APT(Advanced Persistent Threat)?
- 지속적이고(Persistent) 지능적인(Advanced) 해킹 공격
- 지능적으로 이메일을 이용해 악성코드 등을 심거나 강제로 암호화를 시켜 데이터를 날리는 것 또는 메일 내용을 통해 심리적 헛 점을 이용하는 추세이다.
- APT수행을 위해 가능한 모든 수단을 동원한다.
- 특정 대상으로 행해지는 공격 기법이며 막기가 어렵다.
1 Sony Pictures 해킹사건
해당 사건은 직원들의 계정이 강제로 로그오프 당하고 Sony Pictures의 내부문건이 빠져나간 사건이다. 영화 ‘더 인터뷰’ 지목하며 상영중단 요구를 한 것으로 보아 북한의 소행으로 생각된다.
|
날짜 |
내용 |
|
2014년 11월 25일 |
소니 픽처스 해킹 관련 내용이 보도됨 |
|
2014년 11월 28일 |
소니 픽처스는 이번 공격의 배후에 북한과의 연관성을 배제하지 않는다고 미국의 IT 전문 매체 리코드(Re/code)가 보도함 |
|
2014년 11월 29일 |
소니 픽처스의 미개봉 영화 등이 파일 공유 사이트에 등장함 |
|
2014년 12월 01일 |
소니 픽처스 임원들의 연봉 정보가 포함된 문서들이 공개됨 |
|
2014년 12월 02일 |
유출된 문건을 통해 소니 직원들의 개인정보 및 기타 소니의 내부 문서(급여 정보, 이름, 생년월일, 사회보장번호 등)가 대중에 공개됨. FBI에서 파괴적인 악성코드에 대한 경고문을 발표함 |
|
2014년 12월 03일 |
소니 픽처스가 이번 공격의 배후에 북한이 있다고 조만간 공식 발표할 예정이라고 리코드가 보도함 |
|
2014년 12월 05일 |
소니 픽처스 직원들에게 협박 이메일이 도착함. FBI는 이를 조사중이라고 밝힘 |
|
2014년 12월 07일 |
북한은 해킹설을 부인하며 이번 해킹은 북한을 지지하는 누군가의 의로운 소행이라고 주장함 |
영화제작사 Sony Pictures 해킹사건에 사용되었던 악성코드를 분석하도록 하겠습니다.
2 기초 정적분석
해당 악성코드는 패킹이 되어있지 않은 것으로 파악이 된다.
mpr.dll, ws2_32.dll 그리고 userenv.dll을 활용한 악성행위가 의심된다.
|
DLL 이름 |
주요 기능 |
|
Mpr.dll |
[2]다른 프로그램의 동작변경 및 조작 |
|
Ws2_32.dll |
[3]인터넷과 네트워크 어플리케이션의 네트워크 연결을 다룬다 |
|
Userenv.dll |
[4]유저프로파일을 생성하거나 관리한다 |
사용자의 권한을 이용하여 프로세스 간의 통신 및 다른 프로그램을 조작 할 것으로 예상이 된다.
.
|
주요 내용 |
|
특정유저의 환경변수를 검색 및 삭제 |
|
서비스 등록 |
|
특정 권한을 검색 |
|
파일 삭제, |
|
파일 시간 설정, |
|
파일 복사 |
파일 생성 및 삭제를 수행을 하며 서비스에 등록을 하여 지속적으로 실행이 되게 하려고 하는 것 같다. 전반적으로 사용자 권한을 이용하는 행위를 주로 한다.
3 고급 분석
프로그램의 흐름을 나타내보면 프로그램이 총 4번실행이 된다.
이 이후는 분석 미정..
[1] http://www.trendmicro.co.kr/kr/security/the-hack-of-sony-pictures-what-you-need-to-know/index.html
[2] https://www.file.net/process/mpr.dll.html/
[3] https://www.processlibrary.com/en/directory/files/ws2_32/24187/
[4] https://www.processlibrary.com/en/directory/files/userenv/21678/