주요 방송사, 은행 6곳의 전산망을 마비시킨 악성코드 안에 포함된 공격 내용에는 오후 2시 공격이 효과를 거두지 못했을 경우를 대비해 오후 3시경 추가 공격을 수행토록하는 기능을 함께 갖고 있었던 것으로 나타났다. 공격자가 효과를 높이기 위해 추가적인 공격조치를 취한 것이다.
23일 잉카인터넷 블로그에 따르면 문제가 된 악성코드를 분석해 본 결과 오후 3시에도 정상적인 실행파일에 악성코드를 주입하는 방식으로 추가 공격을 실행하는 기능이 함께 들어있는 것으로 확인됐다.
오후 3시에 공격을 수행하는 변종 악성코드는 시스템폴더 경로에 'schsvcsc.exe', 'schsvcsc.dll' 파일을 생성하고, 'lsass.exe' 정상 프로세스에 인젝션돼 작동한다. 이를 통해 컴퓨터의 시간이 03월 20일 오후 3시 이후부터 MBR 등의 파괴 기능을 수행한다.
관련기사
- 전산망 마비, 외국보안회사들 시각2013.03.23
- 사설IP 발견, 최초유포지 한국 근거 아직...2013.03.23
- 잉카인터넷, 방송사-LGU+ 해킹 동일범 유력2013.03.23
- "해킹, 국내 사설 IP로 밝혀져"2013.03.23
lsass.exe는 'Local Security Authentication Server'의 약자로 윈도 운영체제(OS)의 보안정책을 담당하는 프로세스 실행파일이다. 이는 시스템 파일이기 때문에 종료하게 되면 심각한 보안 문제를 불러올 수 있다. 기존에도 이 파일을 위장한 'lass.exe', 'lsas.exe'와 같은 악성파일이 정상실행을 방해하는 용도로 사용돼 왔다.
문종현 잉카인터넷 대응팀장은 원래 2시 공격에 사용된 악성코드에 이미 3시 공격용 악성코드가 들어있었거나 2시 공격 초기에 별다른 효과가 없다고 판단해 3시 공격용 악성코드를 새롭게 주입했을 가능성이 있다고 밝혔다.
