[6.25 사이버전] 청와대, 국무조정실, 언론사 사이버 공격 중 - 3차 정보 수정 (2013-06-25 19:30)

2013년 6월 25일 오전 10시경으로 청와대, 국무조정실, 조선일보, 국방부, 국정원, 새누리당 지역홈페이지 등 홈페이지 장애가
일어나기 시작했다.

이 일은 지난 6월 18일 어나니머스에서 북한을 6월 25일 공격하겠다는 선포를 한 이후 북한의 보복성 공격이 아닐까 싶다.

• [머니투데이] 어나니머스, 북한 사이트 리스트 제시하며 공격 예고

현재 [인터넷침해대응센터] 에서는 사이버 위기 경보단계를 "정상 → 관심 "으로 상향시켰다.(10시 45분)
 
현재 [인터넷침해대응센터] 에서는 사이버 위기 경보단계를 "관심 → 주의 "으로 상향시켰다. (15:40분)

1. 사이버공격 가능성이 높아짐에 따른 사전대비차원의 ‘관심’ 경보 발령 

□ 개요

o 국가 공공기관 홈페이지 대상 공격 가능성(DDoS공격, 악성코드 유포)이 높아짐에 따라 공격 발생시 신속한 대응을 위하여 

사전 대비차원에서 6월 25일 10:45부로 ‘관심’ 단계 경보 발령

   ※ 사이버위기 경보 단계는 ‘정상→관심→주의→경계→심각’으로 구분

   

□ 대응

o 악성코드 감염으로 인한 피해를 입지 않도록 MS 윈도우, 백신프로그램 등의 최신 보안업데이트 적용 유지

o 출처가 불분명한 이메일 및 불건전 홈페이지를 통한 감염 피해를 입지 않도록 주의

□ 참 조

o 전화 : 국번없이 118

원본 링크 : http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=2365

2. 사이버공격이 지속됨에 따라 사이버위기 경보 단계를 ‘관심’ -> '주의' 경보로 상향 조정

□ 개요

o 금일 발생한 사이버공격이 지속되며 피해범위가 확산될 우려가 있어 

   6.25(월) 15:40부로 사이버위기 '관심' -> '주위' 경보로 상향 발령

   ※ 사이버위기 경보 단계는 ‘정상→관심→주의→경계→심각’으로 구분

   

□ 대응

o 악성코드 감염으로 인한 피해를 입지 않도록 MS 윈도우, 백신프로그램 등의 최신 보안업데이트 적용 유지

o 출처가 불분명한 이메일 및 불건전 홈페이지를 통한 감염 피해를 입지 않도록 주의

□ 참 조

o 전화 : 국번없이 118

원본 링크 : http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=2367

또한 청와대, 국무조정실, 일부 언론사의 홈페이지(조선일보,KBS,국방부,국정원,매일신문,대구일보,새누리당의 각시도당 홈페이지,
청와대,국무조정실,해병대,해군,육군)들이 지속적으로 접속이 제한되고 있다.

아래는 청와대 홈페이지가 해킹 되었을 당시 화면이다.
"통일대통령 김정은 장군님 만세" 라는 문구와 함께 한국 내 신원정보를 공개했다.

새누리당 -  250만명 중 10만명 공개

청와대관련 - 20만명 중 10만명 공개

군장병 - 30만명 중 2만명

미25보병사단 - 1만5천명

미3해병사단 - 1만명

미1기병사단 - 1만5천명

※ 이미 해당 내용의 링크들은 인터넷에 공개되고 있지만, 개인정보를 위해 공개하지 않겠다.

이 정도의 개인정보유출, 홈페이지 마비 공격이면
           "6.25 사이버전" 이라고 불러도 될 듯 하네요!!

- 현재 시간 오후 3시 50분 청와대 홈페이지가 복구 됨

- 3차 정보 수정 (2013-06-25 19:30)
 금일 발생한 홈페이지 마비는 ***disk 라는 웹하드 업체의 셋업 설치파일이 변조됨으로써 시작 된 것으로 확인되고 있다.

변조 된 셋업파일로 사용자가 실행 할 시, 셋업파일 속에 있는 악성파일로 인하여 외부에서 또 다른 악성파일을 다운로드 한다.

- 생성 파일

hxxp://***disk.co.kr/app/***Disk_setup.exe (파일내부 SimDiskup.exe 파일이 악성파일)
 ㄴ 다운로드 : hxxp://www.ha***.co.kr/images/k****/c.jpg

다운로드 받은 c.jpg는
C:\Documents and Settings\[사용자계정]\Application Data\Identities\{038444a8-2a1f-11dc-b665-806d6172696f} (랜덤)폴더명
을 생성시켜 추가적인 악성파일을 생성시킨다.
(※ 생성시키는 파일은 현재 동작중인 프로세스의 명을 이용하여 생성한다.)

생성시키는 파일 중 DND DDoS를 유발시키는 악성파일과 자신의 IP를 우회하기 위한 프록시 서버 파일이 생성된다.

해당 파일 이외에 동일한 행위를 하지만, 파일위치가 다른 것도 확인되었다.

최초 생성파일인 sermgr.exe 파일은 감염자PC 시스템폴더에 아래와 같이 파일을 생성시킨다.
C:\WINDOWS\system32\oletapisrv.dll
C:\WINDOWS\system32\wuauieop.exe 

특히 dll 파일은 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

"netsvcs" 값 중에서 랜덤으로 하나를 선택하여 파일이름을 완성한다.

이후, 레지스트리를 생성한다.

레지스트리는 netsvcs 값에서 생성 된 이름에 + Svc를 붙여서 서비스를 생성시킨다.

예) TapiSrv + Svc = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TapiSrvSvc
 
그리고  wuauieop.exe 파일은 대전 통합전산센터로 DNS DDoS를 시도함으로써 국내 사이트들이 공격하게 된다.

해당 파일들은 알약에서 "Trojan.DDoS.Svc", "Trojan.Agent.Rot" 로 탐지 되고 있다.