2017.07.03 국내방위산업체공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved.
목차 개요... 3 공격현황... 4 공격방식... 7 스피어피싱 (Spear Phishing) 이메일... 7 워터링홀 (Watering hole)... 7 중앙관리시스템... 8 국내외주요공격사례... 8 국내사례... 10 Icefog-NG 변형... 10 오퍼레이션레드닷 (Operation Red Dot)... 11 오퍼레이션고스트라이플 (Operation Ghost Rifle)... 20 오퍼레이션어나니머스팬텀 (Operation Anonymous Phantom)... 25 국내공격사례의특징... 27 공격그룹연관성... 27 한국어사용자가능성... 29 악성코드상세분석... 31 Escad... 31 Rifdoor... 33 Phandoor... 36 안랩대응및보안권고... 37 결론... 38 AhnLab, Inc. All rights reserved. 2
개요 지난 2010 년부터본격화된국내외방위산업체에대한공격은현재까지꾸준히지속되고있다. 방위산업체는방위산업물자를생산하는업체로, 단순산업분야가아니라국가안보와밀접히연관되어있으며, 경쟁국혹은적대국가에서이들업체의정보를노릴가능성도배제할수없다. 최근국내방위산업체에대한공격도지속적으로확인되고있으며, 일부공격그룹은방위산업체뿐아니라국내정치, 외교분야에대해서도공격을가하고있다. 한편, 공격자들이특정국가의지원을받고있는지는확인되지않았다. 방위산업체공격사례를분석한결과, 공격자는주로스피어피싱 (Spear Phishing) 이메일과워터링홀 (Watering-hole) 방식을통해악성코드를유포하였다. 특히국내업체공격의경우중앙관리시스템등의 국내유명프로그램의취약점을이용해악성코드를유포하기도했다. 2010 년이후국내에서는 4 개이상의공격그룹이활동한것으로확인된다. 또한일부그룹에서사용된악 성코드와공격에사용된프로그램에서한글이사용된것을미뤄보아공격자중에는한국어사용자도존재 할것으로추정된다. 본보고서에서는국내방위산업체를대상으로한공격사례를상세히살펴본다. 일시공격대상공격그룹악성코드설명 2013 년 9 월주로한국및일 아이스포그 (Icefog) Icefog, 한국을노린공격의경우정상한글 (HWP) 파 본. 한국의방위 Icefog- 일을보여줘사용자를속임 산업체, 정치, NG 외교부분등 2015 년 11 월서울 ADEX 참가 레드닷 (Red Dot) Escad, 문서파일을변조해취약점공격을하는형태 업체 과고스트라이플 Rifdoor 와오피스내매크로기능을이용한형태로나 (Ghost Rifle) 뉨 2016 년 1 월국내방위산업체어나니머스팬텀 (Anonymous Phantom) Phandoor 등 정확한감염방식은확인되지않음. 2017 년에는 다른분야로도공격을넓히고있음 2016 년 6 월방위산업체와연 고스트라이플 Ghostrat 자산관리프로그램취약점을이용한국내방위 관된대기업 (Ghost Rifle) Rifdoor 산업체연관대기업해킹. 해당공격그룹은 등 2015 년 11 월 ADEX 참관업체와 2016 년초 보안업체해킹사건과도연관 [ 표 1] 주요국내방위산업체공격사건 AhnLab, Inc. All rights reserved. 3
공격현황 국내방위산업체를공격한그룹에서제작한악성코드종류별수는다음과같다. Icefog-NG 는 13 개, Escad A 형 66 개, Escad B 형 12 개, Escad C 형 17 개, Rifdoor 15 개, Phandoor 37 개이다. Escad 변형에대한상세구분은 국내공격사례 오퍼레이션레드닷 (Operation Red Dot) 분석 에서확인할수있다. 70 국내방위산업체공격그룹악성코드수 60 50 40 30 20 10 0 Icefog-NG Escad A Escad B Escad C Rifdoor Phandoor [ 그림 1] 국내방위산업체공격그룹의악성코드종류별수량 2013 년부터 2017 년 5 월까지발견된관련악성코드수는다음과같다. Icefog-NG Escad Rifdoor Phandoor 2013년 13 2 2014년 22 2015년 71 6 2016년 5 7 32 2017년 5월까지 3 [ 표 2] 연도별악성코드발견수 AhnLab, Inc. All rights reserved. 4
30 20 10 0 Icefog-NG Escad Rifdoor Phandoor [ 그림 2] 기간별악성코드발견수 국내방위산업체를공격한주요그룹의활동기간은다음과같다. [ 그림 3] 주요공격그룹활동기간 주요공격그룹중하나인아이스포그 (Icefog) 그룹은적어도 2011년부터활동을시작해 2013년 10월까지활동이확인되었다. 현재는활동이확인되지않는데악성코드를변경해서활동할가능성도있다. 이스캐드 (Escad) 악성코드를사용한레드닷 (Red Dot) 그룹은 2014년 6월부터 2016년말까지활동했다. 하지만, 초기버전으로보이는악성코드는 2013년에도발견되었다. 특히이그룹은 2014년 11월미국영화사공격에도연관된것으로보인다. 2016년에는방위산업체뿐만아니라다른국내기업에대한공격도진행했다. 2015년등장한고스트라이플 (Ghost Rifle) 그룹은라이프도어 (Rifdoor) 와고스트랫 (Ghostrat) 악성코드를주로사용했다. 레드닷 (Red Dot) 그룹과고스트라이플 (Ghost Rifle) 그룹은 2015년가을국내방위산업체관련컨퍼런스인 ADEX((Seoul International Aerospace & Defense Exhibition) 참가업체에대한공격을가했다. 고스트라이플 (Ghost Rifle) 그룹은 2016년초보안업체에대한공격과대기업해킹에도연루되었다고알려졌다. 2016년초등장한어나니머스팬텀 (Anonymous Phantom) 그룹은 2016년가을이후활동이뜸하다가 AhnLab, Inc. All rights reserved. 5
2017 년봄에너지관련연구소등에대한공격이확인되었다. 오퍼레이션레드닷 (Operation Red Dot) 에서사용된 Escad 악성코드의 C&C 서버국가별분포는다음과같다. [ 그림 4] Escad C&C 서버국가별분포 총 57개의 C&C 주소중미국이 14곳으로가장많으며그다음은브라질 5곳, 대만 5곳이다. 아르헨티나, 벨기에, 볼리비아, 브라질, 중국, 체코, 프랑스, 독일, 인도, 인도네시아, 이란, 일본, 쿠웨이트, 멕시코, 파키스탄, 필리핀, 사우디아라비아, 슬로바키아, 스페인, 태국, 우크라이나등세계여러곳에 C&C 서버가존재한다. Escad 악성코드변형에서확인된 C&C 서버주소중한국은없지만 2015 년부터 2016 년까지발견된 Rifdoor 악성코드와 2016 년초부터활동을시작한 Phandoor 악성코드의 C&C 서버주소는대부분한국에 위치했으며, 국내대학교시스템을주로이용하고있었다. AhnLab, Inc. All rights reserved. 6
공격방식 방위산업체에대한공격방식은다른표적공격과마찬가지로크게스피어피싱 (Spear Phishing) 이메일을통한악성코드유포, 워터링홀 (Watering-hole) 공격, 중앙관리시스템을이용한공격등 3가지로나뉜다. 이외에도보안프로그램, 액티브엑스 (Active-X) 프로그램의취약점을이용한공격방식도알려졌지만아직확인하지못했다. 스피어피싱 (Spear Phishing) 이메일 공격자는이메일수신자의정보를파악해첨부파일을열어보거나본문내용에포함된링크 (Link) 를클릭하 도록유도한다. 메일의내용은주로업무나사회적으로관심을끄는내용이다. 일반적으로워드, 엑셀, 한글, PDF 등의문서에악성코드를포함시켜, 취약점이존재하는프로그램으로해당문서를열어볼경우취약점을악용해악성코드를감염시킨다. 하지만이처럼취약점을이용한공격방식은해당취약점이해결되면더이상사용할수없고, 패치가나오지않은제로데이 (Zero-day) 취약점을찾는것또한쉽지않다. 따라서공격자는취약점을이용하지않을경우에는실행파일을그대로첨부하는방식을사용한다. 하지만 단순실행파일을첨부하는방식은사용자와보안시스템으로부터쉽게의심받을수있기때문에실행파 일을문서파일로위장하여첨부파일을보내기도한다. 문서파일로위장하는파일형식으로는 EXE, LNK 파일이대표적이다. 예를들어사용자가 HWP 파일로위장 한 LNK 파일을문서파일로착각하여열어보면특정주소로접속을유도해악성코드를다운로드한다. 워터링홀 (Watering hole) 워터링홀 (Watering hole) 은공격자가특정웹사이트를해킹해취약점공격코드를숨겨두고사용자가취약한웹브라우저로접속할경우악성코드를감염시키는공격방식이다. 공격자는자신이원하는공격대상이자주방문할만한사이트를해킹한다. 일부의경우, 특정아이피주소 (IP Address) 에서접속한경우에만악성코드에감염되게하는방식으로더욱한정된대상만을노려, 공격시도를발견하기어렵게한다. AhnLab, Inc. All rights reserved. 7
중앙관리시스템 일반적으로회사에서사용하는컴퓨터는관리를위해특정관리시스템에연결되어있다. 2016년국내보안업체와대기업해킹건은모두중앙관리시스템을해킹하여시스템에연결된컴퓨터에악성코드를배포하는방식을사용했다. 공격자는목표대상업체에서사용하는프로그램을미리분석한후해당프로그램의취약점을노려공격에이용하고있다. 국내외주요공격사례 보안업체및언론을통해알려진방위산업체에대한주요공격은다음과같다. [ 그림 5] 주요방위산업체공격 AhnLab, Inc. All rights reserved. 8
일시공격대상공격그룹악성코드설명 2011년 3월 EMC RSA 와록히드마틴 2011년 8월방산업체를포함한최소 71개조직 2011년 9월일본미쓰비시중공업 2011년 10월미국과영국방위산업체 2012년 1월미국방위산업체 2013년 9월주로한국및일본. 한국의방위산업체, 정치, 외교부분등 2015년 11월서울 ADEX 참가업체 34 2016년 1월국내방위산업체 2016년 6월방위산업체와연관된대기업 미상 Poisonivy EMC RSA를해킹해 OTP 알고리즘을훔친후미국방산업체인록히드마틴사를해킹해군사정보유출 Operation Shady Shady Rat 5년동안공격진행. 한국기업포함 미상 Hupigon The Nitro Attacks Poisonivy 화학, 방산분야공격 Sykipot Sykipot 1 미국첨단사업분야에전문공격그룹 아이스포그 (The Icefog Icefog. 한국을노린공격의경우정상한글 (HWP) 파일 APT). 2 Icefog- 을보여줘사용자를속임 NG 레드닷 (Red Dot), 고 Escad, 문서파일을변조해취약점공격을하는형태와 스트라이플 (Ghost Rifdoor 오피스내매크로기능을이용한형태로나뉨 Rifle) 어나니머스팬텀 Phandoor 정확한감염방식은확인되지않음. 2017년에는 (Anonymous 등 다른분야로도공격을넓히고있음 Phantom). 고스트라이플 (Ghost Ghostrat 자산관리프로그램취약점을이용한국내방위산 Rifle). Rifdoor 업체연관대기업해킹 5. 해당공격그룹은 등 2015년 11월 ADEX 참관업체와 2016년초보 안업체해킹사건과도연관 [ 표 3] 주요방위산업체공격사례 1 http://labs.alienvault.com/labs/index.php/2012/when-the-apt-owns-your-smart-cards-and-certs 2 http://www.securelist.com/en/blog/208214064/the_icefog_apt_a_tale_of_cloak_and_three_daggers 3 http://www.hankookilbo.com/v/1822cb4edb8f40fa9a778e7584e9c44e 4 https://www.hankookilbo.com/v/2f84f7d377ec42f99c38bee8bf1e8cd4 5 http://www.yonhapnews.co.kr/northkorea/2016/06/13/1801000000akr20160613092851004.html AhnLab, Inc. All rights reserved. 9
국내사례 국내방위산업체에대한주요공격사례는다음과같다. Icefog-NG 변형 2013년 9월러시아보안업체인카스퍼스키랩 (KasperskyLab) 은분석보고서를통해아이스포그 (Icefog) 공격그룹에대한정보를공개했다. 6 이에따르면해당그룹은 2011년부터공격을시작했으며한국과일본의정부기관, 그리고방위산업체가주공격대상이었다. 마이크로소프트오피스취약점 (CVE-2012-1856, CVE- 2012-0158), 자바취약점 (CVE-2013-0422, CVE-2012-1723), HLP 취약점등이공격에이용되었으며국내공격대상에는한글프로그램의취약점도이용되었다. 공격에사용된악성코드중에는윈도우악성코드뿐만아니라맥악성코드도존재한다. 국내업체의경우자료가유출된정황도확인되었다. 안랩은국내방위산업체등에서해당그룹의악성코드변형을추가확인했다. 분석보고서에따르면마지막으로발견된변형은 Icefog-NG다. 또한해당보고서에언급되지않은변형도국내방위산업체로부터접수되었다. Icefog-NG는 2013년 6월 19일최초발견되었으며 10월까지 ( 제작은 8월로추정 ) 총 13개의변형이발견되었다. 국내에서발견된변형인 Icefog-NG의경우방위산업체뿐아니라정치, 외교분야도공격대상으로포함되었다. Icefog-NG는변형에따라다른 PDB 정보를가지고있다. PDB 정보 d:\jd\jd(regrun)\release\jd3(reg).pdb e:\jd4\myserver(regrun)\release\jd4(reg).pdb x:\jd(regrun)\release\jd3(reg).pdb [ 표 4] Icefog-NG PDB 정보 일부변형은악성코드가실행될때 %TMP%\~AA.tmp 의존재여부를검사한다. 만일존재하면자기자신 을 %TMP%\hwp.hwp 로복사한다음 hwp.exe 를종료하고 hwp.hwp 을실행한다. 이는사용자에게정상 HWP 파일내용을보여줘감염사실을알지못하게하기위함으로보인다. 6 http://www.securelist.com/en/blog/208214064/the_icefog_apt_a_tale_of_cloak_and_three_daggers AhnLab, Inc. All rights reserved. 10
변형별로접속하는 C&C 서버의주소를분석한결과 nprottct.com, boanews.net, hauurri.com 등과같이국내보안사이트와유사한주소가확인되는것으로보아해당샘플은국내를목표로했을가능성이높다. 현재까지안랩에서는이들변형중최소 3개가국내공격에이용되었음을확인했지만확인되지않은공격대상이더있었을것으로보인다. 이처럼 HWP 한글파일을보여주는기능과국내사이트와유사한 C&C 서버주소를사용한것으로보아 Icefog-NG는국내를노린악성코드로추정된다. Icefog-NG 변형에따른주요 C&C 서버주소는다음과같다. C&C 서버주소 esdlin.com/news/upload.aspx fruitloop.8.100911.com/news/upload.aspx minihouse.website.iiswan.com/update/upload.aspx starwings.net www.***news.net www.***urri.com www.kreamnnd.com www.mnndsc.com/news/upload.aspx www.***ottct.com [ 표 5] Icefog-NG 주요 C&C 서버주소 실존하는국내사이트주소와매우유사한 www.***ottct.com, www.***news.net, www.***urri.com 사이트이외 에도 www.kreamnnd.com 사이트에포함된문자또한 korea 나 mnd(ministry of National Defense) 와유사해 역시국내사용자를노렸을가능성이있다. Icefog 공격그룹은 2013 년 10 월이후현재까지활동이확인되지않고있다. 활동이중단된시기는보고서 발표시기와비슷하며이들이활동을중단했는지악성코드를변경해새롭게활동하고있는지는확인되지 않고있다. 오퍼레이션레드닷 (Operation Red Dot) 오퍼레이션레드닷은 2014년봄부터 2017년 2월까지계속된공격으로 2014년말미국영화사해킹과연계된것으로보인다. 안랩은 100여개의관련 Escad 악성코드변형을발견했으며초기버전으로추정되는변형은 2013년부터발견되었다. 2014년부터는미국영화사뿐만아니라대북사이트, 방위산업체등에대한공격도확인되었다. 발견된변형사이에는코드유사성을포함해 AbodeArm.exe, msnconf.exe 등과같은파일명에도상당한공통점이존재했다. AhnLab, Inc. All rights reserved. 11
Escad 악성코드는크게 A 형, B 형, C 형으로나뉘며 A 형이 69% 로가장많고그다음으로는 B 형이 18%, 그리고 C 형이 13% 로가장적었다. Escad 분류 18% 13% 69% TypeA TypeB TypeC [ 그림 6] Escad 분류 Escad 악성코드변형에감염된 PC 의비율은 A 형이 68%, B 형은 10%, C 형은 22% 이다. Escad 감염 PC 수 22% 10% 68% TypeA TypeB TypeC [ 그림 7] Escad 감염 PC 비율 AhnLab, Inc. All rights reserved. 12
국내기관에대한공격은 2014 년 11 월미국영화사해킹이후 2015 년봄부터확인되었다. [ 그림 8] 2015 년공격메일첨부파일내용 또한국내방위산업체에대한공격은 2015 년가을부터본격화됐다. 2015 년 10 월국내방위산업체를목표 로한공격은특정학회를사칭한스피어피싱공격이었다. [ 그림 9] 스피어피싱메일 AhnLab, Inc. All rights reserved. 13
메일에첨부된초청장.hwp 파일을열면한글워드프로세스취약점을이용한백도어 (Backdoor) 가사용자컴 퓨터에설치된다. [ 그림 10] 초대장내용 2015 년 11 월에는 서울에어쇼에서전시된 10 대명품무기입니다 라는제목으로전시회참가업체들에게한 글문서를첨부한메일을발송했다. 첨부된한글문서를실행하면마찬가지로한글워드프로세스취약점을 공격해사용자 PC 를 Escad 악성코드에감염시킨다. AhnLab, Inc. All rights reserved. 14
[ 그림 11] 행사관련메일로가장한한글파일 2016 년부터는공격대상이확대되어호스팅업체, 대기업, 언론사등에대해서도공격을수행하였으며 악성코드도좀더다양화되었으며윈도우제로데이취약점을이용한공격도진행했다. 최종적으로 2017 년 2 월까지공격이확인되었지만현재까지도공격을지속하고있을가능성이높다. Escad 악성코드변형 Escad 악성코드는다수의변형이존재하며 2014년미국영화사미국영화사공격에사용된악성코드는 Escad A형과연관된것으로보인다. 2013년에도문자열처리에비슷한코드를사용하는악성코드가발견되었지만연관가능성이있는지판단하기는힘들다. 2014 년 5 월에발견된초기버전은 2014 년 11 월미국영화사공격에사용된파일과동일한방식으로 API 를구한다. 차이점은초기버전의파일은상위드롭퍼에의해서비스로등록되어동작한다는점이다. AhnLab, Inc. All rights reserved. 15
[ 그림 12] 2014 년 5 월발견된초기버전 미국영화사공격에사용된악성코드와유사한형태의변형은 2014 년 7 월이후부터발견된다. [ 그림 13] 국내발견변형과미국영화사공격샘플비교 앞서언급된바와같이 Escad 악성코드변형은크게 A형, B형, C형으로나뉜다. 최초기준이된 A형의주요특징은메인코드에서 2개의 IP를설정하는것, XOR 0xA7 을이용하여 DLL 파일의이름을구하는것, 그리고사용할 API의실제사용을위해서는모두 (space) 와. (dot) 을제거해야한다는점등이있다. 그후백도어명령을받을때는자체디코드루틴을사용하였다. AhnLab, Inc. All rights reserved. 16
B형은메인코드에서 2개의 IP를설정하는것은동일하나코드형태가변화하였다. DLL 파일의이름과사용할 API를구할때 (space) 와. (dot) 을제거하는것이아닌 XOR 연산을통해구하는것으로변경되었다. C형은서비스로동작하며 A형, B형과마찬가지로 2개의 IP가설정된다. DLL 파일의이름과사용할 API, 백도어명령어까지자체디코드루틴을사용하여구한다. 백도어코드는 A형과동일하다. 2016 년발견된변형은파일길이가 50 메가바이트 (MB) 가넘는경우도있다. 또한암호화된파일이나리 소스영역의메모리에서만동작하는새로운형태의백도어도발견되었다. [ 그림 14] Escad 악성코드변형관계도 [ 그림 14] 의관계도에서붉은색글씨는변경된부분을의미하고, 회색글씨는사라진방식을의미한다. [ 그림 15] 자체디코드루틴 AhnLab, Inc. All rights reserved. 17
Type 악성코드 API 구하는방법 A형 미국영화사공격 API 주소에. 이존재 B형 한글취약점을통해유포 API 주소에서. 가사라지고 XORING으로변경 (XOR 키는변형마다다름 ) C형 국내정치권공격 자체 Decode 루틴사용 [ 표 6] 변형해시및 API 특징 A 형메인코드 B 형메인코드 [ 표 7] A 형과 B 형의메인코드비교 Type A 형 API 구하는코드 AhnLab, Inc. All rights reserved. 18
B 형 C 형 [ 표 8] 변형별 API 구하는코드 Escad 악성코드변형이감염시스템에서사용한파일이름은다음과같다. 공격대상이해당파일을실 행할수있도록주소록, 송금증, 초대장등의문서파일로파일이름을위장하고있다. 파일이름 adobe.exe AdobeArm.exe AdobeARM.exe adobearm.exe AdobeFlash.exe msdtc.exe msnconf.exe [ 표 9] Escad 변형파일이름 Escad 변형에서확인된주요 C&C 서버주소는다음과같다. 203.113.122.164:443 196.202.33.106:8443 122.224.214.108:443 183.82.97.201:443 [ 표 20] Escad 변형주요 C&C 서버주소 66.45.231.125:443 87.197.125.51:110 AhnLab, Inc. All rights reserved. 19
오퍼레이션고스트라이플 (Operation Ghost Rifle) 오퍼레이션고스트라이플을진행한공격그룹은주로방위산업체를노렸다. 해당그룹은 2016 년초국내 보안업체, 2016 년 6 월대기업전산망해킹등에도연관된것으로알려져있다. 방위산업체에대한공격은 지속적으로발생하고있으며특히국내업체에는국내환경에맞춘공격이이뤄졌다. 2015 년가을, 서울국제항공우주및방위산업전시회 (Seoul International Aerospace & Defence Exibition, ADEX) 참가업체에대한공격이있었다. ADEX 는 1996 년부터격년으로열리는국제방위산업전시회다. 공격자는주최측으로위장하여취약점이포함된한글파일이나악성매크로를포함한엑셀, 워드문서를 메일에첨부하는공격방식을사용했다. [ 그림 15] ADEX 참가업체공격메일 메일에첨부된문서는행사관련내용이며첨부파일실행시사용자가 콘텐츠사용 을선택하면악성코드 를다운로드한다. AhnLab, Inc. All rights reserved. 20
[ 그림 16] ADEX 참가관련문서내용 2015 년 ADEX 참관업체에대한공격에최소 2 개이상의공격그룹이참여했으며한글프로그램취약점 파일의경우 Escad 악성코드변형도포함되어있었다. 워드나엑셀파일의경우에는사용자가매크로를실 행하면 Rifdoor 악성코드변형에감염된다. 이후에발견된문서파일의내용을확인한결과, 이공격자는주로방위산업체에대한공격을지속적으로 수행한것으로추정된다. [ 그림 17] 국내방위산업체공격에사용된문서내용 AhnLab, Inc. All rights reserved. 21
또한동일공격그룹이국내보안업체의 DRM 프로그램으로위장한악성코드를배포한정황도포착되 었다. 2016 년 1 월국내보안업체공격에사용된변형은주요문자열이암호화되어있다. [ 그림 18] 0x0F 로암호화된문자열 2016년 6월에는자산관리솔루션을이용한방위산업체관련대기업해킹사건이경찰청에접수되었다. 7 자산관리솔루션의취약점을이용한것으로파일배포기능을통해악성코드를배포하여대기업해킹을시도한사건이다. 해당공격으로인해설치된고스트랫 (GhostRat) 악성코드로약 4만여건의문서가유출된것으로확인되었다. [ 그림 19] 중앙관리시스템취약점을이용한악성코드관계도 7 http://www.yonhapnews.co.kr/northkorea/2016/06/13/1801000000akr20160613092851004.html AhnLab, Inc. All rights reserved. 22
사건개요를정리하면다음과같다. 특히사건이발생하기 4 년전인 2012 년, 자산관리프로그램취약점 테스트정황이확인되고 2014 년 7 월부터해킹을시도한것으로보아공격자는해당대기업에대한공 격을장기간준비했음을예상할수있다. 2012년 7월 자산관리프로그램취약점테스트정황 2014년 7월 자산관리프로그램취약점이용한대기업해킹시도시작 2015년 3월 자산관리프로그램을통해백도어프로그램을담은 V3PScan.exe 배포 2015년 11월 모보안프로그램가장악성코드배포 2016년 2월 경찰청사이버안전국관련첩보입수해수사 2016년 3월 자산관리프로그램보안패치발표 2016년 4월 관련정보관계사, 관련당국에공유 [ 표 11] 대기업해킹사건타임라인 2012 년 7 월취약점테스트로추정되는코드에서발견된 PDB 정보는다음과같다. c:\new folder\connecttest\release\connecttest.pdb [ 표 32] 취약점테스트추정코드에서발견된 PDB 정보 2015 년 3 월자산관리프로그램을통해실행파일인 V3PScan.exe 를배포할때사용한코드의내용은다 음과같다. [ 그림 20] 자산관리프로그램을이용한실행파일배포 AhnLab, Inc. All rights reserved. 23
Rifdoor 악성코드변형에따른 PDB 정보는다음과같다. PDB 정보 C:\Users\C8\Desktop\rifle\Release\rifle.pdb E:\Data\My Projects\Troy Source Code\tcp1st\rifle\Release\rifle.pdb [ 표 4] Rifdoor 악성코드변형에따른 PDB 정보 추가악성코드 오퍼레이션고스트라이플을수행한해당공격그룹은자체제작한 Rifdoor 악성코드이외에도 Ghostrat, Aryan 등이미알려진다른악성코드도이용하고있다. [ 그림 21] 추가악성코드 Aryan 악성코드는 Fuck Hack Hound. 와같은특징적문자열을포함하고있다. [ 그림 22] 특징적문자열 AhnLab, Inc. All rights reserved. 24
Aryan 악성코드해킹툴관리프로그램도존재한다. [ 그림 23] 해킹툴관리프로그램 또한해당그룹은 Crash.exe, Test.exe 라는이름으로매년 8 월이후 PC 의하드디스크내용을파괴하도록설 계된악성코드를제작했다. 하지만, 실제공격에사용되었는지는확인할수없다. 오퍼레이션어나니머스팬텀 (Operation Anonymous Phantom) 2016년 1월부터 10월까지유사악성코드를이용한국내방위산업체에대한공격이확인되었다. 초기공격에사용된파일이름은 Phantom.exe 이며, 악성코드진단명은 Phandoor 이다. 또한통신을할때익명을의미하는 'Anonymous 문자열을사용하는것이확인되었다. 안랩은공격에사용된파일이름과통신시사용하는문자열을토대로해당공격을 어나니머스팬텀 (Operation Anonymous Phantom) 으로명명했다. 해당악성코드는 2016년 1월최초발견되었지만 2015년 10월처음제작된것으로추정된다. 국내방위산업체몇곳이공격대상으로확인된것으로미뤄보아방위산업체를노린공격으로추정된다. 정확한공격방식은확인되지않았다. 현재까지총 37개의변형이발견되었으며파일의크기는 76,800 바이트에서 95,232 바이트사이다. Phantom.exe 외 F_lps.exe, ahnv3.exe, 12teimong12.exe, Tiemong.exe, v3scan.exe, otuser.exe, v3log.exe 등의파일이름으로도발견되었다. AhnLab, Inc. All rights reserved. 25
최근에는 2017 년 4 월더미다 (Themida) 패커로패킹된변형이국내에너지관련연구소에서발견되었으 며 2017 년 5 월에는특징적인 Anonymous 문자열이제거된변형도발견되는등현재까지꾸준히활동 중이다. 추가악성코드 어나니머스팬텀공격그룹에서사용한 Phandoor 컨트롤프로그램화면은다음과같다. [ 그림 24] Phandoor 컨트롤프로그램 중계서버역할을하는것으로보이는 Transponder.exe 도발견되었으며, 변형에따라 443 번, 6000 번, 10666 번포트를 LISTENING 상태로열어둔다. AhnLab, Inc. All rights reserved. 26
국내공격사례의특징 국내방위산업체에대한공격은여러그룹에의해이뤄졌다. 국내방위산업체를공격대상으로한레드닷 (Red Dot) 그룹, 고스트라이플 (Ghost Rifle) 그룹, 어나니머스팬텀 (Anonymous Phantom) 그룹에서사용한코드와암호화방식의유사성으로미루어볼때이들그룹이동일그룹혹은협력그룹일가능성이있다. 한편국내공격에사용된악성코드를추적해보면다른악성코드도연관되어발견되고있다. 공격그룹연관성 국내방위산업체에대한공격을시도한그룹은다수존재한다. 2013년알려진아이스포그 (Icefog) 그룹은중국그룹으로추정되고있다. 2014년국내방위산업체를공격한레드닷 (Red Dot) 그룹은 2014년미국영화사를공격한그룹과동일그룹으로보인다. 레드닷 (Red Dot) 그룹과함께 2015년 ADEX 참가업체공격을시작으로국내방위산업체를공격한고스트라이플 (Ghost Rifle) 그룹은 2016년국내대기업해킹으로유명해졌다. 어나니머스팬텀 (Anonymous Phantom) 그룹은 2016년초부터활동을시작하는데기존악성코드와코드에서유사점이있다. Dllbot은 2007년부터국내군관련해킹에이용된악성코드다. Dllbot은여러변형이발견되는데 2012년에발견된변형에서는문자열에서 S^를제거하는코드를포함하는특징이발견되었다. 같은해 Dllbot의변형인 Xwdoor에서도동일코드가발견되었다. 2015년발견된 Phandoor 는 Dllbot와 Xwdoor와는전반적인코드는다르지만 S^를처리하는코드는유사하다. [ 그림 25] 공격그룹관계도 AhnLab, Inc. All rights reserved. 27
Phandoor 변형에서발견된문자열앞에붙어있는 S^ 의경우 2012 년에발견된국내표적공격악성코드 에서도발견되었다. [ 그림 26] 2012 년발견된 S^ 를포함한악성코드 Dllbot 주요문자열앞에붙은 S^ 뿐아니라문자열에서 S^ 를제거하는코드또한유사하다. 즉, 동일공격자나 관련소스코드를이용해서악성코드를만들고있는것으로추정된다. [ 그림 27] S^ 를처리하는유사변환코드 AhnLab, Inc. All rights reserved. 28
Phandoor 와 Rifdoor 악성코드는유사한암호화방식을사용하고있다. [ 그림 28] Rifdoor 와 Phandoor 의암호화코드 결론적으로국내방위산업체를공격대상으로한레드닷 (Red Dot) 그룹, 고스트라이플 (Ghost Rifle) 그룹, 어 나니머스팬텀 (Anonymous Phantom) 그룹의연관성은명백하지않지만, 코드와암호화방식의유사성으로 미루어볼때이들그룹이동일그룹혹은협력그룹일가능성이있다. 한국어사용자가능성 일부그룹에서공격에사용한프로그램중에는한국어로된프로그램도확인되어국내공격자가한국인일 가능성도있다. 고스트라이플그룹에서사용한악성코드제어프로그램은 체계설정, 문자렬, 통보문현시 등과같은어색 한한글이사용되고있는것이확인됐다. AhnLab, Inc. All rights reserved. 29
[ 그림 30] 오퍼레이션고스트라이플에서사용된제어프로그램 또한어나니머스팬텀그룹에서제작한것으로보이는다른악성코드의 PDB 정보를보면사용자이름에 KGH 와같이한국인으로추정할수있는이니셜과횟수를의미하는 1 차 (cha) 문자열을포함하고있기도 한다. C:\Users\KGH\Downloads\(DONE)TROYS(DONE)\(done) 1 cha release (done)\(done) 1 cha (dll)\installer-dll-service_win32\release\installbd.pdb [ 표 14] PDB 정보 [ 그림 29] 한국인제작자로추정되는정보 AhnLab, Inc. All rights reserved. 30
악성코드상세분석 2010 년부터 2016 년까지방위산업체에대한공격에이용된주요악성코드인 Escad, Rifdoor, Phandoor 악성 코드에대한분석을살펴본다. 주요국내방위산업체공격에사용된악성코드샘플은다음과같다. 대표파일명 주요기능 MDS 진단명 V3 진단명 1 Rifle.exe 원격제어를통한백도어 Trojan/Win32.Rifdoor Win-Trojan/Rifdoor 2 Phantom.exe 원격제어를통한백도어 Trojan/Win32.Phandoor Trojan/Win32.Phandoor 3 AdobeArm.exe 원격제어를통한백도어 Backdoor/Win32.Escad Trojan/Win32.Escad [ 표 15] 국내방위산업체공격악성코드 Escad 기본정보 파일이름 AdobeArm.exe 파일길이 179,200 파일생성시간 2015년 10월 19일월요일, 오전 10시 49분 58초 (UTC 기준 ) 주요기능 MDS 진단명 V3 진단명 사용자정보탈취 Backdoor/Win32.Escad Backdoor/Win32.Escad [ 표 56] Escad 기본정보 동작방식 오퍼레이션레드닷 에서사용된 Escad 악성코드의특징은 API 를암호화해둔방식이다. 해당파일은사용 할 DLL 이름과 API 이름을 0x89 로 XOR 하여가져온다. [ 그림 32] XOR 89 코드 AhnLab, Inc. All rights reserved. 31
[ 그림 30] 복호화된문자열 또한 AdobeArm.exe 파일을시작프로그램에바로가기파일로 (*.lnk) 생성하여시스템이재부팅되어도자동 으로다시실행되게한다. [ 그림 31] 시작프로그램등록 0012B10C 0000011C Socket = 11C 0012B110 0042FB1C psockaddr = 02.0042FB1C 0012B114 00000010 \AddrLen = 10 (16.) [ 그림 32] C&C 서버연결 AhnLab, Inc. All rights reserved. 32
203.113.122.163:443, 196.202.33.106:8443 두개의 C&C 서버주소가있고, 실제로는 203.113.122.163:443 으 로연결한다. 연결에성공하면컴퓨터이름, 사용자계정이름, 시스템정보등을전송한다. 명령어별기능 은다음과같다. 명령어 ( 주소로대체 ) &unk_427070 &unk_4270xx &unk_4270a0 &unk_4270b8 &unk_4270d0 &unk_4270e8 &unk_42703c &unk_427100 기능디스크용량확인사용자정보프로세스실행프로세스목록프로세스종료파일전송특정파일찾기 %temp% 파일생성 &unk_4271xx 파일생성 ( 다운로드 ) &unk_427118 &unk_427130 &unk_427160 &unk_427190 &unk_4271a8 &unk_4271c0 &unk_4271xx 파일속성파일생성및삭제소켓연결 RECV 파일속성변경파일명변경배치파일생성및실행 [ 표 17] 명령어별기능 Rifdoor 기본정보 파일이름 rfile.exe 파일길이 95,232 파일생성시간 2015 년 11 월 18 일 00x 시 24 분 28 초 (UTC 기준 ) 주요기능 MDS 진단명 V3 진단명 원격제어 Trojan/Win32.Rifdoor Win-Trojan/Rifdoor.Gen [ 표 68] Rifdoor 기본정보 AhnLab, Inc. All rights reserved. 33
사용자의의심을피하기위해악성코드파일은아이콘은윈도우업데이트관련이미지로위장했다. [ 그림 33] 악성코드파일아이콘 Rifdoor 악성코드의 PDB 정보는 E:\Data\My Projects\Troy Source Code\tcp1st\rifle\Release\rifle.pdb 다. [ 그림 34] Rifdoor PDB 정보 동작방식 악성코드가실행되면 C:\Program Files\Common Files\Update 경로를생성하고악성코드를 WwanSvc.exe 로복사한다. 또한시스템이재부팅될때자동으로실행될수있도록레지스트리에등록한다. Software\\Microsoft\\Windows\\CurrentVersion\\Run 키 Windows Update [ 표 19] 레지스트리등록내용 [ 그림 35] 레지스트리등록내용 시스템을감염시킬때해당악성코드는파일끝 4 바이트에쓰레기값을추가하여파일을생성한다. 따라 AhnLab, Inc. All rights reserved. 34
서감염될때마다해시값이달라지기때문에단순해시값만으로는시스템에서악성코드를찾을수없다. [ 그림 36] 원본파일과생성파일비교 또한 MUTEX394039_4930023 뮤텍스 (Mutex) 를생성하고 C&C 서버로접속하여탈취한사용자정보를보 낸다음통신에성공하면명령을수행한다. [ 그림 37] 명령어처리부분 Rifdoor 악성코드의주요명령과그기능은다음과같다. 명령 기능 $interval $downloadexec 대기 파일다운로드후실행 AhnLab, Inc. All rights reserved. 35
$download 파일다운로드 ( 기본 ) Cmd.exe 실행 [ 표 20] Rifdoor 명령 Phandoor 기본정보 파일이름 Phantom.exe 파일길이 86,016 bytes 파일생성시간 2015년 10월 22일 23시 59분 03초 (UTC 기준 ) 주요기능 원격제어. 통신할때 Anonymous? 문자열을보냄 MDS 진단명 Trojan/Win32.Phandoor V3 진단명 Trojan/Win32.Phandoor [ 표 21] Phantom 기본정보 동작방식 Phandoor 악성코드는 S^%s\cmd.exe, S^nehomegpa.dll 과같이특징적으로주요문자열앞에 S^% 가붙 는다. [ 그림 38] Phandoor 의특징적문자열 S^ AhnLab, Inc. All rights reserved. 36
악성코드가실행되면초기화를거쳐 C&C 서버에접속을시도한다. 이때 Anonymous? 검사코드를보내 정상서버유무를확인한다. [ 그림 39] Anonymous 검사코드 또한명령을받아 cmd.exe 를실행하거나추가명령을수행한다. 명령 0x9 0xA 0xB 0x10 0x12 0x19 0x1A 0x1B 기능드라이브정보파일검색인터넷에서데이터받아파일생성일정시간후메인기능재실행 nehomegpa.dll 파일옮김프로세스리스트얻기프로세스종료권한상승 [ 표 22] 주요명령 악성코드실행과정내용을출력하는제작중인버전도발견되었다.. 안랩대응및보안권고 안랩제품군에서는국내방위산업체공격에사용된 Escad, Rifdoor, Phandoor 악성코드를다음과같은진단 명으로탐지한다. AhnLab, Inc. All rights reserved. 37
Backdoor/Win32.Icefog Backdoor/Win32.Escad Trojan/Win32.Escad Win-Trojan/Rifdoor.Gen Trojan/Win32.Phandoor 악성코드피해를 100% 예방하기는어렵다. 하지만다음기본보안수칙을잘지키면대부분의악성코드감염피해를예방할수있다. 1. 백신프로그램의엔진버전을최신으로유지하고주기적으로시스템검사를실시한다. 2. 윈도우, 맥, 리눅스등운영체제를포함하여마이크로소프트오피스, 어도비플래시 (Adobe Flash), 자바 (JAVA) 등주요프로그램을최신버전으로유지한다. 3. 메일첨부파일또는다운로드한파일이실행파일인경우의도한파일이맞는지확인한후실행한다. 특히문서나동영상파일로위장한실행파일을주의해야한다. 4. 출처가불분명한메일의첨부파일은실행을자제한다. 결론 안랩을비롯한국내외보안업체들이분석한바와같이 2011 년이후세계적으로방위산업체에대한공격 은더욱고도화되고있다. 방위산업체는국가안보와도밀접하게연관되어있기때문에앞으로도경쟁국, 적대국의공격자들이방위산업체에대한공격을더욱확대할것으로보인다. 국내방위산업체에대한공격또한지속적으로보고되고있다. 특히일부공격그룹은국내방위산업체뿐아니라정치, 외교분야에대한공격도함께진행하고있는것으로보아산업스파이가아닌경쟁국, 적대국의첩보가능성이높다. 이와같은국내방위산업체에대한공격은단순산업기밀유출을넘어국가안보에대한위협이야기되는만큼더욱강력한보안대책과관리를통한예방이필수적이다. AhnLab, Inc. All rights reserved. 38