평창 올림픽 개막식을 노린 악성코드 분석

게시일: 2018-03-05 l 작성자: Trend Micro

2018년 2월 9일 평창 동계 올림픽의 개막식이 열렸습니다. 그러나 화려한 개막식 뒤에 사이버 공격을 받았다는 보도도 있었습니다. 보도에 따르면 공격으로 인해 공식 홈페이지 마비, 티켓 인쇄 불가능, 메인 미디어 센터의 IPTV 시스템 및 조직위원회 내부 인터넷 와이파이 사용 불가, 예정된 드론 데모 중단 등 여러 장애가 있었습니다. 현재까지 공격 내용에 관한 공식 발표는 없지만 보도에 따르면 악성코드를 이용한 사이버 공격의 가능성이 높습니다. 트렌드마이크로는 이번 공격에 사용된 것으로 알려진 악성코드를 분석했습니다.

트렌드마이크로 분석에 따르면 이 악성코드(트렌드마이크로 탐지명: TROJ_OlympicDestroyer.A)는 크게 ‘네트워크를 통한 확산(네트워크 웜)’, ‘정보 탈취’, ‘파괴’라는 3가지 활동을 합니다.

우선 ‘네트워크 웜 활동’을 위해, ARP 테이블을 확인하고 Windows의 관리 기능인 ‘WMI(Windows Management Instrumentation)’를 이용해 네트워크 내 다른 컴퓨터를 검색합니다. 검색된 컴퓨터에서 WMI 또는 Microsoft 툴인 ‘PsExec’을 이용해 자신의 복사본을 생성하고 실행을 시도합니다. PsExec은 사전에 악성코드의 컴포넌트로 포함되어 있습니다. 이러한 활동에 필요한 네트워크 계정 인증 정보는 악성코드에 저장된 정보를 사용합니다. 또한 다음에 설명하는 정보 탈취 활동으로 얻은 인증 정보도 추가로 사용됩니다. 이 악성코드는 평창 올림픽과 관련이 있어 보이는 ‘Pyeongchang’ 등의 문자열 정보를 포함하고 있어, 사전에 어떠한 방법으로 인증 정보를 입수한 후 행해진 표적형 사이버 공격인 것으로 추측됩니다. 그러나 이 악성코드에 포함된 인증 정보는 정보 탈취 활동으로 새롭게 얻은 인증 정보로 자신의 바이너리를 업데이트할 수 있기 때문에 사전에 어떤 정보가 준비되어 있었는지는 신중하게 판단해야 합니다. 트렌드마이크로가 지금까지 확인한 여러 샘플들은 인증 정보에만 차이가 있었습니다.

이 악성코드는 다음 2가지의 ‘정보 탈취’ 활동을 위해 암호화된 컴포넌트를 사용합니다. 하나는 Internet Explorer, Chrome, Firefox 등 브라우저에서 사용하는 인증 정보를 탈취하는 활동, 또 하나는 Windows의 인증을 담당하는 LSASS(Local Security Authority Subsystem Service)에서 인증 정보를 덤프하는 활동입니다. 이 툴 중 하나를 사용해 감염 컴퓨터에서 새롭게 네트워크 접속에 필요한 인증 정보를 탈취, 네트워크 웜 활동 등에 사용하는 것으로 생각됩니다.

침입 컴퓨터의 툴을 이용한 인증 정보 탈취나 WMI, PsExec 등의 공식 툴을 이용한 네트워크 내 다른 컴퓨터 침입 등의 수법은 표적형 사이버 공격에서 수 년 전부터 확인되고 있는 특징적인 활동이라고 할 수 있습니다.

이 악성코드가 마지막으로 행하는 ‘파괴 활동’도 암호화된 컴포넌트로 저장되어 있습니다. 파괴 활동으로는 Windows의 섀도우 카피를 포함한 백업 데이터 삭제, 시스템 이벤트 로그 및 보안 이벤트 로그 삭제, 모든 서비스 비활성화, 네트워크 파일 파괴가 있습니다. 네트워크 웜 활동과 이러한 파괴 활동으로 인해 감염 네트워크의 많은 컴퓨터가 망가졌을 것으로 생각됩니다. 또한 백업 데이터가 삭제되므로 백업 상태로 복원이 불가능해, 일단 사용할 수 없게 된 컴퓨터는 복구에 시간이 걸릴 것으로 예상됩니다.

표적형 사이버 공격은 중요 정보를 노린 공격과 시스템 파괴를 위한 공격이 있는데 이 악성코드는 후자의 공격을 노린 것이라고 할 수 있습니다. 파괴 공작으로 올림픽이라는 세계적으로 집중되는 이벤트의 운영을 방해하고자 하는 공격자의 의도를 짐작할 수 있습니다.

트렌드마이크로는 악성코드에 포함된 인증 정보로 위에서 언급한 ‘Pyeongchang’ 이외의 정보도 확인했습니다.



그림 1. 악성코드에 포함된 인증 정보 예

이 인증 정보는 평창 올림픽 IT 인프라 관련 조직과, 조직과는 별도로 프로젝트에 참여하고 있는 개인의 정보일 것이라 생각됩니다. 올림픽과 같은 대규모 이벤트에는 관련 조직이 많으므로 그만큼 공격 대상도 많아집니다. 이는 직접적으로 시스템 개발에 참여하고 있거나 공급망에 포함된 조직 뿐만이 아닙니다. 중요 인프라에 해당하는 조직은 물론, 올림픽 시스템 개발에 관여하고 있지 않아도 참가자나 관람객의 숙박 시설 등 개최에 앞서 직간접적으로 관련된 다양한 조직과 개인이 모두 타깃이 될 수 있습니다. 이번 평창 올림픽 뿐만 아니라 자조직에도 영향을 미칠 수 있다는 전제로 대응을 준비하는 것이 중요합니다.

본 공격을 행한 공격자에 대해서는 다양한 의견이 있습니다. 그러나 명확한 근거 없이 공격자를 단정하는 것은 의미가 없습니다. 중요한 것은 이 공격에 사용된 악성코드의 침입 경로, 내부 배포 방법, 영향 등을 분석해 유사한 공격이 발생했을 때 시스템을 보호할 수 있어야 하는 것입니다.

트렌드마이크로의 대책

트렌드마이크로 제품은 ‘파일 레퓨테이션(FRS)’ 기술로 악성코드를 탐지합니다. 이번에 분석한 악성코드는 ‘TROJ_OlympicDestroyer.A’ 라는 이름으로 탐지됩니다. 또한 트렌드마이크로의 차세대 보안인 XGen 보안 방식은 하이파이 머신러닝 검색과 같은 첨단 기술과 이미 검증된 기존의 기술을 융합한 심층 방어를 통해 알려지지 않은 위협으로부터 사용자를 보호합니다.

기업 네트워크에서는 네트워크 보안 제품 ‘Deep Discovery Inspector(DDI)’를 통해 모든 포트와 105개 이상의 통신 프로토콜을 감시할 수 있어 표적형 공격과 기타 위험성이 높은 위협을 탐지할 수 있습니다. 특히 이번 ‘TROJ_OlympicDestroyer.A’ 가 네트워크 웜 활동시 사용하는 PsExec의 통신 등은 이미 파악이 가능합니다. 네트워크를 통한 취약점 공격에 대해 취약점 수정이 어려운 환경의 경우 종합 서버 보안 제품 ‘Trend Micro Deep Security’의 가상패치를 이용하여 위험을 줄일 수 있습니다.

악성코드의 침입 경로가 이메일 또는 웹일 경우 ‘이메일 레퓨테이션(ERS)’, ‘웹 레퓨테이션(WRS)’ 기술을 통해 보호할 수 있습니다. ERS 기술은 악성코드 확산을 목적으로 한 의심스러운 메일이나 위험성 높은 메일의 수신을 차단합니다. WRS 기술은 악성코드 배포 위험이 있는 웹사이트를 평가해 통신을 차단합니다. 또한 ‘Deep Discovery Email Inspector(DDEI)’는 샌드박스 기술로 첨부파일을 분석해 해당 시점에서 탐지되지 않은 위협을 사전에 경고합니다.

침해지표 (Indicators of Compromise, IoC)

SHA256

  • edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9
  • 32efb1eb360cda726f0eb7647d1963adf37dada4b1a4b5ec486c88bfa1f21471

* 조사 협력 : 일본 트렌드마이크로 사이버 공격 대응 팀(CART)

[원문: 平昌五輪開会式に影響を及ぼしたとされる不正プログラムを解析]