본문 바로가기
악성코드제작자

3.20 사이버테러 변종 악성파일은 단순 악성파일로 취부되어선 안된다.

by viruslab 2013. 6. 5.

안랩에서 언론사에 보도자료가 아닌 참고자료라는 내용을 보냈다고 한다. 물론 일부에서는 보도화에 사용되었다.

전문은 아래 데일리시큐 내용으로 확인해 볼 수 있다.

 

http://www.dailysecu.com/news_view.php?article_id=4491

 

 

[일부발췌]

이 두 가지 악성코드에 대해 안랩은 국가기관과 공조해 해당 악성코드 입수 즉시 대응 및 엔진 업데이트를 5월 31일자에 적용 완료했다고 전했다.

 

그런데 내가 알고 있던 내용과 다소 다른 부분이 있어서 기록으로 남긴다.

 

https://www.virustotal.com/ko/file/5b011ebdf1a5a0fd93a933cb40b59fcb8c35667529e28cf0c9d63f92985c4d5d/analysis/

 

http://viruslab.tistory.com/2611

 

이번 3.20 변종 악성파일 sxs.dll(05.30 12:54 제작) 이 발견된 5월 31일, 바이러스 토탈에 처음 등록되었던 시점에 진단하던 곳은 47개 제품 중에 딱 3제품이었고, 악성파일들은 30일과 31일에 만들어서 막 배포를 하고 있던 초기시점이었다. 바이러스 토탈 진단 기준 V3제품에서는 sxs.dll 악성파일을 2013.06.03.00 버전(바이러스토탈 서버시차 기준은 6월 2일)부터 진단하기 시작했다. 알려진 뉴스에는 5월 31일자에 모두(?) 추가한 내용처럼 공개되었는데. 일부 변종에 대한 내용이지 전부 31일에 탐지하지 못하고 있던 것이 팩트이고, sxs.dll 이름의 악성파일이 가장 처음 이용자 컴퓨터에 침투하는데 사용되는 것이다. 

 

그리고 해당 정보와 샘플은 잉카인터넷과 이스트소프트를 통해서 국가기관에 신속하게 공유됐고, 그것을 다시 대부분의 보안업체에 신속하게 공유되어 조치가 진행된 것이다. 정부차원의 신속한 선행조치가 이뤄질 수 있었던 근본적인 이유가 바로 그것이다. 그렇기 때문에 확산을 조기에 차단하고 기존에 알려져 있지 않았던 유포기법을 관련기업들에게 공유하여 조치하는데 활용할 수 있게 한 것이다.

 

사용자 관점에서 피해 최소화를 위한 과학적 분석과 신속한 대응이 무엇보다 필요한 것은 절대적으로 공감한다. 그리고 사회불안을 야기하지 않는다는 원칙도 동의한다. 이번 공격은 사실 민감한 내용이 포함되어 있어 공개되지 않은 많은 부분이 존재하고, 그러한 부분의 공개를 최소화하여 사회불안요소를 최소화하고자 노력하였다. 물론 유관기관에는 자세한 내용을 공유하여 선조치, 후분석을 할 수 있도록 지원하였다.

 

이번 공격은 돈벌이 목적의 일반적인 사이버범죄자들이 사용하는 수법이 아니기 때문에 기존과 같은 보안모니터링으로는 탐지자체가 어렵고, 피해확산 자체를 인지하기 어렵다. 그런데 마치 이번과 같은 사이버테러 수법이 그런 일반적인 단순 보안이슈 대응용으로 취부돼고, 위험이 보이지 않거나(?) 선제조치가 된 경우 통상적인 대응으로 판단한다는 표현은 동의하기 어려운 부분이다.

 

사이버테러 목적의 조직들은 매우 은밀하고 치밀하게 물밑작업을 하고 있다. 그들은 절대로 쉽게 노출되는 것을 원치않는다. 그들의 섭리와 수법을 이해하지 못한 상태에서 일반적인 악성파일 대응으로 접근하고 해석해서는 절대 안되는 부분이다.

 

모든 보안업체는 국가적인 사이버테러용 악성파일 세력과 이상징후에 대해서 그 누구보다도 앞장서서 대응을 해야 할 책임과 사명을 가지고 있어야 할 것이다.

 

내가 하면 로멘스이고, 남이 하면 불륜으로 해석하는건가?

 

마지막으로 이번 3.20 변종 악성파일 중 업체들이 탐지못하고 있는 부분도 아직 존재한다.

 

 

 

댓글5

  • 2013.06.05 21:59

    비밀댓글입니다
    답글

  • Favicon of https://blogto.tistory.com BlogIcon 수리샛별 2013.06.07 00:40 신고

    sxs.dll ( https://www.virustotal.com/en/file/5b011ebdf1a5a0fd93a933cb40b59fcb8c35667529e28cf0c9d63f92985c4d5d/analysis/ ), ThunderFW ( https://www.virustotal.com/en/file/bb7c6efb0247b1bc68d49661d34a10ad6d3774a3f64ed160765c0aa322488514/analysis/ ). Virustotal 정보를 보니 3~4일전 결과던데 현재는 얼마나 많은 백신들이 검출해내는지 궁금하더군요. Virustotal은 이미 올려진 파일이라도 동일한 파일이 없으면 re-scan 할 수가 없어 혹시(?) 해주실 수 있는지 모르겠네요. 그리고 시만텍에 제출했다는 샘플(Downloader.Castov Infostealer.Castov)의 Virustotal 결과도 궁금하네요.
    답글

    • Favicon of https://viruslab.tistory.com BlogIcon viruslab 2013.06.07 13:02 신고

      sxs.dll 파일과 ThunderFW 악성파일과는 서로 연관성이 전혀 없습니다. 참고하시면 좋겠습니다. 그리고 재검사 정보를 올려드리가는 좀 어려울 것 같사오니, 양해부탁합니다.

  • Favicon of https://blogto.tistory.com BlogIcon 수리샛별 2013.06.07 15:49

    관리자의 승인을 기다리고 있는 댓글입니다
    답글