| 12월 | 소니 픽처스 해킹 GOP 경고문과 관련된 WIPALL 악성코드 분석 |
| 8일 | 2014년 12월 8일 | by Trend Micro |
이전 블로그에서는 소니 픽처스 해킹에 사용된 WIPALL 악성코드에 대한 분석과 이와 관련된 FBI 보안 조언에 대해 다루었습니다. 이번에는 다른 WIPALL 악성코드 변종들과 소니 픽처스 직원들의 감염된 컴퓨터에 나타난 GOP 경고문에 링크된 경로에 대해 자세히 알아보도록 하겠습니다. 다음은 이번 게시글에서 다루게 될 감염 경로 및 연관성에 대한 개요입니다.
McAfee의 서비스를 비활성화 시킨 BKDR64_WIPALL.F
WIPALL 변종인 BKDR_WIPALL.C는 앞서 다루었던 BKDR_WIPALL.B 변종과 동일한 코딩을 사용하고 있습니다. BKDR_WIPALL.C의 경우, igfxtrays{2 개의 랜덤한 문자열}.exe라는 이름의 복사본을 드롭하고, 특정 매개변수((-a, -m, -d, -s)를 사용하여 복사된 악성 파일을 실행합니다.
그림1. BKDR_WIPALL.C 악성코드의 실행 루틴
여기서 주목할 만한 내용은 BKDR_WIPALL.C 악성코드가 감염된 시스템이 64비트인지 여부를 확인한다는 것입니다. 악성코드가 설치된 시스템이 64비트 시스템인 경우 악성코드는 kph.sys (KProcessHacker 드라이버)와 구성요소인 ams.exe (BKDR64_WIPALL.F로 명명)를 드롭합니다.
BKDR64_WIPALL.F는 McAfee의 실시간 감시 프로그램인 mcshield.exe 파일을 BKDR64_WIPALL.F 악성코드가 설치되어 있는 디렉토리의 다른 파일로 교체한 후 원본 mcshield.exe 파일은 system32 디렉터리에 복사합니다. 따라서 이후 McAfee의 실시간 감시 서비스가 실행될 때 원래 실시간 감시 컴포넌트가 아닌 다른 파일이 실행되어 결과적으로 안티 바이러스의 실시간 감시 기능이 비활성화 됩니다.
그림2. BKDR64_WIPALL.F는 레지스트리의 서비스 리스트에서 McShield.exe 파일의 경로를 얻습니다:
HKLM\CurrentControlSet\services\McShield
그림3. BKDR64_WIPALL.F는 원래mcshield.exe 파일을 System32 폴더로 이동하고 악성코드가 설치되어 있는 디렉토리의 파일로 교체합니다.
BKDR64_WIPALL.F는 드라이버 서비스로서 KprocessHacker를 설치하고 이를 이용하여 McAfee의 안티바이러스 어플리케이션과 관련된 실행 프로세스를 종료시킵니다(상기의 감염 사슬에도 포함되어 있음). 이는 악성코드의 원활한 실행을 보장하기 위한 부가적인 수단입니다.
- mcshield.exe
- UdaterUI.exe
- McTray.exe
- shstat.exe
- FrameworkService.exe
- VsTskMgr.exe
- mfeann.exe
- naPrdMgr.exe
악성코드 BKDR64_WIPALL.F는 일반 사용자 모드 애플리케이션보다 더 높은 권한을 가지고 있기 때문에 드라이버 서비스를 사용할 수 있으며, 이로써 프로세스를 보다 확실하게 종료시킬 수 있습니다.
그림4. BKDR64_WIPALL.F는 서비스 드라이버로서 KProcessHacker의 컴포넌트(kph.sys)를 설치합니다.
그림5. BKDR64_WIPALL.F는 McAfee 안티바이러스 애플리케이션과 관련된 하드 코딩된 프로세스 목록을 이용하여 실행중인 모든 프로세스를 조사합니다.
그림6. 프로세스 강제 종료를 위해 디바이스 오브젝트로 KprocessHacker 서비스 드라이버를 사용합니다.
#GOP 로의 역추적
이 공격을 추적해 보면 #GOP 또는 “평화의 수호자”라는 이름의 해커 그룹으로 이어집니다.
BKDR_WIPALL.A의 감염 사슬을 보면 BKDR_WIPALL.E 컴포넌트를 통해 back.jpg 와 index.wav 파일을 사용하여 HTML 파일로 메시지를 표시하며, 이 모든 파일들은 iissvr.exe (BKDR_WIPALL.E로 명명됨) 파일로 암호화되어 있습니다.
마찬가지로, BKDR_WIPALL.D는 BKDR_WIPALL.C를 통해 드롭되는 walls.bmp 파일에 있는 이미지에 #GOP 메시지를 표시합니다.
그림7. 상단) BKDR_WIPALL.C가 드롭한 walls.bmp
하단) BKDR_WIPALL.E가 로딩한 HTML 파일의 스크롤링 메시지
이번 공격을 북한의 소행으로 보는 보고서들도 있으며 일부 보고서는 소니 해킹 사건이 내부자에 의한 것이라고 주장하고 있습니다. 지금까지 확인된 사실은 없지만 개인 데이터의 기밀성을 유지하려면 온라인 상에서 주의를 기울어야 한다고 사용자들에게 조언하고 있습니다.
다음 페이지에서 소니 해킹에 관련된 사건들의 연대표를 참조하십시오.
소니 픽처스 해킹 사건: 알고 있는 것과 알아야 할 것들
분석: Rhena Inocencio, Joie Salvio
관련 해쉬:
- D1C27EE7CE18675974EDF42D4EEA25C6 as BKDR_WIPALL.A
- 760C35A80D758F032D02CF4DB12D3E55 as BKDR_WIPALL.B
- E1864A55D5CCB76AF4BF7A0AE16279BA as BKDR_WIPALL.E
- B80AA583591EAF758FD95AB4EA7AFE39 as BKDR_WIPALL.C
- 2618dd3e5c59ca851f03df12c0cab3b8 as BKDR_WIPALL.D
- 7E5FEE143FB44FDB0D24A1D32B2BD4BB as BKDR64_WIPALL.F
원문 : WIPALL Malware Leads to #GOP Warning in Sony Hack
by Trend Micro