3.20 사이버테러 변종 악성파일은 단순 악성파일로 취부되어선 안된다.

안랩에서 언론사에 보도자료가 아닌 참고자료라는 내용을 보냈다고 한다. 물론 일부에서는 보도화에 사용되었다.

전문은 아래 데일리시큐 내용으로 확인해 볼 수 있다.

http://www.dailysecu.com/news_view.php?article_id=4491

3.20과 연관된 것으로 보이는 북한추정 악성코드가 다시 이슈가 되고 있다. 보안업체들은 3.20과 연관된 악성코드가 다시 움직이고 있으며 3.20 사이버테러를 일으킨 것으로 추정되는 조직이 다시 정보수집에 나서고 있다고 발표한 때문이다.

이에 안랩은 “최근 다양한 미디어에서 언급한 ‘북한 제작 추정 악성코드는 ‘테스트 목적’과 ‘원격명령 및 정보유출 목적’의 2가지 종류”라며 “이번 악성코드의 제작자를 구분할 수 있었던 것은 악성코드 제작자가 공격 시 즐겨 사용하는 형태를 유지하고 있고, 공격자와 악성코드의 통신시 사용하는 고유한 인자값 패턴이 동일하다는 점 때문”이라고 설명했다.

각각의 악성코드에 대한 내용은 다음과 같다.
◇테스트 목적 악성코드=이 악성코드의 주요 기능은 감염된 PC의 시스템 정보(컴퓨터 이름 등등)를 수집하는 기능이다. 이외의 기능은 없다. 악성코드 유포 및 감염 경로는 확인 된 바 없다.

◇원격명령 및 정보유출 목적 악성코드=이 악성코드에 감염되면 공격자가 통신을 통해 원격으로 감염된 PC 에서 정보수집, 유출 등 공격 명령을 내릴 수 있다. 또한 악성코드-공격자 간 통신을 위한 C&C 서버도 5개가 발견되었다.

또 “해당 악성코드의 유포 과정은 서버 침해->서버 내 악성코드 설치->해당 프로그램 실행 시 악성코드 자동 다운로드 순으로 이루어졌다”며 “현재 서버 침해를 당한 업체는 해당 내용 확인 즉시 보안조치가 완료되었다”고 덧붙였다.

이 두 가지 악성코드에 대해 안랩은 국가기관과 공조해 해당 악성코드 입수 즉시 대응 및 엔진 업데이트를 5월 31일자에 적용 완료했다고 전했다.

또한 지난 주 해당 악성코드 대응을 위한 엔진 업데이트를 마친 후 현재까지 추가적인 감염로그가 발견되지 않아 전혀 악성코드가 확산되지 않았음을 확인했다.

이번의 경우 정부차원의 신속한 선행조치로 C&C 서버(악성코드 제작자와 악성코드 간 통신을 위한 서버. 이 서버를 통해 악성코드 제작자는 악성 행위 명령 및 제어를 실행함)등이 차단되었고 감염이 확산되지 않은 것으로 분석하고 있다.

안랩은 “사용자 관점에서 피해 최소화를 위한 과학적 분석과 신속한 대응이 무엇보다 중요하다고 생각하며 불필요한 사회 불안을 야기하지 않는다는 원칙을 가지고 있다”며 “안랩을 비롯한 보안회사는 매일 새롭게 쏟아지는 15~50만개의 악성코드에 대한 대응을 하고 있으며, 피해확산 조짐이나 위험이 보이지 않거나 선제조치가 된 경우 통상적인 악성코드 대응으로 판단하고 외부에 알리지 않는다”고 입장을 밝혔다.

현재 악성코드가 확산되지 않고 차단되었기 때문에 변종에 대한 모니터링을 강화하고 있다고 전했다.

[일부발췌]

이 두 가지 악성코드에 대해 안랩은 국가기관과 공조해 해당 악성코드 입수 즉시 대응 및 엔진 업데이트를 5월 31일자에 적용 완료했다고 전했다.

그런데 내가 알고 있던 내용과 다소 다른 부분이 있어서 기록으로 남긴다.

https://www.virustotal.com/ko/file/5b011ebdf1a5a0fd93a933cb40b59fcb8c35667529e28cf0c9d63f92985c4d5d/analysis/

http://viruslab.tistory.com/2611

이번 3.20 변종 악성파일 sxs.dll(05.30 12:54 제작) 이 발견된 5월 31일, 바이러스 토탈에 처음 등록되었던 시점에 진단하던 곳은 47개 제품 중에 딱 3제품이었고, 악성파일들은 30일과 31일에 만들어서 막 배포를 하고 있던 초기시점이었다. 바이러스 토탈 진단 기준 V3제품에서는 sxs.dll 악성파일을 2013.06.03.00 버전(바이러스토탈 서버시차 기준은 6월 2일)부터 진단하기 시작했다. 알려진 뉴스에는 5월 31일자에 모두(?) 추가한 내용처럼 공개되었는데. 일부 변종에 대한 내용이지 전부 31일에 탐지하지 못하고 있던 것이 팩트이고, sxs.dll 이름의 악성파일이 가장 처음 이용자 컴퓨터에 침투하는데 사용되는 것이다.

그리고 해당 정보와 샘플은 잉카인터넷과 이스트소프트를 통해서 국가기관에 신속하게 공유됐고, 그것을 다시 대부분의 보안업체에 신속하게 공유되어 조치가 진행된 것이다. 정부차원의 신속한 선행조치가 이뤄질 수 있었던 근본적인 이유가 바로 그것이다. 그렇기 때문에 확산을 조기에 차단하고 기존에 알려져 있지 않았던 유포기법을 관련기업들에게 공유하여 조치하는데 활용할 수 있게 한 것이다.

사용자 관점에서 피해 최소화를 위한 과학적 분석과 신속한 대응이 무엇보다 필요한 것은 절대적으로 공감한다. 그리고 사회불안을 야기하지 않는다는 원칙도 동의한다. 이번 공격은 사실 민감한 내용이 포함되어 있어 공개되지 않은 많은 부분이 존재하고, 그러한 부분의 공개를 최소화하여 사회불안요소를 최소화하고자 노력하였다. 물론 유관기관에는 자세한 내용을 공유하여 선조치, 후분석을 할 수 있도록 지원하였다.

이번 공격은 돈벌이 목적의 일반적인 사이버범죄자들이 사용하는 수법이 아니기 때문에 기존과 같은 보안모니터링으로는 탐지자체가 어렵고, 피해확산 자체를 인지하기 어렵다. 그런데 마치 이번과 같은 사이버테러 수법이 그런 일반적인 단순 보안이슈 대응용으로 취부돼고, 위험이 보이지 않거나(?) 선제조치가 된 경우 통상적인 대응으로 판단한다는 표현은 동의하기 어려운 부분이다.

사이버테러 목적의 조직들은 매우 은밀하고 치밀하게 물밑작업을 하고 있다. 그들은 절대로 쉽게 노출되는 것을 원치않는다. 그들의 섭리와 수법을 이해하지 못한 상태에서 일반적인 악성파일 대응으로 접근하고 해석해서는 절대 안되는 부분이다.

모든 보안업체는 국가적인 사이버테러용 악성파일 세력과 이상징후에 대해서 그 누구보다도 앞장서서 대응을 해야 할 책임과 사명을 가지고 있어야 할 것이다.

내가 하면 로멘스이고, 남이 하면 불륜으로 해석하는건가?

마지막으로 이번 3.20 변종 악성파일 중 업체들이 탐지못하고 있는 부분도 아직 존재한다.

저작자표시동일조건

2013.06.05 21:59
댓글주소 수정/삭제

비밀댓글입니다
답글
- viruslab 2013.06.07 13:02 신고
  댓글주소 수정/삭제
  
  네^^

수리샛별 2013.06.07 00:40 신고
댓글주소 수정/삭제

sxs.dll ( https://www.virustotal.com/en/file/5b011ebdf1a5a0fd93a933cb40b59fcb8c35667529e28cf0c9d63f92985c4d5d/analysis/ ), ThunderFW ( https://www.virustotal.com/en/file/bb7c6efb0247b1bc68d49661d34a10ad6d3774a3f64ed160765c0aa322488514/analysis/ ). Virustotal 정보를 보니 3~4일전 결과던데 현재는 얼마나 많은 백신들이 검출해내는지 궁금하더군요. Virustotal은 이미 올려진 파일이라도 동일한 파일이 없으면 re-scan 할 수가 없어 혹시(?) 해주실 수 있는지 모르겠네요. 그리고 시만텍에 제출했다는 샘플(Downloader.Castov Infostealer.Castov)의 Virustotal 결과도 궁금하네요.
답글
- viruslab 2013.06.07 13:02 신고
  댓글주소 수정/삭제
  
  sxs.dll 파일과 ThunderFW 악성파일과는 서로 연관성이 전혀 없습니다. 참고하시면 좋겠습니다. 그리고 재검사 정보를 올려드리가는 좀 어려울 것 같사오니, 양해부탁합니다.