파이어아이 코리아, “625 사이버테러는 진화된 악성코드에 의한 보안기술 무력화가 핵심”

- 625 사이버테러 악성코드에 대해 자체 장비를 통한 탐지 및 분석 레포트 발표

- 기존의 어떠한 백신에도 탐지되지 않는 안티-백신 기술 사용한 지능형 악성코드로 밝혀져

- 최신의 보안 기술인 범용 가상화 기반의 샌드박스 장비마저 우회할 수 있는 악성코드

뉴스 제공

2013-06-26 11:45

가

가 가 가 가

서울--(뉴스와이어)--지능형 사이버 공격 방어 기술의 선도업체인 파이어아이 코리아(지사장 전수홍, www.fireeye.com)가 어제 주요 정부기관의 전산 시스템을 마비시킨 소위 ‘625 사이버테러’에 대한 분석 레포트를 발표했다.

‘625 사이버테러’는 웹하드 파일을 변조하는 방법을 통해서 악성코드를 다량으로 유포하였으며, 유포된 악성코드를 통해서 좀비PC를 생성하고 대규모 봇넷을 구성하여 지정된 시간에 DDoS 공격을 수행하도록 동작된 것으로 밝혀졌다.

가상화 기반 샌드박스 우회 기술과 패킹 기술 사용으로 최신의 APT 솔루션 무력화 시켜

금번 사이버테러에 사용한 악성코드는 기업들이 기존에 사용하던 보안 기술을 무력화하기 위해 이전에 비해 매우 진화되고 지능적인 기술을 사용했다.

- 지난 320 사태와 같이 사용자가 신뢰할 수 있는 사이트를 통해 악성코드가 배포되었다.
- 이번 악성코드는 최근의 사이버 공격의 주요한 흐름인 “알려지지 않은 악성코드”여서 대부분의 백신에서도 탐지가 되지 않는다.
- 여기에서 한 단계 더 진화하여 가장 최신의 악성코드 탐지 기술로 알려진 가상화 기반의 샌드박스에서는 악성행위를 하지 않음으로, 해당 보안기술을 우회하는 치밀함까지 보여줬다.
- 더군다나 안티-디버깅(Anti-Debugging) 등의 기능이 포함된 themida packer라는 팩킹 기술을 활용하여 분석 및 탐지를 어렵게 해 범용 가상화 기반의 샌드박스에서는 분석이 거의 불가능하게 만들어졌다.

즉, 이전에 발견된 악성코드들과 달리 매우 지능적으로 악성행위를 하므로 백신은 물론 현재 APT 솔루션이라고 분류되는 대다수의 장비에서도 탐지가 불가능할 것으로 추정된다.

반면에, 파이어아이는 자사가 개발한 고유한 가상화 기반의 행위분석 기술(MVX: Multi-Vector Virtual Excution)을 통해 금번 악성코드의 탐지 및 분석이 가능하다. 이는 누구나 쉽게 접할 수 있는 범용 가상화 제품 기반 탐지 기술로는 빠르게 진화하는 지능형 악성코드와 그로 인해 발생하는 신종 사이버 공격을 막기에는 어려움이 있다는 것을 단적으로 보여주는 것이다.

파이어아이 코리아 전수홍 지사장은 "이번 625 사이버테러는 다수의 개인 PC가 악성코드에 의해 좀비PC화 되어 사이버 공격에 사용되었으나, 향후 기업 및 공공 기관의 내부 PC가 유사한 악성코드에 의해 장악되는 경우 그 피해는 심각한 재난으로 이어질 수 있다”라며, “이번 사건을 계기로, 기업 및 공공 기관의 보안 부서는 알려지지 않은 지능형 악성코드 방어를 위해 새로운 기술 도입과 통합 방어 시스템 구현 검토가 시급히 요청된다”라고 밝혔다.

그는 이어 “현재 파이어아이는 자사의 장비들이 정상적으로 해당 악성코드 탐지를 하므로 이로 인해 고객사들이 추가적인 공격에 대응이 가능하다”라고 덧붙였다.

공격 방법 및 악성코드 분석 내용

파이어아이에서 분석한 공격 방법 및 악성코드 분석 내용은 다음과 같다. 이번의 공격의 최종 형태는 DDoS 형태를 보이고 있지만, 실제로는 해커 그룹이 생성한 악성코드를 이용해서 다수의 PC를 좀비화 시키고 대규모 봇넷을 구성한 후에 특정 사이트를 DDoS로 공격한 사례이다.

1. 파일공유 사이트인 Simdisk 해킹
2. 해당 사이트에서 파일다운로드 시 사용되는 실행파일인 Simdisk.exe 파일에 대한 변조(해킹)
3. 해당 사이트 접속한 사용자에 의한 다운로드
4. 사용자 PC 에 다운로드 된 Simdisk.exe 에서 www.habang.co.kr/images/korea/c.jpg 다운로드 실행
5. c.jpg가 추가로 악성행위가 내포된 파일들을 다운로드 하여 해당 PC를 좀비PC화 시킴
6. 이후 추가적으로 생성되는 파일에서 시스템의 시간을 체크하여, 2013-06-25 10:00가 되었을 때 DDoS공격이 감행되도록 동작
7. 최종적으로 DNS 서버 공격 감행(*.gcc.go.kr)에 대한 대대적인 공격으로 주요 정부사이트 마비 *부분은 랜덤 값으로 채워짐

파이어아이 코리아 개요
파이어아이는 인텔리전스 기반 보안업체이다. 파이어아이는 혁신적인 보안 기술, 국가 수준의 위협 인텔리전스, 전 세계적으로 유명한 맨디언트 컨설팅 서비스가 모두 통합된 단일 플랫폼을 제공하고 있으며, 고객들의 보안 시스템이 보다 원활하고 확장 가능하도록 운영되고 있다. 이러한 접근 방식으로 파이어아이는 사이버 공격을 대비하고, 방어하고, 대응하는데 어려움을 겪고 있는 조직들의 사이버 보안의 복잡성과 부담을 없애준다. 파이어아이의 솔루션은 전 세계 67개 국가에 걸쳐 포브스 선정 2000대 기업 중의 50%를 포함한 7700개 기업에서 사용 중이다. 보다 자세한 사항은 홈페이지에서 확인할 수 있다.

웹사이트: http://www.fireeye.com