PC
가전
가전
PC
고정공지
(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.
놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
IT정보 치명적 피해 입히는 MBR 악성코드, 어떻게 동작할까?
작성자: 상현 조회 수: 2670 PC모드
http://www.boannews.com/media/view.asp?idx=49299&page=1&kind=1파괴형과 루트킷(RootKit)형으로 나눠져 다르게 동작하는 MBR 악성코드
[보안뉴스 민세아] 지난 8일자 본지 ‘감염시 PC 불가능한 MBR 악성코드 국내 유포!’ 기사에 의하면 MBR(Master Boot Record) 악성코드가 DBD(Drive-By-Download) 방식으로 유포돼 감염 PC를 먹통으로 만드는 사례가 있었다.
해당 악성코드에 감염될 경우 악성코드가 MBR을 변조해 부트킷을(BootKit) 심는다. 부트킷이란 하드디스크 부트 섹터를 감염시키는 악성코드를 말한다. 부트 섹터는 PC 부팅 시 가장 먼저 실행되는 부분이다. 이후 악성코드는 감염된 시스템을 재부팅 시키고, C&C(명령제어) 서버로부터 명령을 받아 움직인다.
MBR이란 컴퓨터가 부팅하는 데 필요한 정보를 저장하는 장소로, 처음 컴퓨터의 전원을 켜면 메모리가 MBR의 정보를 읽어와 OS(운영체제)를 띄운다. 때문에 MBR 영역이 훼손되면 컴퓨터가 정상적으로 부팅되지 않는다. MBR 악성코드는 크게 두 가지로 나뉘는데, 파괴형과 루트킷(RootKit) 형이 있다.
파괴형은 MBR 영역의 모든 값을 특정 문자나 랜덤한 쓰레기 값으로 덮어씌워 PC가 정상적으로 부팅될 수 없게 만든다. 루트킷형은 위의 경우처럼 부트킷 등으로 MBR 영역을 감염시켜 감염 PC 부팅시마다 악성코드를 동작시킨다. 루트킷 악성코드는 메모리, 커널, 파일 부트영역을 감염시키는데, 이 중 파일 부트영역을 감염시키는 루트킷을 부트킷이라고 부른다.
MBR 악성코드는 최근 몇년 새 많은 사건에 악용됐다. 지난 2014년 연말을 떠들썩하게 만들었던 소니픽처스 해킹 사건, 한수원 해킹사태, 그리고 2013년 3.20 사이버테러, 같은 해 발생한 6.25 사이버테러 등등. 그 중심에는 MBR 악성코드가 있었다.
전 세계적으로 주목을 받았던 소니픽처스 해킹 사건에서는 0XAAAAAAAA라는 특정 문자열을, 한수원 사태에서는 ‘Who Am I?’라는 문자열을, 국내 주요 방송사 및 금융사 전산망을 마비시킨 3.20 사이버테러에서는 PRINCPES, HASTATI 등의 특정 문자열을 반복적으로 MBR 영역에 덮어씌웠다. 이들은 모두 파괴형 MBR 악성코드였다.
[민세아 기자(boan5@boannews.com)]
[보안뉴스 민세아] 지난 8일자 본지 ‘감염시 PC 불가능한 MBR 악성코드 국내 유포!’ 기사에 의하면 MBR(Master Boot Record) 악성코드가 DBD(Drive-By-Download) 방식으로 유포돼 감염 PC를 먹통으로 만드는 사례가 있었다.
해당 악성코드에 감염될 경우 악성코드가 MBR을 변조해 부트킷을(BootKit) 심는다. 부트킷이란 하드디스크 부트 섹터를 감염시키는 악성코드를 말한다. 부트 섹터는 PC 부팅 시 가장 먼저 실행되는 부분이다. 이후 악성코드는 감염된 시스템을 재부팅 시키고, C&C(명령제어) 서버로부터 명령을 받아 움직인다.
MBR이란 컴퓨터가 부팅하는 데 필요한 정보를 저장하는 장소로, 처음 컴퓨터의 전원을 켜면 메모리가 MBR의 정보를 읽어와 OS(운영체제)를 띄운다. 때문에 MBR 영역이 훼손되면 컴퓨터가 정상적으로 부팅되지 않는다. MBR 악성코드는 크게 두 가지로 나뉘는데, 파괴형과 루트킷(RootKit) 형이 있다.
파괴형은 MBR 영역의 모든 값을 특정 문자나 랜덤한 쓰레기 값으로 덮어씌워 PC가 정상적으로 부팅될 수 없게 만든다. 루트킷형은 위의 경우처럼 부트킷 등으로 MBR 영역을 감염시켜 감염 PC 부팅시마다 악성코드를 동작시킨다. 루트킷 악성코드는 메모리, 커널, 파일 부트영역을 감염시키는데, 이 중 파일 부트영역을 감염시키는 루트킷을 부트킷이라고 부른다.
MBR 악성코드는 최근 몇년 새 많은 사건에 악용됐다. 지난 2014년 연말을 떠들썩하게 만들었던 소니픽처스 해킹 사건, 한수원 해킹사태, 그리고 2013년 3.20 사이버테러, 같은 해 발생한 6.25 사이버테러 등등. 그 중심에는 MBR 악성코드가 있었다.
전 세계적으로 주목을 받았던 소니픽처스 해킹 사건에서는 0XAAAAAAAA라는 특정 문자열을, 한수원 사태에서는 ‘Who Am I?’라는 문자열을, 국내 주요 방송사 및 금융사 전산망을 마비시킨 3.20 사이버테러에서는 PRINCPES, HASTATI 등의 특정 문자열을 반복적으로 MBR 영역에 덮어씌웠다. 이들은 모두 파괴형 MBR 악성코드였다.
[민세아 기자(boan5@boannews.com)]
자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다
문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
