시만텍(www.symantec.co.kr)은 백도어.데스토버(Backdoor.Destover)가 과거 한국을 겨냥한 표적 공격과 연관되어 있다고 밝혔다.

데스토버는 최근 소니 해킹과 관련해서 미국 FBI가 경보를 발효할 정도로 파괴적인 멀웨어(malware)로, 데스토버의 일부 샘플이 보고된 C&C(Command-and-control) 서버는 과거 한국을 타깃으로 공격하기 위해 설계된 트로이목마 볼그머(Trojan.Volgmer)가 사용한 서버와 동일한 것으로 조사됐다. C&C 서버를 공유한다는 것은 두 공격의 배후에 동일한 조직이 있는 것으로 볼 수 있다는 것이 시만텍의 분석이다.

볼그머는 공격 목표물을 가진 악성코드로, 공격의 첫 번째 단계에서 정찰(reconnaissance) 툴과 같이 제한적 범위에서 사용되어 왔다. 또한 시스템 정보 취득 및 실행을 위한 추가 파일 다운로드를 위해 사용되었을 가능성도 있다. 특히 주목할 것은 데스토버와 C&C서버를 공유하는 볼그머 버전은 한국 내 특정 대상을 표적 공격하도록 설정되었으며, 한국어를 지원하는 컴퓨터에서만 공격이 진행된다는 점이다.

데스토버는 지난 2013년 한국을 겨냥한 조크라(Jokra) 공격 당시 나타난 일부 기법과 컴포넌트 명칭이 동일한 것으로 나타났다. 그러나 아직까지는 데스토버와 조크라 두 공격의 연관성을 증명해주는 확실한 증거는 없으며, 유사한 모방공격(copycat operation)의 가능성 또한 배제할 수 없다. 데스토버는 상용화된 동일 드라이버를 사용하고 있다는 점에서 샤문(Shamoon) 공격과의 연관성도 나오고 있다. 하지만 이 경우에는 동일한 조직이 배후에 있을 가능성은 매우 낮으며, 데스토버 공격이 샤문 공격에서 사용된 기법을 흉내낸 것으로 보인다.

데스토버 공격
데스토버는 특히 감염된 컴퓨터를 완전히 파괴시킬 수 있을 만큼 강력한 멀웨어다. FBI는 최소한 한 개 이상의 변종 데스토버가 최근 이슈가 된 공격에 사용된 것으로 보고, 데스토버에 대한 경보를 발표했다.

diskpartmg 16.exe는 감염된 컴퓨터에 생성되는 첫 번째 파일로, 실행 시 net_ver.dat과 igfxrayex.exe 파일을 생성한다. diskpartmg 16.exe 파일을 실행하면 IP 범위 내에 있는 다수의 특정 IP 주소로 연결될 뿐만 아니라 “USSDIX[기계명]” 형태의 컴퓨터 명으로 연결된다. 이를 보면 해당 데스토버 변종은 무차별적인 공격을 위한 것이라기보다는 특정 타깃 컴퓨터를 공격하기 위한 것임을 알 수 있다.

igfxtrayex.exe를 통해 데스토버의 파괴적인 페이로드가 실행된다. 일부 사례를 보면, 악성코드 실행 시 5고정 드라이브 및 원격 드라이브 내 모든 파일 삭제 5파티션 테이블 변경5 추가 모듈(iissvr.exe) 설치58080 및 8000 포트 상의 특정 IP 주소로 접속하는 피해가 발생하는 것으로 나타났다.

Iissvr.exe는 포트 80을 통해 감청이 가능한 백도어로, 공격자가 감염된 컴퓨터와 통신 할 경우 공격자가 설정해 놓은 메시지가 나타나게 된다.

볼그머와의 연관성
시만텍은 데스토버의 일부 샘플이 과거 변종 볼그머에 사용된 C&C서버와 연계되어 있음을 확인했다. 시만텍이 지난 수 개월간 추적한 결과, 볼그머는 감염된 컴퓨터에서 백도어를 열 수 있으며, C&C 서버와의 통신을 통해 시스템 정보 취득 및 커맨드 실행, 실행 파일 업로드와 다운로드가 가능하다.

흥미로운 점은 데스토버와 C&C서버를 공유한 변종 볼그머를 분석한 결과, 감염된 컴퓨터의 지역이 “한국”이 아닌 경우 실행을 종료하도록 설정되었다는 것이다.

조크라와의 연관성
데스토버 공격자들은 파일명 등 2013년 한국을 공격한 조크라 공격과 유사한 기법과 컴포넌트를 사용하고 있다. 당시 조크라 공격은 국내 은행과 방송국의 서버는 물론 통신사의 홈페이지를 마비시켰다.

조크라 공격에 사용된 멀웨어에는 지정된 시간이 만료되기 전까지는 하드드라이브를 파괴하지 않도록 설정된 코드가 포함되어 있었다. 데스토버 또한 지연 파괴가 가능하도록 설정되어 있으며, 한국의 미디어들은 두 건의 공격에서 상당수 유사한 파일명이 사용되었다고 전했다.

샤문 공격과의 유사성
데스토버와 샤문 공격(W32.Disttrack)은 사용된 멀웨어가 일부 드라이버를 공유하고 있다는 유사점을 갖고 있으며, 이 드라이버들은 악성 파일이 아닌, 상용화된 드라이버인 것으로 나타났다. 반면 데스토버와 샤문 공격에 쓰인 멀웨어인 디스트랙 모두 파괴적인 유형이지만 해당 공격의 배후에 동일한 조직이 있다는 증거는 없다.

시만텍의 SSET(Symantec Security Expert Team)를 총괄하는 윤광택 이사는 “현재 미국에서 큰 이슈가 되고 있는 해킹 사건과 과거 한국에서 발생한 사이버 공격이 연관되어 있다는 점에서 주목할 만하다”며, “시만텍은 한국 및 전세계 대응센터를 통해 앞으로도 발빠르게 공격을 감지하고, 신속한 분석을 통해 대응방안을 제공하기 위해 노력할 것”이라고 말했다.