보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Threat Analysis] 프랑스 국영 TV 해킹 악성코드, 실체를 밝힌다

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2015-05-07

해외 타깃 공격에 이용된 악성코드 상세 분석  

 

사이버 공격의 대상이 다양한 산업군에서 국가 기관으로 확대되고 있다. 특히 최근 정치∙사회적으로 국가 간 이해관계가 첨예하게 대립함에 따라 사이버 공격이 더욱 격화되는 양상을 보이고 있다. 실제로 2015년 4월 8일 프랑스 공영 방송인 떼베생몽드(TV5 Monde)는 사이버 공격으로 인해 산하 11개 채널의 방송 불가 상태를 겪어야 했다. 떼베생몽드에 따르면 이 공격은 이슬람국가(IS) 혹은 추종자에 의해 발생했다. 이 글에서는 떼베생몽드 사이버 공격에 이용된 악성코드에 대해 소개한다. 

 

 

떼베생몽드 침해사고 발생
떼베생몽드(TV5 Monde)는 1984년 1월 2일 개국한 프랑스어로 방송되는 글로벌 텔레비전 방송국이다. 2015년 4월 8일 밤 프랑스 떼베생몽드 방송국의 페이스북 계정이 해킹당해 이슬람국가와 관련된 글이 올라갔다. 그리고 방송시스템과 홈페이지, 페이스북 계정이 모두 마비되었다.

 

 



[그림 1] 떼베생몽드(TV5 Monde) 해킹 기사

 

이 공격의 배후로는 이슬람국가(Islamic State, IS) 혹은 추종자인 것으로 알려졌다. 이슬람국가는 2015년 1월에도 미국 중앙 사령부(U.S. Central Command)의 트위터 계정도 해킹해 선전 글을 남긴 바 있다.  

 

떼베생몽드 침해사고의 원인과 경로에 대해 자세히 밝혀지지 않았지만, 사고 다음 날인 4월 9일 TV 화면을 통해 떼베생몽드의 부실한 보안 관리 체계가 드러났다.  

 

[그림 2]에서 볼 수 있듯이 9일 방송된 TV 프로그램 중 인터뷰 영상에서 암호로 보이는 문자열을 쓴 스티커가 화면에 비춰졌다. 이 스티커에 적힌 것은 유튜브 계정 암호로 알려졌다. 실제로 9일 화면에 비친 유튜브 암호는 ‘lemotdepassedeyoutube’로, 프랑스어로 유튜브 암호라는 뜻이다.
 



[그림 2] 떼베생몽드의 트위터 암호가 노출된 방송 화면에 대한 트위터

 



[그림 3] 암호 노출에 대한 트위터

 

떼베생몽드가 암호를 적은 스티커를 벽이나 PC에 붙여두었을 만큼 암호 관리가 허술했으며, 이러한 부실한 보안 관리 체계가 침해사고와 무관하지 않다는 것을 짐작할 수 있다.  

 

떼베생몽드 공격에 이용된 악성코드

2015년 4월 9일 글로벌 보안업체 블루코트(Blue Coat)에서 떼베생몽드 침입과 관련된 악성코드 정보를 공개했다.

 



[그림 4]  블루코트 블로그

 

떼베생몽드에서 발견된 악성코드는 아랍어권에서 피해가 큰 Njworm 악성코드의 변형으로 밝혀졌다.

 

아랍어권 유행 악성코드 Njrat, Njworm
쿠웨이트인 Njq8이 제작한 Njrat와 Njworm는 다소 생소하지만, 아랍어권에서는 인기가 높은 악성코드이다. 인터넷을 통해 아랍어로 된 사용법 동영상도 쉽게 볼 수 있다. 이런 언어적 이점으로 해당 지역에서 인기 있는 백도어가 되었다. 

 

 



[그림 5] 아랍어로 제작된 악성코드 활용 동영상(https://www.youtube.com/watch?v=sKtoONku1w0)

 

또한 2013년 5월에는 소스코드가 공개되어 이를 기반으로 한 변형이 발견되었다. 이 중 변형 생성기가 2014년 12월 8일 아랍어 개발자 사이트에 업로드되었다.​​​​

 

이 악성코드로 인한 피해가 증가함에 따라 2014년 6월 MMPC(Microsoft Malware Protection Center)는 악성코드에 대한 실체를 공개하고 더는 악의적인 활동을 할 수 없도록 조치에 나섰다. 이때 악성코드 제작자도 확인되었는데 쿠웨이트인 나서 알 무타이리(Naser Al Mutairi)와 알제리인 모하메드 베나브델라(Mohamed Benabdellah)로 밝혀졌다. 

 

제작자는 다양한 악성코드 생성기를 만들어서 배포하고 있다. 비주얼 베이직 악성코드 생성기도 있다. 생성기마다 만들어진 VBS 코드 형태는 조금씩 다르지만, 사용자 정보 탈취 및 백도어 기능을 수행하는 점은 동일하다. 이 악성코드 생성기를 실행하면 통신용 포트(port) 번호를 입력한다. 호스트(host) 주소, 포트(port), 이름(name), 디렉터리(directory) 설정, 인스톨 이름(Install name) 등을 사용자가 설정할 수 있다. 단, 생성된 파일은 조금씩 달라질 수 있다.

 

악성코드 생성기 살펴보기
지금부터 공개된 소스코드를 바탕으로 일부 수정된 몇 가지 악성코드 생성기가 어떻게 악성코드를 생성하는지 그 과정을 살펴보자. 

 

1) 악성코드 생성기 1

우선 악성코드 생성기를 실행시키면 [그림 6]과 같이 포트(Port)를 설정하는 창이 뜬다.

 



[그림 6] 생성기 포트 설정

 

위 과정이 완료되면 [그림 7]과 같이 로그 창에 포트로 연결되었다는 메시지를 보여준다.

 



[그림 7] 포트 접속

 

흰 창에서 오른쪽 마우스를 누르면 명령을 전송할 수 있는 창이 뜬다. 명령 종류는 웜(w0rm), 컴퓨터(Computer), 실행(Run), 선택(Options)으로 나누어져 있고, 종류에 따라 여러 명령을 줄 수 있다.

 



[그림 8] 명령창

 

선택 후 빌드(Builder)를 클릭하면 아이피(IP)와 포트(Port) 등을 초기화할 수 있는 창이 뜬다. 호스트(Host), 포트(Port), 이름(Name), 인스톨 이름(Install Name)은 사용자 마음대로 설정할 수 있고, 디렉터리는(Directory) 6개 중에서 선택할 수 있다.

 


 [그림 9] 빌더를 통한 악성코드 생성

 

2) 악성코드 생성기 2 

이번에는 또 다른 악성코드 생성기를 살펴보자. 이 생성기를 실행하면 [그림 10]과 같이 포트 번호를 입력하고, [그림 11]과 같이 간단하게 설정할 수 있는 화면이 나타난다.

 



[그림 10] 악성코드 생성기 2의 기본 화면

 



[그림 11] 설정 화면


명령 종류는 간소해졌다. 파일 실행(Run File), VBS 코드(vbs code), 언인스톨 웜(Uninstall w0rm) 등 세 명령만 존재한다.

 



[그림 12] 명령창

 

역시 호스트, 포트, 이름, 인스톨 이름은 사용자가 마음대로 설정할 수 있다. 그리고 전파 파일 이름(Spread File Name)과 디렉터리 부분은 수정되었다.

 



[그림 13] 생성기 2의 설정 화면

 

앞서 설명한 두 생성기의 가장 큰 차이점은 실행 환경이 가상환경인지를 확인하는 코드의 유무이다. 생성기 1은 가상환경 확인코드가 존재하지 않지만, 생성기 2는 코드 시작 부분에 vmcheck() 함수가 존재하여, 만약 가상 환경이라면 실행한 VBS 파일을 삭제하고 바로 종료된다.

 



[그림 14] 두 악성코드의 차이점_가상 환경 검사 코드


VB 스크립트 백도어
떼베생몽드에서 발견된 악성코드는 이런 생성기 중 하나로 제작된 비주얼 베이직 스크립트(VBS) 악성코드로 사용자 정보 탈취 및 원격 제어가 가능하다.

이 악성코드는 [그림 15]와 같은 동작을 수행한다. 
 



[그림 15] 동작 순서

 

1) 파일 생성
2) 레지스트리 자동 실행 등록 

3) C&C 통신

 

스크립트 코드는 크게 초기화 부분과 백도어 부분으로 나눌 수 있다. 초기화 부분은 인스톨 이름, IP, 포트 설정 등과 같은 기본적인 것을 설정할 수 있다.



 
 [그림 16] 초기화 코드

 

백도어 부분은 C&C에서 보내는 명령에 대한 행위 동작이 정의되어 있다.

 


 [그림 17] 원격제어 명령 수행 코드

 

자세한 명령어와 기능은 [표 1]과 같다.

 



[표 1] 명령어 종류


이 악성코드에는 백도어 이외에 사용자 정보를 탈취하는 기능이 존재한다. 사용자 정보에는 사용자 이름, 컴퓨터 이름, 볼륨 시리얼 넘버, 윈도 버전 정보 등이 있다.

 


[그림 18] 시스템 정보 수집 코드

 

하지만, 발견된 악성코드는 접속 주소가 자기 자신이어서 테스트 목적으로 제작되었을 가능성이 높다.

 

지금까지 프랑스 떼베생몽드의 방송 중단이라는 초유의 사태를 일으킨 악성코드에 대해 살펴보았다. 일반적으로 정치적 목적을 위한 사이버공격에서 방송국은 훌륭한 목표가 될 수 있다. 프랑스 떼베생몽드 뿐 아니라 우리나라도 2013년 3월 20일 방송국 컴퓨터가 공격당한 일이 발생했다. 국내는 방송 송출까지 문제가 발생하지 않았지만, 프랑스 떼베생몽드에서는 방송 송출까지 장애가 발생했다. 이런 사이버 공격을 통해 방송 내용 가로채기, 방송 송출 장애와 같은 공격이 발생할 가능성이 크다. 따라서 방송사의 보안 강화가 절실히 요구된다. 또한, 정치적 이유로 특정 국가, 지역에서 유행하는 악성코드가 공격에 동원될 수 있어 이들 국가에서 널리 이용되는 악성코드에 대한 파악도 필요하다. @

 

[참고 문헌]

[1] French TV station TV5Monde hit by Islamic State hack (http://www.dailymail.co.uk/wires/afp/article-3031644/French-TV5Monde-hit-pro-Islamic-State-hackers.html)
[2] Simple njRAT Fuels Nascent Middle East Cybercrime Scene (http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene)
[3] New RATs Emerge from Leaked Njw0rm Source Code (http://blog.trendmicro.com/trendlabs-security-intelligence/new-rats-emerge-from-leaked-njw0rm-source-code)
[4] https://www.eff.org/files/2013/12/28/quantum_of_surveillance4d.pdf
[5] http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-islamiste_4612099_4408996.html
[6] www.cnbc.com/id/102330338
[7] https://twitter.com/pent0thal
[8] https://www.bluecoat.com/security-blog/2015--04-09/visual-basic-script-malware-reportedly-used-tv5-monde-intrusion
[9] https://www.youtube.com/watch?v=sKtoONku1w0
[10] https://jomgegar.com/topic/14665-njrat-v07dbuilderstub-full-source-code/
[11] http://blogs.technet.com/b/mmpc/archive/2014/06/30/microsoft-digital-crimes-unit-disrupts-jenxcus-and-bladabindi-malware-families.aspx

[12] http://blogs.microsoft.com/blog/2014/06/30/microsoft-takes-on-global-cybercrime-epidemic-in-tenth-malware-disruption/

 

  • AhnLab 로고
  • 분석팀 차민석 책임, 이보원 연구원
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.