Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보금융기관을 대상으로 유포되는 새로운 KillDisk
작성일 2018-01-24 조회 1475

 

 

 

 

라틴 아메리카의 금융 기관을 대상으로 PC 부팅 불가 상태로 만드는 KillDisk 악성코드가 발견되었습니다. 타국의 악성코드가 과연 우리에게 무슨 의미를 전달할 수 있을까라는 의문을 가지기도 합니다.

 

 

악성코드는 비행기 타고 돌아다니는 것이 아닙니다.

나라, 국경, 언어 등 세상 모든 것을 구분하는 기준은 악성코드에게 아무 의미가 없습니다.

 

2017년 6월 우크라이나를 강타한 Petya 랜섬웨어는 우리나라에도 감염 피해가 있었습니다. 해외의 피해 사고와 대처 방안을 충분히 습득하여 우리가 속한 조직 내 2차 피해를 막는 타산지석으로 삼아야 합니다. 물론 한국에서 발생한 악성코드 또한 외국 보안 커뮤니티에 분석글이 올라오는 것과 같은 이유일겁니다.

 

 

이번 악성코드는 Petya Ransomware처럼 파일 암호화가 아닌 파일 삭제, Wiper 의 기능을 가진 악성코드입니다. Wiper 악성코드는 MBR 섹터 수정으로 부팅 불가 상태를 만들어 해당 단말의 불능을 위해 제작된 악성코드입니다. 이러한 특성때문에 랜섬웨어처럼 금전적인 이익이 아닌 정치적인 색깔을 더 많이 띄는 악성코드라고 할 수 있습니다.

 

 

[Malware] KillDisk

행위: Wiper 
크기: 61,440 bytes
SHA256: 8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5

 

 

 

해당 파일은 'dimens.exe' 라는 또 다른 악성코드와 연관이 있습니다. 해당 응용프로그램명은 파일 내 하드코딩 되어있습니다. 하지만 현재 공개된 악성코드에서 해당 파일은 생성하거나 다운로드 하지 않기 때문에 KillDisk는 알려지지 않은 큰 프로젝트의 한 일부분이라고 판단하고 있습니다.

 

diens.exe 의 파일이 존재할 경우 해당 파일을 '0123456789'로 수정합니다. 수정하기 전 해당 경로에 '123456789' 파일 여부를 확인하여 존재할 시 해당 파일을 삭제 후 이름을 변경하는 과정을 거칩니다.

 

[그림] dimens.exe 파일명 변환

 

 

 

파일의 데이터를 무작위로 변경하는 것이 하닌 특정 폴더와 하위 폴더 내 존재하는 파일은 삭제하지 않습니다.

특정 폴더는 아래의 그림과 같습니다.

 

[그림] 삭제하지 않는 특정 폴더 목록

 

 


악성코드는 PhysicalDrive 를 검색하여 MBR(마스터 부트 레코드) 정보의 첫 번째 섹터를 0x00 으로 변환합니다.

 

[그림] Physical Drive 수정

 

[그림] 악성코드 실행 전/후

 

 

 

정상적인 정보 변경이 이루어진 후 아래의 그림과 같은 4개의 응용프로그램을 찾아 종료합니다.

 

해당 프로그램이 종료되면 사용자가 재부팅을 강요받는 현상이 발생합니다. 재 로그인 메시지 생성, 재부팅 혹은 일명 블루스크린이라고 불리는 파란색 화면(DSOD)을 통해 사용자는 재부팅 강요받게 됩니다.

 

 - 클라이언트 / 서버 런타임 하위 시스템 (csrss.exe)

 - Windows 시작 응용 프로그램 (wininit.exe)

 - Windows 로그온 응용 프로그램 (winlogon.exe)

 - 로컬 보안 기관 하위 시스템 서비스 (lsass.exe)

 

 

 

 

 

재부팅 후 우리는 감염된 PC의 바탕화면은 영영 볼 수 없게 되었습니다.

MBR 섹터의 간단한 데이터 변경으로 감염 단말은 영영 돌아올 수 없는 강을 건너게 된 것입니다.

 

[그림] 감염 이후 부팅 불가

 

 

 

랜섬웨어나 Wiper 처럼 파일의 암호화 / 삭제하는 악성코드의 대처 방법은 자료의 주기적인 백업입니다. 백업본은 망분리 혹은 비 네트워크 상태로 보호하는 것이 현명하며, 사용하시는 백신을 최신상태로 유지하여 최신 악성코드에 대한 대처를 할 수 있기를 바랍니다.

 

 

 

 

 

 

[Sniper IPS]

 - 정/오탐 확인중

 

[Sniper UTM]

 - 정/오탐 확인중

 

[Sniper APTX]

 - 정/오탐 확인중

 

 

 

[그림] Sniper APTX 탐지 내역

 

 

 

 

 

Source

[Title] https://www.endgame.com/blog/technical-blog/escalation-destructive-attacks-putting-dragonfly-context

https://blog.trendmicro.com/trendlabs-security-intelligence/new-killdisk-variant-hits-financial-organizations-in-latin-america/

첨부파일 첨부파일이 없습니다.
태그 KillDisk  우크라이나  금융기관