Shamoon wiper 악성코드, 복수를 위해 다시 돌아와

Shamoon wiper 악성코드, 복수를 위해 다시 돌아와

Shamoon wiper malware returns with a vengeance

Shamoon 악성코드가 새로운 배포 방식을 통해 사우디 아라비아의 조직 다수를 공격했습니다. 해당 악성코드는 지난 2012년, Saudi Aramco와 에너지 회사들의 하드 드라이브 파일을 삭제한 바 있습니다.

연구원들은 이를 “매우 신중하게 계획된 작전”이라 말했습니다. Shamoon 악성코드의 변종은 2012년 공격에 사용된 버전과 거의 유사하지만, 악성코드가 표시하는 메시지를 변경한 점이 특징적입니다. 과거에는 악성코드 유포의 확산을 위해 불타고 있는 성조기의 이미지를 사용했으나, 최근에는 터키에서 그리스로 넘어오려고 시도하다가 익사한 3살배기 시리아 난민 소년 Alan Kurdi의 사진을 사용하고 있는 것으로 나타났습니다.

Bloomberg는 사우디의 디지털 포렌식을 적용한 결과, 해당 공격이 이란에서 실행된 것을 밝혀냈다고 보도했습니다. 공격을 받은 조직들 중에는 사우디 정부 기관들이 일부 포함되어 있었습니다.

Disttrack이라고도 알려진 Shamoon의 새 버전은 McAfee, Symantec, Palo Alto Networks, FireEye를 포함한 다수의 보안 회사들에게 탐지되었습니다. 악성코드의 “드랍퍼”가 어떻게 그가 공격한 네트워크에 침입할 수 있었는지는 알려지지 않았습니다. Shamoon 악성코드가 사용자의 윈도우 시스템에 들어오면, 악성코드의 32비트 또는 64비트 버전 중 어떤 것을 설치할지 결정하게끔 합니다. Symantec에 따르면, 가장 최근 발생한 Shamoon 공격은 11월 17일 오전 8:45시, 그들이 감염시킨 컴퓨터의 디스크 드라이브가 자동으로 삭제를 시작하도록 설정했습니다.

Wiper 악성코드는 감염된 시스템의 디스크 드라이브에 데이터를 쓸 수 있도록 하기 위해(이 경우는 덮어쓰기 하기 위해) 직접 접근하게 하는 EldoS의 상용 소프트웨어 드라이버인 RawDisk를 사용합니다. 지난 2014년 Sony Pictures의 Wiper 공격에도 동일한 드라이버가 사용되었습니다. 파이어아이에 따르면, 이 악성코드는 데이터 삭제를 시작하기 전, 감염된 컴퓨터의 시스템 시계를 2012년 8월의 랜덤한 날짜로 변경합니다. 이는 유효한 라이선스를 체크하는 EldoS 드라이버의 코드를 우회하기 위한 것으로 보여집니다.

새로운 Shamoon의 변종 악성코드는 파일 공유 기능을 활성화하여 네트워크를 통해 확산됩니다. 또한 윈도우 레지스트리 변경을 통해 원격 제어 세션을 위한 사용자 접근 제어를 비활성화합니다. 이 악성코드는 로컬 사용자의 현재 권한으로 타겟 시스템에서 ADMIN$, C$\Windows, D$\Windows, E$Windows 공유 폴더에 접근을 시도합니다. 이 공유 폴더들에 접근할 수 있을 만큼 충분한 권한이 없을 경우, 악성코드가 크리덴셜 탈취를 시도합니다. 

악성코드 샘플에는 크리덴셜들이 하드 코딩되어 있는 상태로, 공격자들이 과거에 해당 네트워크들에 침입하여 사용자의 윈도우 도메인 관리자 또는 다른 높은 권한 계정들의 크리덴셜을 수집했었다는 것을 확인할 수 있습니다. 악성코드는 공유 폴더에 접근이 가능해지면 자기 자신을 다른 시스템의 Windows 디렉토리에 복사합니다.

해당 공격은 C&C 시스템과 통신하는 코드를 포함하고 있었습니다. 이는 존재하지 않는 서버로 연결되어 있어, 공격자가 코드를 비활성화한 것으로 예상됩니다. 따라서 정보를 유출시킬 의도가 없다는 것으로 해석될 수 있으나, Shamoon 악성코드가 활성화된 시점에 이용한 공격에서 이미 정보를 손에 넣었을 수도 있습니다. 이 디스크 wiper는 공격자가 주는 선물 중 일부로 남겨졌을 가능성이 있습니다.

현재 알약은 해당 악성코드를 Trojan.DistTrack.A로 탐지하고 있습니다.

출처 :

http://arstechnica.com/security/2016/12/shamoon-wiper-malware-returns-with-a-vengeance/