하고
핸들 객체를 제거하여 프로세스를 종료시키는 기능이다.
이러한 공격은 일반적으로 탐지 및 차단이 불가능하며, 마이크로소프트 윈도우 디펜더조차 종료할 수 있다.

 

────────────────────────────────────────────────────────────

4. Privacy-i EDR 탐지 정보

4.1 BYOVD 공격 시도에 대한 사전 탐지 및 차단

[그림 23] 사전 탐지

 

[그림 24] 자사 제품 방어

 

BYOVD 공격은 보안 제품을 무력화하고 시스템 장악 후 악성 행위를 수행한다.
소만사 제품인 Privacy-i EDR은 자사 제품에 대한 BYOVD 공격 시도를 사전에 탐지 및 차단하고
시스템을 안전하게 보호하며 자가 보호까지 완료하였다.

────────────────────────────────────────────────────────────

5. 대응

1. EDR/AV 솔루션 적용 (행위 기반으로 차단)

2. 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비

3. 논리적 망분리(VDI)를 적용하여 악성코드 PC 유입을 원천 차단

4. 신뢰할 수 없는 메일의 첨부파일 실행 금지

5. 비업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단

6. PC 취약점 점검과 조치 (OS나 어플리케이션은 가급적 최신 버전 유지)

 

[소만사 악성코드 분석리포트 ] CrowdStrike 보안 업데이트 사칭, 와이퍼 악성코드 분석

 

1. 요약
      1) CrowdStrike의 소프트웨어 장애 사건을 이용하여
          보안 소프트웨어 업데이트 파일로 위장한 와이퍼 악성코드가 유포됨.
          피해자가 직접 클릭하여 와이퍼 악성코드를 실행하도록 유도.
      2) 와이퍼 악성코드는 1차 Dropper인 보안 패치 위장 악성코드를 통해
          2차 인젝터인 Champion.pif를 거쳐 RegAsm.exe 내 삽입되어
          데이터 삭제, 시스템 파괴, 복구 방해를 수행함.
      3) 목표 지향적인 와이퍼 악성코드는 이메일 첨부 파일, 악성 웹사이트,
          제로데이 취약점을 통해 배포되어 데이터나 시스템에
          영구적인 손상을 안겨 큰 피해를 발생시킬 수 있음.

 

2. 대응 방안
     1) Privacy-i EDR과 같은 EDR 제품을 통해 취약점 실행을 행위 기반으로 차단
     2) 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비
     3) 논리적 망분리를 적용하여 악성코드 PC 유입을 원천 차단
     4) AV(패턴기반탐지) + EDR(행위기반탐지) 솔루션
     5) PC 취약점을 주기적으로 점검, 보완
     6) 신뢰할 수 없는 메일의 첨부파일 실행 금지
     7) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단
     8) OS나 어플리케이션은 최신 형상 유지

 

────────────────────────────────────────────────────────────

1. 개요

1.1 배경

[그림 1] 해외 유명 보안업체 크라우드 스트라이크 사칭 이메일

 

소만사 악성코드 분석 센터는 최근 CrowdStrike(이하 크라우드 스트라이크)의 보안 소프트웨어 업데이트 파일로 위장하여

전 세계 시스템에 장애를 발생시켜 큰 피해를 유발한 와이퍼 악성코드가 유포되고 있는 것을 확인하고, 신속히 악성코드 샘플을 확보해 분석하였다.

또한 본 악성코드 분석 보고서 발간을 통해 와이퍼 악성코드의 특징과 대응 방안에 대해 서술하였다.

 

공격자는 피해자에게 CrowdStrike를 사칭한 소프트웨어 업데이트 안내 메일을 전송해 첨부 파일 다운로드를 유도하였다.
해당 파일은 실제 CrowdStrike 아이콘을 사용하여 사용자의 의심을 피한 악성코드였다.

또한 공격자는 윈도우 호스트 장애 대응 및 보안 업데이트로 위장한 링크를 이메일에 포함시켰으며,
사용자가 링크를 클릭하면 ‘Update’라는 이름의 압축 파일이 다운로드된다.
이 압축 파일에는 보안 패치로 가장한 와이퍼 악성코드가 포함되어 있었다.
피해자가 이를 실행할 경우 시스템이 파괴되며, 그 결과가 공격자에게 전송된다.

 

────────────────────────────────────────────────────────────

 

2. 정보

2.1 파일 정보

 

[표 1] 해외 유명 보안 업체 크라우드 스트라이크의 업데이트 파일로 위장한 압축 파일

 

[표 2] 악성코드를 드롭하는 업데이트 위장 실행 파일

 

[표 3] 드롭되어 최종 페이로드를 인젝션하는 인젝터

 

[표 4] 와이퍼 악성코드가 인젝션되는 정상 윈도우 유틸리티

 

────────────────────────────────────────────────────────────

 

2.2 크라우드 스트라이크 사칭 공격 흐름

 

[그림 2] 국내 유명 엔터테인먼트 社 사칭 공격 흐름

 

[그림 3] 크라우드 스트라이크의 업데이트 파일로 위장한 와이퍼 악성코드

 

① 크라우드 스트라이크 사칭 악성 이메일 제작
공격자는 피해자에게 보낼 와이퍼가 첨부된 악의적인 이메일을 제작한다.

② 피해자에게 악성 이메일 송신
해커는 악의적인 이메일 내 보안 패치로 위장한 압축 파일을 삽입하고 피해자에게 발송한다.

③ 압축 파일 내 보안 패치로 위장한 와이퍼 악성코드
압축을 해제하고 보안 패치를 실행한 사용자의 PC에서 와이퍼 악성코드가 실행된다.

④ 와이퍼 악성코드에 의한 피해자 시스템 파괴
와이퍼 악성코드가 실행되어 사용자의 시스템 내 모든 정보가 파괴된다.

⑤ 해커에서 작업 결과 전송
파괴 작업 수행 결과는 텔레그램을 통해 해커에게 전송한다.

 

────────────────────────────────────────────────────────────

 

3. 분석

3.1 와이퍼 악성코드 Dropper 분석

3.1.1 DLL 로드 확인

[그림 4] DLL 로드 확인

 

COMCTL32.DLL이 정상적으로 로드되어 있는지 확인한다.
이는 공통 컨트롤을 사용하기 위함이며,
본 악성코드에서 추후 사용자의 악성코드 실행 유도를 하기 위해 툴팁을 생성하고
Temp 폴더가 없을 시 이를 생성하도록 유도하기 위한 툴팁에도 사용된다.

 

3.1.2 Temp 폴더 존재 확인

 

[그림 5] Temp 폴더 존재 확인

 

향후 Dropper는 Temp 폴더에 악성코드를 드롭하고 이후 해당 악성코드를 실행시키는 흐름을 갖는다.
본 행위를 위해 동적으로 API를 로드하여 Temp 폴더의 존재를 확인하는 작업을 수행한다.

 

3.1.3 Temp 폴더 경로 확인

 

[그림 6] Temp 폴더 경로 확인

 

Temp 폴더의 존재를 확인한 후 GetTempPathW API를 사용하여 Temp 폴더 경로를 확인한다.

 

3.1.4 Temp 폴더 내 파일 생성 가능 여부 확인

 

[그림 7] Temp 폴더 내 파일 생성 가능 여부 확인

 

최종적으로 CreateDirectoryW API를 호출해
Temp 폴더의 존재 여부를 확인하고, 폴더가 없을 경우 생성한다.
또한, 해당 폴더에 파일 생성이 가능한지 확인하기 위해
임시 파일을 생성한 후, 성공하면 이를 삭제한다.

 

3.1.5 Dropper 내 악성 리소스 획득

 

[그림 8] Dropper 내 악성 리소스 획득

 

자기 자신의 바이너리를 읽어 내부에 존재하는 악성 리소스를 획득한다.
악성 리소스는 이후, 이전에 구한 Temp 폴더 내 생성되어 추가적인 악성 행위를 수행하게 된다.

 

3.1.6 사용자 사용 언어 확인

 

[그림 9] 사용자 사용 언어 확인

 

GetUserDefaultUILanguage API를 호출하여 사용자가 사용하는 언어를 확인한다.
이는 추후 사용자의 악성코드 실행을 유도하기 위한 툴팁에
안내 메시지로 사용될 언어를 확인하는 작업이다.

 

3.1.7 Temp 폴더 작업 디렉토리 설정

 

[그림 10] Temp 폴더 작업 디렉토리 설정

 

Temp 폴더 내 악성 파일 드롭 및 악의적인 행위에 필요한 데이터를 생성하기 위해
현 작업 디렉토리를 Temp 폴더로 변경한다.

 

3.1.8 페이로드 및 주요 악성 리소스 분할 드롭

 

[그림 11] Temp 폴더 내 와이퍼 및 주요 악성 리소스 분할 드롭

 

Temp 폴더 내 와이퍼의 PE 파일 조각과 악성 리소스들을 분할하여 드롭한다.
이 분할된 파일들은 이후 다시 재조합 및 파싱되어 페이로드와 악성 리소스로 동작하게 된다.

[표 5] 드롭되는 파일 이름

   

3.1.9 윈도우 유틸리티를 통한 페이로드 재조립 및 악성 행위 수행

 

CreateProcessW API를 반복적으로 호출하여 윈도우 프로세스를 실행하며 악성 행위를 수행하는데,
이는 아래와 같이 수행된다

 

 

 

 

 

 

 

 

 

 

 

 

   

 

 

 

[그림 12] 추가 페이로드 생성 및 실행

 

새로 생성된 Temp 폴더 내 564784 폴더에는
‘Champion.pif’ 이름의 AutoIt v3 Script 파일이 생성된다.
이와 함께 ‘L’이라는 파일도 생성되는데,
이들은 각각 최종 와이퍼 코드를 대상 프로세스에 인젝션하는 인젝터와 와이퍼 소스코드이다.
이들은 생성과 동시에 실행된다.

 

3.1.10 타임아웃 및 Dropper 종료

 

[그림 13] 타임아웃

 

1차 Dropper인 보안 패치 위장 악성코드는 마지막으로 타임아웃을 15초로 설정하고 종료한다.
이를 통해 와이퍼 악성코드, 인젝터, 와이퍼 코드가 피해자 PC에 생성된다.

 

────────────────────────────────────────────────────────────

3.2 Champion.pif 인젝터 분석

3.2.1 권한 확인 및 관리자 권한으로 실행

 

[그림 14] 관리자 권한 확인 및 실행

 

2차 인젝터인 Champion.pif는 자신의 권한을 확인하고
관리자 권한이 아닐 경우 관리자 권한으로 자기 자신을 실행한다.

 

3.2.2 안티 디버깅

 

[그림 15] 안티 디버깅

 

IsDebuggerPresent API를 호출하여 현재 디버깅되고 있는지 확인한 후 안티 디버깅을 수행한다.

 

3.2.3 와이퍼 코드 로드

[그림 16] 와이퍼 코드 로드

 

Dropper가 생성한 ‘L’ 와이퍼 코드 파일을 메모리로 읽어 이를 로드한다.
해당 코드 파일은 복잡하게 난독화 및 암호화되어 있어
이를 일련의 과정을 통해 복호화하고 재가공하여 추후 윈도우 유틸리티에 인젝션한다.

 

3.2.4 윈도우 유틸리티 생성

[그림 17] 윈도우 유틸리티 생성

 

인젝션을 수행해 와이퍼로 동작할 윈도우 유틸리티를 현재 폴더에 생성한다.
해당 윈도우 유틸리티는 RegAsm으로 어셈블리 등록 도구라고도 불리며,
악성 파일이 아닌 정상적인 윈도우 유틸리티이다.

 

3.2.5 프로세스 권한 획득

[그림 18] 탐색기 핸들을 열어 권한 획득

 

RegAsm을 실행하고 인젝션을 수행하기에 앞서, 탐색기의 핸들을 열어 프로세스의 권한을 획득한다.
이를 통해 향후 와이퍼로서 동작할 RegAsm 프로세스에 필요한 권한을 주기 위함이다.

 

3.2.6 RegAsm 실행 및 와이퍼 코드 삽입

 

[그림 19] RegAsm 내 와이퍼 코드 삽입

RegAsm을 실행하고 이전의 L 파일에서 획득한 와이퍼 악성코드를 삽입한다.
위와 같이 Native API를 이용하여 수행되는데,
이는 저수준의 함수 호출로서 후킹 기반 탐지를 피할 확률을 높혀준다.

 

────────────────────────────────────────────────────────────

 

3.3 RegAsm.exe 내 와이퍼 코드 분석

3.3.1 RegAsm.exe의 경로 획득

 

[그림 20] RegAsm.exe의 경로 획득

 

RegAsm.exe는 인젝터로부터 내부에 삽입된 와이퍼 코드가 실행을
시스템 내 모든 경로를 탐색하며 파일을 파괴한다.

 

3.3.2 RegAsm.exe의 파일 타입 확인

[그림 21] 파일 타입 확인 후 대상 여부 판단

 

RegAsm.exe는 경로 내 파일이 존재하면 해당 파일의 타입을 확인하고
SYS 파일 외 등 시스템에 장애를 발생시키지 않는 확장자가 발견되면 이를 파괴한다.

 

3.3.3 RegAsm.exe의 파일 파괴

[그림 22] 파일 내용 덮어쓰기 후 삭제

 

RegAsm.exe 내 와이퍼 악성코드는
대상 파일을 0으로 파일 크기만큼 덮어씌우며 모든 데이터를 파괴한다.
이후 대상 파일이 다 덮어씌워지면 해당 파일을 제거한다.

 

3.3.4 시스템 장애/파괴

[그림 23] 와이퍼로 유발된 시스템 장애/파괴

 

경로 내 존재하는 대부분의 파일을 파괴하여 시스템에는 심각한 장애가 유발된다.
위와 같이 피해 PC 내 존재하는 대부분의 파일은 파괴되어 정상적인 동작을 할 수가 없게 된다.

 

[표 6] 소만사 악성코드 분석 센터 분석 결과

 

────────────────────────────────────────────────────────────

 

4. Privacy-i EDR 탐지 정보

4.1 이상 파일 I/O 행위 탐지를 통한 와이퍼 탐지 및 차단

[그림 24] 이상 파일 I/O 기반 와이퍼 탐지 및 차단

 

와이퍼 악성코드는 시스템 내부의 데이터를 파괴하고
복구가 불가한 상태로 만드는 이상 파일 I/O 행위를 수행한다.
소만사의 Privacy-i EDR은 이러한 시스템 파괴 행위를 이상 파일 I/O 행위로 탐지 및 차단하고 시스템의 복구까지 완료하였다.

[소만사 악성코드 분석리포트 ] BiBi 와이퍼 악성코드

이스라엘 공격 목적으로 친팔레스타인 단체에서 개발한 인프라 파괴 목적의 악성코드

 

1. 요약
      1) 이스라엘-팔레스타인 간 사이버 공격 목적으로 친 팔레스타인 세력이 개발한
          신종 BiBi 와이퍼 악성코드, 이스라엘 보안기업이 자국 기업/기관 네트워크 조사 중 발견.
      2) 일반적인 랜섬웨어는 데이터변조를 통한 복호화 비용(몸값)을 획득하는 것을 목적으로 함.
          BiBi 와이퍼 악성코드는 랜섬웨어처럼 파일변경행위를 수행하나,
          전산 인프라 파괴에 목적이 있어 국가 간 사이버 테러에서 주로 포착됨.
      3) 감염 대상의 네트워크를 통해 시스템에 침투,
          PC 내 파일들을 무작위 데이터로 덮어쓰는 방식으로 손상시킴.
          데이터와 운영 체제 모두 복구 불가능.

 

2. 대응 방안
     1) Privacy-i EDR과 같은 EDR 제품을 통해 취약점 실행을 행위 기반으로 차단
     2) 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비
     3) 논리적 망분리를 적용하여 악성코드 PC 유입을 원천 차단
     4) AV(패턴기반탐지) + EDR(행위기반탐지) 솔루션
     5) PC 취약점을 주기적으로 점검, 보완
     6) 신뢰할 수 없는 메일의 첨부파일 실행 금지
     7) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단
     8) OS나 어플리케이션은 최신 형상 유지

 

────────────────────────────────────────────────────────────

1. 개요

1.1 배경

 

[그림 1] 친 팔레스타인 해커와 악성코드가 사용하는 확장자 BiBi

 

와이퍼(Wiper) 악성코드는 데이터 변조를 통한 수익획득을 목적으로 하는 것이 아닌
오로지 인프라 파괴를 목적으로 하기 때문에 국가 간 사이버 테러에 주로 사용된다.
또한 공격 대상의 시스템에 침투하여 공격 대상의 시스템을 마비시키고,
파괴하여 복구가 불가능한 피해를 입힌다.

지난 2022년 시작된 우크라이나 – 러시아 전쟁에서
러시아의 해킹 그룹이 와이퍼(Wiper) 악성코드를 사용해 우크라이나를 공격한 사례가 있다.

소만사 악성코드 분석 센터는 이번 이스라엘-팔레스타인 전투 간 사이버 공격 사례를
관찰하는 과정에서 친 팔레스타인 세력이 개발한 신종 와이퍼(Wiper) 악성코드를 확인하였다.

해당 악성코드는 랜섬웨어와 동일한 파일 변경 행위를 수행하나,
금전적 이득을 취한 후 파일을 복호화하는 과정과 흔적이 없는 것이 특징이다.
즉 랜섬웨어를 빙자한 신종 와이퍼(Wiper)가 등장한 것이다.

본 와이퍼(Wiper) 악성코드는 BiBi라는 이름을 내부적으로 사용하고 있으며,
BiBi는 이스라엘 제20대 총리인 베냐민 네타냐후의 별명으로,
친 팔레스타인 공격 그룹이 이스라엘을 대상으로 배포 및 공격하고 있음을 확인할 수 있다.

또한 해당 공격에 앞서, 리눅스 버전의 BiBi 와이퍼(Wiper)도 확인이 되었는데
이는 이스라엘 케파르 사바의 컴퓨터 보안 서비스 업체인 Security Joes의 사고 대응 팀이
이스라엘 조직의 네트워크 침입을 조사하면서 발견했다.

소만사 악성코드 분석 센터는 본 공격에 대해 국가 간 사이버 전쟁에
와이퍼(Wiper) 악성코드가 사용됨을 확인하고, 신속히 악성코드 샘플을 확보해 분석하였다.
또한 본 악성코드 분석 보고서 발간을 통해
BiBi 와이퍼(Wiper) 악성코드의 특징과 대응 방안에 대해 서술하였다.

 

────────────────────────────────────────────────────────────

2. 정보

2.1 파일정보

[표 1] 친 팔레스타인 공격 그룹의 EXE 형태의 BiBi 와이퍼(Wiper) 악성코드

 

 

────────────────────────────────────────────────────────────

2.2 BiBi 와이퍼(Wiper) 악성코드 공격 방식

 

[그림 2] BiBi 와이퍼(Wiper) 악성코드 공격 방식과 실제 동작 모습

 

① 해커의 와이퍼 악성코드 제작 : 친 팔레스타인 해커의 악성코드 제작
 해커는 와이퍼 악성코드를 제작하고, 대상 국가에 대해 배포를 준비한다.

② 감염 대상 국가 / 시설 / 시스템 침투 : 이스라엘 Security Joes 자료에 의한 침입 방법
 감염 대상의 네트워크를 통해 시스템에 침투하여 와이퍼 악성코드를 유포한다.

③ 와이퍼 악성코드 감염 / 실행 : 경로 인자와 함께 실행 시 해당 경로만 파괴
 와이퍼 악성코드를 대상 시스템 내에서 실행한다.

④ 시스템 파괴 및 복구 불가 : 전 시스템 파괴 1번을 1라운드로 칭하며 무한한 라운드로 파괴
 시스템은 BiBi 와이퍼 악성코드에 의해 파괴되어 복구가 불가능한 피해를 입는다.
 PC 내 파일들은 무작위 데이터로 덮어씌워지며 복구가 불가능하게 파괴된다.

 

────────────────────────────────────────────────────────────

3. 분석

3.1 인자(CommandLine) 확인

 

[그림 3] GetCommandLine API를 통한 인자 확인

 

BiBi 와이퍼(Wiper) 악성코드는 공격 대상의 PC에서 실행되면
가장 먼저 GetCommandLine API를 통해 인자를 확인한다.
인자는 경로가 될 수 있으며, 경로를 입력하고 BiBi 와이퍼(Wiper) 악성코드를 실행하면
대상 경로의 파일이 무작위 데이터에 의해 덮어씌워진다.

 

3.2 사용 API 주소의 동적 획득

 

[그림 4] GetProcAddress API를 통한 동적 API 주소 획득

 

BiBi 와이퍼(Wiper) 악성코드는 GetProcAddress API를 사용하여
시스템 파괴 행위에 사용할 API의 주소를 획득하는데,
이러한 행위는 시그니처 기반 AV의 탐지를 피하기 위함이다.
본 행위는 사용할 API 목록을 숨겨 AV의 탐지를 회피하는 전형적인 모습이다.

 

3.3 논리 디스크 목록 획득

[그림 5] GetLogicalDrives API를 통한 논리 디스크 목록 획득

이후 파괴 대상 시스템의 논리 디스크 목록을 획득하는데,
이 때 사용하는 API는 GetLogicalDrives를 사용한다.
이를 통해 파괴 대상의 시스템 내 존재하는 논리 디스크 목록을 획득한다.

 

────────────────────────────────────────────────────────────

3.4 드라이브 타입 확인

 

 

[그림 6] GetDriveType API를 통한 논리 디스크 타입 확인

 

GetDriveTypeA API를 이용하여 이전에 획득한 논리 디스크들의 타입을 확인한다.
해당 행위를 통해 파괴 대상 디스크의 세부 사항을 확인하여
더욱 정밀한 디스크 내 파일들의 파괴 행위가 가능하다.

 

────────────────────────────────────────────────────────────

 

3.5 주요 경로 획득

 

[그림 7] GetEnvironmentStrings API를 통한 주요 경로 획득

 

파괴 대상이 되는 주요 경로를 획득하는데, 주요 경로는 C:\Users와 그 하위 경로가 대상이 된다.

 

────────────────────────────────────────────────────────────

 

3.6 멀티스레딩을 통한 신속한 파괴 행위 수행

 

[그림 8] CreateThread API를 통한 멀티스레딩 수행

 

CreateThread API를 호출하여 여러 개의 스레드를 생성하고 실행하는데,
이는 멀티스레딩을 이용한 신속한 시스템 파괴 행위를 수행하기 위함이다.
각각의 스레드는 경로 확인과 파일 파괴 등 기능을 분담하여 신속한 시스템 파괴 행위를 수행한다.

 

────────────────────────────────────────────────────────────

3.7 파괴 대상 경로 탐색

 

[그림 9] FindFirstFileEx API를 통한 파괴 대상 경로 탐색

 

FindFirstFileEx API를 이용하여 파괴할 파일을 찾아
이전에 확인했던 C:\Users 및 그 하위 경로를 탐색 시도한다.

 

────────────────────────────────────────────────────────────

3.8 파일 데이터 덮어쓰기 및 이름 변경

 

[그림 10] 파일 데이터 덮어쓰기 및 이름 변경

 

경로 상의 모든 파일에 대해 임의의 데이터를 덮어씌우는 행위를 반복한다.

해당 작업을 통해 파일은 복구 자체가 불가능한 상태가 되며, 이름과 확장자가 변경된다.

 

────────────────────────────────────────────────────────────

3.9 볼륨 섀도우 카피 복사본 제거 및 주요 보안 설정 해제

[그림 11] 볼륨 섀도우 카피 복사본 제거 및 주요 보안 설정 해제

 

CreateProcessInternal API를 사용하여 CMD.exe 유틸을 실행해
볼륨 섀도우 복사본 삭제 행위와 주요 보안 설정을 비활성화한다.

[표 2] BiBi 와이퍼(Wiper) 악성코드의 시스템 보안 훼손 명령

 

────────────────────────────────────────────────────────────

 

3.10 파일 공유 위반 프로세스 종료를 위한 Rstrtmgr DLL 로드

 

[그림 12] 파일 공유 위반 프로세스 종료를 위한 Rstrtmgr.dll 로드

 

파일 파괴 행위 중 이미 열린 파일로서, 공유 위반이 발생하여 파괴 행위가 불가능하면
해당 파일을 열고 있는 프로세스를 종료시키기 위해 위와 같이 Rstrtmgr.dll을 로드한다.
해당 DLL 내의 API들을 이용하여 공유 위반이 발생한 프로세스를 찾고 종료할 수 있다.

 

────────────────────────────────────────────────────────────

3.11 파일 공유 위반 프로세스 종료

 

[그림 13] 파일 공유 위반 프로세스 종료

 

Rstrtmgr.dll 내 API들을 이용하여 파일 공유 위반이 발생한 프로세스들을 찾고
ZwOpenProcess를 호출하여 핸들을 얻은 후, ZwTerminateProcess API를 이용해 종료한다.
이를 통해 공유 위반이 발생하여도 모든 파일을 파괴할 수 있는 기능을 수행한다.

 

────────────────────────────────────────────────────────────

3.12 시스템 내 파일 파괴

 

[그림 14] 파일 데이터 파괴 및 이름과 확장자 변경

 

모든 파일은 파괴되고, 파일명은 임의의 이름으로 변경된 후
확장자는 BiBi+[숫자]로 변경된다.

 

────────────────────────────────────────────────────────────

3.13 시스템 내 파일 파괴 (다중 파괴)

 

[그림 15] 파괴 행위를 수행한 라운드 횟수를 기재

 

대상 폴더 및 CPU와 Thread, 파괴된 파일 개수 등을 실시간으로 볼 수 있도록 한다.
라운드는 시스템 내에서 몇 번의 파괴가 이뤄졌는지를 나타내며,
종국에는 시스템 내 모든 파일들이 다중 파괴 후 복구 불가능하도록 훼손된다.

 

────────────────────────────────────────────────────────────

 

3.14 파일 파괴 모습

 

 

[그림 16] 파괴 행위가 수행된 후 파일의 내용이 파괴된 모습

 

정상적인 문자열을 갖고 있던 텍스트 문서는
BiBi 와이퍼(Wiper)의 시스템 파괴 행위 수행 후
임의의 데이터로 덮어씌워져 복구가 불가능하도록 변경되었다.

 

────────────────────────────────────────────────────────────

4. Privacy-i EDR 탐지 정보

4.1 이상 파일 행위 탐지 기능을 통한 악성코드 탐지/차단

 

[그림 17] BiBi 와이퍼(Wiper)의 이상 파일 행위 탐지 알림 화면

 

Privacy-i EDR은 이상 파일 행위 탐지 기능을 이용하여
BiBi 와이퍼(Wiper) 악성코드의 시스템 파괴 행위를 탐지하고 차단하였다.

 

────────────────────────────────────────────────────────────

4.2 실시간 백업/복구 기능을 통한 파일 복원

 

[그림 18] BiBi 와이퍼가 손상시킨 파일을 실시간 복구 기능으로 복구하는 화면

 

Privacy-i EDR의 실시간 백업 및 복구 기능을 통해 파일 복구를 진행하는 모습이다.

 

────────────────────────────────────────────────────────────

4.3 이상 파일 행위 탐지

 

[그림 19] BiBi 와이퍼(Wiper)의 이상 파일 행위 탐지 로그

 

Privacy-i EDR은 이상 파일 행위를 탐지하고 차단할 수 있으며,
이러한 방법을 통해 알려지지 않았던 BiBi 와이퍼(Wiper)에도 대응이 가능하다.

 

────────────────────────────────────────────────────────────

5. 대응

1. Privacy-i EDR과 같은 EDR 제품을 통해 취약점 실행을 행위 기반으로 차단

2. 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비

3. 논리적 망분리를 적용하여 악성코드 PC 유입을 원천 차단

4. AV(패턴기반탐지) + EDR(행위기반탐지) 솔루션

5. PC 취약점을 주기적으로 점검, 보완

6. 신뢰할 수 없는 메일의 첨부파일 실행 금지

7. 비업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단

8. OS나 어플리케이션은 최신 형상 유지

 

 

[소만사 악성코드 분석리포트 ] 북한발 LNK 악성코드 3종 분석

2023년 10월 현재도 피해사례 지속적으로 발생 중

 

1. 요약
      1) 사전에 탈취된 정보를 바탕으로 정교한 피싱 컨텐츠를 제작하여 타깃 겨냥
           : 세금계산서, 세금징수문서, 백신 위장 문서 등
      2) 일회성이 아닌 타깃이 명확하게 설정된 지속적 공격
           : 10개월간 지속된 한미연합연습을 노린 ‘김수키’ 사이버 공격
      3) 주로 LNK 파일을 통해 공격 수행
           : 파일확장자명이 표시되지 않아 타깃을 쉽게 속일 수 있음
           : 2023년 8월에만 6,600건이 발견, 현재 진행 중
      4) LNK 파일 3종
           ① Chinotto 악성코드 유포
             : 가장 많이 발견된 사례
           ② RokRAT 악성코드 유포
             : 신뢰 가능한 서비스 OneDrive 통해 악성코드 유포
           ③ 정보탈취형 악성코드 유포
             : 사용자PC 모든 문서 파일 경로, 공인 IP, 프로세스 목록 등 탈취

 

2. 대응 방안
     1) 논리적 망분리를 적용하여 악성코드 PC 유입을 원천 차단한다
     2) AV(패턴기반탐지)+ EDR(행위기반탐지) 솔루션을 최신 형상으로 유지한다.
     3) PC 취약점을 주기적으로 점검, 보완한다.
     4) 신뢰할 수 없는 메일의 첨부파일은 실행을 금지한다.
     5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결을 차단한다.
     6) OS나 어플리케이션은 최신 형상을 유지한다.

 

──────────────────────────────────────────────

1. 개요
 

1.1 배경

[그림 1] 인터넷에 공개된 취약점 익스플로잇 정보

 

2022년 7월, Microsoft에서 오피스 문서 매크로를 기본적으로 비활성화한 이후부터 공격자들은 이를 대체할 수 있는 유포 방식을 연구해왔다.
제로데이 공격이나 소프트웨어의 취약점을 악용하는 공격 방식은 공격 대상의 소프트웨어 버전, 취약점 패치 여부, 보안 제품 운영 여부 등을 포함한 환경적인 요인에 영향을 받기 때문에 공격 성공률이 낮을 수밖에 없다.

따라서, 취약점 공격 없이 악성코드를 대상 시스템에서 실행시키기 위해 공격자는 피싱을 시도하여 피해자가 악성코드를 직접 실행하도록 유도한다.
공격자들은 공격 성공 확률을 높이기 위해 개인 또는 특정 집단의 성격에 맞게 정교한 공격을 수행한다.

이를 위해 정보탈취형 악성코드로부터 수집한 정보들을 기반으로 피싱 컨텐츠를 제작하여 더 위력적인 피싱 공격으로 발전시키기도 한다.
이외에도 로그인 폼이나 택배 문자 등 흔하게 볼 수 있는 컨텐츠를 제작하여 습관적인 상호작용을 유도하거나, 악성코드에 감염됐다는 시스템 알림을 거짓으로 표시해 악성코드 유포지로 접속을 유도하여 백신으로 위장한 악성 프로그램을 실행시키는 방법 등이 있다.

 

[그림 2] 공격에 사용된 피싱 컨텐츠 예시

 

피싱은 주의를 기울이면 상당 부분 예방할 수 있는 공격임에도 불구하고 위력적인 이유가 두 가지 존재한다.

첫째, 일반인 입장에서 해당 컨텐츠(메일, 문자, 타이포스쿼팅을 이용한 도메인 등)의 피싱 여부를 구분하기 어렵기 때문이다.
스팸 메일함, 구글 세이프 브라우징, 백신 제품 등을 통해 어느정도 방지할 수는 있지만, 사용자에 의해 우회되거나 비활성화가 가능하다는 한계점이 존재한다.

둘째, 피싱 공격은 일회성에 그치지 않고 지속적으로 시도된다.
2023년 1월, 한미연합군사훈련을 앞두고 북한이 국내 워게임 운용업체 직원을 대상으로 피싱 공격에 성공한 사실이 경찰청에 의해 발표됐다.
이는 2022년 4월부터 시작해 무려 10개월 간 지속된 공격이었다.

출처를 알 수 없는 컨텐츠에 주의를 기울여야 한다는 것을 모두가 알고는 있지만 공격을 인지하는 것이 어렵기 때문에 전문가조차도 피싱 공격으로부터 안전하다고 보기는 어렵다.

 

[그림 3] 2023년도 악성 CHM 및 LNK 파일 샘플 추이

 

[표 1] 2023년도 악성 CHM 및 LNK 파일 샘플 통계

 

 

Microsoft의 오피스 문서 매크로 비활성화 정책 이후로 공격자들은 악성코드를 CHM(Compiled HTML Help File)과 LNK(Windows Shortcut File)의 두 가지 형식 위주로 제작해왔다.
이는 주로 피싱 메일의 첨부파일로 유포되어 사용자의 실행을 유도했다.

소만사 악성코드 분석 센터에서 수집한 2023년 악성 CHM 및 LNK 파일의 유포 통계에 따르면 CHM 파일의 수에 비해 LNK 파일의 수가 많은 비중을 차지하는 것을 확인할 수 있다.
두 형식 모두 별도의 프로그램 설치 없이 대상 PC에서 실행될 수 있다는 특징이 있지만, LNK 파일은 확장자명이 따로 표시되지 않아 피해자를 속이기 수월하여 CHM 파일보다 많이 악용되었을 것으로 추측된다.

 

[그림 4] 2023년 북한발 추정 악성 LNK 샘플의 침해지표 관계도

 

소만사 악성코드 분석 센터는 2023년도 수집된 악성 LNK 파일 중 북한이 유포한 것으로 추정되는 샘플을 분류하기 위해 피싱 공격의 전략 및 전술, 공격의 페이로드와 북한이 유포했던 악성코드들과의 유사도 분석을 진행하였다.

이를 통해 북한이 유포한 것으로 추정되는 샘플을 대상으로 코드 패턴의 유사도, 내장된 추가 악성코드, C&C 서버 도메인 등의 요소를 고려하여 아래 세 가지 유형으로 분류하였다.

• 1번 유형: 공통적으로 샘플 당 두 개의 동일한 C&C 서버와 통신

• 2번 유형: 추가 악성코드를 내려받는 C&C 서버가 동일하거나 1번 유형의 C&C 서버와 통신

• 3번 유형: 서로 다른 C&C 서버와 통신

악성 LNK 샘플 분석을 통해 파악된 침해지표의 관계도 [그림 4]를 보면
1번 유형과 2번 유형처럼 동일한 C&C 서버와 통신하는 경우에는 그래프가 원형으로 나타난다.
반면, 3번 유형과 같이 서로 다른 C&C 서버와 통신하는 경우 그래프가 방사형으로 표현되는 것을 확인할 수 있다.

 

[그림 5] 1번과 2번 유형 간의 연관성

 

흥미로운 점은 1번 유형과 2번 유형 사이에는 연관성이 있다는 것이다.
2번 유형은 대부분 OneDrive 파일 공유 링크를 추가 악성코드 다운로드 서버로 사용했지만, 단 하나의 샘플만이 OneDrive가 아닌 1번 유형과 동일한 C&C 서버를 사용하였다.

차이점은 1번 유형의 경우 해당 서버에 IP 주소로 직접 접속했고, 2번 유형의 경우 도메인 이름으로 접속한 것이다.

소만사 악성코드 분석 센터는 LNK 파일 형식으로 유포되는 북한의 악성코드 유형을 정리하고 내용을 최신화하기 위해 본 보고서를 작성했다.

 

──────────────────────────────────────────────

2. LNK 파일 분석

소만사 악성코드 분석 센터는 2023년 1월부터 8월까지 유포된 악성 LNK 파일 중 북한과 연관된 것으로 추정되는 파일들을 모아 서두에서 다루었던 것과 같이 세 유형으로 분류하였다.

각 유형별 샘플 분석 결과, 세 가지 유형에서 오피스 문서의 매크로 등 다른 형태로 유포되던 악성코드들이 LNK 형식으로 유포 방식이 변화한 것을 확인할 수 있었다.

공통적으로 LNK 파일 내에 미끼 파일과 악성 파일이 위치해 있었으며, 실행 시 피해자에게 미끼 파일을 보여줌과 동시에 악성 행위를 수행했다.
본 보고서는 이를 각 유형별로 간략하게 살펴본다.

 

──────────────────────────────────────────────

2.1 유형 #1: Chinotto 악성코드 유포

1번 유형은 PowerShell 스크립트로 작성한 Chinotto 악성코드를 유포하는 유형으로, LNK 파일 형식으로 유포되는 샘플은 올해 8월에 최초로 식별하였고 한 달간 45개의 샘플이 발견되었다.

샘플의 개수는 이후 소개할 다른 유형들보다 압도적으로 많지만, LNK 파일에 내장된 미끼 파일이나 악성 스크립트는 모두 동일하다.

 

[그림 6] 미끼 파일 화면

 

[표 2] 지속성을 위한 레지스트리 생성

 

악성 LNK 파일 실행 시, [그림 6]과 같은 미끼 파일을 화면에 보여주며, 동시에 악성 배치 스크립트가 실행된다.
이 배치 스크립트는 자기 자신을 %appdata%\Microsoft\Protect 경로에 UserProfileSafeBackup.bat 이름으로 복사한 뒤, RunOnce 레지스트리 키에 자신을 등록한다.

윈도우즈는 시스템 부팅 시 RunOnce 하위에 등록된 명령을 한 번 실행하고 삭제시키므로 일회성이지만, 이 경우 삭제와 재등록이 반복되므로 지속성을 확보할 수 있게 된다.

 

[그림 7] Chinotto RAT 실행 흐름도

 

이후에는 배치 스크립트에 내장된 Chinotto 악성코드를 실행하는데, 흐름도는 [그림 7]과 같다.

C&C #1은 카페24에서 호스팅 중인 국내 모 청소전문업체 기업의 웹사이트이다.

보안이 취약한 국내/해외 웹서버를 공격해 자신들의 공격 서버로 활용한 것으로 보이며, 분석 당시 네트워크 트래픽이 확인되지 않아 추가 악성코드는 확인할 수 없었다.

C&C 서버가 활성화된다면, 공격자는 감염PC에서 mshta를 통해 임의의 코드를 실행할 수 있다.

 

 

[표 3] 레지스트리 생성 명령 형식

 

공격자는 [표 3]과 같은 형식의 명령을 전송해 감염PC에 REG_SZ 종류의 레지스트리를 생성할 수 있다.

 

──────────────────────────────────────────────

2.2 유형 #2: RokRAT 악성코드 유포

2번 유형은 RokRAT 악성코드를 내려받아 실행하는 악성 LNK 파일이다.
LNK 파일 형식으로 유포되는 RokRAT 샘플은 올해 1월에 처음으로 식별하였다.

 

[그림 8] 공격에 사용된 다양한 미끼 파일 화면

 

1번 유형과 다르게 본 유형의 샘플들은 현재까지 미끼 파일을 꾸준히 변화시켜왔다.
HTML, PDF, HWP 파일 등 여러 형식의 파일을 사용하였으며, 이들은 피해자에게 실행을 유도하기 위해 피싱을 수행한다는 공통점을 지닌다.

 

[그림 9] OneDrive 링크 접속 화면

 

대부분의 샘플이 추가 악성코드인 RokRAT을 OneDrive 파일 공유 링크로부터 내려받는다.
신뢰 가능한 서비스를 통해 악성코드를 유포할 경우 공격자는 자기자신의 노출을 줄일 수 있다는 이점이 있다.
이러한 전략을 LOTS (Living Off Trusted Sites) 라고 부른다.

 

[그림 10] OneDrive 파일 공유 사용자 정보

 

OneDrive 링크를 확인해보니 사용자 “총무인사팀 전자문서”가 “AutumnPark”라는 이름의 파일을 공유하고 있었다.
이 파일은 2023년 5월에 발견된 RokRAT 비컨으로 확인되었다.

최근 본 유형의 LNK 샘플들은 파일 공유 링크가 폐기되었으나, 2023년 1월에 발견된 샘플의 링크는 여전히 유효했다.

 

──────────────────────────────────────────────

 

[그림 11] RokRAT 디코딩 전

 

[그림 12] RokRAT 디코딩 후

 

해당 비컨 실행파일은 인코딩되어 내용이 가려진 상태였다.
4바이트 키 0xE3AFD3E1로 XOR 디코딩한 후 실행 파일이 포함된 것을 확인할 수 있었다.

 

[표 4] 하드코딩 된 REST API 인증 토큰

 

RokRAT 비컨에는 Dropbox, PCloud, Yandex Cloud의 클라우드 저장소 서버와 통신하기 위한 기능이 존재했다.
PCloud와 Yandex Cloud는 API 인증토큰이 실행파일 내에 존재했으나, Dropbox API의 인증 토큰은 존재하지 않았다.

비컨은 PCloud 서버와 먼저 통신 시도 후 Yandex Cloud 서버와 통신하며, 분석 당시 서버와의 통신은 불가했다.

 

[그림 13] 하드코딩 된 RSA 공개키

 

공격자는 감염PC로부터 수집한 정보를 클라우드 서버에 업로드하거나 또는 추가 악성코드를 내려받아 실행한다.
수집한 정보를 업로드 할 시 AES 및 RSA 암호화 작업 후 전송하며, RSA 공개키는 2,048비트 크기로 실행파일 내에 하드코딩되어 있다.

 

 

──────────────────────────────────────────────

2.3 유형 #3: 정보탈취형 악성코드 유포

3번 유형은 감염PC의 정보를 탈취하는 악성코드이다.
분석 당시 C&C 서버로부터 추가 악성코드를 내려받아 실행하는 기능은 확인하였으나,
어떤 악성코드를 내려받는지는 확인이 불가했다.

따라서 다운로드 서버가 활성화될 경우, 정보탈취 이외의 추가적인 악성 행위를 수행할 가능성이 존재한다.

 

[그림 14] 미끼 파일 화면

 

앞의 두 유형과 마찬가지로 LNK 파일 실행 시 미끼 파일이 화면에 표시되는 동시에 악성코드가 실행된다.
[그림 14]의 미끼 파일은 법제처 홈페이지에서 다운로드 가능한 파일로, 본 유형의 모든 샘플에서 해당 파일이 공통적으로 사용되었다.

 

[그림 15] LNK 파일에 내장된 정보탈취형 악성코드

 

[표 5] 정보탈취형 악성코드 패키지 정보

공통점은 LNK 파일 내에 항상 [그림 15]의 파일들이 압축된 상태로 포함되어 있다는 부분이다.
배치 스크립트 파일명은 매번 다르지만 항상 여덟 자리의 십진수 형식을 띈다.
실행 시 C&C 서버로부터 추가 악성코드를 ZIP 파일 형식으로 내려받기 때문에
이를 해제하기 위한 도구 unzip도 함께 사용된다.

 

[표 6] 지속성을 위한 레지스트리 생성

 

매 부팅 시마다 감염PC에서 악성코드가 실행될 수 있도록 Run 레지스트리 키에 등록한다.

 

[그림 16] 정보탈취형 악성코드 실행 흐름도

 

C&C 서버는 샘플 당 두 개로, 하나는 추가 악성코드를 내려받는 다운로드 서버이고,
다른 하나는 수집한 감염PC의 정보를 전송하기 위한 업로드 서버이다.
C&C #1과의 네트워크 트래픽이 확인되지 않아 어떤 악성코드를 내려받는지는 알 수 없었다.
단, 추가 악성코드를 실행하는 방식은 rundll3206 을 사용해 특정 함수를 실행하는 형태이다

 

[그림 17] 데이터 유출 당시의 네트워크 패킷

 

[표 7] 네트워크 패킷에 포함된 필드 정보

수집한 데이터는 모두 RC4 알고리즘으로 암호화하여 HTTP POST 메시지로 전송한다.
이 때, 보안 제품에서의 탐지를 회피하기 위해 전송하는 데이터를
실행 당시의 시간(초 단위)을 대칭키로 암호화하여 서버로 전송한다.

 

탈취 대상 정보 예시

• %USERPROFILE%\Downloads 내 모든 파일 경로

• %USERPROFILE%\Documents 내 모든 파일 경로

• %USERPROFILE%\Desktop 내 모든 파일 경로

• C:\Program Files 하위 경로

• 공인 IP 주소

• 실행 중인 프로세스 목록

• 운영체제 및 하드웨어 정보 등 시스템 정보

감염PC로부터 탈취하는 정보는 위와 같다.
이 정보들은 피싱을 더욱 정교하게 만드는 데 사용되거나
후속 공격을 위한 대상을 선정하는 데에 사용될 것으로 추측된다

 

──────────────────────────────────────────────

2.4 결론

보안 제품의 정책에 알려진 침해지표를 반영하여 공격 시도를 막을 수도 있으나 한계는 존재한다.
공격에 새로운 파일 또는 C&C 서버가 사용되는 시점부터
침해지표가 반영되기 이전까지의 시간 동안은 취약하기 때문이다.
따라서 악성 행위 실시간 분석과 대응이 가능한 행위 기반 탐지 엔진을 사용하여
공격 시도가 지속적으로 급증하고 있는 LNK 악성코드에 대한 선제적인 대응이 필요하다.

 

──────────────────────────────────────────────

3. Privacy-i EDR 탐지 정보

 

[그림 18] 비정상적인 LNK 파일 생성 행위 탐지

 

[그림 19] 비정상적인 LNK 파일 실행 행위 탐지

 

Privacy-i EDR은 행위 기반 탐지 엔진을 사용해 사용자가 악성으로 의심되는
LNK 파일에 접근하려는 시도를 탐지 및 차단한다.
Privacy-i EDR의 비정상적인 LNK 파일에 대한 실시간 탐지 및 선제적 대응을 통해
사용자는 PC에서 악의적인 코드 실행, 정보 탈취 발생을 사전에 차단하고,
자기자신의 데이터를 보호할 수 있다.

 

──────────────────────────────────────────────

4. 대응

1. 논리적 망분리를 적용하여 악성코드 PC 유입을 원천 차단한다
2. AV(패턴기반탐지) + EDR(행위기반탐지) 솔루션을 최신 형상으로 유지한다.
3. PC 취약점을 주기적으로 점검, 보완한다.
4. 신뢰할 수 없는 메일의 첨부파일은 실행을 금지한다.
5. 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결을 차단한다.
6. OS나 어플리케이션은 최신 형상을 유지한다.

 

──────────────────────────────────────────────

5. 참고자료

5.1 국내 피해 현황

[표 8] 국내 기업 피해

 

5.2 국제 피해 현황

 

[표 9] 국제 기업 피해

 

5.3 침해 지표

• 5.3.1 유형 1: Chinotto RAT 실행 악성 LNK

      

[표 10] Chinotto RAT LNK 파일 정보

 

[표 11] Chinotto RAT C&C 서버 정보

 

• 5.3.2 유형 2: RokRAT 실행 악성 LNK

[표 12] RokRAT LNK 파일 정보

 

[표 13] RokRAT C&C 서버 정보

 

• 5.3.3 유형 3: 정보 탈취 악성 LNK

 

[표 14] 정보탈취형 LNK 파일 정보

 

 

 

[소만사 악성코드 분석리포트 ] 북한 Konni 그룹의 문서형 악성코드

3년간 한국 대상으로 약 10여 건 악성파일 유포 비트코인, 대형사고 브리핑 등 민감한 소재를 통해 문서실행 유도

 

1. 요약
1) 2017년부터 한국, 러시아 및 유럽 기업을 타깃으로 활동하는 북한 Konni 그룹
2) 한국 기업/기관 공격 시 한글파일(.hwp) 사용했으나 2022년부터 MS-Office 이용하여 공격
3) 비트코인 투자, 대형 인명피해사고, 병원 소송 답변서 등 민감한 소재로 클릭 유도
4) RTF 원격 템플릿 주입 공격 방식(Remote Template Injection) 사용 → 실제 파일에는 악성코드 없으나 클릭 시 외부에 심어둔 악성 URL을 통해 감염 RTF는 업무에 자주 활용되는 포맷이므로 차단 어려움 행위 기반 탐지 엔진으로 차단 필요

 

2. 대응 방안
1) Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 실행 차단
2) 비정상적인 프로세스 행위는 실시간으로 모니터링
3) 내부 데이터 보호를 위해 업무망 망분리 수행
4) 신뢰할 수 없는 메일의 첨부파일은 실행금지 : 메일 내용과 보내는이 계정에 연관성이 없거나 문법적으로 어색하고 신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일
5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트 연결 차단
6) OS 및 소프트웨어 보안 업데이트를 항상 최신형상으로 유지

[소만사 악성코드 분석리포트]

우크라이나 주요시설파괴 <와이퍼 악성코드>! 단순 구조로 변종생성 용이, 기존 안티바이러스 대응 한계

 

1. 요약
1) 국가간 사이버 테러 목적으로 활발히 사용 → 우크라이나 주요시설 파괴목적으로 러시아에서 사용
2) 2010년대 1~2년 주기로 발생, 2021년부터는 국가/조직적 성격을 띄며 활발하게 사용 → 러시아의 경우 2022.01월부터 03월까지 최소 5개 이상의 와이퍼 변종을 통해 우크라이나 주요시설 파괴
3) 복구 자체가 불가능하도록 시스템 파괴 → 금전 취득이 아닌 인프라 파괴 및 마비 목적
4) 단순한 구조, 간단한 코드로 구성되어 변종 다수발견 → 기존 시그니처 기반 탐지 안티바이러스 솔루션으로는 탐지 한계 발생

 

2. 대응 방안
1) Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 실행 차단 : 일반 Anti-Virus 솔루션에서도 대부분 차단 가능하나 최신 업데이트 필요
2) 주요 데이터는 주기적인 백업 수행: 디스크 파괴 시에도 복구 가능하도록 대비
3) 비정상적인 프로세스 행위는 실시간으로 모니터링
4) 내부 데이터 보호를 위해 업무망 망분리 수행 : 인가되지 않은 프로그램 실행 차단
5) 신뢰할 수 없는 메일의 첨부파일은 실행금지 : 메일 내용과 보내는 이 계정에 연관성이 없거나 문법적으로 어색하고 신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일

 

 

 

북한은 최근 한글 OLE(Object Linking and Embedding) 개체를 악용한 공격을 지속적으로 수행하고 있다.
한글 프로그램은 한국에서 많이 사용하는 문서 프로그램으로 공기업, 공공기관, 교육기관,
그리고 이와 연계된 기업 등에서 주로 사용되고 있다.
따라서 악성 HWP 문서 파일은 국내 사용자를 대상으로 한 공격에 자주 악용되곤 한다.
특히 외교 및 안보 관련 공직자들이나 대북관련 종사자들이 주된 대상이다.

 

공격 기법에도 변화가 있었는데,
과거에는 EPS(Encapsulated PostScript) 취약점(CVE-2017-8291)이나
플래시 모듈 취약점(CVE-2018-15982) 등이 사용되었다.
EPS 취약점은 2017년 2월 한글과컴퓨터 측에서
Flash 취약점은 2018년 12월에 Adobe 측에서 보안 업데이트를 릴리즈하였다. 
그러나 OLE 개체 파일을 삽입하는 것은 사용자의 편의를 위해 제공하는 정상적인 기능이므로
이를 효과적으로 탐지하고 차단하기는 까다로운 상황이다.

윈도우즈 업데이트 서비스 악용,
북한 Lazarus 그룹의 신규 공격
방산업체 입사제안,
소속기관 재택근무 보안지침 안내서 위장하여
PC내 계정정보, 공인인증서 탈취

 

과거부터 북한의 해커들은 사회 주요이슈 및 특정인 사칭을 통해 악성코드를 유포했다.
이들은 국내외 특정 기업과 기관을 위장으로 위장해 악성코드를 배포했다.
해당 공격은 국내 주요기관/기업의 임직원 뿐만 아니라
개인 PC를 사용하는 일반 사용자까지 무차별적으로 감염시켰다.
악성코드는 정상적인 악성 파일로 위장하였으며
공격 대상이 악성 파일을 실행하면 악성코드에 감염되도록 구성됐다.
공격자는 PC를 악성코드에 감염시키고
그 후 금융 및 민감 정보, 개인 인증서, 접속 기록 등 PC 내 모든 주요정보를 한 순간에 탈취한다.

DoubleZero Wiper
우크라이나 주요기관 및
기업 인프라 파괴목적 삭제형 악성코드
감염시 수 초 내 시스템 파괴

 

러시아의 국가 해커들은
러시아와 우크라이나의 전면전과 함께 총성없는 사이버전을 수행하고 있다.
상대 국가의 주요 시스템을 파괴하는 악성코드를 제작 및 유포하고 있다.
이들은 우크라이나의 특정 기업과 기관을 상대로 악성코드를 제작하였으며,
이를 통한 감염으로 우크라이나의 주요 기관 및 기업 담당자 뿐만 아니라
PC를 사용하는 일반 사용자까지 시스템 파괴 공격을 받았다.
악성코드는 정상적인 파일로 위장되었으며,
공격 대상이 악성파일을 실행하면 시스템은 단 몇 초 내로 파괴된다.