보안

625 사이버테러, 좀비 PC 확보에 실패한 공격 ... 빛스캔

이대영 기자 | ITWorld 2013.07.02
"공격 주체에 의한 대량의 좀비 PC 확보 시도는 이미 있었지만 실패했기에 이슈화에만 집중한 것이다."

웹 보안 업체인 빛스캔은 6월 25일 국가기관 DNS 공격에 이용된 좀비 PC 확보에 이용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 확인됐다고 밝혔다.

빛스캔 측은 5월 4주차부터 위협레벨을 '경고'로 상향시킨 후 정보에 대한 공개와 수집된 악성파일 및 C&C 주소에 대해 정보제공 서비스 구독 기업에게 공유한 바 있다.

트렌드마이크로 분석 결과에서 확인된 악성코드 감염 숙주 분석

빛스캔은 두 곳의 웹하드 업체가 동시에 악성코드 유포에 이용된 정황을 확인한 결과, 625 사이버테러 이전에 5월 31일과 6월 1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든 접속자에게 대량 유포한 사실을 확인했으며, 이미 자료 공개 및 차단 데이터 제공으로 대량 좀비 PC 확보는 실패한 것으로 추정했다.

이후 6월 25일 당일에 소규모 좀비 PC를 확보해 파급 효과가 있는 국가 기관의 DNS만을 집중해서 디도스(DDoS) 공격을 한 것으로 추정했다.

빛스캔 관계자는 "6월 25일 공격에 동원된 좀비 PC가 상대적으로 소규모였으며, 서비스 장애가 목적이 아닌 이슈화가 목적인 공격에만 동원된 이유에 대해 해명이 됐다"고 말했다.

6.25일 사건에 이용된 숙주 사이트는 송사리닷컴(songsari.net)과 심디스크(simdisk.co.kr) 두 사이트가 디도스 공격용 악성코드를 유포한 것으로 확인됐다. 빛스캔 측은 "특히 심디스크 사례는 널리 알려져서 쉽게 확인할 수 있었으나 송사리닷컴의 경우 오늘에서야 정보를 확인한 상황이어서 연결 관계 분석이 늦어졌다"고 설명했다.

두 사이트의 625 관련 악성코드 숙주를 확인한 결과 심디스크의 경우 지금까지 대량 악성코드 유포 시도가 없었으나 5월 31일~6월 1일 기간동안에 3회에 걸친 악성코드 유포 이슈가 처음 발견된 상태로 확인됐다.

또한 송사리닷컴의 경우 2013년 3월 16일부터 6월 10일까지 총 5회에 걸쳐 악성코드 유포 이슈가 발견된 바가 있었다. 범위를 좁혀서 두 사이트가 동시에 이용된 정황은 2회가 PCDS 상에서 확인됐었다

빛스캔은 두 사이트의 내부로 침입해 업데이트 파일을 변경할 정도라면 서비스의 모든 권한을 획득한 것으로 판단되며, 악성코드 유포를 위한 악성링크 추가도 모든 권한을 가지고 변경을 할 수 밖에 없다고 추정했다.

결론적으로 이 두 사이트의 모든 권한을 가진 공격자 그룹에서 6.25 관련된 악성코드를 유포하는데 활용한 상황이며, 두 사이트의 모든 권한을 가진 것은 악성코드 경유지 활용 시에도 동일한 조건이므로 범위를 좁힐 수 있게 된다.

요약하면 송사리닷컴과 심디스크 서비스의 모든 권한을 가진 공격자가 625 사이버테러를 위한 좀비 PC 확보에 사용했다는 것이다. 따라서 그간 짧은 기간에 좀비 PC를 모아 공격을 시도한 것으로 알려졌지만, 이보다 훨씬 더 큰 범주에서 대규모의 좀비 PC 확보를 위한 노력이 있었다는 점을 파악했다.

좀비 PC 확보를 위해 이용된 악성코드는 웹서비스를 방문만 해도 감염이 되는 형태인 드라이브 바이 다운로드(Drive by download) 형태로 감염이 이뤄진다. 방문자 PC를 공격대상으로 하고 있으며 이용되는 취약성 cve 넘버는 3544-0507-1723-4681-5076-1889-0422-0634다.

즉 공다팩이 그대로 좀비 pc확보를 위해 이용됐으며, IE 취약성 1종과 자바 취약성 6종 , 플래시 취약성 1종이 사용된 상황이다.

웹서비스를 방문한 방문자 PC에 대해 자동적인 공격을 실행하고 공격에 성공하게 되면 PC에 추가적인 다운로더와 트로이 목마를 설치하게 되어 있다. 당시에 감염된 악성파일은 zip.exe 라는 악성파일이 최초 감염에 이용된 상황이다. 추적과 차단을 회피하기 위해 악성링크 및 최종 악성파일을 다운로드하는 곳들 모두를 국내 사이트를 이용한 상황이다.

빛스캔은 이번에 드러난 사실은 "공격자들은 5월 31일 이전부터 대량 좀비 PC 확보에 나섰으며, 결과적으로 대규모 좀비 PC의 확보에는 실패했기 때문에 소규모 좀비 PC를 이용한 이슈화에만 집중한 것으로 볼 수 있다"고 결론내렸다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.