본문으로 바로가기
3월 20일 한국 사이버 공격 총망라 #1


3. 추가 공격 징후?

악성코드 분석 과정에서 HASTATI라는 스트링값을 보게 됩니다. 왠지 발음상 Hakawati(제가 쓰는 닉네임)와 비슷해서 흠짓흠짓 하는데요?


트리플렉스 에시스(Triplex acies)

 

Unit 

Organization 

Number of soldiers 

First battle line 

Hastati 

Ten maniples of 120 men 

1,200 soldiers 

 Second battle line

Principes 

Ten maniples of 120men 

1,200 soldiers 

Third battle line 

Triarii 

Ten maniples of 60 men 

600 soldiers 

 

Velites 

Split into groups attached to each maniple 

1,200 soldiers 

 

Irregulars 

variable 

variable 

- Wikipedia


Hastati란 로마군대 1열을 의미하는 것으로 Hastati가 무너지면 2열인 Principes가 싸우는 형태로 운영된다고 합니다. 이러한 이유에서 2차공격 3차 공격이 감행 될 것으로 추측하고 있씁니다.



- Ahn Lab 바이러스 분석 보고서


File A는 Dropper로 File B,C,D,E를 추가적으로 설치하도록 도와줍니다. 왜 Dropper냐고 하면, 일반적으로 Dropper의 기능은 다른 악성코드를 Drive By Download하기 용이한 간단한 코드들과 자기자신을 삭제 등 간단한 코드들로만 구성되어 있씁니다. 용량이 작고, 간단한 코드 일 수록 백신의 탐지를 우회할 확률이 높아집니다.


다시 본론으로 넘어와서 File B는 PRINCPES라는 문자열을 실행 즉시 덮어 쓰기를 수행하고, File F는 2013년 03월 20일 14시 이후에 HASTATI라는 문자열을 덮어쓰기를 수행합니다.


눈치 채셨는지 모르겠지만 정확한 단어는 PRINCIPES인데 덮어쓰는 문자열은 PRINCPES입니다. I가 빠졌는데 "해커가 철자를 틀렸다"라고 추측하기도 하지만 저의 생각에는 8개의 스펠링으로 구성하여 한줄의 offset(16진수 16개의 스펠링)에 두 단어가 정확하게 들어가게 하기 위함인 것 같습니다. 이쁘잖아요. 깔끔하고. 그러면 7개의 스펠링으로 구성된 HASTATI는요? 다음을 보시죠.


NSHC의 RedAlert팀의 분석 보고서


HASTATI끝에 ASCII코드 2E가 들어가 있습니다. 2E는 .입니다.  즉, HASTATI. 총 8개로 구성되어 있음을 알 수 있습니다. 이번 공격자는 방청소 잘하는 친구들이에요. 깔끔한 친구들인 것 같아요.


Triarii는 어떻게 설명 할 수 있을 까요?

Rem Ad Triarios Redisse

"It Has Come to The Triarii." The phrase is from Latin "Rem Ad Triarios Redisse." It is military in its origin, and to understand its significance to me, some explanation on the Roman battle formations must be given.

- It has come to the Triarii


"Rem Ad Triarios Redisse"는 "Triarii 까지 왔다!"라는 의미로 사용하는 라틴어입니다. 속담같은 말로 3번째 열까지 전투가 진행 됨으로써 "우리는 이제 망했다"라고 이해할 수 있는 문장입니다.


저는 이렇게 해석했습니다. HASTATI의 형태로 동일한 시간대로 공격을 감행해여 1차적으로 밝혀졌고, PRINCPES(PR!NCPES) 의 형태로 공격하는 변종을 발견하였습니다. 그리고 이러한 공격을 받은 6개의 기관들의 피해를 "망했네"라고 해석하여 TRIARII가 되는 것입니다.


재미있는 추측이 하나 있습니다. 공격일이 20일은 한국의 공무원들의 월급날입니다. 2차 공격은 25일 일반직장인들의 월급날이 될것이고 3차 공격은 보편적인 신용카드 결제일인 1일에 이루어 질것이라는 것입니다. 물론 농담이겠죠? ㅎㅎㅎ


개인적인 추측으로는, 더이상 2차 공격은 없을 것 같습니다. 만약 2차로 공격을 한다면, 이번 공격과는 별개의 공격이 될 것 같습니다. 하지만 분명한것은 사건은 계속 발생 할 것입니다.

저작자 표시 비영리 동일 조건 변경 허락
신고

댓글을 달아 주세요

티스토리 툴바